איך לשרוד את מלחמות הסייבר

קרוב לוודאי שמתקפות הסייבר יתעצמו בשנים הקרובות, וזו בעיה שכולנו ניצבים בפניה. כיום, כשכולנו מחוברים למרחב הסייבר באופן כלשהו, באמצעות הטלפונים והמחשבים שלנו או דרך הרשתות הארגוניות שלנו, אנחנו כולנו חשופים לפגיעה. רשתות, שרתים, מחשבים אישיים וחשבונות מקוונים פרוצים הם המשאב הבסיסי של פושעי הסייבר ושל מרגלים בשירות ממשלות, גם יחד. הרשת הארגונית או מחשב הגיימינג האישי שלכם עלולים להפוך בקלות לכלי נוסף בארגז כלי הנשק של פושעי סייבר, או של סוכנויות ריגול הממומנות על ידי משלם המסים. מחשבים החשופים לסכנת תקיפה יכולים לשמש כקרש קפיצה למתקפה הבאה או להפוך לחלק מ"בּוֹטְנֶט", רשת זדונית של מחשבי "זומבי" המושכרים לפי שעה כדי להפעיל התקפות-מניעת-שירות (DDOS) או להפיץ דואר זבל.

בתגובה לאיומים כאלה, הנטייה הטבעית של ממשלות, בארה"ב ובמדינות אחרות, היא להפוך את מרחב הסייבר לזירה צבאית, לנסות לפקח על העולם הדיגיטלי באמצעות מנגנונים ביורוקרטים ריכוזיים וסוכנויות חשאיות. אבל לגישה כזאת אין כל סיכוי להצליח. לאמיתו של דבר, מסיבות שנמנה כאן, היא אף עשויה להחמיר את המצב. אבטחת סייבר דומה להתמודדות עם בעיה של בריאות הציבור. לסוכנויות בריאות ממשלתיות, דוגמת המרכזים האמריקניים לבקרת מחלות ומניעתן (CDC), יש תפקיד חשוב, אך אין ביכולתן לעצור התפשטות של מחלות בכוחות עצמן בלבד. הן יכולות למלא את תפקידן רק אם האזרחים יפעלו כנדרש.

מרחב סייבר עצום ממדים

האתגר בהגנה על מרחב הסייבר נובע בחלקו מכך שאין "מרחב סייבר" אחד ויחיד. מדובר במערכת עצומת ממדים של מערכות המקושרות ביניהן, שמשתנה וגדלה ללא הרף. כדי להבין במה מדובר, עלינו לחזור לאחור יותר ממחצית המאה, לעבודתו של נורברט וינר, פרופסור למתמטיקה במכון הטכנולוגי של מסצ'וסטס (MIT). ב-1948 שאל וינר מילה יוונית עתיקה כדי לתאר תחום מחקר מדעי חדש שפיתח, קיברנטיקה, שאותו הגדיר כחקר תהליכי "הבקרה והתקשורת בעולם החי ובעולם הממוכּן". ביוונית עתיקה, המילה Kybernetes ציינה את תוארם של ההגאים או הנווטים של ספינות הצי ששייטו בים התיכון [ומכאן גם המילה קברניט, המשמשת בעברית עד היום – העורכים]. באנלוגיה, המרחב הקיברנטי, או בתעתיק מאנגלית מרחב הסייבר, מציין את כלל הטכנולוגיות האלקטרוניות והדיגיטליות המשולבות המאפשרות בקרה ותקשורת של כל המערכות העומדות בבסיס החיים המודרניים. מרחב הסייבר מורכב מקשת רחבה של טכנולוגיות בקרה ותקשורת מרחוק: החל במשאבות אינסולין מושתלות המופעלות באמצעות אותות רדיו, וכלה במערכות ניווט לווייניות.

חשוב להבין שמרחב הסייבר אינו נחלת הכלל. מעמדו אינו דומה לזה של מים בין-לאומיים או של הירח. הוא אף אינו אוסף של טריטוריות שממשלות או צבאות יוכלו באמת לשלוט בהן, גם אם נבקש זאת מהם. מרבית הטכנולוגיות והרשתות המרכיבות את מרחב הסייבר מצויות בבעלותם של תאגידים רב-לאומיים הפועלים למטרות רווח, ומתוחזקות על ידם.

