קרבה פיזית פוגשת תקיפה דיגיטלית. השכבה החסרה בין הקב”ט (CSO) למנהל אבטחת המידע (CISO)

קרבה פיזית פוגשת תקיפה דיגיטלית. השכבה החסרה בין הקב”ט (CSO) למנהל אבטחת המידע (CISO)

במשך שנים התקיימו הקב”ט (Chief Security Officer) ומנהל אבטחת המידע (Chief Information Security Officer – CISO) זה לצד זה. לעיתים שיתפו פעולה, אך לרוב פעלו זה לצד זה כל אחד בתחומו. בשנים האחרונות התברר שפער זה חייב להיות מטופל. “איומי קירבה” מתחילים בנוכחות פיזית ומובילים לפגיעות דיגיטליות. וכאשר אין אחראי ישיר – אין תגובה ישירה. על כך בכתבה שלפניכם.

מאת אל”מ (מיל’) שמוליק יחזקאל

שכבת ההגנה שאינה קיימת

כל איש אבטחה, פיזי או טכנולוגי, יודע שההגנה הארגונית נשענת על שכבות: אנשים, תהליכים וטכנולוגיה. אלא שבמרחב הארגוני הפיזי – בלובי, במסדרון, באגף הישיבות או בעמדת הקפה, נוצרת שכבת חשיפה שאינה מנוהלת ביטחונית. הקמפוס הפיזי, זה שבחיי היומיום הוא תשתית לתפקוד השוטף, הפך בפועל למשטח תקיפה בלתי מנוהל. ולכן, “איומי הקירבה” אינם עוד וקטור שולי, הם שכבת ההגנה החסרה. לא מדובר באיום תיאורטי. מדובר במציאות יומיומית.

כך נראה “איום קרבה”

לאורך השנים, בתפקידי כקב”ט בשטח ובהמשך כמוביל מערכי סייבר במערכות רגישות, פגשתי שוב ושוב את נקודת התורפה הזו. התקיפה לא בהכרח תתחיל בקוד, התוקף פועל לנצל את הרווח שבין הקב”ט למנהל אבטחת המידע, בחלק גדול מהמקרים התקיפה תתחיל בנוכחות. תוקף שנמצא בקמפוס, מחזיק מכשיר זעיר בכיס או משאיר “מתנה” מתחת לשולחן, עלול לבצע תקיפה חמורה מבלי לעבור דרך שערי הרשת. הציוד הדרוש לכך נגיש וזול, אשר נמכר כביכול לטובת מטרות הגנה ו/או לטובת צוותי בדיקת חדירות, אך בפועל אמצעים אלו משמשים בחלק גדול מהמקרים לפעילות התקפית זדונית: מצלמות סמויות בגודל של כפתור, מכשירי הקלטה עם שליטה מרחוק, Flipper Zero (כלי כיס לבדיקה פריצת סיסמאות), Wi-Fi Pineapple ו- Hack Cat (כלים לתקיפה אלחוטית), ג’אמרים (חוסמי ושבשי אותות ותדרים) ועוד. והעלות? לעיתים פחות מ-400 ש”ח למכשיר. דו”ח FBI משנת 2025 מגדיר את האיום כ- UTS – Ubiquitous Technical Surveillance (מעקב טכני מקיף) – ומסווג אותו כאיום אסטרטגי, הדו”ח כולל 5 דומיינים של איומים, כאשר שניים מהאיומים הינם איומים מרכזיים, הרלוונטיים לענייננו, איומי ציוד המעקב האלקטרוני ואיומי ציוד המעקב החזותי.

כיצד מבוצעת התקיפה

תוקף שמצליח להיכנס פיזית לקמפוס כשליח, אורח, ספק, או אפילו עובד – יכול לבצע “תקיפת קרבה” מתוך הלב הפועם של הארגון, תוך שימוש באמצעי מדף זולים וזדוניים, אך מתוחכמים, המאפשרים לכל תוקף יכולות טכנולוגיות שבעבר היו שמורות לרמת מדינה ולהפוך את לב הקמפוס למשטח תקיפה פעיל ולא מנוהל.

