האם וירוס יכול לשתק מדינה?

במדינות רבות מבינים כי יש לעבור מחשיבה של אבטחת מידע לאסטרטגיה של אבטחת סייבר

מעט כל המידע החיוני לנו מאוחסן כיום במחשבים. השימוש המאסיבי במחשבים לאגירת מידע, הפך אותם ליעד אטרקטיבי להתקפות ולכן באופן טבעי עיקר הדגש הוא על הגנה על המידע (גיבויים, הצפנות, שרידות וכו’).

התלות במחשבים בכל תחומי החיים מציפה בעיה חדשה - התקפות על מחשבים שמטרתם פגיעה בתהליכים חיוניים כגון: בקרת תנועה אווירית וימית, תקשורת, תנועת רכבות, מערכות חיים בבתי חולים, רשת החשמל, המערכת הפיננסית, מגזר הביטוח, ייצור תרופות, מזון, תעשיית הרכב וכו’. להתקפות אלו יכולות להיות השלכות מרחיקות לכת ואף לעלות בחיי אדם. העובדה שמחשבים משולבים בכל תהליכי החיים, הופכת אותם למטרה ערכית למי שרוצה לשבש תפקוד של מדינה או להפיל עסק. אבטחת סייבר, בשונה מאבטחת מידע, עוסקת בהגנה על המחשבים שמשמשים לשליטה ובקרה על התהליכים החיוניים לחיי היומיום.

הסייבר משולב בכל תהליך חיוני, והוא חלק מכל מערכת. חשיבה עליו כ”מרחב” חדש היא טעות מחשבתית שעשויה להוביל להתמודדות לא נכונה עם האתגרים שתוארו לעיל. לא מדובר ב”מרחב חדש” שמתווסף לקיימים (אוויר, ים, יבשה וחלל). מדובר בטכנולוגיה חדשה שאנו עושים בה שימוש וניתן לנצל אותה לרעה כדי לפגוע בנו - בכל הממדים. אבטחת סייבר נכונה צריכה להיעשות בהבנה שהיא משולבת בתהליכי אבטחה אחרים ולא בנפרד מהם וכי חלק מהפתרונות לבעיות בסייבר, אינו בסייבר עצמו.

די להבין מהם הרכיבים הקריטיים שעליהם צריך להגן כדי לדעת שיש לשמור עליהם מפני איומים שלא ניתן לחזות או מפני יריבים שאין וודאות לגבי קיומם. בעולם גלובאלי ומקושר, אם אפשר לחשוב על מישהו שיוכל לתקוף, כנראה שיש מישהו שחושב לתקוף. המגזר הפרטי הוא זה שנמצא “בחזית” התקפות הסייבר משום שרוב התשתיות נמצאת בבעלותו, אבל אין זה אומר שהדבר הוא באחריותו בלבד.

הסייבר נולד משיתוף פעולה ולכן האחריות לאבטחתו צריכה להיות גם היא בשיתוף פעולה ובשילוב של כל המגזרים (ממשלה, אקדמיה, תעשייה) - ומהר. אסור להגיע למצב שבו נופתע בגלל שלא פעלנו מהר ובכיוון הנכון. השאלה היא מתי נשלם את מחיר, האם עכשיו כדי להגן, או בעתיד כדי לתקן נזקים אחרי התקפה. ב-29 לאוקטובר 1969, נולד האינטרנט כתוצאה מצורך ביטחוני – כפתרון לתקשורת שתשרוד התקפה. זו הייתה דוגמא מצוינת של שותפות בין המגזר הפרטי (אקדמיה) למגזר הממשלתי (אז: ARPA). 13 שנים מאוחר יותר, ב-1982 נולד הווירוס המתפשט (הידוע) הראשון שנקרא “אֶלק קלונר” ונכתב ע”י תלמיד בית ספר בן 15. קלונר כוון למחשבי אפל 2 והכיל שיר קצר שהופיע בכל אתחול של המחשב. כמה שנים מאוחר יותר ב- 1988, שותק 10% מהאינטרנט למשך מספר ימים. אירוע כזה היום היה מסב נזק אדיר לכלכלה ולחיי היומיום. מאז ועד היום כמות הווירוסים (והקודים הזדוניים) צמחה לממדים של למעלה מ- 400 מיליון ומספר ההתקפות על מחשבים צמח לעשרות אלפים ביום! הדבר לא קרה בין-לילה.