הטכנולוגיות המרכיבות את המרחב הזה מתרבות בקצב מהיר והן נעשות מגוונות יותר. ספקית טכנולוגיות הרשת סיסקו מערכות (Cisco Systems) צופה שעד 2020 יהיו מחוברים לאינטרנט 50 מיליארד הֶתקנים, ובכלל זאת גם הֶתקנים ומערכות תעשייתיים, צבאיים וכאלה הקשורים לתעופה וחלל. כל התקן או מערכת חדשים שמתחברים למרחב הסייבר משמשים מטרה אפשרית למתקפת סייבר, והתוקפים מיומנים באיתור החוליות החלשות בכל רשת. לדוגמה, ההאקרים שפרצו למערכת נקודות המכירה של ענקית המרכולים טארגט, וגנבו משם את הפרטים של מיליוני כרטיסי חיוב, השיגו גישה לרשת של החברה רק לאחר שפרצו תחילה למטרה קלה יותר: חברת Fazio שירותים מכאניים, חברת התחזוקה שמפעילה את מערכות החימום והקירור של טארגט. המרגלים הסיניים שלפי הפרסומים השיגו גישה ב-2011 לרשתות של חברת לוקהיד מרטין עשו זאת רק לאחר שפרצו תחילה לרשת של חברת האבטחה RSA, שסיפקה ללוקהיד מרטין את התקני האבטחה שלה. וגם הרשת של RSA עצמה נפרצה רק מפני שעובד במחלקת משאבי האנוש של תאגיד האם שלה, EMC, פתח קובץ אקסל תמים למראה שצורף להודעת דואר אלקטרוני.

בנוסף, גם ה"דברים" ב"אינטרנט של הדברים" (IoT) אינם רק פרצות שדרכן יכולים תוקפים להתגנב: הם עצמם משמשים מטרות לחבלה אפשרית. כבר ב-2008 הוכיחו חוקרי אבטחת סייבר שביכולתם לפרוץ מרחוק לקוצבי לב מושתלים. מאז הדגימו חוקרים אחרים את היכולת להשתלט מרחוק, באמצעות אותות רדיו, על משאבות אינסולין מושתלות ולהורות להן להזליף אינסולין למערכת הדם של מטופלים, פעולה שתוצאותיה עלולות להיות קטלניות.

גם תשתיות פיזיות חשופות לסכנת תקיפה, כפי שנוכחנו לדעת ב-2010, כשהתברר שווירוס המחשבים סטוקסנט (Stuxnet) הוא האחראי להרס הסרכזות (צנטריפוגות) להעשרת אורניום במתקן הסודי בנָתַנְז שבאירן. סטוקסנט, שפותח, על פי פרסומים זרים, בשיתוף פעולה צמוד ויקר בין ארה"ב וישראל, הוכיח, לראשונה בהיסטוריה, שקוד מחשב דיגיטלי יכול לשבש ולהרוס מערכות פיזיות אנלוגיות. מתקפות סייבר אחרות שבוצעו מאז איששו זאת. בדצמבר 2014 דיווח המשרד הפדרלי הגרמני לאבטחת מידע שפורצים שיבשו מערכות במפעל פלדה במדינה. הם מנעו כיבוי של כבשן היתוך וגרמו ל"נזק עצום למערכת". שלושה חודשים קודם לכן תקפו האקרים סיניים את אתרי האינטרנט של השירות המטאורולוגי האמריקני (NOAA) המעבדים נתוני לוויינים שמשמשים לתעופה, לתגובה בשעת חירום ולמטרות חשובות אחרות.

אבטחת סייבר אינה מתמצה אפוא רק באבטחת מחשבים, רשתות או שרתי אינטרנט. וללא ספק, אין מדובר רק באבטחה של "סודות" (כאילו שיש עדיין דברים שגוגל ופייסבוק אינם יודעים עלינו). הקרב האמיתי במרחב הסייבר מתנהל על הגנה על דברים, תשתיות ותהליכים. הסכנה טמונה בשיבוש הטכנולוגיות שאנחנו מסתמכים עליהן בחיי היום-יום ובחבלה בהן. המכוניות, הכספומטים וההתקנים הרפואיים שלנו; רשתות החשמל, לווייני התקשורת ורשתות הטלפון. אבטחת סייבר עוסקת, למעשה, בהגנה על אורח החיים שלנו.