איומי הייחוס

הסכנה אינה רק לנכסי הארגון שבקמפוס (רשתות המידע הארגוניות, רשתות התפעול ורשתות בקרת המבנה ועוד) – אלא גם סכנה לכל מי שנמצא בקמפוס. כל אורח בקמפוס חשוף לפגיעה בפרטיותו הפיזית המצופה (צילום, האזנה), פרטיותו הדיגיטלית (גישה לציוד טכנולוגי אישי של האורח בקמפוס ואיסוף מידע אישי וזהויות) ואף לשימוש בו כ- Man-In-The Middle (תוקף המיירט תקשורת ומעביר דרכו מידע רגיש). במילים אחרות – כל אדם במתחם הארגון עלול להפוך, ביודעין או שלא ביודעין, לפלטפורמה לתקיפה ודרכו לתקוף נכסים ארגוניים. הסכנה הינה גם לשומרי הסף, המגנים, למערך ההגנה הפיזי בקמפוס, שחלקו נשען על רשתות אלחוט, ואמצעי אלחוט על סוגיהן השונים, מצלמות, חיישני נגיעה/קרבה/חום/אחר, תוקף שמגיע לקמפוס/קרבת הקמפוס יכול בקלות לתקוף ו/או לשבש חלק גדול ממערכי ההגנה האלו ומוכרים כבר מספר רב של אירועים מסוג זה. תשאלו כל איש תקיפה, בודק חדירות, מהמערכת הביטחונית והאזרחית – אם אין הצלחה מרחוק, מספיק להגיע פיזית. ושם, זה Game Over.

כשאין אחראי – האיום לא מנוהל מקצה לקצה

שאלה שחוזרת על עצמה: כמה אירועים כאלה אכן מתרחשים? והיא מזכירה את תחילת עידן הסייבר: לפני שהיה ניטור, לא היו סטטיסטיקות. העדר נתונים איננו העדר איום – זה רק סימן לכך שאיננו רואים. ובינתיים, כמעט מדי שבוע מתגלים בקמפוסים שונים, בארץ ובחו”ל, אמצעים זדוניים שחלקם מחוברים לרשת האינטרנט הארגונית וחלקם לא, למשל של מצלמות סמויות בשירותים ציבוריים, בתאי מדידה, בחדרי בתי מלון ואירוח ועוד, ולצד זה מתגלים באופן מתגבר אירועים של תקיפות סייבר בקמפוסים/ארגונים ציבוריים, למשל של רשתות אינטרנט מזויפות (Rogue Access Point) ומתחזות (Evil Twin) במשרדים, שדות תעופה, מוסדות חינוך, בתי מלון, במסעדות ואפילו בטיסות.

אז מי אחראי?

הקב”ט (Chief Security Officer) עוסק באיומים ביטחוניים ובאבטחה פיזית. ה-CISO) Chief Information Security Officer) מנהל את ההגנה הדיגיטלית, הרשתית והעננית. ה- SOC Security Operations Center – (מרכז תפעול אבטחה) מטפל באירועים דיגיטליים, לרוב אחרי שכבר התרחשו. אבל המרחב עצמו – נשאר עיוור. אין תגובה. אין אחריות. והתוקפים פועלים בחופשיות. המורכבות אף גוברת כשמדובר באיומים, שמתחילים באמצעים לגיטימיים המשמשים לתכלית זדונית: טלפון “שנשכח” ומצלם אנשים בזמן שיש ציפייה לפרטיות, אוזנייה שנשכחה ומשדרת, טאבלט שמתחזה לרשת Wi-Fi , שעון חכם שקולט ומעביר אותות. הבעיה איננה במכשיר – אלא בהקשר ובכוונה. ובעיקר, כי כיום אין מערכות המאפשרות ניהול של הסיכון, יכולת להגדיר מדיניות ארגונית בנושא, להגדיר נכסים, לזהות פגיעויות אבטחה, איומים והתראות בזמן אמת, להתמודד עם אירוע מתפתח.

