סכנה ברורה ולא מיידית
הסיכון לתשתיות הקריטיות במקרה של לוחמה אלקטרוני הוא גדול, הסיכוי שזה יתרחש הוא נמוך, על פי פאנל מומחים שעסק השבוע בנושא הלוחמה האלקטרונית בכנס של איגוד האינטרנט הישראלי
מה עלול לקרות במקרה של "מגה-מגה פיגוע", שילוב של מתקפת טרור עם לוחמת מידע אלקטרונית. למשל, מטען חבלה שמתפוצץ ובמקביל החשמל מפסיק לפעול וכל קווי הטלפון קורסים? מה ההסתברות להתממשות תרחיש כזה והאמנם מדובר בנשק יום הדין? פאנל מומחים שהתכנס השבוע במסגרת הכנס השנתי של איגוד האינטרנט הישראלי ניסה לענות על השאלה הזו.
"במובן מסוים אנחנו נשענים על תשתיות יותר ויותר פגיעות", אמר אייל אדר, מנכ"ל iTcon, חברה לייעוץ בתחום טכנולוגיית המידע, "מה יתרחש במקרה של מתקפה אלקטרונית? מדובר בנעלם. אנחנו עדיין לא יודעים מה המשמעות של אירוע של טרור אלקטרוני על תשתיות קריטיות".
מהן תשתיות קריטיות?
תשתית קריטית היא כל מערכת שהחברה זקוקה לה כדי לנהל חיים: גז, תחבורה, שירותי ממשל, טלפוניה וחירום. הצורך בהגנה על התשתיות האלה נובע משילוב קטלני של גידול באיומים ובפגיעוּת של החברה הישראלית, שמפתחת תלות גוברת במערכת אלה, כמו כל חברה שמתבססת על טכנולוגיה. כל התשתיות הקריטיות קשורות זו בזו - למשל, פגיעה מהותית במערכת החשמל עלולה להוביל להפסקת זרם המים.
בעקבות מתקפות הטרור של 11 בספטמבר, 2001, שהביאו לאובדן כמויות גדולות של מידע עסקי, עובר תחום אבטחת המידע מהפך, מתפישה הגורסת שיש להגן על המידע לגישה החותרת להישרדות של מערכות מידע בכל מצב – אסון טבע, מגה פיגוע ומה לא.
אדר מסביר כי אנשי IT שעוסקים באבטחת מידע לא יכולים להתמקד כיום במיחשוב בלבד. לדבריו, לא ניתן להגן על תשתית קריטית מבלי להקפיד על אבטחה ברמות השונות (הרמה הפנים ארגונית, שדורשת הבנה של התרבות הארגונית, רמת הרשת והרמה הפיזית, קרי אבטחה פיזית של מתקני הארגון).
יתרונות המדינה בלוחמת מידע
מה ההבדל בין האקר רגיל לתוקף שמשתמש בטקטיקות של לוחמת מידע? עופר שיזף, יוצא קהילת המודיעין ומנכ"ל XIOM, חברת ייעוץ בתחום אבטחת מידע, מסביר כי מאחורי תוקף לוחמת מידע עומדת בדרך כלל מדינה - לא נער ואף לא טרוריסט.
"ארגוני טרור והאקרים אינם נהנים מהיכולות של מדינה", אמר שיזף, "עם כל הכבוד להאקרים, למדינה יש כסף ויכולת טכנית עדיפה. מדינה יכולה להעסיק מאות מהנדסים בפרויקט תקיפה. היא יכולה לרכוש את מערכות הבקרה והבקרים המתוכנתים של 'סימנס', ולחפש בהן פירצות חדשות".
בניגוד להאקרים שנעזרים בפירצות מוכרות כדי לשלוח וירוסים או סוסים טרויאנים, שמזוהים על ידי קובצי החתימה של מערכות האנטי וירוס, מדינה יכולה לייצר קוד תקיפה שונה לכל מטרה, מבהיר שיזף.
