תקציר הפרק: פרק 19
עסק במיגון הפיזי כשכבת הבסיס של כל אסטרטגיית הגנה מפני האזנות. הוצגה ההבחנה בין חדר שקט לחדר מאובטח, פורטו פתרונות אזרחיים ומגבלותיהם, ונסקרו הפתרונות המקצועיים — כלובי פאראדיי עם עקרון הפעולה ואתגרי ההתקנה, תקן TEMPEST ורמות האזור שלו, חדרי SCIF עם כל דרישות הבנייה, וזכוכית מיגון מתקדמת. הפרק התייחס לתהליך התכנון הנכון מהשרטוט ועד לביצוע ולחשיבות התחזוקה התקופתית כתנאי לשמירה על ביצועים לאורך זמן.
יש אנשים שמשקיעים עשרות אלפי שקלים בתוכנות הצפנה, מדיניות סיסמאות, ומאמרי TSCM — ואז מקיימים דיון רגיש בחדר ישיבות שהקיר שלו דק כנייר, עם חלון זכוכית בודד הפונה לרחוב, ואנטנות Wi-Fi ממשיכות לשדר לכל כיוון. זה לא ביקורת — זו פשוט תופעה שחוזרת על עצמה. המיגון הטכנולוגי מקבל תשומת לב מרובה, והמיגון הפיזי — ה”מעטפת” עצמה — נשאר לעיתים קרובות ברקע.
הפרק הנוכחי עוסק בדיוק בנקודה הזו: התשתית הפיזית שעליה נשען כל מיגון אחר. לא מדובר בבידוד אקוסטי כשלעצמו — נושאים כמו רעש לבן, Sound Masking ושיבוש אולטרסוני נדונו בפרק 13, ועקרונות הבידוד האקוסטי הבסיסי נידונו בפרקי הלייזר והרטט. כאן הדגש הוא על החלל כמיכל: חומרים, מבנה, כלובי פאראדיי, תקן TEMPEST — וחדרי SCIF. כיצד בונים סביבה שמגינה מפני האזנות פיזיות ואלקטרומגנטיות, ומה ההבדל בין פתרון שנראה מוגן לפתרון שאכן מוגן.
למה מיגון פיזי — הבסיס שכל שאר השכבות נשענות עליו
ההצפנה לא מגינה על מה שלא מוצפן
כאשר מנהל בכיר מדבר בחדר ישיבות, הוא לא מצפין את הדיבור שלו. הוא מסתמך, לרוב ללא מודעות מפורשת, על כך שהקירות, הדלתות והחלונות יעשו את העבודה. אם הם לא עושים אותה — כל ההשקעה בתשתית הדיגיטלית לא תעזור. אמצעי הצפנה, סריקות TSCM, ומדיניות מכשירים חכמה ומקצועית ככל שיהיו, לא יכולים לפצות על חלל שמאפשר פיזית לאות — קולי, אלקטרומגנטי, אופטי — לצאת החוצה.
זהו עיקרון ה-Defense in Depth (הגנה לעומק) ביישומו הפשוט ביותר: כל שכבת הגנה מניחה שהשכבות שמתחתיה קיימות. מיגון פיזי הוא השכבה הראשונה. בלעדיה, כל השאר בנוי על חול.
מה בדיוק “דולף” מחלל לא מוגן
כדי להבין מה מיגון פיזי נועד לעצור, כדאי לפרט את וקטורי האיום שהמבנה הפיזי חשוף אליהם — ושכבות אחרות לא נוגעות בהם.
הוקטור הראשון הוא האקוסטי: קול שיוצא מהחדר דרך קירות, רצפה, תקרה, פתחי אוורור, או כל פתח אחר. זהו האיום המוכר ביותר — ולפעמים מזלזלים בו בגלל שהוא פשוט מדי. בניין ישן עם קירות גבס דקים ותקרה אקוסטית מתועשת הוא מרחב שבו שיחה בקומה 4 נשמעת לעיתים בקומה 3 ללא כל ציוד מיוחד.
הוקטור השני הוא הרטט: גל קול מחלחל לתוך מבני המבנה — הזכוכית, הקיר, לוחות התקרה — ומסוגל להישלף משם בשיטות מרחוק. האזנת הלייזר, שנדונה בפרק 4, מנצלת בדיוק את הרטט הזה. מבנה שזכוכיתו או קירותיו רוטטים בקלות — בין אם מקול פנימי ובין אם מרטט חיצוני שמסנן שיח — הוא מטרה נגישה.
הוקטור השלישי הוא האלקטרומגנטי: פליטות שמגיעות מציוד אלקטרוני בתוך החדר ויוצאות החוצה, וכן שידורים של מכשירים בתוך החדר שחודרים דרך הקירות. כאן מיגון פיזי ממש נדרש — לא מדיניות, לא תוכנה. מעטפת מוליכה שחוסמת את האות זה הדבר היחיד שעוצר.
הוקטור הרביעי הוא האופטי: קו ראייה ישיר מהחוץ. מצלמה עם עדשת טלה, ניתוח שפתיים, שימוש בתאורה אינפרא-אדומה לקריאת מה מוצג על מסכים — כולם דורשים קו ראייה. לחסום את הקו הזה פיזית, ביום ובלילה ובכל עמדות הצד, הוא משימה שמתחילה בתכנון הגיאומטרי של החלונות ומסתיימת בציפויים ובווילונות.
ארבעת הוקטורים האלה יחד מגדירים את “משטח התקיפה הפיזי” של חלל. המיגון הפיזי מתמודד עם כולם — לא בנפרד, אלא כשכבה שמצמצמת את כולם בו זמנית.
“חדר שקט” לעומת “חדר מאובטח“
ההבחנה הזו חשובה ולעיתים מבולבלת בשטח. חדר שקט הוא חדר שבו נוח לשוחח — הצלילים מהחוץ לא מפריעים, ולחשים שמיעים. חדר מאובטח הוא חדר שממנו לא ניתן לשמוע בחוץ, ושמבחינה אלקטרומגנטית מנותק מהסביבה.
חדר שקט ליישומי שמיעה אנושית רגילה נבנה בעיקר לפי עקרונות אקוסטיים — חומרי בליעה, מסות, מרחקי אוויר. חדר מאובטח, לעומת זאת, נבנה לפי מפרטים אחרים לגמרי: המטרה היא לעצור אות פיזי — גלי קול, פליטות אלקטרומגנטיות, אור לייזר — מלחדור דרך המעטפת. לעיתים הוא יהיה גם שקט לאוזן האנושית. לעיתים לא. השקט הוא תוצאת לוואי אפשרית, לא המטרה.
מתי מיגון פיזי הכרחי — הערכת סיכונים
לא כל ישיבה מצדיקה השקעה בכלוב פאראדיי. הערכת הצורך נגזרת ממדדים פרקטיים: מה רמת הסיכון, מיהו היריב הפוטנציאלי, ומה ערך המידע הנדון.
עבור ישיבה שגרתית של צוות ניהול בחברה פרטית, מספיק לרוב שהחדר יהיה עם דלת סגורה, קירות בינוניים, ומדיניות ברורה לגבי מכשירים. עבור דיונים אסטרטגיים ברמה תאגידית רגישה — פרויקט רכישה, ליטיגציה, מחקר ופיתוח — נדרש כבר תכנון מקצועי. ועבור גופים ממשלתיים, ביטחוניים, ולחברות שמולן פועלים יריבים ממדינתיים — מיגון פיזי מלא הופך מהמלצה לדרישה.