השלכות עסקיות, מוסריות ורגולטוריות

תיקון 13 לחוק הגנת הפרטיות בישראל, שנכנס לתוקף באוגוסט 2025 , קובע כי ניתן להגיש תלונה על הפרת פרטיות גם בהיעדר נזק מוכח. כלומר, עצם ביצוע פעולה כמו צילום, הקלטה או איסוף מידע – גם אם המידע לא נוצל בפועל – מספיקה כדי להציב את הארגון בפני תביעה, קנס ואף חשיפה ציבורית. המשמעות איננה רק משפטית או רגולטורית – אלא גם מוסרית וציבורית. הציבור, עובדי הארגון ולקוחותיו מצפים להגנה מלאה על פרטיותו, הן הפיזית והן הדיגיטלית, והפרת אמון עשויה להפוך במהירות לפגיעה קשה בארגון. מעבר לפוטנציאל הפגיעה ברשתות המידע, התפעול או האבטחה – איומי קרבה טומנים בחובם גם השלכות ארגוניות עמוקות. ההשפעה משתנה בהתאם לאופי הארגון, אך המשותף לכולם הוא סיכון משמעותי לאמון הציבורי ולרציפות העסקית. די לדמיין תרחיש שבו מתגלה מצלמה סמויה בתא הלבשה ברשת אופנה, או בחדר מלון. תקריות כאלה פוגעות ישירות בתחושת הביטחון של הלקוחות, ועלולות להרתיע קהל מלבקר, להתארח או לרכוש. מי ירצה למדוד בגדים בחנות שאינה מגנה על פרטיותו? או להתארח במלון שאינו מסוגל לשמור על תחושת הביטחון הבסיסית ביותר? גם במרחבים עסקיים, משרדיים – חדרי דיונים, סניפים בנקאיים, קליניקות רפואיות – פריצה לפרטיות באמצעות אמצעי הקלטה או האזנה עלולה להוביל לאובדן אמון מצד לקוחות, שותפים ומבקרים. אין זה עניין שולי, מדובר בליבת הקשר שבין הארגון לסביבתו. וכשפרטיות נפגעת – ניזוק גם האמון, ולעיתים גם הקיום העסקי עצמו.

הפתרון: שכבת הגנה חדשה – PASM לניהול הסיכון מקצה לקצה

כדי לנהל את סיכון “איומי הקרבה”, נבנתה תפיסת – PASM Proximity Attack Surface Management , ניהול משטח תקיפה לאיומים מבוססי קרבה. מערכות PASM אינן עוד רכיב טכנולוגי – הן שכבת הגנה כוללת, חוצת גבולות ארגוניים. הן כוללות הגדרת מדיניות ביטחון אירגונית למול איומים אלו, כללית ופרטנית לכל קמפוס, מיפוי אזורים רגישים בקמפוס לפי רמות קרבה, ניטור אותות חריגים, הצלבת מיקומים פיזיים עם נתונים אלחוטיים, ניתוח דפוסי פעולה ותגובה תכליתית, ניתוח פגיעויות ספקטרליות בהקשר הפיזי שלהן, בזמן ובמרחב. הן משרתות את הקב”ט ואת מנהל אבטחת המידע גם יחד. המרחב הפיזי חייב להפוך ממקום עיוור למרחב מנוהל. וזה לא יקרה כל עוד ממשיכים לחלק את האחריות בין הגורמים. האיום אינו מבחין בין מחלקות הביטחון ונושאי התפקיד השונים – גם המענה לא צריך.

לסיכום, מי יפעל ראשון?

