תקציר פרק 20
הטלפון הסלולרי הוא הציוד הרגיש ביותר שרוב האנשים נושאים עליהם — ואחד הכי פחות מוגנים. הפרק פרש את מפת האיומים הסלולרית לפי שכבות: IMSI Catchers שפועלים ברמת הרדיו, תוכנות ריגול שחודרות לרמת מערכת ההפעלה, מתקפות Zero-Click שמנצלות את עיבוד הקלט הנכנס, ויירוט SS7 שפועל ברמת הרשת הגלובלית — מקום שהמשתמש כלל אינו מגיע אליו. כל שכבה דורשת תגובה שונה, ואין כלי אחד שמכסה את כולן.
ברמה האזרחית, הגנה אפקטיבית מתחילה בהחלטות פשוטות שרובן אינן עולות דבר: עדכוני מערכת הפעלה שאוטמים פגיעויות לפני שמנצלים אותן, ניהול הרשאות שמגביל את גישת האפליקציות לחומרה, כיסויי פאראדיי לסיטואציות שדורשות ניתוק מוחלט, וSIM נפרד לפעילות שדורשת הפרדת זהות. אלה אינם פתרונות מושלמים — כל אחד מהם יש מגבלות שהפרק לא עיגל — אך ביחד הם מצמצמים משמעותית את משטח החשיפה.
ברמה המקצועית, COMSEC הוא מסגרת ולא מוצר. ארבעת מימדיה — Crypto Security, TRANSEC, EMSEC ו-Physical Security — מגדירים יחד מה פירוש “תקשורת מאובטחת” ברמה שהצפנה לבדה לא מספיקה לה. טכנולוגיות כמו Frequency Hopping ו-Spread Spectrum מוסיפות שכבת הגנה על שידור שמקשה על זיהוי התקשורת עצמה. ומשמעת תקשורת — מה לא לדון בטלפון, מה לא לשלוח בהודעה, מה עושים לפני פגישה רגישה — היא הגורם שאי-אפשר לאכוף בתוכנה.
מכשירי Dedicated Secure Phone ופלטפורמות Hardened Android מציעים שכבת חומרה ותוכנה מוקשחת — אך ערכם מותנה בכך שהצד השני פועל באותה תשתית. מערכות DMR מוצפן ו-TETRA מרחיבות את ההגנה מעבר לרשת הסלולרית הציבורית, לסביבות שבהן אי-אפשר לסמוך על תשתית שאינה בשליטת הארגון — אך כפי שהוצג בפרק, ממצאי TETRA:BURST מחייבים שימוש בשכבת הצפנה E2EE נוספת מעל פרוטוקול הרדיו.
ברמה הארגונית, MDM מספק כלי אכיפה של מדיניות אבטחה על ציי מכשירים — אך אינו תחליף לאיומים שפועלים מתחת לשכבה שהוא מנהל. הפרדת מכשירים — ארגוני מול אישי — היא לרוב הגישה המעשית ביותר, כי היא מסירה את המשתנה האנושי הלא-נשלט מהסביבה הרגישה.
שלושת התרחישים שנבחנו — מנכ”ל לפני עסקה, עורך-דין בתיק מדיני, ארגון ביטחוני — הדגימו עיקרון אחד שחוזר בכולם: ההגנה מוכרחת להתאים לאיום הספציפי ולא לנבוע מרשימת כלים גנרית. הגדרת האיום קודמת לבחירת הכלי. ומגבלות הפתרון חשובות לא פחות מיכולותיו — כי הגנה שמותירה חריג לא ידוע היא הגנה עם חור בגגה.
הפרק הבא יצא מהסלולר אל הזירה הפיזית — Counter-Surveillance, הממד האופרטיבי-התנהגותי של ההגנה שאינו טכנולוגי, אינו ניתן להאצלה לכלים, ומחייב את האנשים בשטח להכיר את כלל המשחק.
כשמדברים על מעקב סלולרי, רוב האנשים מדמיינים תרחיש מהסרטים: חדר מבצעים, אנטנות ענק, אנשי מודיעין עם אוזניות. המציאות שגרתית הרבה יותר — ומסוכנת יותר בדיוק בגלל זה. המכשיר שרובנו נושאים בכיס מכל עצמו כלי מעקב פוטנציאלי, ורוב הפגיעויות שמנצלים אותו אינן דורשות ציוד מתוחכם ואינן מצריכות קרבה פיזית.
הפרקים הקודמים מיפו את מנגנוני התקיפה: IMSI Catchers שמתחזים לתחנות בסיס, תוכנות ריגול שמדביקות מכשירים ממרחק אפסי, חולשות בפרוטוקול SS7 שמאפשרות יירוט שיחות מכל נקודה בעולם, ומתקפות Zero-Click שאינן מצריכות שום אינטראקציה מצד הנפגע. כל אחד מהאיומים האלה פעל ברמת ההתקפה. הפרק הזה עוסק בצד השני — הגנה פעילה, משמעת תקשורת, ופתרונות טכניים שמצמצמים את חשיפת המכשיר הסלולרי לאיומים האלה.
ההגנה על תקשורת סלולרית שונה מהגנה על חדר ישיבות או על רשת מחשבים. הסלולר הוא מכשיר נייד, אישי ותמיד מחובר — שלושת המאפיינים האלה הם גם הסיבה לשימושיות ולפגיעות שלו בו-זמנית. כל פתרון הגנה מוכרח לקחת בחשבון שהמכשיר צריך להמשיך לעבוד, שהמשתמש לא יכול לשלוט בתשתית הרשת שאליה הוא מתחבר, ושחלק מהאיומים פועלים ממש מתחת לשכבת ההפעלה — מקום שבו אף אפליקציה לא מגיעה.
מפת האיומים הסלולרית — שכבת ההגנה הנכונה לכל איום
לפני שמציעים פתרון, כדאי להבין מה בדיוק צריך לפתור. איומי הסלולר אינם הומוגניים — כל ווקטור תקיפה פועל בשכבה שונה של הארכיטקטורה הסלולרית, ולכן כל אחד דורש תגובה שונה.
IMSI Catchers (שפורטו בפרק 7) פועלים ברמת הרדיו: הם מתחזים לתחנת בסיס לגיטימית ומאלצים את המכשיר להתחבר אליהם. ההגנה כאן אינה יכולה לבוא מתוכנה רגילה — שכן המכשיר כבר נמסר לגורם עוין לפני שאפשר לזהות זאת. הפתרון האפקטיבי ברמה הזו הוא שילוב של ניתוק פיזי (כיסוי פאראדיי) כשמצב נייד אינו נדרש, ומעבר לרשתות 4G/5G בלבד — מה שמגביל את יכולת ה-Downgrade Attack שמייצרת את פתח הכניסה.
