המתקפה האחרונה מצד איראן והתגובה הישראלית חשפו פעם נוספת את נקודת התורפה של מדינות מודרניות – התלות בתשתיות קריטיות. מתקני מים, חשמל, תחבורה, תקשורת ובריאות הם חלק בלתי נפרד מהחיים האזרחיים והביטחוניים, אך הם גם מהווים מטרות מועדפות עבור אויבים – הן במלחמה קונבנציונלית והן במתקפות סייבר. כאשר תשתית כזו נפגעת, הנזק חורג מעבר לנזק הפיזי – הוא יוצר אפקט דומינו של שיבושים, בהלה ואובדן אמון.
תשתיות אלה לרוב פועלות ללא תשומת לב ציבורית שוטפת, אך בעת חירום הן הופכות למוקד התעניינות קריטית. עצם השיבוש בתפקודן עשוי להביא לקריסת שירותים בסיסיים, להכביד על מערכות בריאות, לפגוע בתשתיות תחבורה, ולערער את היכולת של כוחות הביטחון וההצלה להגיב במהירות. מעבר לפגיעה בתפקוד הלאומי, יש לכך השלכות עמוקות על חיי היומיום של אזרחים, עסקים וארגונים מכל מגזר.
- מתקנים צבאיים: ב-13 ביוני 2025 פתחה ישראל במבצע אווירי נרחב נגד מטרות באיראן תחת שם הקוד "עם כלביא" (Rising Lion). המבצע כלל מאות תקיפות של בסיסים צבאיים, מחסני טילים, אתרי מודיעין ומתקנים הקשורים לתוכנית הגרעין, כגון פורדו, נתנז ואיספהאן. אף שמדובר בפגיעה במתקנים צבאיים מחוץ לישראל, המבצע מדגיש את הפוטנציאל האסטרטגי שבתקיפת תשתיות קריטיות, ואת הצורך להגן עליהן גם בצד הישראלי – לא רק מפני ירי טילים, אלא גם מפני אמצעים טכנולוגיים מתקדמים, דליפות מידע ואיומי סייבר. היכולת לפגוע בתשתית מבצעית של מדינה זרה מדגישה עד כמה כל תשתית – אזרחית או צבאית – חשופה לפגיעה ממוקדת במקרה של הסלמה אזורית.
- מערכות אזרחיות באיראן: בתגובה לתקיפות הישראליות, איראן שיגרה מאות טילים בליסטיים וטילים מדויקים לעבר ישראל. רובם יורטו, אך נרשמו פגיעות קלות במבנים ובתשתיות תחבורה וחשמל באזורים שונים בישראל. לא דווח על פגיעה ישירה ומתמשכת בתשתיות קריטיות כמו תחנות כוח או מתקני מים.
- איומים קיברנטיים: במקביל ללחימה הפיזית, התקבלו התרעות בישראל על ניסיון גובר של מתקפות סייבר מצד גורמים הקשורים לאיראן. עם זאת, לפי דיווחי מערך הסייבר הלאומי, לא אירעו חדירות מוצלחות למערכות קריטיות. רוב ניסיונות התקיפה כוונו למטרות ציבוריות ולא לתשתיות מהותיות.
מה הופך תשתית ל"קריטית"? תשתיות קריטיות מוגדרות ככל מערכת פיזית או דיגיטלית שאובדנה ישבש מהותית את הרציפות האזרחית, הביטחונית או הכלכלית. מדובר לא רק במתקנים ממשלתיים – אלא גם במפעלי תעשייה כבדה, חברות תקשורת, מסילות ברזל, בתי חולים, מרכזי מידע ועוד. הקריטיות נמדדת לא רק לפי גודלה של התשתית, אלא לפי מידת ההשפעה שלה על כלל המערכת. למשל, קריסת תחנת כוח מקומית יכולה לשבש את פעולתו של אזור תעשייה שלם, מערכות בריאות, ואף מערכי התראה מוקדמת.