במשך שנים התקיימו הקב”ט (Chief Security Officer) ומנהל אבטחת המידע (Chief Information Security Officer) זה לצד זה. לעיתים שיתפו פעולה, אך לרוב פעלו כל אחד בתחומו. איומי הקרבה אינם משתייכים באופן מובהק לאחד מהם – משום שהם מתחילים בנוכחות פיזית ומובילים לפגיעות דיגיטליות. וכאשר אין אחראי ישיר – אין תגובה ישירה. כאן בדיוק נולדה ההבנה כי נדרשת שכבת הגנה חדשה – שכבת PASM – Proximity Attack Surface Management. לא עוד אזור אפור ללא ניהול, אלא מערכת ייעודית, שמטרתה לאפשר שליטה, ניטור ותגובה לאיומים, המתרחשים בשטח הפיזי וחותכים את כל שכבות ההגנה הקיימות. חלק ממנהלי הביטחון, הפיזי והטכנולוגי, העידו בפניי, שבאופן כללי האיום מוכר אבל “עדיף לא לדעת”. בעידן של התפתחות משמעותית בטכנולוגיות “איומי הקרבה”, התגברות הרגולציה ובפרט התגברות הציפייה לפרטיות של כל אדם ואדם, לא ניתן להתעלם יותר. המציאות מחייבת שינוי: לא ניתן עוד לעצום עיניים. ברור שכל מנהל ביטחון חייב לתעדף משימות, אך יש בסיס שלא ניתן להתפשר עליו – והבסיס הוא שלמות שרשרת ההגנה, כי חוזק השרשרת הוא כחוזק החוליה החלשה. הגנת הקמפוס מול “איומי קרבה” הינה החוליה החלשה, הקמפוס – הלב הפועם של פעילות הארגון – נותר חשוף, משטח תקיפה קל, זמין ומועדף על כל תוקף. הגנה על מרחב הקמפוס מפני “איומי קרבה” איננה עוד המלצה – אלא הכרח. התוקף הבא לא ינסה לפרוץ את הפיירוול. הוא ייכנס בדלת הראשית. כדי להגן באמת על הארגון וכדי באמת לעמוד ב”חוק הגנת הפרטיות ותיקון 13”, יש להתחיל בהבנת נקודות החשיפה, למפות את האזורים הרגישים, לדרוש נראות וניטור גם במרחבים שאינם מנוהלים כיום, ולהכשיר את צוותי האבטחה – הפיזיים והדיגיטליים – לפעול יחד מול איום משותף. המערכת קיימת. הכלים מוכנים. הסיכונים רלוונטיים יותר מאי פעם, זה הזמן לנהל את סיכון משטח התקיפה של “איומי הקרבה”, PASM, ולא להיות מנוהל על ידי הסיכון. האיומים יפגשו, ואולי כבר פגשו, כל מנהל ביטחון, פיזי או טכנולוגי, זו לא שאלה של אם, זו שאלה של מתי.

הכותב הינו אל”מ (מיל’) שמוליק יחזקאל, מהנדס תוכנה, בכיר לשעבר במערך הסייבר הביטחוני הגנתי, לשעבר קב”ט במערך האבטחה הממלכתי בארץ ובחו”ל. בוגר תפקידי מג”ד חי”ר ומפקד נפה מרחבית בפקע”ר. בין מקבלי פרס ביטחון ישראל בשנת 2021 על פעילות מבצעית בסייבר.

הרצאה בנדון תועבר במסגרת “כנס טכנולוגיות אבטחה מתקדמות” שיתקיים ביום ד’ ה 12.11.2025- בביתן 10 באקספו תל אביב במסגרת כנס האבטחה של ישראל 2025 . אנו מזמינים אתכם לתאם איתנו פגישה אישית בביתן מס’ 3 במסגרת תערוכת הביטחון שלצד הכנס. לתיאום פגישה: 053-8287819 , כתובת המייל: .shmulik@tryvaxy.com.

x
סייען נגישות
הגדלת גופן
הקטנת גופן
גופן קריא
גווני אפור
גווני מונוכרום
איפוס צבעים
הקטנת תצוגה
הגדלת תצוגה
איפוס תצוגה

אתר מונגש

אנו רואים חשיבות עליונה בהנגשת אתר האינטרנט שלנו לאנשים עם מוגבלויות, וכך לאפשר לכלל האוכלוסיה להשתמש באתרנו בקלות ובנוחות. באתר זה בוצעו מגוון פעולות להנגשת האתר, הכוללות בין השאר התקנת רכיב נגישות ייעודי.

סייגי נגישות

למרות מאמצנו להנגיש את כלל הדפים באתר באופן מלא, יתכן ויתגלו חלקים באתר שאינם נגישים. במידה ואינם מסוגלים לגלוש באתר באופן אופטימלי, אנה צרו איתנו קשר

רכיב נגישות

באתר זה הותקן רכיב נגישות מתקדם, מבית all internet - בניית אתרים. רכיב זה מסייע בהנגשת האתר עבור אנשים בעלי מוגבלויות.