תפקיד הממשלה

ממשלות ניצבות בפני קונפליקטים עמוקים בבואן להגן על מרחב הסייבר. לסוכנויות פדרליות רבות, ובכללן המחלקה לביטחון המולדת של ארה"ב, יש עניין אמיתי בהגנה על חברות ואזרחים אמריקניים מפני מתקפות סייבר. ואולם, ישויות ממשלתיות אחרות יכולות להפיק תועלת מכך שהרשתות בעולם יישארו מנוקבות בפרצות אבטחה. גופים חשאיים כמו הסוכנות לביטחון לאומי של ארה"ב (NSA) משקיעים מיליונים באיתור, באיסוף ובשימור פגמים טכניים שיכולים לאפשר לתוקף להשיג שליטה על מערכת.

פרצת אבטחה מעוררת אימים בצד אחד עשויה לשמש נשק סודי של גוף אחר. חִשבו, למשל, על פרצת האבטחה Heartbleed. אם השתמשתם באינטרנט בחמש השנים האחרונות, קרוב לוודאי שהמידע האישי שלכם הוצפן ופוענח על ידי מחשבים שמריצים את תוכנת האבטחה SSL .OpenSSL היא הטכנולוגיה הבסיסית שמיוצגת על ידי סמל המנעול שלמדנו לצפות לו באתרי אינטרנט מאובטחים. פרצת האבטחה נבעה משגיאה בסיסית שנעשתה בפיתוח ההרחבה הפופולרית של OpenSSL, הקרויה Heartbeat. הבאג אִפשר למצותתים גישה קלה למפתחות הצפנה, לשמות משתמש ולסיסמאות, וכך ביטל למעשה את האבטחה שהצפנת SSL הייתה אמורה לספק. הפרצה בקוד OpenSSL הייתה אפשרית במשך שנתיים תמימות, עד ששני צוותים נפרדים של חוקרי אבטחה (האחד בראשות ניל מהטה, מומחה אבטחה בגוגל, והאחר, בחברת Codenomicon בפינלנד) גילו את הבאג. ימים אחדים לאחר מכן ציטט השבועון Bloomberg Businessweek מקורות עלומי שם שטענו שה-NSA השתמשה בפגם האבטחה הזה במשך שנים כדי לנהל מבצעי ריגול סייבר.

רבות מן המדינות המובילות בעולם מקדישות את מיטב הכישרונות הטכנולוגיים שלהן ומשקיעות מיליוני דולרים לאיתור ולניצול פרצות אבטחה דוגמת Heartbleed. ממשלות אף רוכשות באגים בשוק החופשי, וכך מסייעות לקיים את הסחר בפגמי אבטחה. מספר הולך וגדל של חברות, כגון החברה הצרפתית Vupen Security והחברה האמריקנית Exodus Intelligence מטקסס, מתמחות בגילוי ובאריזה של באגים יקרי ערך אלה. למעשה, כמה ממשלות משקיעות יותר כסף במחקר ובפיתוח של יכולות סייבר התקפיות מאשר במחקר בתחום הגנת סייבר. הפנטגון מעסיק גדודים של חוקרי פרצות אבטחה, וה-NSA משקיעה, על פי הדיווחים, פי שניים וחצי יותר כספים במחקרי סייבר התקפי מאשר במחקרי הגנת סייבר.

ואולם, כל זה אינו אומר שממשלות הן מרושעות מטבען או שהן אויבות של אבטחת סייבר. קל להבין מהם המניעים של גופים כמו ה-NSA. תפקידם הוא לאסוף מודיעין כדי לסכל מעשים נוראים. הגיוני אפוא שישתמשו בכל כלי שעומד לרשותם כדי להשיג מטרה זו. ועם זאת, צעד חשוב באבטחת מרחב הסייבר הוא הערכה כנה של התועלת והמחיר של טיפוח פגמי אבטחה על ידי סוכנויות ממשלתיות. צעד חשוב נוסף הוא ניצול מלוא היתרונות שטמונים בכוחן של ממשלות לנקוט אמצעים שגופים אחרים אינם יכולים להפעיל. לדוגמה, ממשלות יכולות לאפשר לחברות ולארגונים אחרים לשתף מידע לגבי מתקפות סייבר ואף לאלץ אותם לעשות כן.