חשוב להדגיש: רשתות 5G מקטינות את משטח ההתקפה אך אינן מבטלות אותו. פרוטוקול ה-5G Standalone הציג הצפנה של מזהה המנוי (SUCI), אך מחקרים אקדמיים הוכיחו מתקפות “SUCI-Catcher” — ניצול חולשות בפרוטוקול האימות (AKA) שמאפשרות קישור בין מזהים מוצפנים לאדם ספציפי הידוע מראש לתוקף. בנוסף, רשתות 5G רבות תומכות ב-Null Encryption (אלגוריתם EEA0), המאפשר מתקפות Bidding Down שבהן תחנת בסיס מזויפת מאלצת את המכשיר לשדר ללא הצפנה בשלב הרישום לרשת. המסקנה: 5G מגן מפני מעקב המוני פסיבי, אך אינו מגן מפני מעקב ממוקד על אדם ספציפי ברמת יכולת גבוהה.
תוכנות Spyphone (פרק 10) פועלות ברמת מערכת ההפעלה. ברגע שהדבקה בוצעה, גישת התוקף כוללת מיקרופון, מצלמה, היסטוריית ניווט ושיחות — ושום הצפנה של התקשורת לא תועיל, כי הנתונים נאספים לפני שהם מוצפנים. ההגנה כאן מתמקדת במניעת הדבקה: עדכוני מערכת הפעלה סדירים, ניהול הרשאות קפדני, ובחירת פלטפורמת מכשיר עם מדיניות אבטחה מוכחת.
מתקפות Zero-Click (פרק 11) מנצלות חולשות בפרוטוקולים שמעבדים קלט נכנס — הודעות, תמונות, קובצי מדיה. ההגנה היעילה היחידה היא עדכון שוטף ושימוש בגרסאות מערכת הפעלה שבהן הפגיעויות תוקנו. לא ניתן “לאתר” מתקפה כזו בזמן אמת, כי לרוב אין לה כל סימן גלוי.
יירוט SS7 ו-Diameter (פרק 6) פועלים ברמת הרשת הגלובלית, מחוץ לשליטת המשתמש לחלוטין. ההגנה כאן היא מניעתית בלבד: הצפנת שיחות קצה לקצה כך שהתוכן חסר ערך גם אם היירוט הצליח, ומניעת שיחות ו-SMS לצורכי אימות רגישים לטובת אפליקציות מוצפנות.
הנקודה המרכזית שמתעוררת מהמיפוי הזה: אין פתרון אחד שמכסה את כל מישורי האיום. מי שמחפש “מכשיר בטוח אחד שפותר הכל” מחפש משהו שלא קיים. ההגנה הסלולרית היא תמיד שילוב של שכבות — תרבות שימוש, הגדרות מכשיר, בחירת כלים, ולפעמים גם ניתוק מוחלט. הסעיפים הבאים בונים את השכבות האלה, מהבסיסי למתקדם.
השוק האזרחי — מה אפשר לעשות ללא תקציב ביטחוני
היגיינת מכשיר: הבסיס שרוב האנשים מדלגים עליו
העצה הכי פחות סקסית בתחום אבטחת הסלולר היא גם הכי חשובה: לעדכן את מערכת ההפעלה. עדכונים קריטיים — בעיקר אלה שמסומנים כ-Security Patch — אוטמים פגיעויות שמנצלות מתקפות Zero-Click ומאמצי הדבקה של תוכנות ריגול. החלון הזמני בין גילוי פגיעות לפרסום עדכון הוא בדיוק המרחב שבו מתקפות פועלות. ארגונים כמו NSO Group מתמחים בניצול Zero-Days — כלומר פגיעויות שלא פורסמו עדיין תיקון. ברגע שתיקון פורסם, מי שמעדכן מיד יוצא מהחשיפה.
עבור משתמשים ברמת סיכון גבוהה במכשירי iOS — עיתונאים, עורכי-דין בתיקים מדיניים, בכירים בתעשיות רגישות — קיים כלי הגנה נוסף שמעבר לעדכונים: Lockdown Mode. מצב זה מגביל בצורה קיצונית את הפונקציונליות של מערכת ההפעלה — חוסם עיבוד JavaScript מורכב, מנגנוני תצוגה מתקדמים וחיבורים אוטומטיים — בדיוק ווקטורי ה-Browser-based Zero-Click שמנצלות מתקפות מתוחכמות. המחיר הוא נוחות שימוש מופחתת; הרווח הוא סגירה של חלק ניכר ממשטח ההתקפה שאחרת אין לו פתרון תוכנה.
ניהול הרשאות הוא שכבת הגנה שנמצאת ישירות בידי המשתמש. כל אפליקציה שמבקשת גישה למיקרופון, מצלמה, מיקום או אנשי קשר — מבקשת בפועל יכולת לאסוף מידע על הסביבה הפיזית. המבחן הפרקטי הוא פשוט: מה האפליקציה הזו צריכה כדי לעשות את מה שהיא אמורה לעשות? אפליקציית לפיד פנס לא צריכה גישה לאנשי קשר. משחק קלפים לא צריך גישה למיקום. ברוב מערכות ההפעלה המודרניות ניתן לבדוק ולשנות הרשאות לכל אפליקציה בנפרד — פעולה שראוי לבצע אחת לכמה חודשים.
שירותי מיקום פעילים כל הזמן הם ממשק מעקב מתמיד. חלק מהאפליקציות צריכות מיקום רק בזמן שימוש פעיל — ניווט, למשל. חלק אחר אוסף מיקום ברקע ללא כל סיבה פונקציונלית ברורה. הגדרת “מיקום רק בשימוש” לאפליקציות שאינן דורשות ניטור רקע, וכיבוי מיקום לחלוטין בסביבות רגישות, מקטינים משמעותית את כמות המידע שנאגר.
רשתות WiFi ציבוריות פתוחות הן עוד ממשק חשיפה. תעבורה שאינה מוצפנת עשויה להיות גלויה לכל מי שמחובר לאותה הרשת. בחיבורים אלה רצוי להשתמש בשירות VPN מוצפן, ועדיף להימנע לחלוטין מגישה לחשבונות רגישים — בנקאות, דוא”ל עסקי — ברשתות לא מוכרות.
נרתיקי פאראדיי לטלפון — הבנת הגבולות
כיסוי פאראדיי לטלפון הוא ממשק ניתוק פיזי: הוא חוסם את כל השידור והקליטה הרדיו-אלקטרומגנטי — סלולר, WiFi, Bluetooth, GPS. בתוך הכיסוי, המכשיר אינו מצליח להתחבר לשום רשת ואינו מוסר כל אות. מנקודת מבט של מעקב סלולרי, זהו הפתרון הפיזי השלם ביותר.