ההגיון פשוט: עלות ההגנה תמיד נמדדת אל מול שווי המידע ואל מול הנזק שיגרם אם הוא ייחשף. חדר ישיבות מוגן מלא עולה כסף. אבל אם הוא מונע דליפה שתעלה פי מאה, החשבון ברור.
השוק האזרחי — פתרונות נגישים למשרד ולבית
מיגון חלונות — מה עובד ומה לא
החלון הוא נקודת התורפה הברורה ביותר בכל חלל. קל להציץ דרכו, קל לכוון לייזר אל הזכוכית, וקל לגלות מה קורה בפנים. לכן השוק האזרחי מציע מספר פתרונות, שחשוב להבין את גבולות היכולת שלהם.
סרטי חלונות — בין אם אנטי-UV, תדמית כסופה, או צבעוניים — מספקים הגנה מסוימת מפני תצפית חיצונית וצמצמים מידת ראות מהחוץ. הם אינם מספקים בידוד אקוסטי משמעותי ואינם חוסמים אות אלקטרומגנטי. לצורכי פרטיות ויזואלית בסיסית — הם סבירים. לצורכי מיגון רציני — הם נקודת פתיחה בלבד.
וילונות כבדים מספקים שכבת בידוד קולי נוסף, בעיקר על ידי בליעת השתקפויות בתוך החדר ועיכוב מסוים של אות קולי חלש מהחוץ. ביצועיהם תלויים מאוד בעובי ובחומר. זכוכית כפולה מקנה שיפור משמעותי יותר — כ-10 עד 15 דציבל הפרדה נוספת ביחס לזכוכית בודדת, ומשמעותה מדד ה-STC (Sound Transmission Class) הגבוה יותר. ב-STC, כל עשר נקודות שווות להפחתה כמעט מוחלטת בתפיסת הרעש לאוזן האנושית. חלון בודד ממוצע יעמוד על STC 26–28, בעוד חלון כפול סטנדרטי עם רווח אוויר מספק לרוב STC 28–33. להשגת ערכי STC גבוהים יותר — בטווח 38–45 — נדרשת זכוכית אקוסטית ייעודית הכוללת שכבות למינציה, עובי לא אחיד בין השמשות, או רווח אוויר רחב במיוחד. בנוסף, זכוכית כפולה מציבה רף גבוה יותר בפני האזנות לייזר מסוג האזנת רטט שפורטה בפרק 4.
בקרת כניסה פשוטה
מיגון פיזי מתחיל בשליטה על מי נכנס. בשוק האזרחי, זה מתורגם בדרך כלל לסגל מנעולים מקצועיים, קוד דלת, או מנעול מגנטי בסיסי. מצלמות כניסה וחיישני תנועה מוסיפים שכבת מודעות — יודעים מי היה בחדר ומתי.
הבעיה המרכזית עם מנעולים ציליניים פשוטים היא שניתן לפרוץ אותם בכמה שניות עם הכלי הנכון, ושכפול מפתח הוא פעולה פשוטה. כניסה לחדר לפני הישיבה, התקנת מאזין, ויציאה — זהו תרחיש ריאלי שמנעול צילינדרי רגיל אינו עוצר.
לכן, ברמת הסיכון הבינונית, מומלץ לעבור לפחות לצילינדרים בעלי מניעת כפול ומפתח בקרה — מפתחות שלא ניתן לשכפל ללא אישור — ולשלב כניסה בכרטיס אלקטרוני עם רישום כניסות. זה כבר לא “מוצר מדף” ברמה הנמוכה ביותר, אך עדיין רחוק מבקרת כניסה מקצועית.
חומרי בידוד מסחריים — יכולות ומגבלות
בשנים האחרונות נכנסו לשוק האזרחי כמה מוצרים שמתאימים את עצמם כ”מגיני RF” — צבע המכיל חלקיקים מוליכים שמאפשרים לכאורה להפוך קיר רגיל לחוסם אות. העיקרון פיזיקלי ותקין: שכבת מוליכה יכולה לדעך אות אלקטרומגנטי. השאלה היא כמה.
מבדיקות עצמאיות שנעשו על מוצרים אלה עולה שרמת ההנחתה שלהם תלויה מאוד בעובי הציפוי, ברציפות השכבה, ובטיפול בפינות ומפגשים. בתנאים אידיאליים, צבע RF מסחרי יכול לספק בין 10 ל-30 dB הנחתה. זה אומר שאות חלש — למשל, שידור Bluetooth של מכשיר בתוך החדר — יצטמצם. אות חזק יותר, כמו שידור סלולרי, לא ייחסם.
לא מדובר כאן בפתרון שמחליף כלוב פאראדיי בשום מצב. הוא עשוי להיות תוספת שימושית בחדר שבו שאר פרמטרי המיגון כבר קיימים.
נקודות תורפה שנשכחות
מניסיון שטח בסריקות TSCM, חוזרות שוב ושוב אותן נקודות שמתעלמים מהן. פתחי אוורור הם נתיב שמע ישיר אל תוך תעלות המבנה ואל חדרים סמוכים — ייצרו פה שניתן לשמוע דרכו ממרחק. צנרת מתכת, בעיקר צנרת חימום, מוליכה רטט ומהווה לעיתים צינור להאזנת רטט. תקרות אקוסטיות מסחריות, שנפוצות מאוד במשרדים, אינן חוסמות קול אלא בולעות השתקפויות — קול שנכנס מלמעלה עובר דרכן ללא מאמץ. ארון תקשורת משותף, כשהוא ממוקם בתוך חדר או גובל בו, הוא כניסה אפשרית לניטור רשת ואף לצירוף מכשיר האזנה לחוט תקשורת.
כל אלו אינם פגמים מכוונים. הם תוצאה של תכנון שלא לקח בחשבון מיגון. מי שמחשב ביצוע הגנה מינימלית למרחב רגיש חייב לבצע סקר פיזי מוקדם שמזהה את הנקודות האלה לפני כל השקעה בפתרונות מתקדמים יותר.
פתרונות ניידים — כאשר אין חדר מוגן
לא תמיד הפגישה הרגישה מתקיימת בחדר שנבנה למטרה זו. לקוחות מגיעים לפגישה ברביעי בבוקר, ואין זמן לשדרג את החדר. נסיעה לחו”ל, פגישה במלון, ביקור באתר לקוח — כל אלו יוצרים צורך בפתרון שנייד, מהיר ולא דורש התקנה.
השוק מציע כמה מענים לתרחיש הזה. אוהלי פאראדיי (Faraday Tents) הם מבנים קלים עשויים רשת מוליכה שניתן להקים בחדר רגיל תוך דקות. הם מספקים הנחתה של 40 עד 60 dB לטווח תדרים רחב — מספיק להגן מפני שידורים סלולריים, Wi-Fi ו-Bluetooth. גודלם עשוי להתאים לשיחה בין שניים-שלושה אנשים, ואחרים מגיעים בגדלים שמאפשרים ישיבה של עד שמונה-עשרה משתתפים. המגבלה ברורה: הם לא מספקים כלום נגד האזנה אקוסטית קלאסית. מיקרופון שהוחדר לאוהל לפני הישיבה, או רטט שמועבר דרך הרצפה, אינם מעניינים את הרשת המוליכה.