סוגי איומים על תשתיות רגישות:
- איומים פיזיים: ירי רקטות, פצצות, חדירה חמושה, פגיעות מכוונות באמצעות רחפנים, הצבת מטענים.
- איומי סייבר: חדירה לרשתות שליטה ובקרה, השבתת מערכות SCADA, מתקפות כופר, מניפולציות בנתונים, פישינג לעובדי מערכות קריטיות.
- איומים דרך שרשרת האספקה: חברות צד שלישי עם גישה למתקנים או לרשתות שאינן מאובטחות כראוי, תשתיות משנה שאינן עומדות בתקן, ציוד שלא עבר בקרה ביטחונית.
- דליפות מידע ודיסאינפורמציה: חשיפת מיקומים, תכניות פעולה או פרטים טכניים כתוצאה מהאקרים, מרגלים או חוסר מודעות של עובדים, פרסומים ברשתות חברתיות או אפליקציות מבוססות מיקום.
כלים ושיטות להגנה על תשתיות קריטיות:
- שכבות מיגון פיזיות: גדרות חכמות, מצלמות תרמיות, חיישנים ועמדות נטרול, קונקרטיות חיצוניות ומערכות חסימה חכמות.
- הפרדת רשתות (Air-Gap): במיוחד במתקנים רגישים כמו תחנות כוח, מתקני טיהור, מתקני מידע רפואיים וצבאיים.
- מערכות SIEM ו-SOC מתקדמות: ניטור בזמן אמת של פעילות חריגה ברשת, זיהוי דפוסי תקיפה, תגובה מהירה במקרים של ניסיון חדירה.
- הכשרת עובדים לזיהוי חריגות ואיומים: כולל הדרכות שוטפות בנושאי סייבר, בטיחות פיזית, תרגולי תגובה ונהלים ברורים בעת חשד לאירוע.
- סקרי סיכונים שנתיים ותחקור אירועים: ניתוח תרחישים, סגירת פרצות ולמידה ארגונית, שילוב מערכות AI לזיהוי מגמות בלתי שגרתיות.
- תחזוקה שוטפת וביקורת אבטחה: בדיקת עמידות פיזית ודיגיטלית של התשתיות, בדיקת ספקים ועמידה בתקנים לאומיים ובינלאומיים.
היבט משפטי ורגולטורי: הרגולציה בישראל מחייבת גופים המוגדרים כתשתית חיונית לשמור על רמת אבטחה גבוהה. חוק הסייבר, פיקוח רשות החשמל, משרד הבריאות ורשות החירום הלאומית (רח"ל) – כולם שותפים להגדרת סטנדרטים מחייבים. תשתיות שלא עומדות בתקנים אלו עלולות לשאת באחריות משפטית ואף להיחשף לקנסות ולהגבלות רגולטוריות חמורות. לצד זאת, קיימת גם אחריות מוסרית ברורה – שמירה על תפקוד מערכות לאומיות היא שליחות בעלת משמעות ציבורית.
מסקנה: הגנה על תשתיות קריטיות אינה עניין של יוקרה – אלא של הישרדות. לארגון שאחראי למתקן רגיש אין את הפריווילגיה להפתעה. עליו לפעול מראש, לזהות נקודות חולשה, להשקיע בטכנולוגיה ובעיקר – לבנות תרבות של אחריות. במדינה קטנה עם איום גדול, מוכנות היא קו ההגנה הראשון. ההתעלמות מאיום – אינה אסטרטגיה. הפתרון טמון בתכנון, השקעה, ובעיקר – הבנה שהחוסן הלאומי נבנה גם מהשגרה.
פרוטקט נט מזמין את כלל הגורמים במשק לבחון מחדש את מערכות ההגנה, להתעדכן בתקנים העדכניים ביותר, ולהיעזר במומחים כדי למנוע את הפגיעה הבאה – לפני שתתרחש. זה הזמן להשקיע – לא רק בתגובה – אלא במניעה מראש.