אבל כאן מגיעה ההגבלה הברורה: מכשיר בכיסוי פאראדיי אינו מקבל שיחות, אינו מקבל הודעות, ואינו נגיש לשם דבר. מדובר בפתרון לסיטואציה ספציפית — פגישה רגישה, כניסה לאזור מסווג, ישיבה שמצריכה מניעת כל שידור — ולא לשימוש יומיומי.
איכות הכיסוי משתנה ניכרות. בשוק קיימים מוצרים שמשווקים כ”כיסוי פאראדיי” אך מספקים הנחתה חלקית בלבד. הסטנדרד שהיה מקובל בעבר — הנחתה של 60 dB — אינו מספיק עוד בסביבת התדרים של 2025 ואילך, שבה מכשירים שולחים אותות בתדרי WiFi 6E, 5G mmWave וספצטרום רחב שמגיע ל-40 GHz ומעלה. כיסוי מקצועי אפקטיבי חייב לספק הנחתה של 80–100 dB לפחות על פני טווח תדרים של 10 MHz עד 40 GHz.
הנחתה של 90 dB משמעותה שאחד מתוך מיליארד של עוצמת האות המקורי חודר את הכיסוי. בפועל, ההבדל בין חומרים הוא קריטי: בדים מבוססי ניקל-נחושת (Nickel-Copper) מספקים 85–95 dB ועמידים לקיפולים חוזרים — הסטנדרט המקצועי לשימוש ארגוני ופורנזי. כיסויי אלומיניום פשוטים מתפרקים עם הזמן ומפתחים סדקים מיקרוסקופיים שמאפשרים דליפת אות. מנגנון הסגירה גם הוא משמעותי: סגירת Velcro יחידה דולפת בתדרים גבוהים מעל 3 GHz; כיסוי אפקטיבי משתמש בסגירה מגנטית או קיפול כפול המבטיח מגע רציף לאורך כל הפתח.
בדיקה פשוטה לכל כיסוי: מכשיר בתוכו, קריאה מטלפון חיצוני. אם מגיע צלצול — הכיסוי לא אוטם.
כרטיסי SIM וניהול זהויות סלולריות
ה-SIM הוא מזהה הזהות הסלולרית. כל שיחה, הודעה ואות מיקום קשורים למספר שרשום ב-SIM. שימוש ב-SIM נפרד לפעילות רגישה — מספר שאינו קשור לשם אמיתי ואינו בשימוש קבוע — מנתק את פעילות התקשורת הרגישה מהזהות הרגילה.
יתרונות הגישה הזו ברורים: כשה-SIM הרגיש אינו פעיל, הוא אינו מקבל כל אות, אינו מעדכן את המיקום ברשת, ואינו חשוף לחיפוש. הגבלתו: יעילות הפרדת הזהות תלויה בכך שאף גורם לא ישייך בין שני ה-SIM. שימוש בשניהם מאותו מכשיר, בזמנים חופפים, ממיקומים חופפים — עלול לאפשר שיוך.
eSIM — ה-SIM המובנה — מציע גמישות: מעבר מהיר בין ספקים ומספרים ללא החלפה פיזית. אך הוא אינו חף מסיכונים. מתקפות SIM Swapping — העברת המספר לכרטיס בשליטת תוקף — קלות יותר לביצוע כאשר המנגנון דיגיטלי לחלוטין ואינו מצריך קרבה פיזית לכרטיס הפיזי.
PIN על כרטיס SIM הוא הגנה בסיסית שרוב המשתמשים אינם מפעילים. בלי PIN, כל מי שמוציא את ה-SIM מהמכשיר יכול להכניסו למכשיר אחר ולהשתמש בו מיד. ה-PIN מונע שימוש ב-SIM גנוב ומוסיף שכבת הגנה במקרה של גישה פיזית למכשיר.
השוק המקצועי — COMSEC ומשמעת תקשורת
COMSEC — יותר מהצפנה
המונח COMSEC (Communications Security — אבטחת תקשורת) מתאר מסגרת הגנה שלמה על תקשורת, שהצפנה היא רק מרכיב אחד בה. הצפנה כוסתה בפרק 18 — פרוטוקולים, מפתחות, אפליקציות. כאן נדון במה שנמצא מסביב להצפנה: איך מנהלים תקשורת רגישה בצורה שגם הצפנה חזקה לא תמלא לבדה.
COMSEC מאורגן בארבעה מימדים:
- Crypto Security — אבטחת ההצפנה עצמה. בחירת האלגוריתמים, ניהול מפתחות, תוקף הצפנה. נושא זה הוצג בפרק 18.
- Transmission Security (TRANSEC) — אבטחת השידור. לא מה שמועבר, אלא איך מועבר — כך שיהיה קשה לזהות שתקשורת מתבצעת בכלל, או לעקוב אחרי דפוסיה.
- Emission Security (EMSEC) — אבטחת פליטות אלקטרומגנטיות בלתי-מכוונות. נגע בו פרק 19 בהקשר TEMPEST.
- Physical Security — האבטחה הפיזית של אמצעי התקשורת עצמם: מניעת גישה לא מורשית למכשיר, לכרטיס ה-SIM, לציוד הצפנה ולמפתחות.
TRANSEC בעומק — כשההצפנה לא מספיקה לבד
הבעיה עם הצפנה בלבד היא שגם תוכן מוצפן לחלוטין משאיר עקבות. מי שמרעיף שיחות לאותו מספר בכל יום בשעות מוגדרות — מייצר דפוס שמידע ניתן להסיק ממנו גם בלי לשמוע מילה. TRANSEC עוסק בדיוק בשכבה הזאת: לא בתוכן, אלא בקשר עצמו.
Frequency Hopping — קפיצת תדרים
הרעיון פשוט ואלגנטי: במקום לשדר על תדר קבוע, הרדיו קופץ בין עשרות ולעיתים מאות תדרים שונים בשנייה, לפי רצף שנקבע מראש ומוכר רק לשני הצדדים המורשים. מי שמנסה לאזין על תדר ספציפי מקבל קטעי שידור חסרי משמעות — כמה מילות שידור שמיד נעלמות. מי שניסה לסרוק את הספקטרום כולו בו-זמנית מגלה שבכל רגע האות נמצא במקום אחר.
מבצעית, Frequency Hopping מכתיב שגם המכשיר המקבל מכיר את רצף הקפיצות — מה שהופך את הסנכרון בין הצדדים לאתגר אמיתי. מחוללי רצף אקראי מדומה (Pseudo-Random Sequence Generator) מייצרים את הסדר, ושני הצדדים מסונכרנים לאותו זרע (Seed). שינוי הזרע תקופתית הוא חלק מניהול COMSEC שוטף — ממש כמו חלפת מפתח הצפנה.