כיסי פאראדיי לטלפונים הם מוצר שנמצא בשימוש נרחב לפני כניסה לפגישות רגישות. הרעיון: הטלפון נכנס לכיס, מנותק לחלוטין מכל תקשורת רדיו, ואינו יכול לשדר ולא לקבל. הבעיה המרכזית היא איכות. כיס פאראדיי זול עשוי לספק הנחתה חלקית בלבד, ולגרום לטלפון לנסות לקשר בעוצמה מוגברת — דווקא להגביר שידור, לא להחליש אותו. בדיקה פשוטה לפני רכישה: מכניסים את הטלפון, מתקשרים אליו. אם צלצל — הכיס אינו עושה את עבודתו.
פרוטוקול הכניסה לפגישה הוא לעיתים הכלי הזול ביותר והאפקטיבי ביותר. בפגישות בדרגת סיכון בינונית, מספיק לאסוף את כל הטלפונים בכניסה ולהניחם בחדר סמוך — או בכיסי פאראדיי מאומתים — לאורך הדיון. אם ניתן לבחור, עדיף שהטלפון יהיה כבוי לחלוטין ולא רק ב”מצב שקט”. ספקנות מוצדקת כלפי מצב “כיבוי” של טלפון עם תוכנת ריגול מותקנת — פרק 10 פירט את היכולות הרלוונטיות.
עלויות ריאליסטיות
ברמה הצרכנית-אזרחית, שדרוג בסיסי של חדר ישיבות — הוספת רפידות אקוסטיות, שיפור הדלת, וסרטי חלונות — נמצא בטווח של אלפים בודדים. מנעול מגנטי עם בקרת כניסה פשוטה מוסיף עוד מעט. אלו הוצאות שרוב ארגונים בינוניים יכולים לשאת ללא תכנון תקציבי מיוחד.
המגבלה של הרמה הזו ברורה: זה מיגון נגד הסתכלות, הצצה, ומאזינים חובבניים. מול יריב בעל מוטיבציה ועם ציוד מקצועי — זה לא מספיק.
השוק המקצועי — כלובי פאראדיי, תקן TEMPEST וחדרי SCIF
כלוב פאראדיי — העיקרון והמציאות
כלוב פאראדיי (Faraday Cage) הוא מארז מוליך שמקיף מרחב ויוצר מחסום לגלים אלקטרומגנטיים. העיקרון גובש במאה ה-19 על ידי מייקל פאראדיי, ונשאר רלוונטי לחלוטין: מעטפת מוליכה רציפה, מחוברת לאדמה, מונעת מאות חיצוני לחדור פנימה ומאות פנימי לצאת החוצה.
בפרקטיקה, הבדל חשוב קיים בין מארז רשת (Mesh) לבין מארז גיליון מלא (Solid Sheet). מארז רשת מספק הנחתה טובה כאשר גודל עיני הרשת קטן משמעותית מאורך הגל — הכלל ההנדסי המקובל הוא λ/10 למיגון בינוני ו-λ/20 למיגון חזק. אות Wi-Fi בתדר 2.4 GHz, שאורך הגל שלו כ-12.5 ס”מ, ייחסם ברמה סבירה על ידי רשת בעלת עיניים של כ-1 ס”מ (λ/12), אך מיגון מקצועי ידרוש עיניים של 6 מ”מ ומטה. במתקנים ביטחוניים נפוצות רשתות עם פתחים של מילימטר בודד או פחות. אות בתדר נמוך — כמו שידורי גלי רדיו — עשוי לחלחל דרך רשת שמספיקה לחסום Wi-Fi.
גיליון מלא מספק הנחתה עמוקה יותר לכל הטווח, אבל מקשה על התקנה, תחזוקה, ומעבר חשמל ואוורור — כפי שנסביר בהמשך.
מפרטי הנחתה (Shielding Effectiveness, SE) הם המדד המקצועי לביצועי כלוב. הם מבוטאים בדציבל ומייצגים את יחס העוצמה של האות לפני ואחרי הכניסה למארז. ערכים של 40 עד 60 dB מספיקים למיגון מסחרי בינוני. ערכים של 80 עד 100 dB ומעלה הם תחום הביצועים של כלובים לשימוש ממשלתי וביטחוני. חשוב לזכור שירידה של 20 dB שקולה לחלוקה ב-100 בעוצמת האות — לא מדובר בהבדלים שוליים.
אתגרי ההתקנה הם לרוב מה שמבדיל בין כלוב שעובד לכלוב שנראה שעובד. כל חדירה למעטפת — כבל חשמל, צינור אוורור, מסגרת דלת — היא נתיב פוטנציאלי לדלף אלקטרומגנטי. בפתרונות מקצועיים כל חדירה מטופלת בנפרד: כבלי חשמל מועברים דרך פילטרים עם הנחתה מובנית, אוורור מוזרם דרך ערוצים מתכתיים שמהווים מוליכי גל (Waveguide) לתדרים הנדרשים, והדלת מצוידת במגעי “אצבע” מתכתיים שמבטיחים מגע רציף בכל גרוס.
תחזוקה ובדיקות תקופתיות הן חלק בלתי נפרד מניהול חלל מוגן. המגעים בדלת נשחקים עם הזמן ומפחיתים את הביצועים. קורוזיה בנקודות חיבור פוגעת ברצף המוליך. פגיעה מכנית — שריטה, נקב, כיפוף — עלולה להכניס נתיב דלף. בדיקת SE תקופתית, הכוללת מדידה עם מחולל ואנטנת קליטה, מאפשרת לגלות ירידת ביצועים לפני שהיא הופכת לבעיה. הנושא יורחב בסעיף 19.5.
הארקה — הפרט שנשכח
נקודה שלעיתים מקבלת פחות תשומת לב ממה שמגיע לה: כלוב פאראדיי חייב להיות מחובר לאדמה. לא מחובר ל”קרוב לאדמה” — מחובר אליה בחיבור ישיר, בעל התנגדות נמוכה, ללא הפסקות. מעטפת מוליכה שאינה מוארקת מצטברת עליה מתח חיצוני ומשדרת אותו פנימה. ב-RF, מעטפת לא מוארקת עשויה לפעול כאנטנה ולהחדיר אות במקום לחסום אותו.
איכות הארקה נמדדת בהתנגדות — ערכים של פחות מ-1 אום נחשבים לסף מומלץ במתקנים רגישים במיוחד, בעוד התקינה הכללית (IEEE/NFPA) מאפשרת עד 5 אום. במערכות TEMPEST קריטיות, ההתנגדות בנקודות חיבור פנימיות (bonding) נמדדת במיליאום בודדים. הארקה דרך חיבורים מרובים, מפוזרים על פרימטר המעטפת, עדיפה על נקודת חיבור יחידה. כאשר מתכנן מיגון מגדיר מפרט, הארקה היא פרט שחייב להיות כתוב מפורשות — לא “יחובר לאדמה” אלא “לא יעלה על X אום ויבדק לאחר ההתקנה”.