בייחוד בנקים עתידים להפיק תועלת משיתוף מידע לגבי מתקפות סייבר, שכן מתקפות כאלה על מוסדות פיננסיים מתנהלות לרוב על פי דפוס פעולה קבוע: כשפושעי סייבר מוצאים שיטת התקפה שפועלת על בנק אחד, הם מנסים ליישם אותה על בנק אחר, ולאחר מכן, על בנק נוסף. אלא שבנקים נמנעים באופן מסורתי מחשיפת מידע על מתקפות סייבר, מאחר שמידע כזה מעורר בהכרח תהיות לגבי רמת האבטחה שלהם. הם נמנעים גם ממגעים עם מתחריהם ובמקרים מסוימים, דיני ההגבלים העסקיים אף אוסרים זאת עליהם. אבל ממשלות יכולות להקל את שיתוף המידע בין בנקים. הדבר מתאפשר כבר כיום בארה"ב, באמצעות המרכז לשיתוף ולניתוח מידע לגבי שירותים פיננסיים (FS-ISAC), שמשרת גם ארגונים פיננסיים גלובליים. בפברואר 2015 חתם נשיא ארה"ב ברק אובמה על צו נשיאותי הקורא לחברות אחרות לשתף מידע דומה ביניהן ועם הממשל.

האקרים יכולים גם לסייע

כל עוד בני אדם יפתחו תוכנה, יהיו בה פרצות. לחצי השוק ההולכים וגוברים דוחפים את חברות הטכנולוגיה להוציא לשוק מוצרים חדשים בקצב מהיר מאי פעם. חברות אלה ישכילו לעשות אם ינצלו את המשאב האנושי העצום של קהילת ההאקרים הגלובלית. ואכן, ב-2014, בעקבות אירועים כמו חשיפת המידע על ה-NSA על ידי אדוארד סנודן, תעשיית הטכנולוגיה וקהילת ההאקרים החלו להיפתח לאפשרות של שיתוף פעולה ביניהן. מאות חברות כבר מכירות בערך המוסף שטמון בהעסקת האקרים בתכניות שמציעות תמריצים ומעניקות פרסים לחוקרים עצמאיים המדווחים על פרצות אבטחה ובעיות אבטחה. חברת נטסקייפ השיקה כבר ב-1995 את התכנית הראשונה לתגמול בעבור באגים, שנועדה לאתר פגמים וליקויים בדפדפן שפיתחה. כיום, עשרים שנה לאחר מכן, מחקרים מראים שאסטרטגיה זו (הנקראת גם Bug Bounty Program) היא אחד האמצעים הכדאיים ביותר, במונחים של עלות-תועלת, שהחברה וממשיכת דרכה, מוזילה (Mozilla), נקטו כדי לחזק את האבטחה. קהילות פרטיות וציבוריות של מקצועני אבטחה משתפות מידע לגבי תוכנות זדוניות, איומים ופרצות אבטחה במטרה ליצור כעין מערכת חיסון מבוזרת.

ככל שמרחב הסייבר הולך וגדל, יצרני מכוניות, חברות שמפתחות התקנים רפואיים, ספקים של מערכות בידור ביתיות ובעלי עסקים אחרים נדרשים לשנות גישה ולהתחיל לחשוב כמו חברות לאבטחת סייבר. הדבר כרוך בשילוב האבטחה כמרכיב בלתי נפרד מתהליך המחקר והפיתוח, כלומר השקעה באבטחת מוצרים ושירותים כבר בשלב התכנון ועיצוב הטכנולוגיה, ולא רק בדיעבד או בתגובה לתקנות ממשלתיות מחייבות שמגיעות לרוב, רק אחרי שהאסון כבר קרה. גם כאן קהילת ההאקרים יכולה לסייע. לדוגמה, מומחי האבטחה ג'ושוע קורמן וניקולאס פרקוקו הקימו ב-2013 תנועה ושמה I Am the Cavalry ["אני חיל הפרשים" ], שהאיצה בהאקרים לערוך מחקרי אבטחה באופן אחראי, שיחולל שינוי לטובה בעולם, בדגש על תחומים קריטיים כגון תשתיות ציבוריות, תעשיית הרכב, התקנים רפואיים וטכנולוגיות ביתיות מקוונות. יוזמה אחרת, שהגו והניעו חוקרי האבטחה הנודעים מארק סטניסלב וזאק לנייר, קרויה BuildItSecure.ly ["בנו זאת באופן מאובטח"], ומטרתה ליצור פלטפורמה לפיתוח של אפליקציות מאובטחות ל"אינטרנט של הדברים". מתוך ראייה זו, אני מציעה לראות בהאקרים ובחוקרי האבטחה האלו אלמנטים במערכת החיסונית של עולם האינטרנט, כפי שטענתי מעל בימת TED בכנס TED 2014.