טכנולוגיה זו אינה בלעדית לתחום הצבאי. פרוטוקול Bluetooth משתמש בגרסה מהולה שלה כחלק מניהול הספקטרום ב-2.4 GHz, ופרוטוקולי רדיו צבאיים כמו HAVE QUICK (אוויר-אוויר) ו-SINCGARS (קרקע) מיישמים אותה במלואה בסביבות לחימה.
Spread Spectrum — שידור רחב-ספקטרום
בשיטה זו האות אינו מתרכז בתדר אחד אלא מפוזר על פני רצועת תדרים רחבה. מנקודת המבט של צד שלישי שסורק את הספקטרום, האות נראה כמו רעש רקע אחיד — לא כמו שידור מזוהה. כדי לקלוט ולשחזר את הנתונים, נדרש לדעת את הפרמטרים המדויקים של הפיזור — מה שהופך יירוט לקשה מבלי גישה לאותם פרמטרים.
Direct Sequence Spread Spectrum (DSSS) ו-Frequency Hopping Spread Spectrum (FHSS) הם שתי גרסאות עיקריות. GPS עצמו מבוסס על DSSS — המצב שבו האות נראה חלש ומפוזר, אך מקלט שיודע את הקוד יכול לחלץ מתוכו מיקום מדויק. הצבאות שאימצו את הטכנולוגיה מוקדם הבינו שמה שנראה “לא ניתן ליירוט” אינו בהכרח בלתי ניתן לשיבוש — מה שהוביל לפיתוח מקבילי של M-Code GPS ושיטות anti-jam.
Burst Transmission — שידור פרצי קצר
בגישה זו מידע מאוחסן ואז משודר בפרץ קצר ביותר — לעיתים שברירי שנייה — במקום בשידור מתמשך. הרציונל: ככל שמשך השידור קצר יותר, כך פחות זמן לגורם חיצוני לאתר את מקור האות, למדוד את כיוונו ולצמצם את מיקומו. זה הבסיס לטכנולוגיות ה-burst radio שנפוצות בפעולות מיוחדות ובמודיעין שדה — מכשיר שדה שמקים שידור לשלוש שניות בדיוק ואז נשתק, בשעה שתחנת השדרה ממשיכה לאסוף מידע לפרץ הבא.
מטא-דטה — האויב שלא הוצפן
נקודה שנגעה בה בפרק 18 אך רלוונטית גם כאן: גם מערכת COMSEC מלאה שמוצפנת ומשתמשת ב-TRANSEC — עדיין מייצרת מטא-דטה. מי שידע שיחה מתרחשת, מתי ועם מי, אף שלא שמע מילה מתוכה — צבר מידע. בסביבות צבאיות ומבצעיות, ניתוח תנועה (Traffic Analysis) הוא דיסציפלינה שלמה שמנסה לשחזר תמונת מצב מתוך דפוסי שידור בלבד.
ההגנה מפני ניתוח תנועה כוללת כמה עקרונות: שידור dummy traffic — אותות ריקים שמשמרים דפוס קבוע גם בהיעדר תוכן אמיתי, כדי שאין שינוי בתבנית שניתן לפרש ממנה עלייה בפעילות. שמירה על מרווחי שידור קבועים. ופיזור גאוגרפי של נקודות הקצה כשאפשר.
ניהול מפתחות — נקודת הכשל של COMSEC בפועל
אחת הנקודות שמפרידות בין COMSEC תיאורטי לבין COMSEC שעובד בשטח היא ניהול מפתחות. ניתן לבנות מערכת הצפנה מצוינת עם TRANSEC מהודר, ולאבד את ההגנה כולה כי מפתח ההצפנה לא הוחלף, נשמר בצורה לא מאובטחת, או הופץ בערוץ שאינו מוגן.
בעולם הצבאי, הנושא טופל היסטורית דרך חלוקה פיזית של חומר הצפנה — KEYMAT — שנשלח בשליחים ולא בשידור. הדרישה שמפתח עצמו לא יועבר בערוץ שהוא אמור להגן עליו היא עיקרון COMSEC בסיסי.
בתרגום לסביבה ארגונית מודרנית: מפתחות הצפנה חייבים לאחסון מאובטח (Hardware Security Module — HSM, או Secure Enclave בחומרת המכשיר), חייבים להיות בעלי תוקף מוגדר, וחייבים להתחלף תקופתית לפי נוהל. ארגון שמחיל E2E Encryption על כל שיחה אך מאחסן את המפתחות ב-Google Drive לשיתוף נוח — ביטל את ערכם.
משמעת תקשורת — הגורם שאי-אפשר לאבטח בתוכנה
ב-1942 פרסמה הממשלה האמריקאית מסע פרסום תחת הסיסמה “Loose Lips Sink Ships” — שפתיים רפויות מטביעות ספינות. שמונים שנה אחר כך, העיקרון נשאר זהה. הכלים השתנו; הטעות האנושית לא.
- Need-to-Know בתקשורת הוא העיקרון שלפיו מידע רגיש מועבר רק למי שצריך אותו לצורך ביצוע תפקידו, בדיוק הכמות שנדרשת — לא יותר. בתרגום לתקשורת יומיומית: פרטי ישיבה אינם מועברים לקבוצת ווטסאפ של עשרים איש, מיקום פגישה רגישה אינו נכתב בהודעת טקסט, ומבנה ארגוני פנימי אינו נדון בשיחת טלפון לא מוצפנת.
- הגבלת נושאי שיחה בטלפון היא גישה מעשית שנגזרת מהנחה אחת פשוטה: גם קו מוצפן עדיין מגיע לצד השני. שם, המידע יכול להישמע, להירשם, להיגנב. שיחת טלפון אינה מקבילה לפגישה פנים-אל-פנים מבחינת אבטחה — גם כשהיא מוצפנת. לכן גופים ביטחוניים נוהגים לדון בנושאים המסווגים ביותר רק בפגישות פיזיות, בחדרים מסוקרים, עם ציוד שעבר בדיקת TSCM.
- קודים ומילות סתר — תקשורת מוסווית שמשתמשת בשפה תמימה כדי להעביר מסרים רגישים — שיטה ותיקה. יעילותה מוגבלת: קוד פשוט שנלמד בחקירה, בשיחה שנחשפה, או על-ידי עיון בדפוסי שיחה — הופך לחסר ערך. קודים מקצועיים מוחלפים בתדירות גבוהה ומנוהלים כחלק ממסגרת COMSEC רחבה יותר. קוד שנשאר בשימוש יותר מדי זמן הוא קוד שנלמד.