יתרון נוסף שעומד לרשות מדינה שמנהלת לוחמה אלקטרונית זה מודיעין – סיוע של סוכנים אנושיים (יומינט) ומודיעין אלקטרוני (סיגינט). בני האדם הם פצצות חכמות מתוחכמות יותר מווירוסים, קובע שיזף, חדירה אנושית לארגון פשוטה יותר מחדירות מתוחכמות יותר, ומרגע שמרגל חדר לארגון הוא עלול לגרום נזק רב.
גם המודיעין האלקטרוני עשוי להועיל למדינות, המפעילות מערכות ציתות מתוחכמות כמו פרויקט "אשלון", המאזינות לדואר אלקטרוני, פקסים, שיחות טלפון ומידע שזורם ברשת, ויכולות לשלוף מתקשורות אלה מידע מועיל רב.
לוחם המידע האלקטרוני אינו שואף להשחית פני אתר. הוא מבקש להשיג השמדה פיזית באמצעים ממוחשבים. למשל, על פי פרסומים, חברת חשמל מצליחה לשקם טורבינה תוך שנה וחצי. אם יצליחו תוקפים להשמיד שלוש טורבינות לא יהיה חשמל במדינה, ואנחנו עלולים להגיע למצב של עולם שלישי, אומר שיזף.
הבדל חשוב נוסף בין תוקף שמנהל לוחמת מידע לבין פורץ רגיל היא החסינות – הלוחם בשירות מדינה פועל כחוק במדינה ממנה הוא תוקף ואינו צפוי לעמוד לדין.
תשתיות? באינטרנט?
שיזף מסביר כי מערכת מחשב טיפוסית של תשתיות קריטיות כמו חברות אנרגיה או תחבורה כוללת רשת אדמיניסטרטיבית, רשת אקסטרנית (עם חיבור לאינטרנט) ורשת תפעולית (למשל, רשת בקרה על מסילות הברזל).
כל ארגון חשוב מגן על התשתית הקריטית שלו באמצעות מערכת ניטראלית (DMZ), שתפקידה להוסיף שכבת אבטחה נוספת בין הרשת התפעולית והרשת האדמניסטרטיבית לבין הרשת הציבורית, כדי למנוע ממידע פנימי לדלוף החוצה באמצעות האינטרנט ולא לאפשר לפורצים לחדור.
למרות זאת, שיזף מציין כי בין הרשתות האלה מתקיימים קשרים ישירים שניתנים לניצול. למשל, קבצים נערכים ברשת האדמיניסטרטיבית ולאחר מכן מועברים לרשת התפעולית. חברות המספקות תמיכה לרשת האדמיניסרטיבית או התפעולית נהנות מגישה למידע בתוך הרשת בהרשאות גבוהות ביותר.
כמו כן, חברות לא נוהגות לערוך תחקירים לעובדים של השותפים העסקיים שלהן. תוקפים עלולים לנצל את החוליה החלשה הזו כדי לפרוץ לרשת הארגונית דרך קישור של חברה אחרת כמו שותפה עסקית.
ישנן דרכים נוספות לחדור לרשתות מסווגות. למשל, קל באופן יחסי לצותת לתקשורת של עובדים המתחברים לרשת האדמיניסטרטיבית מביתם או ממחשב פוקט פי סי. נוסף על כך, מאחר שרמת האבטחה בתוך ארגונים נמוכה הרבה מה-Firewall שמפריד בין הארגון לעולם החיצון, ברגע שהפורץ חדר לרשת האדמניסרטיבית הוא עשוי לגשת לרשת התפעולית לא בקושי רב.
קפיצות החמור של הפורצים
הפורצים משתמשים בשיטת תקיפה המכונה Leapfrog (קפיצות חמור) - התוקף משתמש ביישום המאפשר לו לחדור לשרת א', להשיג שם משתמש וסיסמה במערכת ובאמצעותו לחדור לשרת ב' באותה רשת או ברשת אחרת ומשרת ב' ממשיך התוקף לשרת ג' וכדומה.
תוקף יכול להשיג את מטרתו בקלות יתרה אם יחדור לארגון בגופו, מציין שיזף. בארגונים רבים משתמשים בסיסמאות ברירת מחדל שמשתנה לעתים רחוקות, והגישה לקבצים מסווגים קלה באופן יחסי.
