המשפט: "המגן צריך להגן על הכל בעוד הפורץ צריך למצוא רק נקודת חולשה אחת" הפך ברבות השנים לתירוץ האולטימטיבי מדוע המגן נמצא בנחיתות מובהקת וייכשל תמיד כאשר אנו מדברים על עולם ה-CYBER.
המאמר מנסה לקרוא תיגר על נכונות המסקנה ולטעון שבמשפט הקצר והפשוט טמונה למעשה כל חוסר ההבנה האנושית מהו עולם ה-CYBER באמת.
בואו נפרק את המשפט לשני חלקיו:
המגן: המגן צריך להגן על הכל. אמירה נכונה אך עדיין איננה אומרת דבר על שיטת ההגנה.
הפורץ: הפורץ צריך למצוא רק נקודת חולשה אחת. מה זה אומר בדיוק? כתוב בצורה ברורה שהפורץ "צריך למצוא..." מה זה צריך למצוא? מבחינה מקצועית המשמעות הנה שהפורץ מבצע פעילות מגוונת על מנת לאתר את נקודת החולשה, לפני שהוא מבצע את התקיפה עצמה.
בואו נתחיל מאיתור נקודות חולשה בעולם האמתי. דוגמאות:
(1) - שליחת סיורים לבחון האם יש פרצות בגדר המתקן?
(2) - ניסיונות לחתוך את הגדר תוך קיום תצפית ובחינת תגובת המתקן על בצוע החיתוך בגדר,
(3) - ניסיונות לעבוד על השומר בכניסה תוך שימוש בתעודות כניסה מזויפות או שפג תוקפן.
ועוד מגוון שלם של פעילויות מסוגים שונים ובמישורי פעילות שונים.
ומה עושה המגן בעוד הפורץ מנסה לאתר את נקודות החולשה? יושב לו בשקט ונותן לפורץ מרחב פעולה חופשי עד שימצא את נקודת התורפה? לחלוטין לא. חלק ממנגנוני ההגנה מטרתם לאתר את ניסיונות הפורץ לחפש את נקודות התורפה עוד לפני שהפורץ עשה בהן שימוש על מנת לממש את כוונותיו. לדוגמה:
(1) - יוצר "שטח נקי" בסביבת גדר המתקן ומפעיל מערך תצפיות הכולל אמצעי ראית יום/לילה המאפשר גילוי מוקדם של תנועה חשודה בסביבת גדר המתקן,
(2) - מפעיל מערך סיורים ומכין יכולת תגובה מהירה על קבלת התראה על נגיעה בגדר/חיתוך גדר,
(3) - הפעלת מערך הדרכה ותרגול לשומרים על מנת שיאתרו ניסיונות שימוש בתעודות מזויפות/שפג תוקפן ולחילופין משדרג את מערך בקרת הכניסה תוך שימוש בעזרי זיהוי טכנולוגיים מתקדמים.
ואלו רק מקצת הדוגמאות שמטרתן להמחיש שהמגן, בנוסף על פעילויות ההגנה הפנימיות עצמן, נוקט במגוון שיטות על מנת להוות יריב שקול לתוקף בעת שזה האחרון מנסה למצוא את נקודת התורפה האחת. כל זה נכון בעולם הפיזי ומדוע? כיוון שהפרקטיקה של הביטחון הפיזי (בוודאי כאשר מדובר בארגון בטחוני, אך גם כאשר מדובר בארגון אזרחי) שהתפתחה במשך מאות השנים קבעה שלשבת בשקט כברווז במטווח איננה מענה מקצועי נאות.
עכשיו בואו נעבור לעולם ה-CYBER. מה המשמעות של פצחן (האקר, כך מכונה הפורץ בעולם ה-CYBER) המחפש נקודת תורפה? כמה דוגמאות:
(1) - בצוע port scanning (משמעותו חיפוש "השערים" שבהם הארגון משתמש באינטראקציה תקשורתית עם העולם החיצוני),
(2) – חיפוש פגיעויות (vulnerabilities) ברכיבי התשתית/תוכנות התשתית המותקנות בארגון,
(3) – חיבור רכיב שאיננו בבעלות הארגון לרשת הארגון (כדוגמת מחשב נייד, או שתילת רכיב חומרה/תוכנה שמאפשר בצוע האזנה לרשת התקשורת הארגונית או מתעד את ההקלדות בתחנת העבודה) ובחינת תגובת הארגון (באם הארגון בכלל מגיב טכנולוגית/תהליכית, ואם כן, כיצד),
(4) – "גיוס" מחשב על מנת שיהפוך להיות "חייל בצבא האויב" (ע"י שתילת קוד זדוני במחשב אשר יופעל "ביום פקודה" ע"י "רמטכ"ל צבא האויב").
יש עוד עשרות רבות של דוגמאות.
מה אמור המגן לעשות? כמובן, בדומה לפעילותו בעולם האמתי, עליו ליצור כחלק ממערך ההגנה הפנימי, מערך איתור ותגובה אשר יאתר את ניסיונות הפצחן (ההאקר) לחפש את נקודות התורפה עוד לפני שזה האחרון עשה בהן שימוש על מנת לממש את כוונותיו.
וזו בדיוק נקודת התורפה של פעילות המגן בעולם ה-CYBER.