- סטריליזציה לפני פגישה רגישה היא הנוהל שקובע מה עושים עם המכשירים לפני הכניסה לחדר. הכי בסיסי: השארת הטלפון מחוץ לחדר. גרסה יסודית יותר: כיסוי פאראדיי לפני הכניסה — כי מכשיר שכוסה לפני שהוא בחדר מוגן מפני הדבקה שעשויה להיות כבר פעילה. הנוהל הזה ומדיניות המכשירים בישיבות הוצגו בפרק 17 בהקשר פרוטוקולי TSCM.
טלפונים מאובטחים ברמה מקצועית
הצפנת שיחות ודאי איכותית — אבל כשהמכשיר עצמו אינו מאובטח, ההצפנה מגנה על הערוץ בזמן שהתוכן נאסף מהמיקרופון עצמו. לכן קיים ביקוש לפלטפורמות מכשיר שבהן גם החומרה, גם מערכת ההפעלה וגם ערוץ התקשורת עברו הקשחה.
שלוש קטגוריות מרכזיות:
Hardened Android — מכשירי אנדרואיד שעברו הקשחה יסודית: הסרת שירותי Google, צמצום שטח ההתקפה של מערכת ההפעלה, בקרת גישה מחמירה לחומרה. הגישה מבוססת על Android Open Source Project ומאפשרת בנייה מותאמת לצרכים ספציפיים.
Custom OS — מערכות הפעלה ייעודיות שנבנו מאפס על עיקרון Zero-Trust: כל תהליך פועל בבידוד, גישה לחומרה מנוהלת בחוק קפדני, ועדכוני אבטחה מבוקרים ישירות על-ידי היצרן.
Dedicated Secure Phones — מכשירים שנבנו מהיסוד למטרות ביטחוניות. כאן כדאי להבין לעומק מה כל יכולת עושה בפועל, כי הגדרות שיווקיות לרוב מטשטשות את ההבדלים:
Tamper Detection — המכשיר כולל חיישנים שמזהים פתיחה פיזית של המארז, שינויים בטמפרטורה שמחוץ לטווח תפעולי, או ניסיונות גישה לרכיבי החומרה. התגובה האוטומטית היא מחיקת מפתחות ההצפנה מהזיכרון המאובטח. מכשיר שגופו נפתח — ולו לשנייה — הופך לחסר ערך מבחינת נתוניו הצפונים. בפועל, זה אומר שהתוקף שפתח את המכשיר קיבל קופסה ריקה. חשוב להבדיל: Tamper Detection אינו מונע את הפתיחה — הוא מבטיח שפתיחה תשמיד את המידע.
Secure Boot — בכל הפעלה, המכשיר מריץ רצף של בדיקות קריפטוגרפיות שמאמתות שכל שכבת תוכנה — מה-Bootloader ועד מערכת ההפעלה — לא שונתה מאז ייצורה. אם בדיקה אחת נכשלת, המכשיר מסרב לעלות. תוקף שהצליח לשתול קוד עוין בשלב ה-Bootloader — יגלה שבהפעלה הבאה המכשיר לא יתחיל. הבעיה: Secure Boot מגן מפני שינוי תוכנה בין הפעלות. הוא אינו מגן מפני תוכנת ריגול שפועלת בזמן אמת, בזיכרון, מבלי לגעת בקבצי מערכת. לכן Secure Boot הוא תנאי הכרחי אך לא מספיק.
Remote Wipe — מחיקה מרחוק. מכשיר שאבד יכול להימחק ברגע שהארגון מגלה את האובדן ומשדר פקודה. המגבלה הקריטית: פקודת המחיקה מגיעה דרך הרשת. מכשיר שהוכנס מיד לכיסוי פאראדיי אחרי הגניבה, או שנמצא באזור ללא כיסוי — לא יקבל את הפקודה. פתרון חלקי: מחיקה אוטומטית אחרי מספר ניסיונות כניסה שגויים, שפועלת גם ללא רשת.
Air-Gap Mode — ניתוק מוחלט מכל שידור אלחוטי. בפלטפורמות מקצועיות, מצב זה מיושם באמצעות מתג חומרה פיזי שמנתק את אנטנות הרדיו — לא פקודת תוכנה שמכבה אותן. ההבדל מהותי: תוכנת ריגול יכולה להתעלם מפקודת תוכנה לכיבוי אנטנה; מתג חומרה שפיזית מפסיק את זרם החשמל לאנטנה — אי-אפשר לעקוף בתוכנה.
המגבלה הקריטית של כל הפלטפורמות האלה נשארת: הצד השני חייב להשתמש בתשתית תואמת. מכשיר מאובטח שמתקשר עם טלפון רגיל הוא בטוח רק עד הצד השני.
מערכות רדיו מאובטחות — מחוץ לרשת הסלולרית
בסביבות מבצעיות ובמצבים שבהם הרשת הסלולרית הציבורית אינה אמינה, אינה מאובטחת, או פשוט אינה זמינה — השימוש ברדיו ייעודי מאובטח הוא הפתרון המקצועי.
- DMR מוצפן (Digital Mobile Radio) — תקן תקשורת רדיו דיגיטלית שנפוץ בשימוש ארגוני ותעשייתי. בגרסתו הבסיסית הוא תקשורת דיגיטלית פתוחה; עם הצפנת AES256 מובנית, הוא הופך לפתרון מאובטח שאינו תלוי בתשתית סלולרית. DMR מוצפן נמצא בשימוש נרחב בחברות ביטחון, שירותי חירום וצבאות. היתרון הגדול: תשתית עצמאית שהארגון שולט בה מקצה לקצה, ללא תלות במפעיל סלולרי שלישי.
- TETRA (Terrestrial Trunked Radio) — תקן רדיו דיגיטלי שפותח ספציפית לצרכי ביטחון ושירותי חירום. ההצפנה מובנית בפרוטוקול עצמו, ולא כתוספת. TETRA מספק קבוצות דינמיות, הצפנת End-to-End, ועבודה גם ללא תשתית (Direct Mode) — בין מכשיר למכשיר ישירות, ללא ממסר מרכזי. משטרות, שירותי כיבוי ויחידות ביטחוניות באירופה ובישראל עושות בו שימוש נרחב.
אזהרה מהותית על TETRA — TETRA:BURST: בשנת 2023 חשפה חברת המחקר Midnight Blue סדרת פגיעויות קריטיות בתקן TETRA שמשנות את תמונת האבטחה שלו מהיסוד. הממצא החמור ביותר: אלגוריתם ההצפנה TEA1 הכיל החלשה מכוונת שהופחתה לאפקטיביות של 32 ביט בלבד — כדי לעמוד במגבלות ייצוא היסטוריות. תוקף עם חומרת SDR אזרחית פשוטה יכול לפצח את ההצפנה תוך פחות מדקה. בנוסף, נמצאו שני כשלים תכנוניים עמוקים: מנגנון ההצפנה מסתמך על מונה זמן רשת שמשודר ללא אימות — תוקף שמזריק מונה מזויף גורם לשימוש כפול באותו Keystream, מה שמוביל לשחזור הטקסט המקורי. ופרוטוקול TETRA חסר לחלוטין מנגנון אימות שלמות הודעה (MAC) — מה שמאפשר הזרקת הודעות מזויפות לקבוצות דיבור, כולל מערכות שליטה ובקרה.