מיגון TEMPEST — הקשר בין הפרקים
בפרק 13 הוצג TEMPEST כווקטור תקיפה: האפשרות שפליטות אלקטרומגנטיות בלתי מכוונות מציוד אלקטרוני — צגים, מקלדות, כבלים — חושפות מידע שניתן לקלוט מרחוק ולשחזר ממנו תוכן. טכניקת Van Eck Phreaking היא הדוגמה הידועה ביותר לכך.
כאן, הפרספקטיבה הפוכה: מה עושים כדי להגן מפני כך.
תקני TEMPEST הם מסגרת הגנה ממשלתית שפותחה בעיקר בארה”ב וב-NATO, ומגדירה דרישות לציוד וסביבה שמצמצמות את רמת הפליטות האלקטרומגנטיות לסף שמתחתיו לא ניתן לנצל אותן מרחוק. התקנים מאורגנים בשלוש רמות — Zone 0, Zone 1, Zone 2 — המכונות גם Level A, B, C בתקינה של NATO (תקן SDIP-27). כל רמה מגדירה מרחק מינימלי שבו יריב פוטנציאלי עשוי להיות, ובהתאם לכך מחמירה או מקלה את דרישות הפליטה.
Zone 0 (Level A) מניחה שיריב יכול להתקרב עד מרחק של כ-1 מטר מהציוד — תרחיש של חדר סמוך או גישה פיזית קרובה. Zone 1 (Level B) מניחה מרחק של כ-20 מטר — תוקף באותו בניין. Zone 2 (Level C) מניחה מרחק של כ-100 מטר — תוקף ברמת רחוב או בניין סמוך. ככל שה-Zone גבוה יותר, דרישות ההגנה מתונות יותר — ולכן ציוד מאושר Zone 0 יהיה בנוי ומוגן בקפידה רבה יותר מציוד Zone 2, ויעלה בהתאם.
ציוד מאושר TEMPEST עובר בדיקות במעבדות מיוחדות שמודדות את פליטותיו בתדרים שונים ומוודאות שהוא עומד בסף. זה שונה מציוד רגיל שפשוט הוכנס לחדר מוגן — ההגנה היא בציוד עצמו, ולא רק בסביבה. פערי המחיר בין ציוד מסחרי לציוד מאושר TEMPEST עשויים להיות גבוהים באופן ניכר. זה אחד הגורמים שמגבילים את השימוש בתקן לארגוני ביטחון, ממשלות, ובמקרים ספציפיים — תאגידים גדולים מאוד עם תיק סיכונים גבוה.
עקרון הפרדת Red/Black
לצד דרישות ההנחתה, תקני TEMPEST כוללים עיקרון ארכיטקטוני קריטי שלעיתים נעלם מעיני מתכננים שאינם מגיעים מרקע ביטחוני: הפרדת Red/Black. “Red” מציין ציוד שמעבד מידע מסווג לא מוצפן — המידע בצורתו הגולמית. “Black” מציין ציוד שמעבד מידע מוצפן או לא מסווג. העיקרון קובע שיש להפריד פיזית וחשמלית בין שני סוגי המעגלים, כדי למנוע “זליגה” של אותות מהמעגל האדום אל השחור דרך השראה אלקטרומגנטית.
הדרישות המעשיות מפורטות בתקן CNSSAM TEMPEST/01-13 וכוללות: מרחק מינימלי של מטר אחד בין ציוד Red לבין משדרי RF בעוצמה נמוכה; הפרדה של 15 סנטימטר עד מטר בין כבלי Red לכבלי Black, בהתאם לסוג הכבל והסביבה; ומפסקי חשמל נפרדים לכל סוג מעגל. בחדר שבו מחשב מעבד מידע מסווג, הכבל שמוביל ממנו לא יעבור בצמוד לכבל הרשת הרגיל של הבניין — גם אם שניהם נמצאים בתוך כלוב פאראדיי.
השורשים ההיסטוריים של העיקרון נעוצים בתחילת שנות ה-50, כאשר סוכנות הביון האמריקאית גילתה שניתן לשחזר טקסט לא מוצפן מתוך אותות מוצפנים — ממרחק של כ-400 מטר. הסיבה הייתה זליגה אלקטרומגנטית בין המעגלים. מאז, הפרדת Red/Black הפכה לעיקרון יסוד בכל מתקן שמעבד מידע רגיש, ומשפיעה על תכנון החדר, ניתוב הכבלים, ואפילו מיקום השקעים.
האיום המתחדש: למידת מכונה מול מסכי HDMI
עד לאחרונה, התקפות TEMPEST מסוג Van Eck נחשבו לנחלת סוכנויות מודיעין בעלות ציוד יקר ומיומנות גבוהה. מחקר שפורסם ב-2024 על ידי חוקרים מאוניברסיטת אורוגוואי שינה את התמונה באופן דרמטי. הפרויקט, שכונה Deep-TEMPEST, הדגים כיצד רשת נוירונים קונבולוציונית (CNN) יכולה לשחזר תוכן מסכי HDMI מתוך קרינה אלקטרומגנטית — עם ציוד שעלותו עשרות דולרים בלבד.
הבעיה הטכנית שעמדה בפני החוקרים הייתה קידוד TMDS של HDMI, היוצר מיפוי לא ליניארי בין האות האלקטרומגנטי לבין עוצמת הפיקסל. שיטות אנלוגיות קלאסיות השיגו שיעור שגיאות תווים של כ-90% — כמעט בלתי שמיש. הרשת הנוירונית הורידה את שיעור השגיאות לכ-30%, מה שמאפשר קריאה של טקסט וזיהוי תוכן מסך ברמה שימושית. הציוד הנדרש: מקלט SDR (Software Defined Radio) בעלות של כ-25 דולר, אנטנה פשוטה, וקוד פתוח הזמין ב-GitHub.
המשמעות ברורה: מה שהיה פעם יכולת מודיעינית בלעדית הפך לכלי נגיש לכל מי שמוכן להשקיע כמה שעות בלמידה. זו אחת הסיבות שמיגון TEMPEST נשאר רלוונטי גם בעידן ההצפנה — ההצפנה מגינה על התקשורת, לא על מה שמוצג על המסך.
SCIF — Sensitive Compartmented Information Facility
SCIF הוא חדר, מבנה, או מרחב שנבנה לפי מפרטים מחמירים המאפשרים עיסוק מבצעי במידע מסווג. התקן המקורי גובש בסביבה הממשלתית האמריקאית ומוגדר במסמכי הנחיה של קהילת המודיעין, אך הגישה עצמה — חלל עם מעטפת פיזית אלקטרומגנטית, שליטה בכניסה, ונהלים תפעוליים קפדניים — מוחלת גם בהקשרים אחרים.
עדכון משמעותי לתקן ICD 705, הראשון מאז 2010, נכנס לתוקף ב-2025 והעלה את דרישות הבסיס. דרישת ההנחתה האלקטרומגנטית עלתה ל-40 dB מינימום בטווח 10 kHz עד 10 GHz, כאשר מתקנים רבים נדרשים כעת ל-60 dB. בדיקת SE לפי תקן IEEE 299 הפכה לחובה במקום המלצה. זמני האקרדיטציה התארכו בהתאם: 12–18 חודשים לפרויקטים סטנדרטיים, ועד 36 חודשים לפרויקטים מורכבים הכוללים שדרוג מתקנים קיימים. ארגונים שמתכננים בניית חדר מוגן חדש או שדרוג של קיים צריכים לוודא שהמפרט מתייחס לגרסה העדכנית של התקן.