הפרקטיקה של איתור התוקף מבוצעת בחלקה בשטח שמחוץ לתחום השיפוט (הטריטוריה) של המגן ולעתים מבוצעת בתחום השיפוט (בטריטוריה) של התוקף עצמו. כל אלו פרקטיקות ידועות, מנוסות ומצליחות (לא תמיד, אבל לפחות בחלקן), אלא שהן מצויות רק או בעיקר בתחום הפעילויות של המגזר הביטחוני, או בתחום הסמכות, הידע והשליטה של מדינה. אלו כוללים: איסוף מודיעין על הכנות האויב לתקיפה תוך שימוש באמצעים המופעלים בתחום השיפוט של האויב או לפחות בקרבתו, שיבוש הכנות האויב, שימוש באמצעי "פיתוי" להפנות את האויב לשימוש ב"מעברים הכרחיים" המנוטרים היטב על ידי המגן (הכנת מארבים), השתלטות על יעדי האויב ועוד.
אבל עולם טכנולוגיית המידע הוא עולם אזרחי לחלוטין.
האומנם???
הנה מתברר לנו, החברה האזרחית, שישנו פער גדול בין המונח "טכנולוגיית מידע" או "CYBER SAPCE" שהנו מונח הלקוח מחיי היום יום האזרחיים ובין המונח "הגנה על טכנולוגיית המידע" או כפי שנהוג בימים אלו לכנות את הנושא "הגנה בסייבר" אשר לפחות בחלקו מחייב שימוש בפרקטיקות שאינן אזרחיות אלה במובהק "ביטחוניות" או "מדינתיות".
הנה על כן, מדוע המסקנה שהפצחן (ההאקר) נמצא תמיד בעדיפות הנה תירוץ טוב מדוע המגן נכשל.
המגן חייב להיכשל, מכיוון שתפישת ההגנה שלו מועדת לכישלון מראש.
המגן הסייברי, פועל על פי פרקטיקות "אזרחיות" שבהן מערך ההגנה שלו (ברובו) מנסה להתמודד עם התקיפה וכלל לא (או ברובו הגדול) איננו מתמודד עם אתור הפצחן (ההאקר) בעודו מחפש את נקודת החולשה האחת או בעודו מכין ובודק את איכות וטיב כלי תקיפה שלו.
על מנת לשנות תפישה זו, יש לקבוע כי עולם "טכנולוגיית המידע"/"סייבר" איננו עולם "אזרחי" במלוא מובן המילה. עלינו לקבוע שנדרש שילוב של תפישה "ביטחונית" או "מדינתית" על מנת שהמגן יהיה יריב שקול או יתקרב להיות יריב שקול לפצחן (האקר).
לשון אחרת, על מנת להגן באופן נאות על המרכיבים הבסיסיים של טכנולוגיית המידע, (המחשבים והתוכנות) לסוגיהם השונים, יש להסתכל עליהם כמצויים בעת ועונה אחת בשני עולמות:
1. רכיבים אזרחיים המאפשרים לנו לבצע פעילויות אזרחיות במגוון תחומי החיים, החל מיישום המאפשר לי לכתוב את המאמר הזה, ועוד מיליוני סוגים שונים של פעולות "אזרחיות".
2. רכיבים שעל מנת להגן עליהם במובן המלא של המילה להגן, יש להסתכל עליהם בעיניים "ביטחוניות" או "מדינתיות" כסוג של "אויב" או גורם "עוין", שכן הצד השני משתמש באותם מרכיבים (מחשבים ותוכנות) על מנת לחפש את נקודות התורפה אצלי, ועל מנת לייצר כלי תקיפה. כלי התקיפה עצמו הוא ברוב המקרים קוד תוכנה שבמהותו זהה לחלוטין לכלי ההגנה (גם הוא קוד תוכנה...) דוגמה: וירוס ואנטי וירוס. שניהם תוכנות שנכתבו על ידי תכניתנים. מה ההבדל? במהות אין הבדל. שניהם קוד תוכנה. ההבדל באופן הפעולה וגם זה לעתים הבדל יחסית דק.
האם אנו מוכנים לכך ולהשלכות הנגזרות משינוי תפישה זה?
דוגמה מסויימת לכך נתן למצוא בידיעה המתפרסת היום:
מיקרוסופט: הסרנו מהאינטרט רשת של תוכנות רובוטיות שתקפו 2 מליון מחשבים:
אמת, זו פעולה שלאחר מעשה ולא פעילות מניעתית. אבל אין ספק שזו פעולה ברמה של רשויות מדינה (ארה"ב), המגייסת מצד אחד גורמי טכנולוגיה (מיקרוסופט וייתכן חברות נוספות) ומצד שני גורמי אכיפה (FBI) תוך שימוש ב, או יצירה של שיתופי פעולה בינלאומיים ברמות שונות.
מה שקורה לנו עכשיו זו לדעתי תקופת מעבר. המדינה עוד לא ערוכה לקחת על עצמה את התפקיד, אבל המציאות דורשת התמודדות כאן ועכשיו. אי אפשר לחכות שהמדינה (הכוונה שלי כל מדינה לא רק ישראל) תתחיל לעשות, אלא כל ארגון צריך להגן על עצמו ככל שהוא יכול וככל שהוא נדרש.
לאט לאט תיווצר מסה קריטית והבנה שנדרשת ככל הנראה חלוקת עבודה בין הרשות (המדינה), הארגון והאזרח.
פשוט זה לא, אבל אין לדעתי שום דרך אחרת להתמודד עם התוצאה המדהימה של היצירתיות של המוח האנושי שיצר לנו מחשב (שהוא גם "כלי נשק" במובן מסויים) בכל כיס.