המסקנה המבצעית: TETRA מספק תשתית תקשורת ייעודית שאינה תלויה ברשת הסלולרית הציבורית — יתרון מבצעי אמיתי. אך לא ניתן להסתמך על הצפנת TETRA הבסיסית כהגנה על סודיות התוכן. ארגונים שנדרשים לסודיות ברמה גבוהה חייבים להוסיף שכבת הצפנה E2EE ברמת האפליקציה, שאינה תלויה בפרוטוקול הרדיו, ולבצע רוטציה תקופתית של פרמטרי התקשורת.
נקודה רלוונטית לסביבה הישראלית: ישראל נמצאת בתהליך הדרגתי של סגירת רשתות 2G ו-3G. בפברואר 2026 הושלם השלב הראשון — פינוי תדרי הליבה לטובת פריסת 5G. עם זאת, הרשתות הישנות ממשיכות לפעול בתדרים חלופיים ובפורמט מוגבל, וחיוג לשירותי חירום (100, 101, 102) ממכשירים ישנים יישאר זמין עד סוף 2028. מנקודת מבט ביטחונית: כל עוד קיימת תשתית 2G/3G ולו בצורה מצומצמת, היא ממשיכה להוות פרצה פוטנציאלית. מכשירים שאינם תומכים ב-VoLTE (Voice over LTE) אינם עומדים בסטנדרטים הרגולטוריים של ישראל מינואר 2026 ואינם בטוחים לשימוש בסביבות רגישות.
חולשות SS7 ו-Diameter ממשיכות לפעול מעל שכבות הרשת הבסיסיות, ו-IMSI Catchers שמותאמים ל-4G — קיימים ופועלים, אם כי עם מגבלות שלא היו קיימות בדור הקודם.
כשל COMSEC — לקחים מהשטח
ההיסטוריה של כשלי COMSEC מלמדת שהחולשה כמעט תמיד נמצאת לא בפרוטוקול ההצפנה, אלא בהקשר שסביבו. המקרה המתועד ביותר בתחום הוא מבצע RUBICON — שנחשף בפומבי רק בפברואר 2020, כשה-Washington Post ושותפיו פרסמו חקירה שחשפה שחברת Crypto AG השוויצרית, שמכרה ציוד הצפנה ל-120 מדינות לאורך עשורות, הייתה בשליטה סמויה של ה-CIA וה-BND הגרמני מאז שנות ה-50. הציוד הכיל מתגי עקיפה מוסתרים שאפשרו לארגוני מודיעין לפענח את כל התקשורת שעברה דרכו.
הלקח שמבצע RUBICON מציל אינו “אל תבטח בחברות מוצפנות” — זה נוסחה שמובילה לשיתוק. הלקח הוא שה-Chain of Trust — שרשרת האמון מהאלגוריתם דרך היישום עד ליצרן החומרה — היא כולה חלק מ-COMSEC. אלגוריתם מצוין שרץ על חומרה שנפגעה אינו מגן על דבר. לכן ארגונים ביטחוניים ברמה גבוהה דורשים Certification עצמאי לכל שכבה: אימות עצמאי של האלגוריתם, של היישום, ושל החומרה — ולא סומכים על מילתו של היצרן בלבד.
מקרה אחר, קרוב יותר ומוכר פחות: בין 2011 ל-2012 נחשף שמעבדת Wired Magazine הצליחה להדגים כיצד שיחות VoIP “מוצפנות” שעברו דרך ספקי שירות מסוימים נותרו פגיעות לא בגלל חולשה באלגוריתם, אלא בגלל שהמפתחות הועברו לספק השירות בצורה שאפשרה ליירטם. השיחה הייתה מוצפנת; מי שהחזיק במפתח — לא בהכרח המשתמש.
בחירת פרוטוקול — כשהכלי נכון עבור איום לא נכון
שאלה שעולה לעיתים בהקשר מקצועי: אם Signal מציעה הצפנה E2E חזקה, מדוע גופים ביטחוניים לא מסתפקים בה? התשובה מדגימה את ההבדל בין הגנה על ערוץ לבין COMSEC שלם.
Signal כפלטפורמה מציעה הצפנה קריפטוגרפית מהמובילות בשוק. אך כמה מאפיינים מגבילים אותה לשימושים מסוימים: ראשית, היא מבוססת על מספר טלפון כמזהה — מה שמקשר כל משתמש לזהות ניתנת-לאיתור. שנית, המטא-דטה — מי מתקשר עם מי ומתי — נשמר חלקית בשרתי החברה גם אם התוכן מוצפן לחלוטין. שלישית, הפלטפורמה פועלת על מכשירים צרכניים שאינם עוברים הקשחה מיוחדת — ולכן פגיעים לכל האיומים ברמת מערכת ההפעלה שנסקרו קודם.
לשימוש מקצועי שדורש הגנה על מטא-דטה, על זהות המשתמשים, ועל המכשיר עצמו — נדרשת תשתית ייעודית שבה כל הגורמים הללו בשליטת הארגון: שרתי הצ’אט, מערכת ה-Key Management, וסוגי המכשירים. זה המרחק בין “פתרון הצפנה טוב” לבין “COMSEC שלם”.
הנקודה אינה ש-Signal רע — היא כלי מצוין לרמת האיום שהוא מתוכנן להתמודד איתה. הנקודה היא שכלי שמתאים לעיתונאי שמגן על מקור אינו בהכרח הכלי הנכון לצוות מבצעי שפועל מול יריב ממלכתי.
הגנה ברמה ארגונית
כשהארגון גדול מאדם אחד, ניהול אבטחת המכשירים הסלולריים הופך למשימה מדיניות ולא רק טכנולוגית. אי-אפשר לצפות שכל עובד יגדיר ידנית כל הרשאה ויתחזק בעצמו את מכשירו — ואי-אפשר לסמוך על כך שיעשה זאת.
MDM — ניהול מכשירים ניידים
Mobile Device Management הוא פתרון תוכנה שמאפשר לארגון לנהל ציי מכשירים ממרכז אחד. היכולות המרכזיות שרלוונטיות לאבטחה:
- מדיניות כפויה — הגדרות אבטחה שנאכפות על המכשיר ואינן ניתנות לשינוי על-ידי המשתמש: אורך מינימלי לסיסמה, נעילה אוטומטית, דרישת הצפנת אחסון. הנהלה שמוציאה נוהל אבטחה ומקווה שהעובדים יממשו אותו מרצון — מסתמכת על נחת שלא תמיד קיימת.
