"קמ"ן שטח" – כך מגדירה סַנַז יָשָר את תפקידה ב-FireEye, ענקית אבטחת המידע הבינלאומית. סנז, המרכזת את תחום המחקר ומודיעין הסייבר בחברה, עובדת בכל יום ממקום אחר – בנק, חברת תשתיות או מוסד לאומי כלשהו – ומחפשת פירצות.

השם הרשמי של התפקיד הוא Forward Deployed Analyst, וכמוה עושים אותו קומץ עמיתים-חוקרים, פחות מעשרה, בתאגיד של 3,200 עובדים, שפזורים במדינות שונות. "התפקיד שלי הוא לנסות להבין מה האיום ומה המקור שלו", היא אומרת, "כשקורה אירוע גם החברות הטובות ביותר מאבדות את הראש".

מאיפה אתם אוספים את המודיעין שלכם? יושבים על פורומים ברשת האפלה?
"רק כ-20% מהמידע מגיע מהרשת האפלה. כדי להשיג מידע בעל ערך אמיתי צריך ליצור אנגייג'מנט עם ההאקרים, ואת זה עושים עם זהות מתחזה ובאופן ממוקד. למשל, אתה מספר שאתה מחפש כלי לתקוף באמצעותו את מערכת הסוויפט (מערכת העברת הכספים הבין-בנקאית) ואז צריך ליצור יחסי אמון עם האקר שעוסק בזה".

מדובר בתפקיד ייחודי מאוד. יש לכם קבוצת וואטסאפ של האנליסטים?
"וואטסאפ לא. יש לנו תוכנת היפצ'ט (תוכנת צ'ט ארגונית), עם שרת מותקן בארגון, ובשביל דברים שיש להם גם איזה פן אישי – טלגרם".

טלגרם בטוחה יותר מוואטסאפ?
"כשמדובר במצב של צ'ט סודי (Secret Chat) – כן, כי אין באמצע שרת שאפשר לתקוף. כשאתה שולח הודעה בוואטסאפ, והמקבל לא זמין, אז ההודעה ממתינה בשרת – זה מקום שאפשר לתקוף".

אבל בטלגרם את לא יכולה לראות את קוד המקור?
"אני מעדיפה שלא להשיב".

FireEye, אחת מענקיות עולם הסייבר, נסחרת בנאסד"ק בשווי של 2.7 מיליארד דולר, אחרי שב-2013 רכשה את חברת מודיעין הסייבר Mandiant בעסקה של מיליארד דולר. החברה פחות מוכרת לציבור הכללי, כי היא עובדת בעיקר מול גופי ענק – תאגידים וגופי מדינה. בישראל למשל, יש לה כמה עמדות ב-CERT, חמ"ל הסייבר הלאומי בבאר שבע.

בפשטות, FireEye היא חברת מודיעין. היא משתמשת בהתקנות ובסנסורים שלה בכל רחבי העולם כדי לזהות מתקפות חדשות, ולהתריע לכלל לקוחותיה על איומים חדשים. בניגוד לחברות סייבר רב-לאומיות רבות, ל-FireEye אין פעילות מחקר ופיתוח בישראל, אלא רק גוף מכירות ותמיכה.

סיור במתקן מים כבדים באיראן

הדרך של ישר לתפקיד הבכיר הזה סלולה בהפיכות ובמהפכים אישיים. היא נולדה ב-1981 בטהרן, העבירה את ילדותה בצל משטרו של האייתוללה חומייני, המנהיג הרוחני של איראן דאז בימים שלאחר המהפכה האסלאמית. "הייתי בת 8 ביום שבו הוא מת. אני זוכרת שבכיתי", היא מספרת.

איך היה לחיות כיהודייה באיראן?
"בסך הכל היתה לי ילדות טובה. למדתי בבית ספר יסודי יהודי, ובחטיבת הביניים כבר רציתי 'לראות עולם', אז עברתי לבית ספר כללי רגיל – של בנות בלבד, כמובן. הוקפצתי כמה כיתות, אז סיימתי תיכון בגיל 16. אפילו השתתפתי באולימפיאדת הכימייה של איראן והגעתי למקום ה-12. אני זוכרת שלקחו אותנו לראות מתקן מים כבדים (תרכובת שמשמשת חומר מקרר בכורים גרעיניים). אחר כך שמעתי שהמנהלת שלי ננזפה על זה, כי בכל זאת אני יהודייה".

ב-1998, כשהיא בת 17, המשפחה נסעה ל"טיול" בחו"ל ולמעשה היגרה לישראל. "עם הנחיתה בארץ למדתי באולפן, ולאחר מכן נרשמתי ללימודי ביולוגיה וסוציולוגיה באוניברסיטת תל אביב – כשפתאום קיבלתי צו גיוס. סיימתי את התואר ומייד התחלתי מסלול עתודה. זה היה מסלול לעולים ולא הייתי צריכה להתחייב לשירות קבע – מפה לשם זה היה רומן שנמשך 15 שנה".