המחשבים הראשונים מסוג Stored Program Computers, כלומר תוכנה ששמורה במחשב וניתן להריץ אותה שוב ושוב (עם נתונים שונים), פותחו בשנות הארבעים סביב צורך ביטחוני. ב-1950 היו פחות מ 1,000 מחשבים, גודלם היה כגודל חדר, וניתן היה לדעת מה תפקידו של כל מחשב ומי עושה בו שימוש. עיקר השימוש היה לחישובים מתמטיים. ככל שממדי המחשבים והאחסון קטנו, כוח העיבוד גדל והמחיר ירד, החלו מחשבים לשמש לאחסון מידע דיגיטאלי ולתקשורת לצרכים שונים - יחד עם הצורך הגיעו האיומים. מי שקודם רצה להגיע למידע שהיה שמור בארונות, כספות או חדרים נעולים, כעת היה צריך להשיג גישה למחשבים השומרים את המידע. בנוסף, יש צורך להגן מטעויות אנוש, נזקי טבע (כוח עליון) ומאילו שרוצים אותו כדי לדעת עלינו יותר או כדי לפגוע במידע ובמי שמשתמש בו.

אבטחת מידע

כיום, כמעט כל המידע החיוני לנו מאוחסן במחשבים ובשירותי אכסון מרוחקים (ובענני מחשוב) כגון: גוגל, אמזון ודרופבוקס, לרבות: מידע רפואי, נתונים פיננסיים, קניין רוחני, ידע אקדמי ואף מידע ביומטרי, תכתובות דואר אלקטרוני ועוד. השימוש המאסיבי במחשבים לאגירת מידע, הופך אותם ליעד אטרקטיבי להתקפות ולכן עיקר הדגש הוא על בהגנה על המידע (גיבויים, הצפנות, שרידות וכו’).

במציאות של היום מרבית ההתקפות שנעשות כיום הן נגד מידע שנאגר במחשבים ומטרתן לפגוע, לשבש, להרוס, או לגנוב את המידע שנאגר במחשבים (או ברשתות) למטרות שונות: פשיעה, ריגול, טרור, אקטיביזם וכו’. ההתקפות מנצלות את החולשות של המערכות הממוחשבות כדי להשיג גישה למידע. דיסציפלינת אבטחת המידע עוסקת בחסיון, ובשלמות וזמינות המידע, כלומר, שהמידע יהיה נגיש למי שמורשה (חסיון המידע), שהמידע ישמר באופן תקין ולא יעבור שום שינוי על ידי גורם שאינו מורשה לכך (שלמות המידע) ושהוא יהיה זמין בהתאם למה שמוגדר (זמינות המידע).

לכישלון בהגנה על המידע יש דוגמאות למכביר בכל תחומי החיים: חדירה לבנקים (סיטיבנק 1984), גניבת סיסמאות וכרטיסי אשראי (AOL 1995), חדירה למערכות המסווגת של משרד ההגנה האמריקאי (solar sunrise 1998), גניבת מידע על מערכות ביטחוניות (החל מ-2007), פריצה למערכות בשימוש ילדים (סוני 2011). גם אם נניח שהמידע מוגן כהלכה, האם אנחנו באמת מוגנים? התשובה היא שאנחנו לא מוגנים. ראשית, בגלל שאין בנמצא מערכת שהיא חסינה לחלוטין, ושנית, התלות במחשבים בכל תחומי החיים מציפה בעיה חדשה- התקפות על מחשבים שמטרתן אינה רק המידע עצמו, אלא פגיעה בתהליכים חיוניים שנשלטים על מחשבים.

אבטחת סייבר

אם פעם שלושה ימי השבתה של רשת האינטרנט היו נסבלים, היום זה דבר בלתי מתקבל על הדעת. רשת סלקום, אחת מרשתות הסלולר המתקדמות בעולם, קרסה ב-09:56 1 בדצמבר 2010 למשך כמעט 10 שעות וגרמה לנזקים כבדים ללמעלה מ-3 מיליון לקוחות. ב-25 לינואר 2011 ארעה תקלה ברשת בזק משעה 09:00 בבוקר ועד 13:00 וגרמה לכך שכמחצית ממנויי בזק, כמיליון לקוחות, נותקו לא יכלו לקבל או להוציא שיחות. בשני האירועים הללו ברור לגמרי שלא מדובר באירועי אבטחת מידע. מדובר בכשל במחשב (ששולט על מערכות תקשורת במקרה הזה) שתקלה בו פגעה בתפקוד הרגיל.