- Remote Wipe — מחיקת המכשיר מרחוק. מכשיר שאבד או נגנב, שמכיל נתוני ארגון, יכול להימחק ברגע שהארגון מזהה את האיום. חשוב לדעת: Remote Wipe אפקטיבי רק כאשר המכשיר מחובר לרשת. מכשיר שהוכנס מיד לכיסוי פאראדיי אחרי הגניבה לא יקבל את פקודת המחיקה.
- בקרת אפליקציות — Whitelist של אפליקציות מאושרות, ו-Blacklist של אפליקציות שאסורות להתקנה. זו ההגנה הארגונית מפני האפליקציות שמבקשות הרשאות מוגזמות.
- ניטור אנומליות — מערכות MDM מתקדמות יותר כוללות ניטור התנהגות: האם המכשיר מדווח על מיקום חריג? האם נפח שימוש הנתונים קפץ? האם האפליקציות שאצ’ו התקינו תואמות את הרשימה המאושרת? ניטור כזה אינו מהווה פתרון לאיומים מתוחכמים, אך הוא מזהה חריגות ראשוניות שמצדיקות בדיקה מעמיקה.
- מה MDM לא מגן מפניו: תוכנת ריגול ברמת Kernel, שפועלת מתחת לשכבת מערכת ההפעלה שה-MDM מנהל. מתקפת Zero-Click שהצליחה לפני שה-MDM הספיק לאתר את הדפוס החריג. ומשתמש שמחליט במכוון לעקוף את המדיניות — כי MDM הוא כלי ניהול, לא כלי ציות מוחלט.
כשל MDM — מה שקורה בשטח
ארגונים שמטמיעים MDM נופלים לעיתים לאשליה שהפתרון “מכסה הכל”. בפועל, MDM הוא כלי אכיפה על שכבת מערכת ההפעלה — ובדיוק שם טמונה מגבלתו. עובד שמחזיק מכשיר ארגוני ומחבר אותו למחשב אישי כדי “לטעון סוללה” — פותח ערוץ העברת נתונים שהMDM אינו מנטר. מכשיר שנגנב ומוכנס לשק נגד-RF — לא יקבל פקודת מחיקה. ומכשיר שגרסת מערכת ההפעלה שלו לא עודכנה מכיוון שעדכון מסוים שבר אפליקציה עסקית קריטית — נשאר פגיע לפגיעויות שתוקנו כבר לשאר המשתמשים.
ניהול MDM אפקטיבי אינו רק התקנה — הוא תהליך שוטף: מדיניות עדכונים שמאוזנת בין ביטחון לרציפות עסקית, נהלים ברורים למה עושים כשמכשיר מחוץ לכיסוי רשת, ובדיקות תקופתיות שמוודאות שהמדיניות אכן מיושמת ולא רק מוגדרת.
מ-MDM ל-MTD — האבולוציה שארגונים מפספסים
בשנים האחרונות עוברים ארגונים ביטחוניים ממשלתיים מדרישה לניהול מכשירים (MDM) לדרישה לאיתור איומים פעיל — Mobile Threat Defense (MTD). ההבדל מהותי: MDM הוא כלי ציות שמוודא שהמדיניות קיימת. MTD הוא כלי אופרטיבי שמשתמש במנועי למידת מכונה (Machine Learning) לזיהוי אנומליות בזמן אמת — עלייה חריגה בשימוש בנתונים, שינויים בהתנהגות תהליכי הקרנל, ניסיונות התחברות לתחנות בסיס חשודות, וחריגות ב-API calls שמאפיינות תוכנות ריגול פעילות.
הפער בין הכלים ברור כשבוחנים מתקפות Zero-Click מתוחכמות: הן פועלות מתחת לשכבת מערכת ההפעלה שה-MDM מנהל, ולכן MDM עיוור אליהן לחלוטין. MTD שמנטר דפוסי התנהגות בזמן אמת יכול לזהות את ה-Footprint של הפעילות הזדונית גם כשהוא לא מזהה את תוכנת הריגול עצמה. ארגון שמסתמך על BYOD ללא שכבת MTD — פועל בעיוורון מול האיומים המתוחכמים ביותר בשוק.
הפרדת מכשירים — BYOD ומה שמסתיר מאחוריו
BYOD — Bring Your Own Device — מדיניות שמאפשרת לעובדים להשתמש במכשירים האישיים לצרכי עבודה. מבחינת נוחות ועלות לארגון, היתרונות ברורים. מבחינת אבטחה, המציאות מסובכת.
מכשיר אישי שנושא גם נתוני עבודה הוא מכשיר שעליו הארגון אינו שולט: לא על האפליקציות שמותקנות, לא על עדכוני האבטחה, לא על ה-WiFi שהוא מתחבר אליו. אפליקציה משחקים שמבקשת הרשאות גישה מוגזמות, רשת WiFi ביתית ללא הצפנה, חבר שמשאיל את הטלפון לרגע — כל אלה הם ווקטורי סיכון שקיימים בכל מכשיר אישי ואינם קיימים במכשיר ארגוני מנוהל.
הפתרון שאומץ בארגונים עם מודעות אבטחתית גבוהה הוא הפרדה פיזית: מכשיר ארגוני לשימוש עסקי, מכשיר אישי לכל השאר. ביניהם — גבול ברור שאינו מאפשר זרימת נתונים. כשהמנהל שולח קובץ רגיש מהמכשיר הארגוני, הוא לא מגיע לתיבת הדוא”ל האישית.
הפרדה זו אפשרית גם בתוך מכשיר יחיד — באמצעות פרופילים מופרדים שחלקם תומכות בהם מערכות הפעלה מודרניות — אך ברמת הגנה נמוכה יותר מהפרדה פיזית.
הנקודה שלרוב מפספסים בדיון על BYOD: הסיכון אינו רק טכני. כשעובד משתמש במכשיר האישי לתקשורת עסקית, נוצרת גם שאלה משפטית — לאיזה מידע ארגוני יש גישה ממכשיר פרטי, מי אחראי עליו, ואיך הארגון מחזיר את המידע כשהעובד עוזב. ארגונים שמסתמכים על BYOD ללא הסכם BYOD מפורט — חשופים לסיכוי ממשי שמידע רגיש נשאר על מכשיר שכבר אינו בשליטתם, ואין להם בסיס חוקי לדרוש את מחיקתו.
