שום דבר לא מאובטח, ואנחנו מוכרחים לתקן זאת

This post is also available in: English (אנגלית)

לוחמה אלקטרונית, ריגול, ופריצה למחשבים הפכו למציאות של חיי היום-יום. בעוד שרובנו מתנהלים מבלי מחשבה נוספת למניעת המתקפה ההרסנית הבאה, יש אנשים שלא עוצמים עין מכך. מגזין MIT Technology Review העלה לאחרונה את הנושא בריאיון עם גרג שאנון, המדען הראשי לשעבר במכון להנדסת תוכנה באוניברסיטת קרנגי מלון וכיום ראש אגף אסטרטגיית הסייבר במשרד למדיניות טכנולוגיה ומדע בבית הלבן.

למרות שמיליוני דולרים מושקעים כיום בטכנולוגית אבטחה חדשות, פריצות סייבר בסדר גודל עצום הן אירוע תדיר. הסיבה לכך היא משום ש"התמריצים לערוך פעילויות סייבר זדוניות גוברים כל הזמן," אומר שאנון. העניין הוא ש"איומים תמיד היום קיימים, אבל היה בסדר להשתמש בטלאי תוכנה. היום, מה שזמין ברשת האינטרנט, והערך שלו, כל הזמן גדל בצורה משמעותית – וכך גם התמריצים לניצול מערכות ולגניבת מידע."

הבעיה היא בסופו של דבר ביעילות וחוללות, אומר שאנון. אפשר להשתמש בכמה טלאי תוכנה שרוצים, אבל "בסופו של יום זה לא משיג יותר מדי, משום שזה לא יוצר פתרון כללי ושיטתי. זה לא יעיל."

מה שדרוש הוא לחשוב מחדש ולהבנות מחדש לגמרי את האופן בו אנחנו בונים תוכנה ומפתחים מערכות אבטחה. "זה דורש הקפדה על האופן שבו מיליארדי שורות הקוד אשר מריצות את התשתיות המרושתות שלנו נכתבות ומעודכנות," אומר שאנון.

בעוד שלמקומות כמו נאס"א יש פרוצדורות קפדניות ביותר לכתיבת קוד מבלי תקלות, לרוב החברות פשוט אין תמריץ לעשות זאת. העלויות, לדעתם, עולות על הרווח. הפתרון הוא "לחשוב על תמריצים שיגרמו לכולם לכתוב קודים טובים יותר," בצד של המדיניות, עם "אחריות, רגולציה, או מנגנונים שיווקיים."

שאנון מציין את האינטרנט של הדברים כהזדמנות הגדולה ביותר לעצב עתיד מאובטח יותר.

“התקנים מרושתים במכוניות ובבית, והתקנים לבישים, יכולים להציג הרבה וקטורים חדשים לתקיפה, אך אם נעשה את הדברים כמו שצריך עם ההתקנים האלו והטכנולוגיות מבוססות הענן, נוכל לוודא שהדור הבא של הטכנולוגיה יכיל בתוכו כבר אבטחה."

עם כל זאת, ייקח שנים של מאמצים רבים כדי להשיג לפחות את הרכיבים הקריטיים לרמת האבטחה לה אנו זקוקים. אם נתחיל כעת, הרגלי אבטחה טובים אשר יחלחלו לכולם יתקיימו רק עוד עשרים שנה או יותר. אבל אנחנו מוכרחים להתחיל כעת, משום שהסיכונים הולכים וגדלים כל הזמן.