מה עשית בצבא?
"התגייסתי ב-2001 למודיעין והייתי בליבה של החיל – משהו שאז עוד לא קראו לו סייבר. את כל השנים עשיתי באמ"ן, וכשהגעתי לדרגת רס"ן החלטתי לקחת חל"ת כדי להחליט אם אני רוצה לסיים את הקריירה שלי בצבא. תוך כדי השירות השלמתי תואר שני במינהל עסקים באוניברסיטת בן גוריון".

סנז ישר, היהודייה האיראנית שהפכה ללוחמת סייבר (צילום: אלון לוין, TheMarker)
סנז ישר|צילום: אלון לוין, TheMarker

ומה קרה בחל"ת?
"אתה יודע איך זה בסייבר – מגייסים אותך עוד לפני השחרור, וגויסתי לחברת סייבריזן".

סייבריזן היא אחד הסטארטאפים הבולטים בענף הסייבר הישראלי. החברה, שגייסה עד היום 188 מיליון דולר, פועלת בתחום המכונה EDR (ראשי תיבות של Endpoint Detection and Response). ישר מונתה לראש צוות המודיעין בחברה. "זה מה שעשיתי בחל"ת, ובספטמבר האחרון השתחררתי. עם השחרור קיבלתי הצעה מ-FireEye".

יש לך קרובים שנותרו באיראן?
"כן. עקרונית אני יכולה לפגוש אותם במדינה שלישית, אבל אני נמנעת מלעשות את זה כדי לא לפגוע בהם".

איפה תתקוף סין? תלוי בתוכנית החומש

עולם הסייבר הבין-מדינתי מתעצב בימים אלה: מעצמות הסייבר המתגבשות כוללות את ארה"ב ובריטניה במערב (יחד עם ישראל) ומנגד את רוסיה וסין במזרח. זהו מרוץ התעצמות שמזכיר במידה רבה את מרוץ החימוש האטומי מהמאה הקודמת, שזכה לכינוי המלחמה הקרה. זהו בדיוק תחום ההתמחות של ישר, והיא לומדת את הפוזיציה של כל שחקנית, הבריתות שלה והמוטיבציות, קצת כמו חוקרת יחסים בינלאומים – אבל בסייבר.

ישר לא מסתירה את הערכתה לכוח העצום שיש לרוסיה במרחב המקוון: "רוסיה לא יוצאת למבצע סייבר נקודתי, היא עושה מערכה שהיא גם תודעתית פסיכולוגית, וכוללת גניבת מידע וחבלה". בהקשר הזה אי אפשר שלא להכיר את המעורבות שמיוחסת לרוסיה בהטיית הבחירות לנשיאות בארה"ב ב-2016, הן באמצעות שתילת "פייק ניוז" ברשתות החברתיות והן באמצעות הדלפת פרטים מביכים ממטה הקמפיין של המתמודדת הדמוקרטית הילרי קלינטון. "יש עדויות לכך שרוסיה משתפת פעולה עם שחקני משנה בסייבר, למשל עם איראן, בעיקר סביב אינטרסים משותפים, במקרה הזה בסוריה", אומרת ישר.

ישר מסבירה שאפשר למצוא במאפייני התקיפות האירניות עקבות רוסיות – כנראה לא במקרה. באחרונה מזהה ישר בת ברית חדשה של רוסיה במאמץ הסייבר: זה כמה חודשים רוסיה מספקת לקוריאה הצפונית נתיב גישה לאינטרנט העולמי, ובחינם. מדוע? יכול להיות שרוסיה צריכה שהצפון-קוריאנים יעשו עבורה משהו בזירת הסייבר. כמה מתקפות סייבר גדולות מהתקופה האחרונה מיוחסת לקוריאה הצפונית, אבל האם כלי התקיפה הגיעו בכלל מרוסיה? זו תיאוריה די מקובלת. "רוסיה נותנת למישהו אחר לעשות את הדברים המלוכלכים, מדינות חסות שלה", אומרת ישר. "פוטין גאון, ובין היתר הוא מזהה פושעי סייבר רוסים שיושבים בכלא, וחונן אותם תמורת שירות סייבר עבורו".

