יום שלישי, 14 באפריל 2020

UNSINKABLE meets UNTHINKABLE פוסט לציון 108 שנים לטביעתה של הטיטניק והלקחים להגנת סייבר בימינו אנו

פוסט זה הוא עדכון משמעותי לפוסט שנכתב במקור בשנת 2012 לאחר צפיה בסרט תיעודי ששודר באותה השנה, במלאת 100 שנה לטביעת הטיטניק. בעדכון זה ננפץ כמה פרות קדושות באשר לאסון (כמו למשל קופסת הזכוכית הנעולה בה הייתה המשקפת שיועדה למתריעים בפני הקרחון ובגלל המפתח החסר לא נצפה הקרחון במועד, או מס' סירות ההצלה הבלתי מספיק, למעשה היו על הטיטניק יותר סירות הצלה מאשר הרגולטור דרש ועוד...).
מדובר בסרט של ערוץ הנשיונל ג'יאוגרפיק שקרוי: "טיטאניק - מקרה סגור- Titanic – case closed" (https://www.youtube.com/watch?v=UxQvij8Ttug). הסרט הוא מסעו של אדם אחד, ההיסטוריון והחוקר טים מלטין שחוקר את האירועים שהובילו לאסון הימי החמור ביותר אי פעם. הוא עבר על כל העדויות המקוריות של הניצולים ושל אלה של קברניט הספינה הסמוכה, "קליפורניאן", ויומני ספינות ששטו יום לפני ויום אחרי האסון כדי לקרוא את מה שכתבו על המצב באזור. בסרט הוא מספק מענה לשתי תעלומות:

1. מדוע המתריעים שהיו על תורן בגובה 30 מ' בקדמת הטיטניק, ופעלו לפי ההוראות המתאימות למזג האוויר, אכזבו, ובמקום התרעה של 20 דקות סיפקו התרעה של 55 שניות? הם לא היו שיכורים או רדומים. המתריע שרד את האסון והעיד בוועדות החקירה.
2. מדוע האונייה הקרובה מאד לטיטניק, הקליפורניאן, לא שייטה לאזור האסון על מנת להציל את הניצולים הרבים?. לו הייתה עושה כן, רבים היו ניצלים מטביעה או קפיאה במי הקרח.
וכל זה במה הוא קשור להגנת סייבר בימינו אלה?

1.   על אחריותו של רגולטור להתאים את הוראותיו למציאות המשתנה.
א.     טיטניק:
1.   הרגולטור קבע יש לבנות אוניות בטוחות לשיט טרנס אטלנטי. לנושא סירות ההצלה לא ניתנה התייחסות עדכנית. מספר סירות ההצלה נקבע ע"פ תפוסת האוניה ולא לפי מספר הנוסעים. הייתה אומנם טבלה שדרשה שכמות סירות ההצלה ותפוסתן תגדל ככל שגדלה תפוסת האוניה, אך טבלה זו הסתיימה בתפוסה של 10,000 טון וכלל לא התייחסתה למספר הנוסעים בספינה.
2.   תוצאה: השקעה (אמיתית) גבוהה בהבטחת בטיחות האוניות מפני טביעה. כמות סירות ההצלה  נקבעה ע"פ דרישות הרגולטור, שהפכו ללא רלוונטיות.
3.  מציאות: החלו להיבנות ספינות בתפוסות של עשרות אלפי טונות. הטיטניק לדוגמה הייתה בת 46,000 טון והיו אף ספינות שנבנו באותה התקופה בעלות תפוסה גדולה יותר. אבל, הרגולטור לא שינה את הוראותיו בעניין זה.
4.   מה קרה על הטיטניק: על הטיטניק היו יותר סירות הצלה מאשר הרגולטור דרש. ע"פ החישוב, נדרשו ע"פ דרישת הרגולטור סירות הצלה בתפוסה כוללת של 1,060 איש. בפועל, על הטיטניק היו סירות הצלה בתפוסה כוללת של 1,078 אנשים, דהיינו, יותר מהמספר הנדרש ע"י הרגולטור. אלא שתפוסת הנוסעים ואנשי הצוות המכסימלית הייתה 3,300. פער בלתי נתפס. ל-2/3 מכמות האנשים שיכלו להימצא על האוניה לא היו בכלל סירות הצלה.לאחר האסון הרגולטור שינה את ההוראות. אבל זה לאחר שמחיר הדמים הנורא כבר שולם. כשל נוסף היה באי תרגול אנשי הצוות בתפעול נהלי חירום לשימוש בסירות, והתוצאה שבמקום מעל 1,100 שיכלו להינצל באמצעותן, נצלו בפועל רק 700.
ב.     סייבר:
1.  רבות מההוראות הרגולטוריות הרלוונטיות להגנת סייבר אינן מתעדכנות להתאמתן לסביבת  האיומים המשתנה. ראו לדוגמה תקני ISO 27001+IS27002 שהנם כבר בני 7 שנים.
2.   המשמעות הנה שהגורמים שמונחים ע"פ הוראות רגולטוריות מיושנות, חשופים בעוד שלדעתם הם עושים כמיטב יכולתם.