דרישות הבנייה מקיפות את כל מרכיבי המבנה. הקירות כוללים מעטפת מוליכה שלמה — גיליון מתכת, רשת מוליכה, או ציפוי מוליך מוטמע בבטון. התקרה והרצפה מטופלות באותה מידת קפדנות: אין “רצפה חצי מוגנת”. הדלת היא רכיב הנדסי מורכב — היא חייבת לשמור על רצף המעטפת המוליכה ובמקביל לאפשר פתיחה וסגירה שגרתית. לשם כך, מסגרות הדלת מצוידות בגריפי מגע מתמשך, ולדלת עצמה יש מסה ומבנה שמונעים רטט שיכול לסייע להאזנת לייזר.
בקרת כניסה מתקדמת בחדר SCIF כוללת לרוב אימות רב-שכבתי — זהות, קרבה פיזית (כרטיס), ולעיתים ביומטריה. כניסה כפולה (Vestibule או Mantrap), כאשר אדם נכנס לתא מבדל שנסגר לפני שנפתחת הדלת הפנימית, מומלצת בתקן IC Tech Spec כאמצעי למניעת תצפית ולשיפור הבידוד האקוסטי של הדלת. ההחלטה על יישום כניסה כפולה נתונה לשיקול דעת הגורם המאשר (Accrediting Official) בהתאם להערכת הסיכונים של המתקן הספציפי — במתקנים רבים היא הופכת לדרישה מעשית, אך אינה חובה אוניברסלית. יומן כניסות מתועד ומנוטר. הטרם שבין שתי הדלתות משמש לא רק לבקרה — הוא מספק גם שכבת מיגון נוספת על ידי יצירת “חדר אוויר” כפול שמקשה על דלף אקוסטי ו-RF בזמן כניסה ויציאה. פרט זה חשוב: גם כלוב פאראדיי מושלם “נפתח” לרגע בכל כניסה. כניסה כפולה ממזערת את חלון החשיפה.
נהלי הכנסת ציוד הם חלק קריטי לא פחות מהמבנה. כל מכשיר אלקטרוני שנכנס לחדר הוא בעל פוטנציאל לשמש כמיקרופון, משדר, או ערוץ להוצאת מידע. טלפון נייד — כולל כזה שנראה כבוי — אינו נכנס לחדר SCIF. מחשבים נייידים שאינם מאושרים לפי מפרטים ספציפיים — אינם נכנסים. כונני USB, מדיה נשלפת, מכשירי Bluetooth — כולם נשארים בחוץ. האכיפה של כלל זה היא תנאי הכרחי. SCIF שמפורמלי מבחינת בנייה אבל בו מורשים “רק לרגע” להכניס טלפון — אינו SCIF.
מקבילות ישראליות קיימות בהקשר הממשלתי והביטחוני, אם כי תחת מינוחים שונים ובמסגרת רגולטורית מקומית. בישראל, חדרים המיועדים לדיון במידע מסווג נבנים על פי הנחיות מנהל הביטחון הכללי (מלמ”ב-ביטחון), גופי השב”כ, ובהתאם לרמת הסיווג הנדרשת. הדרישות מחולקות לאזורי סיווג — דומה ברוחן לחלוקת Zone 0/1/2 של TEMPEST — ומגדירות את רמת ההנחתה הנדרשת בהתאם לרגישות הדיונים.
מעניין לציין שהמגזר הפרטי בישראל מאמץ בהדרגה גישות דומות, בעיקר בענפים שבהם ביטחון המידע הוא תנאי עסקי. חברות הייטק שעוסקות בפיתוח ביטחוני, פירמות משפטיות המטפלות בתיקים אסטרטגיים, ותאגידים פרמצבטיים לפני סגירת עסקאות — כולם מפנים משאבים לבניית חדרי דיון שעומדים בתקנים מוגדרים, גם אם לא תחת כותרת “SCIF” הרשמית.
ההיבט המשפטי נוגע לחובת הגנה על מידע עסקי סודי. בישראל, תביעות בגין מסירת מידע סודי לגורמים עוינים — בין אם ספקים, מתחרים, או גורמים ממדינות אחרות — מחייבות את הצד הנפגע להוכיח שנקט אמצעים סבירים להגנה. ארגון שניתן להוכיח שהשקיע בתשתית פיזית מתאימה נמצא בעמדה טובה יותר הן מבחינת ניהול הסיכון והן מבחינת הגנה משפטית עתידית.
גורם נוסף שרלוונטי לישראל במיוחד הוא המשטר הגיאוגרפי. בניין משרדים בתל אביב, ירושלים, או אזורים נוספים עשוי להיות במרחק קצר מגורמים שיש להם אינטרס מחקר ובאמצעים לבצע האזנה פסיבית ממרחק. הסף לתכנון מוגן לא נמוך רק כי מדובר בחברה ישראלית. לעיתים הוא גבוה יותר בדיוק מסיבה זו.
זכוכית מיגון מתקדמת
פתרונות זכוכית מתקדמים מספקים תגובה לאיומים שהזכוכית הרגילה חשופה אליהם. פרק 4 תיאר כיצד ניתן להשתמש בלייזר רגיש לרטט זכוכית כדי לשחזר שיחות מחדר סמוך. הגנה מפני כך מחייבת פתרון שמשנה את מאפייני הרטט של הזכוכית — ריסוד מכני (Vibration Damping) שמוסף לחלון, ציפויים שמשנים את תגובת הפנל לגל קולי, או פתרונות שמניעים את הזכוכית בתנועה קלה ולא ניתנת לניתוח.
זכוכית אלקטרוכרומית — Electrochromic Glass, המוכרת גם כ-Smart Glass — מאפשרת שינוי שקיפות בהפעלה חשמלית. לחיצה על מפסק מעביר את הזכוכית מחצי-שקוף לאטום לחלוטין מבחינה ויזואלית. שימוש בה בחדרים רגישים מאפשר חסימת קו-ראייה חיצוני ללא צורך בוילונות ידניים. יש לה גם שימוש פרגמטי: דוגמאות מתועדות מגופי ממשלה ותאגידים גדולים מראות שקיפות אל חדרי דיון מפחיתה את תחושת ה”חדר נעול” ומוסיפה תדמית שקיפות — אבל כשמתחיל דיון רגיש, השקיפות נסגרת תוך שניות.
ציפויי RF על חלונות מהווים חלק ממעטפת פאראדיי מוסמכת. קיימות שתי טכנולוגיות עיקריות: ציפוי ITO (Indium Tin Oxide) השקוף כמעט לחלוטין, המספק הנחתה אופיינית של 20–30 dB לגלי מישור; וסרטי רשת מוליכה (ניקל או נחושת) המשיגים ביצועים גבוהים יותר של 50–60 dB, אך עם ירידה קלה בשקיפות. הבחירה בין השניים תלויה בדרישות המפרט ובאיזון בין ביצועים לאסתטיקה. כדי שהחלון יהיה חלק אפקטיבי ממעטפת מוליכה שלמה, הציפוי חייב להיות מחובר חשמלית למסגרת המתכת של החלון — ללא חיבור זה, הציפוי אינו ממש “סוגר” את המעטפת.