כצפוי, החוליה האנושית היא החלשה ביותר. ארגונים וחברות גדולות מתפרשים במשרדים רבים. ארגון גדול בארץ מעסיק כ-10,000 עובדים, מציין שיזף. יש סיכוי גדול לכך שיש פרי בוסר ביניהם, שיתפתה להסגיר מידע או סיסמאות של המערכת התפעולית ממניעים מיניים או כלכליים.
מדוע ישראל עדיין לא השתמשה בלוחמה אלקטרונית?
אדר מציין כי חלקים מתשתית החשמל של מדינות ערב מסוימות מחוברת לאינטרנט. אם כך, מדוע ישראל לא השתמשה עד כה בלוחמה אלקטרונית נגד מדינות אויב ומדוע לא השתמשו מדינות אחרות בלוחמת מידע נגד ישראל? התשובה על השאלה הזו אינה מובנת מאליה. שיזף אמר כי חלק ממדינות ערב, איראן למשל, מתקדמות מבחינה טכנולוגית ובעלות יכולות מרחיקות לכת בתחום זה.
"אויבי ישראל למדו שאין טעם להתקיף אותה מהאוויר כי היא מגינה על המרחב האווירי שלה", אמר שיזף, "אני לא בטוח שמצב זה תקף לגבי אבטחת המידע".
הסיבה לכך שעד כה לא נרשמו אירועים של לוחמה אלקטרונית בין מדינות מצויה במישור אחר, על פי שיזף – למדינות אין אינטרס בלוחמה אלקטרונית במצב של רגיעה, על אף שהן יכולות לנקוט בלוחמה כזו, ואילו לארגוני טרור יש אינטרס לנקוט בלוחמה אלקטרונית אך אין להם היכולת.
האם יש סיבה לפאניקה?
האם התרחיש של מתקפה אלקטרונית שתוביל לשיתוק מערכת החשמל, הפסקות במערכת המים ותקלות נוספות מבשרים על נשק יום הדין? שיזף סבור שלא. לדעתו, אנשים יכולים להתגבר על עלטה של כמה שעות ולא צפויה פאניקה.
לדורון שקמוני, יועץ אבטחת מידע ומנכ"ל חברת FORESCOUT, תרחישי האימה של הלוחמה האלקטרונית, על אודות פתיחת סכרים, תקיפת כורים אטומיים וניתוק רשת התקשורת והחשמל מזכירים את התמונה הקודרת שהציגו 'מומחים' לקראת "באג 2000".
עם זאת, מדובר באיום רציני, אומר שקמוני, ולחיזוק דבריו מזכיר מאמר שפורסם באתר אינטרנט וכלל תיאורים טכניים של מערכת בקרת תנועה, הסביר כיצד ניתן לשגר לבקרי הרמזורים פקודות ולסדר "גל ירוק". מאוחר יותר גילו פרנסי העיר לחרדם כי המערכת של עירם זהה לז שתוארה. הם תהו אם המאמר יוכל להוביל להתקפה על מערכת ולשבש את התנועה בעיר?
האם איום הטרור הקיברנטי מיידי וקרוב או שמדובר בקמפיין פוליטי של קבוצת אינטרסנטים שכל תכליתם להשיג תקציבים? "אין ספק שהסכנה לתשתיות הקריטיות במקרה של פגיעה היא עצומה", אמר שקמוני, "האיום אמיתי אך הסיכוי שיתממש נמוכה מכפי שמתואר. יתר על כן, כדי שמתקפה על תשתית קריטית תצליח יש צורך ברצף של אירועים שליליים, תגובת שרשרת שתגרום להרג המוני של בני אדם. במציאות הדברים מתממשים בגוונים אפורים יותר".
בימים אלה מוקמת ועדת היגוי עליונה בנושא אבטחת מידע ממוחשב בישראל. כללי הוועדה יחולו על מספר גופים ומוסדות שמערכות המידע שלהם הוגדרו קריטיות, בהם חברת החשמל, בנקים ומשרדי ממשלה.