ההבחנה בין התקפה על מחשבים כדי לשבש את מהלך החיים התקין, לבין פריצה למחשבים כדי להשיג גישה למידע - היא מהותית. מחשבים משמשים לשליטה ובקרה על כל תהליך משמעותי בחיינו והתקפתם נעשית למטרות שונות, לדוגמא: השבתת אספקת החשמל (ברזיל 2005, 2007), שיבוש תנועת רכבות (ארה”ב 2012), למנוע שירותים ממשלה חיוניים (אסטוניה 2007), לשיתוק יכולת אווירית צבאית (מטוסי חיל הים הצרפתי 2009), לחשיפה מאסיבית של פרטים אישיים (גניבת מרשם האוכלוסין הישראלי 2007), לפגיעה בתפקוד של בתי חולים (ארה”ב 2011), לשיבוש מערכות לווייניות (נאס”א 2008-9), לגניבת מידע על מערכות נשק רגישות (F35 לוקהיד מרטין 2009), לשיבוש ערוצי טלוויזיה מסחריים (BBC לונדון 2012) לשליטה על צנטריפוגות (Stuxnet 2010) ועוד.

להתקפות על מחשבים יכולות להיות השלכות מרחיקות לכת והן אף יכולות לעלות בחיי אדם. פגיעה במחשבים משמעותה פגיעה בתהליכים חיוניים ואבטחתם היא אבטחת מערכות החיים מפני התקפות על המחשבים שמנהלים אותם. אבטחת סייבר היא אבטחת המחשבים שמשמשים לשליטה ובקרה על תהליכים חיוניים. באופן דומה, התקפת סייבר היא התקפה שמטרתה לפגוע בתהליכים חיוניים הנשלטים על ידי מחשבים. מי ששולט על שו”ב של תהליך, שולט על התהליך כולו.

וירוס יכול לשתק מדינה

כמעט כל תהליך חיוני או תעשייתי נשלט מערכת ממוחשבת שמורכבת משלושה תת-ממערכות: (1) בקרים לוגיים מתכנתים (PLC) (2) מחשבים שמשמשים לפיקוח, שליטה ואיסוף נתונים אודות מצב המערכת מהבקרים (3) תקשורת בין הבקרים למערכת השליטה. המערכת כולה נקראת בדרך כלל מערכת סקאדה (SCADA – Supervisory Control and Data Acquisition). רוב המערכות כיום מקושרות לעולם במישרין או בעקיפין (לדוגמא עם USB), מרביתן אינן מוגנות בגלל מודעות נמוכה של המשתמשים, וגם בגלל שיש מספר מצומצם של פתרונות הגנה קיימים.

המיתוס של “מעט משתמשים מעט התקפות” הוא השולט. לא ניתן להניח יותר שמערכות מבודדות אינן פגיעות ויותר חברות (כולל ישראליות) נכנסות לתחום כדי לפתח שיטות, טכנולוגיות וכלים להתמודדות עם הבעיה. האתגר לא מסתיים כאן. המערכות התעשייתיות תלויות במערכות אלה גם הן. לדוגמא חדר שרתים של ארגון גדול צריך חשמל, גיבוי לחשמל, מים ומזגן לקירור, ביוב להוצאת המים, מערכות לבקרת לחות, אש ואקלים, תקשורת עם אתרי גיבוי מרחוק וכו’.

פגיעה במערכת אחת מכל אלו יכולה לפגוע לחלוטין בתפקוד חדר השרתים כולו (לדוגמא שרתים לא יתפקדו לאורך זמן בלי מזגן). רוב המערכות לא נבנו כדי להתמודד עם התקפות עליהן וגם למפעיליהן אין מודעות וידע מספקים כדי להתמודד עם האתגר. אין אנטי וירוס לבקר של מזגן או firewall לבקר של ביוב או למערכת מזלפים של כיבוי אש. ניתן להניח שהנזק שיגרם לארגון שבו יופעלו מזלפי כיבוי האש ביום עבודה רגיל יכול להיות אדיר. העובדה שמחשבים משולבים בכל תהליכי החיים, הופכת אותם למטרה ערכית למי שרוצה לשבש תפקוד של מדינה או להפיל עסק. וירוס במחשבי שו”ב של מערכת חיונית - יכול בהחלט לשתק מדינה. במבחן התוצאה, לא יהיה הבדל אם החשמל יופסק כי טיל פגע בטורבינה שמייצרת את החשמל או שגורם עוין החדיר וירוס למחשב שגרם להפסקת החשמל. ההתמודדות עם איום הסייבר היא מורכבת מאוד. כיום קשה מאוד, ולפעמים בלתי אפשרי, לזהות תקיפה כשהיא קוראת וכן לדעת אחרי שהיא קרתה, מי ביצע אותה (בעיית הייחוס). מכאן, שאם לא יודעים מי מתקיף, קשה להחליט על תגובה מתאימה וגם קשה להרתיע.