תרחישים מעשיים
תרחיש א’: מנכ”ל לפני משא ומתן עסקי רגיש
הגדרת האיום: בעסקה בהיקף גדול, יש לצד השני אינטרס לדעת מראש את מגבלות הגמישות ואת נקודות ה”כן” של המנכ”ל. מידע כזה שווה יותר מכל מאמץ ניהולי. האיום הסביר ביותר אינו מתקפת Zero-Click ממדינה עוינת — אלא שיחה שנשמעה, מסמך שנלכד, או עוזר אישי שמדבר יותר מדי.
בחירת האמצעים:
- כל הדיונים הפנים-ארגוניים על נקודות המו”מ יתקיימו פנים-אל-פנים, בחדר שעבר סריקת TSCM לפני הישיבה.
- מסמכי האסטרטגיה לא ישלחו בדוא”ל רגיל — יועברו דרך מערכת שיתוף קבצים מוצפנת עם הרשאות גישה מוגדרות.
- לפגישות הטרום-עסקה: הטלפון נשאר מחוץ לחדר הישיבות, או בכיסוי פאראדיי.
- שיחות שכן מתקיימות בטלפון — דרך אפליקציית הצפנה קצה-לקצה, עם מנוי שאינו קשור לחשבון הציבורי של המנכ”ל.
המגבלות: שום אמצעי לא מגן מפני גורם פנימי שמסר מידע מרצון. ולא ניתן להצפין שיחת טלפון רגילה בזמן שהצד השני מקיים אותה בקו פתוח.
תרחיש ב’: עורך-דין שמייצג לקוח בתיק מדיני
הגדרת האיום: סודיות עורך-דין-לקוח היא חובה אתית ומשפטית. הצד שכנגד — בפרט כשמדובר בתיק מדיני עם גורמים ממשלתיים — עשוי להיות בעל יכולות מעקב שמעבר לממוצע. כל תקשורת עם הלקוח, כל מסמך אסטרטגיה, כל עד שנמצא בתהליך גיוס — כולם בעלי ערך.
בחירת האמצעים:
- פגישות עם הלקוח — פנים-אל-פנים בלבד, במשרד שעבר בדיקת TSCM.
- תכתובת עם הלקוח — דרך אפליקציית הצפנה שמוגדרת למחוק הודעות אוטומטית לאחר פרק זמן מוגדר.
- ניהול תיקים — רק על מחשבים שאינם מחוברים לענן ציבורי, ועם גיבוי מוצפן לא-מחובר.
- SIM נפרד לתקשורת עם הלקוח ועם עדים — שאינו רשום על שם המשרד ואינו בשימוש שגרתי.
המגבלה הקריטית: עורך-דין יכול לנקוט בכל האמצעים הנכונים, אך אם הלקוח עצמו מתקשר ממכשיר שנפגע — שום הגנה לא עוצרת את הדלף מהצד השני.
אנשי מקצוע משפטיים נוטים לזלזל בהיבט אחד נוסף: שינוי ספק בזמן תיק פעיל. עורך-דין שמחליף טלפון באמצע ניהול תיק רגיש ומעביר את תיבת ההודעות לגיבוי ענן — יצר ארכיון של כל התקשורת עם הלקוח בשרת שאינו בשליטתו. גיבוי אוטומטי הוא גיבוי לא מבוקר.
תרחיש ג’: ארגון ביטחוני — COMSEC מלא
הגדרת האיום: פעילות שמצריכה תיאום מבצעי בין צוותים בשטח, עם מידע שנפגמו חלקו פוגם בבטיחות האנשים. האיום כולל יירוט סלולרי, מיפוי תנועה על-ידי IMSI Catcher, ואף ניסיון לזהות מי מתקשר עם מי ומתי.
בחירת האמצעים:
- מכשירים ייעודיים — Dedicated Secure Phones או מכשירים מוקשחים — לכל אנשי הצוות, ללא חפיפה עם מכשירים אישיים.
- תקשורת קולית — אך ורק דרך מערכת המוצפנת End-to-End, שבה גם המטא-דטה (מי מתקשר, מתי) מוגן ככל האפשר.
- בתרחישים שבהם זיהוי הנוכחות עצמו הוא האיום — כיסויי פאראדיי לכל הצוות עד לרגע הפעלה, ומעבר לרדיו מוצפן (DMR מוצפן, או TETRA עם שכבת E2EE נוספת ברמת האפליקציה) שאינו תלוי בתשתית הסלולרית הציבורית. חשוב: לאחר חשיפת פגיעויות TETRA:BURST, אין להסתמך על הצפנת TETRA הבסיסית לבדה לסודיות תוכן — נדרשת הצפנה נוספת מעליה.
- הכשרת צוות: כל חבר צוות מבין מה עושה כל שכבת הגנה, ולמה — כי נוהל שלא מובן הוא נוהל שלא מקיימים בשטח.
המגבלה: גם COMSEC מלא אינו פתרון להכל. מכשיר שנגנב פיזית עם מפתח הצפנה לא-מוגן, גורם פנימי שמסר מידע, טעות תפעולית שחשפה את מבנה הצוות — כל אלה נמצאים מחוץ לתחום שאבטחת תקשורת טכנולוגית יכולה לפתור.
המרחק בין “מאובטח” ל”מוגן”
מילה אחת שכדאי להיזהר ממנה בדיון על אבטחת סלולר היא “מאובטח”. מכשיר מוצפן, מכשיר מוקשח, שיחה עם הצפנה E2E — כולם “מאובטחים” במובן טכני. אבל “מאובטח” ו”מוגן” הם לא אותו דבר.
מוגן פירושו שהמידע שנדרש להגן עליו — לא הגיע לגורם שאסור לו להחזיק בו, דרך שום נתיב. זה כולל את הנתיב הטכני שהצפנה מגינה עליו. וגם את הנתיב האנושי — מנהל שמדבר בקול רם בשדה תעופה. את נתיב הגיבוי האוטומטי שאיש לא הגדיר. את נתיב המכשיר הישן שנמסר לשירות מבלי שנמחק תחילה.
COMSEC כשהוא עובד אינו מורגש. אין אירועים, אין זליגות, אין תחושה ש”משהו קרה”. רוב הכשלים מתגלים בדיעבד — שבועות או חודשים אחרי שהמידע כבר שימש מישהו. ולכן הנטייה לפרש היעדר אירועים כהוכחה שהמערכת עובדת — היא עצמה נקודת תורפה.
ארגון שמתייחס ל-COMSEC כ”פרויקט חד-פעמי” שהסתיים עם רכישת הפלטפורמה — עתיד להיות מופתע. ארגון שמתייחס אליו כתהליך שוטף — בדיקות, עדכוני נהלים, הכשרות, ותגובה לשינויים בנוף האיומים — הוא ארגון שמגן על עצמו.
