המגן על הכול אינו מגן על כלום - מרחב הסייבר והביטחון

המגן על הכול אינו מגן על כלום  - מרחב הסייבר והביטחון
מאת: ירון עידן, 12.4.14, 22:00

תקיפות בסייבר משפיעות על חיינו הפרטיים והעסקיים ועל ביטחוננו הלאומי. מה נכון לעשות ועד כמה זה אפקטיבי? מאמר זה מעלה תהיות, תובנות ובעיקר שאלות.
 
מקובל לסווג ולחלק את האיום הקיברנטי ל-2 קבוצות עיקריות: הראשונה עוסקת במרחב ובפעילות העסקית- כלכלית והשנייה מתרכזת בתחום הרחב והעמוק יותר של הביטחון הלאומי.

זמן קצר לאחר מתקפת הטרור בארה"ב והתמורות, שחוללו בעולם פיגועי ה-11 בספטמבר 2001, טען הפילוסוף ז'אק דרידה (Jacques Derrida‏), שהאיומים והאתגרים הגדולים עוד לפנינו. דרידה טען, שאיומי הטרור הפיזי שייכים לעולם הישן הלקוח כדבריו מ"תיאטרון האלימות העתיק". לדבריו, המרחב הקיברנטי מציב איום חמור על עולמנו הפוליטי והפיזי.

טרור קיברנטי:
נהוג לסווג את האיום הקיברנטי, מצד קבוצות וארגוני טרור, לתת - חלוקה פרטני ממוקד מטרה. חלקם בעלי "פוטנציאל נזק" ממשי ועכשווי וחלקם מהווים איום פוטנציאלי לעתיד הקרוב, גם הקרוב מאוד.

1. עסקים, כלכלה ופשיעה:

(1) חברות עסקיות המצויות מצד אחד במתח תחרותי והתפתחותי ומצידו השני מתמודדות עם דילול משאבים ואמצעים, עלולות לחפש פתרונות על מנת להאט, להכשיל ואף לרסק חברות מתחרות. במישור זה אנו חווים עליה, שהחלה בראשיתה בהיסוס, אך מימדיה עולים ומתרחבים וכלי התקיפה בסייבר הולכים ומקבלים משמעות גם בתחום זה.

(2) קבוצה נוספת היא הקבוצה של ארגוני הפשע המאורגן. גורמים פלילים המונעים בד"כ מאינטרסים פלילים-עסקיים. גורמי פשיעה רבים בארץ ובעולם מזהים את הפוטנציאל האדיר בשימוש בכלי הסייבר כדי לגרום להם רווחים, השפעה ושליטה.

1. ביטחון לאומי:

(1) מדינות מפתחות כלי הגנה וכלי תקיפה כחלק מתפיסת הכוח. מכוני מחקר בינ"ל מדווחים על שימוש ניכר הן בבניין הכוח והן בהפעלתו בהקשרי סייבר והמימד הווירטואלי. עוד עולה, שמשאבים רבים מושקעים בכלי מחקר ופיתוח של אמצעי תקיפה משמעותיים המשנים ומפרים איזונים אסטרטגיים.
(2) איום מוחשי ומיידי מגיע מארגוני הטרור המקומיים והבינ"ל. היתרונות בתקיפה בסייבר מתרכזים בנזקים גדולים ובכושר התחזות טוב וחמקמק, וביטול המימד הפיזי הופך כלי זה לרלבנטי ואטרקטיבי  יותר מתמיד.

קבוצה נוספת המהווה איום גם היא על המימד אזרחי כלכלי וגם על המימד הביטחוני לאומי היא קבוצת האנרכיסטים. כמידי יום אנו מתבשרים, שבמקומות שונים בעולם פועלות קבוצות אנרכיסטים במימד הסייבר, כדי לתקוף ולשבש נתונים, פעילות עסקית או אחרת וכן הפלת אתרים.

מה בין פעילות פרטית לתשתית לאומית?
כל בר דעת מבין, שבאחריות המדינה לסמן עבורה ועבור אזרחיה את התשתיות הלאומיות הקריטיות. בתשתיות אלה בוודאי נכלול את חברות החשמל והאנרגיה, משאבים לאומיים, מים, בנקים תקשורת ועוד. אך מה לגבי חברות פרטיות בבעלות פרטית. האם עומדת להם חובה ואם כן מתוקף מה?

