"חוקר/ת סייבר" נחשב לאחד התחומים המעניינים והחמים בשוק הטכנולוגי כיום; היכולת ללמוד על תוקפים חדשים ומתוחכמים ולטפל באירועים בזמן אמת, הופכת את התפקיד לדינמי, בעל קצב גבוה עם חשיבות גבוהה ותרומה משמעותית לביטחון המדינה והמרחב האזרחי. אז מה מעניין במיוחד בתפקיד, מה צריך לעשות כדי להצליח בתחום ואילו יכולות באות לידי ביטוי בתפקיד? הצצה ליום-יום של התפקיד באגף מבצעים והתערבות של מערך הסייבר הלאומי.
עם השנים, תפקיד חוקר סייבר הופך למשמעותי במיוחד עם התקדמות הטכנולוגיה והעלייה במתקפות סייבר. "החוקר בתפקיד נדרש לניסיון וידע בחקירת רשת, טיפול באירועי תקיפה, ידע מעמיק במערכות הפעלה ופורנזיקה, יכולת ניתוח מידע, חקירת זיכרון, ניסיון אפקטיבי במערכות הפעלה שונות, ניסיון בעבודה עם כלי חקירה וכלי הגנה מוכרים ויכולות תכנות", מסביר י', חוקר סייבר המועסק מזה כשנתיים במערך הסייבר הלאומי, לאחר שירות של קרוב לחמש שנים בחיל המודיעין, בתפקידי טיפול באירועים, אבטחת מידע ומחקר. "לצד זה, צריך גם להיות גמיש ולהבין שהתפקיד משתנה בהתאם להתפתחויות הטכנולוגיות, כך שהחוקרים ממשיכים ללמוד בכל עת דברים חדשים ונדרש מהם ליישמם במהירות".
"בולמים גורמי תקיפה משמעותיים המהווים איום על המשק בישראל"
לחוקרי סייבר ברמה הלאומית תפקיד מהותי בהגנה ובשמירה על רציפות המשק, בין אם זה מול הארגון שנתקף או בהגנה פרואקטיבית מפני גורמים מדינתיים עוינים. להבדיל מחברה פרטית, שהאינטרס שלה להגן על ארגון ספציפי, ברמה הלאומית מגנים על המשק כולו מפוטנציאל למתקפת סייבר ובמיוחד כזו שעשויה להתפשט - אפידמית. כפי שמתאר זאת י' מהמערך: "התפקיד הוא טיפול וסיוע לארגונים בהתמודדות עם תקיפות. העבודה כוללת חיבור לארגונים שונים, למידת אופי העבודה בהם ויכולת לבצע חקירה בהתאם למגבלות. בין היתר, במרבית האירועים נדרש לבצע חקירת רשת, חקירה פורנזית של תחנות ושרתים, הטמעת פתרונות איסוף וזיהוי, איסוף מידע רב והתמודדות מול בעלי תפקידים בארגון כל זאת על מנת לבלום גורמי תקיפה משמעותיים המהווים איום על המשק בישראל". במערך הסייבר הלאומי מתמודדים מול מגוון תוקפים, בהם אויבים מדינתיים, שמנסים לפגוע במשק ובנכסי המדינה. "המטרה בסוף היא להגן על המרחב האזרחי מפני התפשטות התקיפה, ומפני גרימת נזק משמעותי".
"הרבה פעמים מדובר ממש במלחמה אונליין מול הצד השני עד העצירה הסופית"
הנגיעה של מערך הסייבר הלאומי במגזרים שונים ומגוונים במשק מאפשרת לחוקרי סייבר להיחשף כל יום לתקיפה חדשנית ולשיטות פעולה פורצות דרך. כפי שמסביר י' מהמערך: "דרכי הפעולה של התוקפים מגוונות מאוד, כך שכל חקירה או טיפול שאני מבצע, בהכרח מאפשרים לי לחדש משהו לקהיליית הסייבר הישראלית וכן לשותפים בארץ ואף בעולם". התפקיד של החוקר הוא לסלול את המסלול הנכון שיבלום את האירוע וימנע תקיפה חוזרת: "הרבה פעמים מדובר ממש במלחמה אונליין מול הצד השני עד העצירה הסופית. אני מתחיל את החקירה בבדיקה של אילו נקודות בדרך התוקף השאיר, הפירורים, מבלי לדעת איזה חלק זה בפאזל ואם עדיין קיים תוקף אקטיבי שפועל מולי. אתה יודע שיש לך פאזל, וצריך לפתור את החידה, החל מהפירור הראשון. לפעמים הממצאים ברורים ומידיים ולעיתים העבודה מתמשכת והתוקף מחפש דרכים עדכניות לחזור לשליטה ברשת הארגון. ממני מצופה לעצור אותו בזמן".