תכנון חדר מוגן — מהשרטוט לביצוע
שלב ראשון: הערכת איומים לפני שמגיעים לאדריכל
הטעות הנפוצה ביותר בתכנון חדר מוגן היא לקנות פתרון ואז לנסות להתאים לו את הצרכים. הסדר הנכון הוא הפוך. לפני שמגיעים לשיח על חומרים, עלויות או קבלנים — צריך תמונה ברורה של האיום: מי עשוי לנסות לחדור, מה הוא מחפש, ואיזה אמצעים עומדים לרשותו.
ארגון שמטרד הביטחוני העיקרי שלו הוא עובד לא מרוצה עם גישה לחדר הישיבות — צריך מדיניות גישה, מנעולים ובקרת כניסה, לא כלוב פאראדיי. ארגון שמעריך שיריב ממדינתי עשוי לנסות ללמוד על עסקאות שלו מרחוק — צריך מפרטים שונים לחלוטין. התשובה ל”מה לבנות” תלויה ישירות בתשובה ל”מפני מה מגנים”.
מסמך הערכת האיומים הוא הבסיס לכל מפרט שיגיע אחריו. מי ירכיב אותו? בניגוד לתחושה הנפוצה, לא תמיד האדריכל. לעיתים קרובות זה יועץ אבטחה, איש TSCM בכיר, או צוות ביטחון פנים שמסוגל לאמוד את רמת הסיכון לפני שמגדירים מה בדיוק בונים.
שלב שני: המפרט — מה כל שכבה אמורה לעשות
לאחר הגדרת האיום, מתרגמים אותו לשפה הנדסית. כל רכיב במפרט צריך להצדיק את עצמו מול דרישה ספציפית. קיר כבד מספק הנחתה קולית; מעטפת מוליכה מספקת SE; מנעול ביומטרי מגביל גישה פיזית; צנרת אוורור בנויה כ-Waveguide מונעת דליפה EM.
מיקום החדר בתוך הבניין הוא פרמטר תכנוני שלעיתים מקבל פחות תשומת לב ממה שמגיע לו. חדר בקומה 15 בבניין משרדים גבוה שונה מהותית מחדר בקומת קרקע גובלת ברחוב. כמה נקודות לשיקול: שכנויות — מי נמצא בחדרים הסמוכים, מעל, ומתחת? גישה ממשטחים ציבוריים — האם חלון גובל עם גג נגיש, כניסת בניין, או חניה? תשתיות משותפות — האם מעבר צינורות, ארון חשמל, או תעלת כבלים עוברים דרך הקיר?
שלב שלישי: ביצוע — מה שאין לפספס
גם מפרט מצוין יכול להסתיים בחדר שלא עומד בציפיות, אם הביצוע לוקה. הסיבה הנפוצה: עבודה של קבלנים שאינם מכירים את הדרישות המיגוניות. נגר שמשאיר פגם קטן בהברגה של מסגרת הדלת המתכתית, חשמלאי שמניח כבל ללא פילטר דרך המעטפת, מתקין מזגן שחותך פתח לאוורור בלי ערוץ Waveguide — כל אחד מהם פוגע בשלמות המבנה.
בסביבות שבהן ה-SE חשובה, הפיקוח בשלב הביצוע אינו מותרות — הוא חלק מהמפרט. אדם בעל הכשרה טכנית שמסוגל לזהות שגיאות בשלב הבנייה, לפני שהתקרות נסגרות והקירות מטויחים, חוסך בדיעבד עלויות פירוק ותיקון.
טעויות נפוצות — מה שנשכח שוב ושוב
ניסיון השטח חושף כמה כשלים שחוזרים על עצמם ברוב הפרויקטים שמגיעים לטיפול מאוחר.
הפגם הראשון והנפוץ ביותר הוא פתחים שנשכחים. זה לא רק פתחי אוורור — זה גם פתחים לצנרת אינסטלציה שאף אחד לא טיפל בהם, מעברי כבל ישנים שנשארו מפרויקטים קודמים, ולעיתים חורים בתקרה שנועדו לחיישני עשן ותאורה. כל פתח שלא סגרנו הוא נקודת כשל.
הכשל השני הוא מיקום שקעי החשמל. קיר חיצוני עם שקע חשמל סטנדרטי יוצר גשר ישיר אל תוך המעטפת. פילטרים חשמליים חייבים להיות ממוקמים מחוץ למעטפת, על הכניסה אליה, ולא בתוך החדר.
כשל שלישי הוא תכנון תחזוקה לא מספיק. מי שיגיע לבדוק, להחליף רכיב, או לתקן — יצטרך לפתוח את מרכיבי המעטפת. אם התכנון לא שם לב לנגישות, יש סיכוי גבוה שתיקון עתידי ייצור נזקים חדשים.
לקח מההיסטוריה: פרשת שגרירות מוסקבה
אחד הכישלונות המתועדים ביותר בהיסטוריה של בניית מתקנים מוגנים התרחש דווקא בפרויקט שאמור היה להיות מהמאובטחים בעולם: בניין השגרירות האמריקאית החדשה במוסקבה. הפרשה מספקת לקחים שרלוונטיים לכל פרויקט מיגון, בכל קנה מידה.
הבנייה החלה ב-1979, תחת הסכם הדדי שאישר הנרי קיסינג’ר למרות התנגדות משרד החוץ. ההסכם קבע שכל צד ישתמש בפועלים ובחומרים מקומיים לבניית שגרירותו בבירת הצד השני. התוצאה: פועלים סובייטים בנו את השגרירות האמריקאית.
באוגוסט 1985, כשהבניין הושלם ב-65%, אנשי NSA ו-FBI אישרו את החשש: המבנה היה “חלול מהתקנים”. עשרות מכשירי האזנה היו מוטמעים ישירות בתוך יחידות הבטון הטרומי — לא מודבקים אלא יצוקים כחלק מהמבנה. מוטות הברזל שונו כך שיתפקדו כאנטנות. מקור אנרגיה מבוסס רטט תוכנן לספק חשמל להתקנים למשך כמאה שנה ללא תחזוקה. כנסייה אורתודוקסית סמוכה שימשה כתחנת האזנה של ה-KGB.
הפתרון היה קיצוני: הריסת שלוש קומות עליונות ובנייה מחדש של ארבע קומות מאובטחות — עם פועלים אמריקאים בעלי סיווג ביטחוני וחומרים שנשלחו מפינלנד. העלות הכוללת: כ-376 מיליון דולר. השגרירות נפתחה לבסוף ב-2000 — 21 שנה אחרי תחילת הבנייה.
הלקח שנגזר מהפרשה ברור: שליטה בשרשרת האספקה ובכוח האדם אינה פרט שולי — היא תנאי מקדים לכל מיגון. בפרויקטים קטנים יותר, העיקרון מתורגם לפיקוח צמוד על קבלני משנה, בדיקת רקע של עובדים, ותיעוד מלא של כל החומרים שנכנסים לאתר.
דוגמה מעשית: חדר ישיבות ארגוני מוגן
כדי לשרטט את הנושא בצורה מוחשית, נתאר תרחיש שכיח: תאגיד בינוני שמחליט לצייד חדר ישיבות בכיר בפתרון מיגון פיזי. הדרישה: הגנה מפני האזנה פיזית חיצונית ברמה מסחרית, ללא צורך בעמידה בתקן TEMPEST מלא.