2.   על הכנת תרחישי אסון וקיבעון מחשבתי.
א.     טיטניק:
1.    הוראה: יש להימנע מהתנגשות עם קרחון צף (ICEBERG).
2.   כשל בהוראה: אי התייחסות לתנאי ההתחלה: מהו הקשר בין זמן ההתרעה והאם יש או אין אופציה לעמוד בהוראה.
3.      טיטניק: מאחר ואין אופציה אחרת, יש לבצע תמרון התחמקות.
4.   תוצאה: התרעה שנתנה באיחור איננה מאפשרת להתחמק מהתנגשות, אך באין הוראה אחרת, תמרון ההתחמקות חסר כל סיכוי מבוצע..
5.    התוצאה בפועל: התחככות צידית בת 10 שניות של החלק התת מימי של הקרחון בחלק הטיטניק שמתחת למים (בחלק הקדמי של הספינה), קריעת חור בדופן הטיטניק, חדירת מים, טביעת הטיטניק, טביעתם של כ-1,500 מנוסעי הספינה ואנשי הצוות. אסון כבד.
6.   לו היה המרכיב של זמן ההתרעה נלקח בחשבון בהכנת התרחישים, ניתן היה להוסיף תרחיש לתרחיש הקיים, דהיינו, במידה ולא ניתן להתחמק מהתנגשות, מהם תנאי ההתנגשות האופטימליים עבור הטיטניק? התוצאה: התנגשות חזיתית תוך הקטנת המהירות. נזקים היו מתרחשים, אנשי צוות ונוסעים היו נפגעים, אך הטיטניק לא הייתה טובעת.
ב.     סייבר:
1.      הוראה: יש למנוע חדירת מתקפה לתוך הארגון.
2.    כדי לנצח במלחמת הסייבר, יש לשלב שיטות של מודיעין צבאי. לעתים עדיף "לשאוב" פנימה את המתקפה, להונות את התוקף באמצעות לדוגמה, "מלכודת דבש", לתת לו לחשוב שהוא הצליח, ללמוד את דרכי פעולתו ולחסל אותו כאשר הוא בתוך מערך ה-IT/OT הארגוני או להמשיך להונות אותו ולא לחסל כלל את המתקפה, אלא רק להופכה לבלתי מזיקה.
3.   האם ישנם תנאים נוספים שבהם עדיף "להרשות" למתקפה לחדור דרך מעטפת הגנת הסייבר הארגונית לתוך מערך ה-IT/OT הארגוני ולא להדוף אותה?
4.      האם ישנם תרחישים אחרים שבהם צריך " לחשוב אחרת על הגנת סייבר"?

