חשים מובסים בקרב על הסייבר? איך בכל זאת לנצח

חשים מובסים בקרב על הסייבר? איך בכל זאת לנצח

This post is also available in: enEnglish (אנגלית)

בטנקר11נראה כי ארצות הברית מפסידה במערכה על הסייבר. למרות גידול אדיר בהוצאות על אבטחת מידע, המצב נעשה רע מיום ליום מבחינת שלמות וביטחון המידע ואנחנו ממשיכים לפגר אחרי מי שתוקף אותנו, אומר ל-business2community ד"ר סטיבן בריאן, בכיר לשעבר במערך הגנת הסייבר של ממשלת ארה"ב. "בשעה שאני כותב את השורות האלו, יש מעט מאוד אתרי אינטרנט צבאיים או ממשלתיים שאינם נפרצים ומידע חיוני לא נגנב מהם," אמר. הוא מסביר כי המידע המותקף איננו רק כזה בעל אופי ממשלתי אלא גם בנקאי, תשתיתי, חברתי ועוד. למעשה, היקף הפריצות והגניבות הוא אינסופי.

כל התשתית המשרתת את טכנולוגית המידע (IT) בארה"ב מבוססת בעיקרה על ארכיטקטורה פתוחה במערכי המחשוב ובתשתיות תקשורת הנתונים ולמרבה הצער במדרג החשיבויות, אבטחת המידע היא "כינור שני", אם לא שלישי בסולם המרכיבים מהם בנויים מערכי המחשוב.

ידוע היטב, ממשיך ד"ר בריאן, כי הוצאת כסף על אבטחת מידע לא "מייצרת" תועלת ברורה או מובטחת, כך שלשים כסף על עוד ועוד מערכות אבטחה, רק גורם לתאגידים וגם לפרטים, להתנגד לתהליכים, שפעמים רבות גם מגבילים את החופש התפעולי שלהם בגלל הנחיות אבטחת מידע.

אינדיקטור טוב וברור ל"נהירת ההמונים" הוא השימוש ההולך ותופס תאוצה במה שנקרא "מחשוב ענן", כשלאף אחד אין באמת קצה קצהו של מושג, מהו הענן בו כל המידע הקריטי שלו מאוכסן עליו, מי מנהל אותו או עד כמה קל לפרוץ אותו. "אפילו הפנטגון, שבטח מכיר היטב את הסיכונים, תומך בשימוש במחשוב ענן, אשר מהווה סיכון ענק, בדיוק כפי שהם עושים שימוש בפלטפורמות ניידות וסלולאריות שכבר יותר מפעם אחת נפרצו הוכו למוות…"

הגיע הזמן להשתחרר, אומר ד"ר בריאן, מפלטפורמות הקוד הפתוח והגישה הבין לאומית בה לפיתוח קוד שותפים רבים, חלקם בלתי מזוהים, בעיקר כשמדובר על תשתיות לאומיות, ממשלתיות וצבאיות אמריקניות קריטיות. במקום לבזבז מליארדים על מערכי הגנת מידע חסרי כל ערך, לא הגיוניים ולהרגיש מתוסכלים, כדאי לעצור לרגע.

ארצות הברית צריכה מערכות הפעלה בטוחות ומאובטחות וסביבת תקשורת נתונים בטוחה ומאובטחת המיוצרת ונבדקת באמריקה, לא בסין, לא במקומות עלומים על ידי אזרחים אמריקנים מהימנים שעברו בידוק בטחוני. הנה האסטרטגיה הנכונה אליבא דה ד"ר בריאן, מורכבת מ "10 דיברות"

  1. החלפת כל מערכות ההפעלה ומערכי התקשורת בתשתיות קריטיות בכאלו המיוצרות על אדמת ארה"ב על ידי אמריקנים במהלך חמש השנים הבאות
  2.  ווידוא כי הקישור אל מחוץ למעגל הסביבה המאובטחת, הקריטית, יופרד לחלוטין מהסביבה המבצעית, הסודית והמאובטחת.
  3. הבטחת ויישום הצפנה חזקה ויעילה ומערך אוטנטיקציות משלים על מערכות ההפעלה החדשות שייכנסו לשירות
  4. ווידוא כי כל המשתמשים במערכות ההפעלה החדשות 'נקיים', בדוקים ומאושרים לעבודה מבחינת אבטחת מידע
  5. הכנסת מידור חזק ויעיל לסביבה הממוחשבת, מבוסס על תורת ה"צריך לדעת" (Need To Know, ד.ל, i-HLS)  במקביל להכנסת מערכות ביזור מידע ומיעון מדוייק שלו.
  6. איסור מוחלט וגורף על שימוש בציוד או תוכנה שלא יוצרו בארצות הברית, במערכי מידע קריטיים
  7. בדיקת כל ציוד מחשוב לפני כניסתו לשירות הינה קריטית, חומרה, תוכנה, צורבה וכן אנשים, כולל קבלנים.
  8. שימוש ב"צוות אדום", מדמה אוייב, המנסה לייצר תקיפות ופרצות, סדקים וחולשות במערך המחשוב
  9. לעולם לא לאשר שותפים מחוץ לארה"ב בנוגע למחשוב תשתיות קריטיות ולהטמיע מנגנוני שיבוש והרס עצמי עם רכיבי מחשוב כלשהם אובדים או מגיעים לידי האוייב.
  10. יש לשמור בסודיות את הקניין הרוחני, הפיתוחים הטכנולוגיים ואת פעילות ותוצרי ה"צוותים האדומים"

ד"ר סטיבן בריאן הוא בכיר בוועדת החוץ של הסנאט וכיהן כסגן תת-שר ההגנה לנושא אבטחת מידע.