התכנון יכלול קירות עם שכבת מוליכה פנימית — בדרך כלל תוספת של גיליון מתכת דקה בין שכבות הגבס — מחוברת לאדמה. הדלת תשודרג לדלת מסגרת מתכת עם גריפי מגע לאורך כל הפריפריה. החלונות יצופו בציפוי RF מוליך המחובר למסגרת המתכת של החלון. פתח האוורור יותקן דרך ערוץ מתכתי עם ממד שחוסם תדרים מעל תחום השמע. חשמל ייכנס דרך פילטר ממוקם מחוץ לחדר.
לאחר הביצוע, ייערך מדידת SE בתדרים מייצגים — WiFi (2.4 ו-5 GHz), GSM (800–900 MHz), LTE (1.8 GHz) — כדי לוודא שהמעטפת עומדת ביעד שהוגדר. אם היעד היה 40 dB הנחתה, המדידה תאשר אם הושג. ממצאים שמצביעים על כשל מסוים — למשל SE נמוכה בתדר Wi-Fi בפינה ספציפית — יובילו לחיפוש ממוקד אחר הנקודה הבעייתית.
מקרה מן השטח: כאשר הפילטר נשכח
בסריקת TSCM שנערכה בחדר ישיבות מוגן של חברת הייטק, התגלתה אנומליה: רמת ה-SE הייתה תקינה בכל נקודות המדידה, אך סריקת ספקטרום מבפנים הראתה שידור GSM פעיל שלא אמור היה להיות. בדיקה שיטתית הובילה לאותו שקע חשמל שהחשמלאי התקין ישירות דרך הקיר הצדדי — ללא פילטר, ואף ללא תיאום עם מתכנן המיגון.
השקע, שנדמה חסר משמעות, היה גשר ישיר בין חוץ לפנים. האות לא עבר דרך המעטפת — הוא עקף אותה. תיקון הדרש: ניתוק השקע, התקנת פילטר RF מחוץ למעטפת, וחיבור מחדש. עבודה של כמה שעות. אבל ללא הסריקה — הבעיה לא הייתה מתגלה, והחדר היה מוגן רק על הנייר.
המקרה ממחיש נקודה שחוזרת: ביצוע לא נכון של פרט אחד שולל את כל ההשקעה. לא רק שהמעטפת נפרמת — היא יוצרת תחושת ביטחון שאינה מוצדקת. אנשים משוחחים בחדר בהנחה שהוא מוגן. הם לא היו מדברים כך בחדר רגיל.
מעבר לסינון: קו החשמל כערוץ תקשורת
המקרה של השקע שנשכח ממחיש את החשיבות של פילטרים על קווי החשמל. אבל פילטרים אינם רק אמצעי למניעת קרינה — הם גם חסם בפני ערוץ תקשורת סמוי שתוקפים יכולים לנצל.
מחקר PowerHammer שפורסם ב-2018 על ידי חוקרים מאוניברסיטת בן-גוריון הדגים כיצד תוכנה זדונית יכולה לקודד מידע לתוך תנודות צריכת החשמל של מעבד המחשב, ולשדר אותו דרך קו החשמל אל מחוץ למתקן. קצב ההעברה שהושג: 1,000 ביט לשנייה כאשר המדידה נעשית ישירות בשקע, ו-10 ביט לשנייה כאשר המדידה נעשית בלוח החשמל של הבניין. מספיק כדי להוציא מפתחות הצפנה או מסמכים קצרים.
מחקר PowerBridge מ-2024 הראה תקשורת דו-כיוונית דרך שקעים חכמים — לא רק הוצאת מידע, אלא גם הכנסת פקודות למחשב מבודד. המסקנה המעשית: פילטר RF על קו החשמל אינו רק רכיב במפרט המיגון האלקטרומגנטי — הוא חלק מההגנה על air gap.
תחזוקה ואימות מתמשך
למה מיגון מתדרדר עם הזמן
חדר שנבנה ומדוד כראוי ביום הסיום של הפרויקט לא בהכרח שומר על אותם ביצועים שנה לאחר מכן. המדרדרות קורית מסיבות שלעיתים לא מורגשות בשגרה.
גריפי המגע של הדלת — חתיכות מתכת גמישות שמבטיחות מגע חשמלי לאורך הפריפריה — נשחקות עם כל פתיחה. מנגנון הפתיחה נדפק, לוחץ אחרת, ומפחית לאט-לאט את אפקטיביות המגע. בדרך כלל אין מה לראות מבחוץ. הדלת נפתחת ונסגרת כרגיל. רק מדידה תגלה שה-SE ירד ב-15 או 20 dB.
קורוזיה בנקודות חיבור היא גורם נוסף. רשת מתכת שמחוברת לאדמה דרך בורג מהדק — הבורג מתחמצן, ההתנגדות בנקודת החיבור עולה, רצף המעטפת נפגע. ב-RF, ירידה ברצף המוליך מתורגמת ישירות לירידה ב-SE.
ציפוי RF על חלונות רגיש במיוחד לנזק מכני. שריטה קטנה, ניקוי עם חומר שוחק, החלפת חלון בעת שיפוץ — כל אחד מאלה עלול להפסיק את הרצף המוליך שהחלון תורם למעטפת.
בסביבות שבהן מתבצעת עבודת שיפוצים שגרתית, הסיכון גבוה יותר. אדם שמגיע לתקן נורה, להתקין תשתית חדשה, או לצבוע — לא יודע בדרך כלל שהחדר שלפניו מוגן מיוחד. ללא נהלים ברורים וסימון מתאים, שגיאה יכולה להיעשות בתום לב מוחלט.
SE Testing — מדידה תקופתית כחלק מהתחזוקה
מדידת Shielding Effectiveness (SE) תקופתית היא הכלי האמין היחיד לוודא שהמעטפת עדיין עובדת. הליך המדידה הוא יחסית פשוט: משדר בעל עוצמה מוגדרת ממוקם מחוץ לחדר, ואנטנת קליטה ממוקמת בפנים. כפי שמדידים את עוצמת האות בתוך ביחס לעוצמתו בחוץ — כך מחשבים את ה-SE בתדר נתון. חוזרים על הפעולה בתדרים שונים — מאות MHz ועד כמה GHz — ומקבלים פרופיל ביצועים מלא.
מה שחשוב לא פחות מהמדידה עצמה הוא התיעוד. המדידה הראשונה שנעשית עם סיום הבנייה — “Baseline” — היא נקודת הייחוס. כל מדידה עוקבת נבדקת אל מולה. ירידה של 5 dB ב-SE בתדר ספציפי עשויה להצביע על כשל נקודתי שאפשר לאתר ולתקן. ירידה כללית ברוב התדרים עשויה להצביע על בעיה בחיבור הארקה.
שילוב עם בדיקות TSCM
מיגון פיזי ובדיקות TSCM — שנדונו לעומק בפרק 17 — הם שני פנים של אותה גישה. בדיקת TSCM שוטפת שנעשית בחדר מוגן לא צריכה לבדוק מחדש את רמת ה-SE של המעטפת. אבל היא כן צריכה לכלול בדיקה ויזואלית של שלמות המעטפת — חיפוש סדקים בציפויים, בדיקת מגעי הדלת, ואישור שלא הוכנסו רכיבים חדשים ללא מעקב.