מה צריך כדי לעבוד בתפקיד זה? לטענת י' "ראש גדול. אי אפשר לחשוב בקטן ולבצע את העבודה, צריך ללמוד ולשפר את היכולות בכל עת. בסופו של יום איכות הטיפול תקבע את היכולת של הארגון להתמודד עם התוקף ואף להשפיע על החוסן של המרחב האזרחי כולו. נדרש רצון ללמוד ולהתפתח ויכולת לפתור בעיות מקצה לקצה באופן עצמאי. החוקר צריך להיות בעל יכולות אנליטיות ומחקריות גבוהות ויכולת לעמוד ולעבוד מול לקוחות".
מערך הסייבר הלאומי מגייס בימים אלו חוקרי סייבר, אנליסטים ומשרות נוספות בתחום. לדברי ארז צ'רנוביץ, סמנכ"ל בכיר למנהל ומשאבי אנוש במערך הסייבר הלאומי, "העבודה במערך היא בקצבי זמן מהירים יותר ממה שמכירים בשירות הציבורי. אנחנו מציעים סביבה עתירת טכנולוגיות, אתגר יום-יומי, חשיפה לתמונת המצב הלאומית ולמידע ייחודי בתחום, מבצעיות ועבודה בטחונית עם תחושת תרומה למדינה. כדי להתאים לשוק התחרותי והחם בתחום, התאמנו באחרונה את מסלולי הגיוס לתהליך ייחודי המקצר את הטווחים במיון ובקבלה של העובדים, אף יותר מגופי בטחון אחרים, וכן אנו מציעים תנאי העסקה נוחים ומסלולים ייחודיים לאנשי סייבר".
א', חוקרת סייבר מזה שנתיים במערך, אחראית על הטיפול הטכנולוגי באירועי סייבר בגופים שנתקפו - ביצוע חקירה פורנזית ברשת הגוף, ליווי של התהליך כולו מרגע יצירת הקשר ועד לסיום הטיפול. בעלת רקע בתחום חקירות פורנזיות מיחידת מודיעין בצה"ל.
"עיקר התפקיד הוא ביצוע חקירה בגוף שנתקף. לרוב, הטיפול מתחיל בשיח ראשוני עם הגוף במטרה לקבל מידע כללי על אופי החברה ומבנה הרשת שלה - הכל בהסכמה וללא כניסה למערכות החברה עצמה. לאחר מכן מתבצע תהליך הטיפול באירוע - איסוף ראיות, חקירת כלל המידע שהתקבל מהארגון ולאחר מכן גיבוש תכנית להסרת הממצאים החשודים שעלו במסגרת פעילות החקירה ברשת. בסיום הטיפול נכתב מסמך דוח חקירה הכולל בתוכו סיכום של הפעולות שבוצעו על ידי צוות החוקרים, ממצאים והנחיות מפורטות להמשך לביצוע על ידי הארגון במטרה להקטין את הסיכוי לתקיפה חוזרת באותו מתווה הכניסה מה שנקרא - הגבהת חומות".
"מה שמעניין אותי במיוחד בתפקיד הוא היכולת להתחקות אחרי ההתנהגות של תוקף, להבין ולחקור את הלוגים של פעולות המחשב. לרוב אנחנו רואים שהתוקף נכנס דרך חולשה נפוצה שפורסמה זמן קצר קודם לכן וכבר יש לה עדכון אבטחה. כלומר, אם הארגון היה מטמיע את עדכון האבטחה בזמן, סביר שהתקיפה היתה נמנעת. עוד מעניין לראות את ההתרחשות של התוקף בגוף ולזהות את העניין שלו באותה החברה. יש לנו יכולת להשקיע משאבי חקירה רבים לאורך זמן, ולכן היכולת להתמודד עם איומים משמעותיים היא עמוקה ומקיפה".