ואיפה נמצאת סין בתשבץ?
"סין היא מקרה מעניין. בספטמבר 2015 היתה לחיצת ידיים בין ברק אובמה לנשיא סין שי ג'ינפינג, והמדינות הגיעו להסכם הדדי בסייבר – לא לתקוף חברות אזרחיות אחת של השנייה. מאז אנחנו רואים ירידה תלולה בתקיפות מכתובות IP סיניות – הם מכבדים את ההסכם. מנגד, סין עובדת לפי תוכנית חומש, ולתוכנית חומש (הבאה בתור תושק ב-2021) יש נספח סייבר. אתה רוצה לדעת איפה סין תתקוף? תקרא את תוכנית החומש. אם סין החליטה להיות ראשונה בעולם בתחום האנרגיה הסולארית, אז מאיפה יבוא הידע? הם יגנבו מה שצריך ממי שצריך. הם כבר עשו את זה בתחום הרכבות המהירות ותוך כמה שנים עקפו את יפן. אני חושבת שהם גונבים מידע ממכוני מחקר ומאוניברסיטאות".

אז מכון מחקר הסייבר באוניברסיטת תל אביב צריך לדאוג?
"למה מחקר סייבר? נסה מכון מחקר לחקלאות, למשל. אני מוטרדת מהמצב שלנו מול סין. אלה אזורים שבהם ההגנה שלנו כל כך חלשה, שאף אחד אפילו לא יידע אם גנבו מידע". ישר אומרת כי היא לא מוצאת דמיון בין כלי התקיפה הרוסיים והסיניים: "אין דמיון בין הכלים ולא בין המתודולוגיות".

מלבד רוסיה, איראן וסין, ישר גם חוששת מצמיחת כוחות סייבר חדשים: "למדינות כמו איראן יש עדיין גבולות, אבל אנחנו רואים כל הזמן שחקניות חדשות: הודו, וייטנאם פתאום נהייתה שחקנית, אפילו פקיסטן". ישר מזכירה כי בניגוד לכללי המלחמה הקונבציונלית שמאוגדים בכללים ואמנות עם מסורת ארוכת שנים (אמנת ז'נבה בראשן), הסייבר הוא עדיין ג'ונגל נטול חוקים. בעולם מנסים לנסח מוסכמות במה שמכונה "מדריך טאלין", אבל הדרך לשם עוד ארוכה: "בכל עימות עתידי הסייבר יהיה חזית משמעותית נוספת".

ישראל לא חסינה ממתקפה

האם ישראל ערוכה לבאות? תלוי את מי שואלים. בשנה החולפת התרחשו שתי מתקפות סייבר ענקיות בעולם, שזיעזעו חברות בינלאומית, מוסדות רפואיים ומערכות פיננסיות. הראשונה, שהתרחשה במאי 2017, כונתה WannaCry, והשנייה, שהתחוללה חודש לאחר מכן, כונתה NotPetya. ב-NotPetya נפגעו כ-150 מדינות, ובין היתר הובילה לביטול ביקורים וניתוחים דחופים בבתי חולים, בעיקר בבריטניה. NotPetya גבתה נזקים מצטברים בכמיליארד דולר, כולל מאות מיליוני דולרים שאבדו לחברת התרופות מרק ולחברת הספנות הדנית Maersk. בשני המקרים ישראל יצאה בזול, וכמעט לא נרשמו אירועים חריגים. סנז סבורה שאנחנו לא חסינים, ולעתים צריך יותר מזל משכל: "ב-WannaCry כן חטפנו, גם אם לא שמעת על זה, ו-NotPetya חדרה לרשתות דרך תוכנת ניהול חשבונות אוקראינית, שבמקרה פשוט לא מותקנת בישראל".

אז את מודאגת?
"אנחנו מתמודדים יום-יום עם תקיפות מוכוונות על ישראל. יש אויבים שמחכים רק לפרוץ. זה מוזר, כי אנחנו מדינה שיודעת להתמודד במלחמות א-סימטריות, מדינה שיודעת לחיות בלי עומק אסטרטגי, אבל בסייבר עדיין מדברים על 'מגן בסייבר'. אם אתה נשאר בצד שלך של הגדר – כבר הפסדת, גם בסייבר. צריך לצאת כל בוקר לציד, לזהות את האיומים. הפסיביות הזו בעייתית. זה נכון לגבי הצבא, שהחליט לא להקים זרוע סייבר (הוחלט שסמכויות הסייבר יפוצלו בין חיל התקשוב לאמ"ן) וממשיך במנהלי האבטחה בארגונים, שהם אנשים טובים, עם ידע בסייבר, אבל עדיין חיים בתורת הלחימה הישנה של הגנה. צריך לקום כל בוקר ולהגיד: מי האויבים שלי? איך נצוד אותם?".

לכתבה המקורית ב-TheMarker

עוד ב-TheMarker:
הסוד הגדול: למה ישראלים כל כך מאושרים
אין מנוס: נתניהו יגמור כמו אולמרט