הגיוני לאפיין את המחזוריות לפי סדר הסיכון: חדרים בשימוש יומיומי עם מידע רגיש — בדיקת TSCM רבעונית ומדידת SE שנתית. חדרים שמשמשים לדיונים מיוחדים בלבד — בדיקת TSCM לפני כל שימוש ומדידת SE חצי-שנתית.
בדיקת רוח ואור — Air Leak וLight Leak Testing –
לצד מדידת SE אלקטרומגנטית, קיימות שתי בדיקות פיזיות פשוטות שמספקות מידע שלעיתים מיד מעמיד דברים במקום.
בדיקת אור (Light Leak Test) מתבצעת בחושך מוחלט: כל מקורות האור בחדר כבים, ובוחנים מבפנים האם רואים כל סינון אור מבחוץ — מתחת לדלת, מסביב למסגרת, מפתח ציד או בורג שנשכח לסגור. כל מקום שאור חודר — קול יחדור גם הוא. ואם קול חודר, כנראה גם אות RF. בדיקת האור לא מחליפה מדידת SE, אבל היא כלי אבחון שכל אחד יכול לבצע ללא ציוד.
בדיקת רוח (Air Leak Test) פחות מוכרת אבל חשובה לא פחות. כשמביאים עישון קל (או מחוון עשן ייעודי) לאורך פרימטר הדלת, פתחי האוורור ומסגרות החלונות — כל נפח אוויר שזולג מגלה נתיב שניתן להוביל דרכו אות. חדרים שנבנו בקפדנות לא מציגים דלף; חדרים שנבנו פחות בקפדנות מפתיעים בממצאים.
אחת לכמה זמן בודקים — לוח זמנים מעשי
שאלת המחזוריות חוזרת בכל ייעוץ. התשובה תלויה בשניים: תדירות השימוש ורמת הסיכון. עם זאת, כמה עקרונות עוזרים להנחות:
לאחר כל עבודת תחזוקה שנגעה בחדר — בדיקת SE מהירה, לפחות בתדרים המרכזיים. לא פרופיל מלא, אבל אימות שלא נוצרה בעיה חדשה. לאחר שיפוץ כלשהו בחדרים סמוכים — בדיקה ויזואלית ומדידה בסיסית. קירות שמשותפים לחדר מוגן עשויים להיפגע מעבודה בצד השני. לאחר אירוע ביטחוני חשוד — סריקת TSCM מלאה, לא רק SE. הנחה שהמיגון עצמו לא נפגע, אבל שמא הוכנס מאזין לפני הבדיקה.
תיעוד ומעקב — מה לרשום ולמה
כל פעולה שנעשית על חדר מוגן חייבת להיות מתועדת. כניסה לחדר לצורכי תחזוקה, עבודת שיפוצים, החלפת רכיב, אפילו בדיקה ויזואלית — כולן נרשמות ביומן שמוחזק למטרה זו. הרציונל פשוט: כאשר מדידת SE מגלה בעיה, יומן פעילות מאפשר לזהות מה שינה לאחרונה.
רשימת הציוד המאושר לחדר — כל מכשיר שקיבל אישור כניסה קבוע — חייבת להתעדכן בכל שינוי. מכשיר שנכנס בשגגה, הסתובב שבוע, ואז יצא — לא תמיד משאיר עקבות אחרים. אבל אם הוא היה שותל (שנמצא בסריקת TSCM), הרשימה תעזור לאתר מתי ואיך נכנס.
שכבות, פרופורציות ובחירות נכונות
המיגון הפיזי בתוך התמונה הכוללת
פרק זה עסק בתשתית — המעטפת שעוטפת את החלל. אבל מיגון פיזי, גם כשהוא מוצלח טכנית, הוא רק שכבה אחת. הפרקים הבאים ידונו במיגון האלקטרוני הפעיל (פרק 20) ובמיגון הסלולרי (פרק 21) — שכל אחד מהם מוסיף מימד שמיגון פיזי לבדו אינו מספק.
חשוב להבין שהשכבות האלה אינן תחליפיות — הן משלימות. כלוב פאראדיי מעולה שבתוכו מכשיר סלולרי פעיל עם תוכנת ריגול — אינו מגן. חדר SCIF שמדיניות הכניסה שלו לא אכיפה — הופך לחדר יקר ולא מוגן. כל פתרון טכנולוגי, מהמשוכלל ביותר, נסמך בסופו של דבר על ההחלטה האנושית להפעיל אותו נכון.
ממה מגנים לעומת ממה לא מגנים
גבולות ההגנה של מיגון פיזי חשוב לסמן בבירור. מעטפת פיזית מוגנת עוצרת אות שמנסה לחדור מבחוץ פנימה, ואות שמנסה לצאת מפנים החוצה. היא לא עושה דבר נגד מכשיר שהוכנס לחדר לפני הפעלתה, ולא נגד אדם שנמצא בחדר ומוסר מידע. קיר שלא שומע לא עוצר אדם שמדווח.
מכאן שמיגון פיזי הוא תנאי הכרחי אבל לא מספיק. הוא מצמצם את משטח הפגיעות הפיזי, אבל חייב לפעול יחד עם מדיניות כניסה, בקרת ציוד, סריקות TSCM תקופתיות, ומודעות של האנשים הנמצאים בחלל. שכבה פיזית חזקה עם נהלים חלשים — פחות יעילה משכבה פיזית בינונית עם נהלים קפדניים.
כיצד לבחור את רמת ההשקעה
ניתן לסווג ארגונים לשלוש קטגוריות פרקטיות. קטגוריה ראשונה: ארגונים שמידע הרגיש שלהם בינוני ויריב פוטנציאלי הוא מתחרה עסקי — יסתפקו בדרך כלל בשיפור חדר ישיבות קיים, מדיניות מכשירים, ובדיקת TSCM תקופתית. השקעה של עשרות אלפים. קטגוריה שנייה: ארגונים עם תיק סיכונים גבוה — תאגידים גדולים, משרדי עורכי דין בתיקים רגישים, חברות ביוטק לפני סגירת עסקאות — יזדקקו לחדר מוגן מלא עם מפרט SE מוגדר ובדיקות תקופתיות. השקעה של מאות אלפים. קטגוריה שלישית: גופים ממשלתיים וביטחוניים שיריביהם הם גורמים ממדינתיים — SCIF מלא, ציוד TEMPEST מאושר, נהלים תפעוליים קפדניים. פרויקטים ברמת מיליונים.
ההיגיון המנחה הוא לא “כמה אפשר להשקיע” אלא “מה מגן בפועל מפני האיום הספציפי”. חדר SCIF בתקציב בינוני שנבנה ברשלנות — עשוי להגן פחות מחדר פשוט שנבנה נכון. הפרופורציה בין עלות לביצוע מחייבת תכנון מושכל.
הלקח שחוזר
בסריקות TSCM ובייעוץ ארגוני, חוזרת תדיר נקודה אחת: ארגונים שמשקיעים בציוד ובתשתית, אבל שמחים להכניס חריגים. “רק לפגישה הזו”, “רק הטלפון הזה”, “רק הפעם”. כל חריג כזה הופך ברגע שבו הוא מתאפשר לחור שבמעטפת. לא חור פיזי — חור תפעולי.