מרחב הסייבר שלא קיים

התחלה טובה היא בחשיבה על אבטחת סייבר (או הגנת המערכות ששולטות על התהליכים) בשילוב עם מאמצי או אמצעי אבטחה האחרים, בראייה כוללת, יש להשיג הגנה מקסימלית ולא כמרחב שבו יש לוחמה נפרדת ולכן ההגנה נפרדת. במילים אחרות, הגנת הסייבר חייבת להיות משולבת בכל תהליך חיוני, ולהיות חלק בהגנת כל מערכת. חשיבה עליו כ”מרחב” חדש היא טעות מחשבתית שעשויה להוביל להתמודדות לא נכונה עם האתגרים שתוארו לעיל.

לא מדובר ב”מרחב חדש” שמתווסף לקיימים (אוויר, ים, יבשה וחלל). מדובר בטכנולוגיה חדשה שאנו עושים בה שימוש וניתן לנצל אותה לרעה ולפגוע בנו - בכל הממדים. אבטחת סייבר נכונה צריכה להיעשות תחת ההבנה שהיא משולבת בתהליכי אבטחה אחרים ולא בנפרד מהם, וכי חלק מהפתרונות לבעיות בסייבר, אינו בסייבר עצמו. לא בכדי ההמלצה המרכזית למזעור סיכוני סייבר היא בהעלאת המודעות של המשתמשים. יש צורך גם בהבנת התלות בין המערכות ובהבנת הרכיבים הקריטיים בכל אחת מהן ובעיקר, על מה מגינים ועל מה לא. הדבר דומה לרוכב אופנוע שחובש קסדה כדי להגן על ראשו (הרכיב הקריטי) ולא מגן על כל הגוף.

הקצב המהיר של השינויים הטכנולוגים, לצד כמות איומים גדולה (בין אם מכמות חולשות הטכנולוגיות ובין אם מכמות היריבים) מצריך מודוס אופרנדי חדש. גיבוש אסטרטגיית אבטחת סייבר ע”י הנחת הנחות עבודה גם ללא ידיעה ברורה של כוונות יריב ספציפי. די להבין מהם הרכיבים הקריטיים שעליהם צריך להגן כדי לדעת שיש לשמור עליהם מפני איומים שלא ניתן לחזות או מפני יריבים שאין וודאות בקיומם. בעולם גלובלי ומקושר, אם אפשר לחשוב על מישהו שיוכל לתקוף, כנראה שיש מישהו שחושב לתקוף. המגזר הפרטי הוא זה שנמצא “בחזית” התקפות הסייבר כיום משום שרוב התשתיות נמצאות בבעלותו, אבל אין זה אומר שהדבר באחריותו בלבד.

הסייבר נוצר משיתוף פעולה ולכן האחריות לאבטחתו צריכה לעשות בשיתוף פעולה, ובשילוב כל המגזרים (ממשלה, אקדמיה, תעשייה) - ומהר. אסור להגיע למצב שבו נופתע בגלל שלא פעלנו מהר ובכיוון הנכון. השאלה היא מתי נשלם את מחיר, האם עכשיו, כדי להגן, או בעתיד כדי לתקן נזקים אחרי התקפה?

אולי יעניין אותך גם

By Spc. Micah E. Clare, U.S. Army - This image was released by the United States Army with the ID 070930-A-2013C-254 (next). Public Domain, https://commons.wikimedia.org/w/index.php?curid=4556991

דיווח: רק"מי M1117 ראשונים הגיעו לאוקראינה מארה"ב

רק"מים אלו הינם חלק מחבילת הסיוע הצבאי האמריקאית בשווי של 400 מיליון דולרים שהוכרז עליה בחודש נובמבר 2022