מפגרים מאחור במלחמת הסייבר

מפגרים מאחור במלחמת הסייבר

This post is also available in: enEnglish (אנגלית)

39170237_mמאת רייצ'ל ארנפלד

כיבוי מערכת הבדיקה במשרדי הנהלת העובדים הרצה ברקע לא יעזור הרבה במניעת שימוש לרעה במיליוני קבצים אישיים של עובדי ממשל בעבר, בהווה וכאלו הרוצים להיות עובדי ממשל – לא לאחר שאלו כבר נגנבו. אך ניתנה פקודה לכיבוי המערכת בכל זאת. באופן מדהים, מנהלת OPM קתרין ארצ'ולטה תיארה את הכיבוי כ"השהיה זמנית פרואקטיבית". פרואקטיבית? אחרי שמיליוני קבצים כבר נחשפו?

הכיבוי, על פי הדיווח, יימשך 4-6 שבועות או יותר על מנת לאפשר חקירה מטעם OPM של הפריצה למערכותיה וכביכול על מנת לצמצם את הפגיעות שלה למתקפות סייבר עתידיות.

בשימועים מול הקונגרס, נתנו גורמים רשמיים ב-OPM הסברים על פגיעות המערכת למתקפות הסייבר שהיו מעוררי דאגה. הם הציעו שרוב, אם לא כל, מאמצי ביטחון הסייבר הממשלתיים הם כמעט וחסרי תועלת.

בראיון לוול-סטריט ז'ורנל, הערה על ידי פיליס שנק, מומחה לאבטחת סייבר במחלקה לביטחון המולדת, חשפה את לב הבעיה. לפיה, המערכת של OPM "לא זיהתה בתחילה איום כיוון שהיא לא נתקלה בו מעולם". כמובן, ממשל אובמה ממשיך לכסות רק חלק ממתקפות העבר עליו הוא יודע, איך אין לו דרך למנוע מתקפות חדשות. כמו במלחמות אחרות מולן אנו עומדים, הממשלה נלחמת בקודמת ומתעלמת מאלו החדשות. וזאת על אף העובדה שהדרג העליון הוציא יותר מ – 529 מיליון על מערכת הגנת הסייבר הנקראת איינשטיין. המערכת הוטמעה במגוון סוכנויות אזרחיות בין שנת 2004 ל- 2014. איינשטיין בטח מתהפך בקברו.

סביר להניח שהתוקפים פרצו לרשת OPM בעזרת קודי גישה המסופקים על ידי הקבלן הפדרלי. אך העובדה ש- OPM עצמה לא גילתה את הפריצה בשום אופן וצורה, אומרת דבר מה. יש שאומרים שהחדשות על המתקפה הגיעו מאגף הביטחון, בעוד שיש אחרים – "ארבעה אנשים המכירים את החקירה אמרו שהפריצה התגלתה לבסוף באמצע בתצוגת מכירות ל- OPM על ידי חברה מווירג'יניה בשם CyTech Services, אשר ניסו להראות ל OPM איך מוצר אבטחת הסייבר שלהם עובד, הריצו דיאגנוזה על OPM כרשת וגילו את התוכנה הזדונית שהוטמעה במערכת. חוקרים מאמינים שההאקרים היו בתוך הרשת במשך שנה או יותר."

אך דברים גרועים עוד יותר. בזמן שהממשלה לא יכולה לשמור על אבטחת הסייבר של עצמה, היא נוטה מאוד לכיוון המגזר הפרטי מטעמי האינטרס שלנו (ה"צרכנים") על ידי קניסת חברות פרטיות על פריצות אבטחה.

כך נאמר על ידי חברת הקונגרס וויל הורד בחמישי ליוני בוול-סטריט ז'ורנל. הוא קורא לצביעות מצידו של הדרג הבכיר – וזו אכן צביעות. מה שהוא לא אומר הוא שממשל אובמה העניק תשומת לב מיוחדת להגנה על צרכנים מפני עסקים שנתפסו בעיניו כלא אחראיים דיים או תאבי בצע מדי מכדי להעניק אבטחת-סייבר ללקוחותיהם. "לקוחות" מצביעים. "בטחון לאומי" דווקא לא.

בין שאר הדברים, הורד ציין שמנהלת OPM קתרין ארצ'ולטה, בעת שהעידה מול וועדת הקונגרס בנושא פיקוח ורפורמציה ממשלתית, סירבה להתנצל, או אפילו להכיר, בסירובה של הסוכנות שלה להטמיע פרקטיקות אבטחה שהומלצו לה במשך מספר שנים על ידי מפכ"ל OPM, פטריק מקפרלנד. בדו"ח אחר דו"ח משנת 2010, המפכ"ל זיהה מערכות IT שאינן בטוחות, אינן עדכניות ומנוהלות באופן לוקה וכן ביצועים אשר הותירו את המידע בסוכנות פגיע. הורד דרש את התפטרותה של ארצ'ולטה, אך היא אינה לבד. היא עשתה את מה שכל ראש סוכנות עשה במשך שנים: יישום אינסופי וחסר דאגה של כל מיני צווי ביטחון.

ונציגי ועדי עובדים ממשלתיים לא סיפקו הרבה עזרה בנושא ביטחון הסייבר. איגוד העובדים הממשלתי עשה הרבה רעש על הנזק שנעשה לחבריו על ידי הפריצה ב- OPM.

עם זאת, אותו איגוד בדיוק מחה בשנת 2011 על הגבלת הגישה לחשבונות הדואר האלקטרוני הפרטיים של עובדים במשרד ההגירה ואכיפת הגבולות. המשרד האמין שגישה קלה מדי מסכנת את אבטחת הסייבר שלו.

המשרד הפסיד, האיגוד זכה. בורר פדרלי פסקה שהסוכנות לא יכולה להפעיל אף אמצעי לצמצום סיכוני אבטחה למערכות ה- IT מבלי לאפשר לאיגוד הזדמנות להתמקח. האם אבטחת סייבר הכוללת עובדים פדרליים היא דבר שיש להתמקח עליו?

בעוד שהמודיעין הטוב ביותר וכן בכירי ממשל, וביניהם הנשיא, דיברנו ענוגות שוב ושוב על גודל הסיכון באיומי סייבר, אף לא אחד מהם לקח אחריות לעמוד מול האיום באף דרך ממשית. האם הם לחצו על ארצ'ולטה, או על כל אחד אחר?

אל תצפו לאף ראש על הגיליוטינה בקרוב. מדיניות אבטחת המידע, כמו רוב המדיניות בנושאי ביטחון לאומי שאינם רווחיים פוליטית, לא נלקחה ברצינות. כתוצאה מכך, איש לא לוקח אחריות על מניעת, או לפחות על עצירת מתקפות הסייבר, ואיש אינו נמצא אחראי על המחיר העצום לכלכלה ולביטחון הלאומיים שלנו.

בינתיים שכר הבית הלבן את מומחה הסייבר של גוגל, פיטר זאטקו, להקים גרסת סייבר של Underwriters' Laboratory. פרטים על התוכנית החדשה הזו עוד לא פורסמו ועוד לא ידוע אם היא תעזור בהגנה מפני מתקפות סייבר.