3. הבנה מלאה של תמונת המצב, לרבות, תנאים סביבתיים, האיומים המשתנים, ואמצעי ההגנה הנאותים
אנו מכירים את האמרה הידועה של סון טסו: הכר את עצמך, הכר את האויב ולא תובס. אם תכיר רק אחד מהם, סיכוייך חצי חצי, אם לא תכיר את שניהם, תובס תמיד. המציאות מציירת לנו טוויסט מעניין.
א.     טיטניק:
1.      תנאי מזג אויר מושלמים (לכאורה): שמים בהירים לחלוטין (אומנם ללא ירח), ים חלק כראי.
2.   אמצעי הגנה הולמים (לכאורה) למזג אויר זה: שיוט במהירות מקובלת (אין צורך להאט), צופים בקדמת האונייה ללא משקפת (אלו הנהלים, ועל כן, סיפור תיבת הזכוכית הנעולה שבה מצויה המשקפת לא רלוונטי לעניין). הנחיות לבצוע תמרון התחמקות במידה והצופים מספקים התרעה על התקרבות לקרחון צף. ההתרעה תינתן בערך 20 דקות לפני הפגיעה. בנוסף, רב חובל מיומן שהיה רב החובל של הספינה האחות לטיטניק (האולימפיק) וביצע את המסלול הזה מספר רב של פעמים בעבר, וגם אירעה לו תאונת התנגשות עם סיירת של הצי הבריטי שגרמה לחור בחלק האחורי של האולימפיק, סגירת התא שמוצף, חזרה לנמל היציאה, הורדת 2,200 נוסעים לחוף ושורה של תיקונים שגרמו לאובדן שני שיוטים בין אנגליה לארה"ב.
3.   איומים נוספים שלא נלקחו בחשבון: קושי עצום להבדיל בין שמים וים, הכוכבים משתקפים במים החלקים, אין קו אופק. את זה ידעו הצופים. את אחת ההשלכות של מזג האויר יוצא הדופן שלתוכו נכנסה הטיטניק הם לא ידעו, וזו אי היכולת להבחין בקרחונים, אלא ממש לפני ההתנגשות בהם, לרבות תופעות של מיראז' (כמו פטה מורגנה במדבר) שככל הנראה לא היו ידועות אז.
4.    תוצאה: אמצעי ההגנה שננקטו אינם כוללים התייחסות לתוספת האיום הידועה (איפה קו האופק?) ובוודאי שלא לתוספת האיום הלא ידועה (אי יכולת לצפות בקרחונים מרחוק). שינוי של אפילו תוספת איום אחד מחייבת היערכות הגנתית אחרת, שכן יש כעת פער באמצעי ההגנה לעומת האיום הידוע, ובוודאי למול תוספת האיום הלא ידוע. האם יש להניח כברירת מחדל שכאשר מתווסף איום ידוע, עלול להסתתר עוד איום או איומים נוספים שבאותו הרגע אינם ידועים?
ב.     סייבר:
1.      המקבילה היא פשוטה מאד:
א.   אי הכרת מלוא היקפו של האיום המתעדכן, ואפילו השינוי הנו תוספת קטנה (לכאורה), תוביל לאי עדכון בה בעת של אמצעי ההגנה שמשמעותו פער מידי באמצעי ההגנה. האיום החדש כבר מסכן את מערך ה-IT/OT הארגוני, ההגנה שהייתה ללא פער הפכה ללקויה.
ב.     פער בהגנה משמעותו פוטנציאל לחדירת מתקפה.
ג.    מדובר בהרבה יותר מאשר רק השגת מודיעין בזמן אמת על האיומים העדכניים. מדובר ביכולת לנתח את המודיעין במהירות, להפנים את ההשלכות למול אמצעי ההגנה המופעלים ולהתאימם לתנאים שהשתנו, למרות שלכאורה התנאים השתנו רק "קצת". מאתגר מקצועית וניהולית. כאמור, ייתכן שיש להתייחס לסיטואציה של תוספת איום אחד כבעייתית יותר, שכן מדובר באיום ידוע אחד, וייתכן ועלול להסתתר עוד איום (או איומים) שבאותה נקודת זמן איננו יודע והוא מסוכן אף יותר.