החדשות הטובות הן שמערכת החיסון המבוזרת הזאת הולכת ומתחזקת. בינואר 2015 השיקה גוגל תכנית חדשה, המשלימה את התכנית שלה לתגמול מגלי באגים, שמציעה מענקים לעידוד חוקרי אבטחה לבחון לעומק את מוצרי החברה. התכנית מכירה למעשה בכך שגם חברות המעסיקות את מיטב הכישרונות הטכנולוגיים בעולם יכולות להסתייע בנקודת המבט החיצונית של האקרים ידידותיים. גם כמה ממשלות מיישמות את הרעיון. כך, המרכז הלאומי ההולנדי לאבטחת סייבר השיק תכנית משלו לחשיפה אחראית, המאפשרת להאקרים לדווח על פרצות אבטחה בלי להסתכן בצעדים משפטיים.

החדשות הרעות הן שתקנות מסוימות במדיניות אבטחת הסייבר שאימצה ממשלת ארה"ב הנוכחית, עלולות להוציא, למעשה, מחוץ לחוק נְהגים וכלים נפוצים המשמשים לחקר פרצות אבטחה וכך להחליש את כוחה של מערכת החיסון המתפתחת. רבים בקהילת אבטחת הסייבר חוששים שהן הגרסה הנוכחית של חוק הונאות מחשב ושימוש לרעה במחשבים (CFAA) והן התיקונים המוצעים לחוק מגדירים את פעילות ההאקרים הגדרה רחבה כל כך עד שאפילו הקלקה על קישור לאתר אינטרנט, שמכיל מידע מודלף או גנוב, עלולה להיחשב כסחר ברכוש גנוב. הוצאה אל מחוץ לחוק של עבודתם של חוקרי אבטחה עצמאיים תפגע בכולנו, ואילו השפעתה על פושעים המוּנָעים משיקולי רווח או אידאולוגיה תהיה שולית בלבד.

אחריות אישית

השנים הקרובות עלולות להיות סוערות. אנחנו צפויים לראות מקרים נוספים של פריצה למאגרי מידע, ונהיה עדים, קרוב לוודאי, לדיון נוקב בשאלה עד כמה נוכל להתיר לממשלות לשלוט בעולם הדיגיטלי בתמורה לאבטחתו. לאמיתו של דבר, לאבטחת מרחב הסייבר יידרשו פתרונות מתחומים רבים: תחומים טכניים, משפטיים, כלכליים ופוליטיים. והדבר תלוי גם בנו, הציבור הרחב. כצרכנים, עלינו לדרוש מחברות לשפר את אבטחת מוצריהן. כאזרחים, עלינו לעמוד על המשמר ולדרוש מן הממשלות שלנו לתת את הדין בכל מקרה שבו יחלישו בכוונה תחילה את האבטחה במרחב סייבר. וכיחידים, כנקודות כשל אפשריות, אנחנו נושאים באחריות לאבטח את הדברים שברשותנו.

כל שעלינו לעשות כדי להגן על עצמנו הוא לנקוט כמה צעדים פשוטים כמו למשל לעדכן את התוכנות שלנו, להשתמש בדפדפנים מאובטחים, ולאפשר אימות זהות דו-שלבי של חשבונות הדואר האלקטרוני והרשתות החברתיות שלנו. עלינו גם להיות מודעים לכך שכל אחד מן ההתקנים שלנו הוא צומת במערכת רחבה הרבה יותר, ושלהחלטות הקטנות שאנחנו מקבלים יכולות להיות השלכות מרחיקות לכת. כאמור, אבטחת סייבר אינה חייבת להיות שונה משמירה על בריאות הציבור. שטיפת ידיים וחיסונים יכולים למנוע הפצת מחלות.

לקריאה נוספת

• War and Anti-War: Survival at the Dawn of the 21st Century. Alvin and Heidi Toffler. Little, Brown, 1993
• A Fierce Domain: Conflict in Cyberspace, 1986 to 2012. Edited by Jason Healey. Cyber Conflict Studies Association, 2013
• Countdown to Zero Day: Stuxnet and the Launch of the World’s First Digital Weapon. Kim Zetter. Crown, 2014