לשם חידוד הדילמה יש לשאול:  
האם לריבון יש צורך, יכולת או הרשאה לדרוש מבעלי חברה פרטית, שפעילותה יכולה להיתפס בשעת חירום לחיונית, לעמוד בסטנדרטים נגד מתקפות סייבר?

במדינת ישראל מוכרים לנו התקנות לשעת חירום וקביעת מפעלים ותשתיות כארגונים חיוניים, שפעילותם תתקיים מתוקף צווים אלה. האם ראוי לכלול גופים אלה ואחרים לתקנות הגנה בסייבר כדי לעמוד בסטנדרטים מסוימים לשימור הרציפות התפקודית של חברות אלה?
מי קובע את הסטנדרטים ואיך מתקפים אותם?
כיצד תהליכי ההפרטה משפיעים על תנאי ההגנה והמחקר בסייבר?
 מי ראוי שינהל את הדיון העוסק בהגנה בסייבר?
האם המטה הלאומי בסייבר אפקטיבי?
כיצד ניתן למדוד את מידת האפקטיביות שלו?
מה בין פשיעה ברשת לסכנה בביטחון לאומי?
האם הסכנה היא סכנה קיומית?
מה בין כלים קיברנטיים לכלי מלחמה קיברנטיים?
האם אנו עוסקים בשאלות נוקבות או בהוויה אפוקליפטית?
 
פיתוח אמצעי הגנה בסייבר:
אמצעי הגנה בסייבר ראוי שיפותחו לאור מחקרים ותוך שימוש בידע טכנולוגי מתקדם ועדכני. עובדה היא, שרוב האמצעים מנוהלים ומוחזקים בידי מספר חברות, ששולטות במשק העולמי שליטה אבסולוטית. בהקשר זה תוזכר מערכת ההפעלה של Windows. הפרסום של חברת מיקרוסופט על הפסקת ניהול ועדכון מערכות האבטחה לחלונות XP, השימוש המורכב והתלות במנועי החיפוש, התפשטותן של הרשות החברתיות וביטולו החד משמעי של המרחב הפרטי (אם אי פעם היה כזה).

ההזדמנויות, שמעניקה לנו מהפכת הידע מסכנות אותנו אזרחית וביטחונית. באין ברירה, נצרוך את מערכות ההגנה ברמה הפרטית, וישקדו ברמה הלאומית לשפר את רמת הביטחון הלאומית. הרי בסופו של יום לעולם לא נוכל באמת לדעת מה חבוי לו במחשב, שרכשנו, שחלקיו פותחו באי שם, מה הם הסכנות בשימוש בכבל תקשורת פשוט, מה קורה למידע הזורם במהירויות הולכות ומשתפרות בסיבים האופטיים ובכבלים ימיים טרנס אטלנטיים ובוודאי כיצד מנוהלים בצורה מאובטחת ענני המידע שבשימושנו.

יחד עם כול הקושי, יכול כול ארגון לצרוך מגוון אמצעי הגנה בסייבר המתאמים לצרכיו, לקבוע מדיניות ביטחונית בארגון ולשמר תרבות- ארגונית הכוללת מודעות, ערנות ואף חשדנות. בכל ארגון וחברה עסקית, בין אם היא מונה אדם בודד ועד ניהול פעילות בינלאומית של מאות ואלפי מועסקים, יש לנהל מדיניות של "ניהול סיכונים".  בין היתר, הליך זה כולל בירור וסימון נכסי הארגון, התמודדות עם האיומים וקביעת מדיניות ביטחונית אל מול "איום הייחוס".

לסיכום, מי עושה מה? מי אחראי על ההגנה בסייבר בטיסה, נסיעה באוטובוס או נסיעה ברכב פרטי? ממאמר זה עולה עננות כבדות של אי וודאות וסכנות המתרחשות מידי יום. כל ארגון יקבע לעצמו מי מנהל את תחום ההגנה בסייבר. בין אם זה מנהל מחלקת ה-IT ובין אם זה הקב"ט הראשי. מה היא דמותו של הקב"ט החדש ואילו כישורים רצוי שירכוש?

אכן סיכום רווי בסימני שאלה כי נתיב התנועה אכן לוט בערפל סמיך.

מאת: ירון עידן, אפריל 2014. אל"מ (במיל.), בעל תואר שני במשפטים ובעל חברה לחקירות וייעוץ ביטחוני בינ"ל http://wwcybersecurity.com
דוא"ל:כאן.