ברוס שנייר בכנס InfoSec Europe 2015: אנו נמצאים בשנים הראשונות של מירוץ חימוש סייבר בינלאומי

בכנס האבטחה השנתי של אירופה InfoSec Europe 2015, שנערך בלונדון 2-4 ביוני 2015, הופיעה שורה ארוכה של מומחי אבטחת מידע. זו השנה ה- 20 שהכנס מתקיים.

גורו אבטחת המידע ברוס שנייר [Bruce Schneier], המשמש כיום כמנהל הטכנולוגיה הראשי בחברת Resilient Systems, אמר בכנס כי אנו נמצאים בשנים הראשונות של מירוץ חימוש סייברי בינלאומי. כותרת ההרצאה שלו הייתה How Do You Know You’ve Been Breached?.

לדבריו מדינות אינן תוקפות במישרין מדינות אחרות אולם מנסות לפגוע בתשתיות IT של ארגונים במדינות יריבות, תופעה שלעדתו צפוייה להתרחב. הוא ציין את התקיפה של צפון קוריאה על Sony Entertainment Pictures, של סין על Github, של איראן על חברת הנפט הסעודית Aramco ותולעת Stuxnet המיוחסת לישראל ולארה”ב.

שנייר הזהיר כי עם ההכנות של מדינות לקראת מלחמת סייבר על חברות מסחריות להיערך להתקפות על התשתיות הטכנולוגיות שלהן משום שהן נמצאות ב”רדיוס הפיצוץ”.

יש לקיים דיונים בנושא. כיום בארצות הברית יש הרבה מאוד דיונים בנושא מעקבים וציתותים ע”י סוכנויות מימשל ואין מספיק דיונים על פרצות ונקודות תורפה [vulnerabilities], מידת העמידות, הגנה וכיצד לשמר אופציית סייבר צבאית.

ברוס שנייר הרחיב את הדיבור על המקרה של צפון קוריאה וסוני, התקפה שבוצעה לדעתו במיומנות רבה מאוד ובמידה גדולה מאוד של התמקדות במטרה. הוא הודה כי בתחילה היה בין אלה שהטילו ספק בדבר הטענה האמריקנית כאילו צ. קוריאה עומדת מאחורי ההתקפה אולם כיום הוא סבור שארה”ב הציגה את כל הראיות לכך שאכן ניתן לייחס את התקפת הסייבר הזאת לצפון קוריאה.

הדבר החשוב הראשון לגבי ההתקפה הזאת הוא שהמכה הראשונה הייתה באמצעות spearphishing attack בספטמבר 2014 אשר “לחלוטין לא אותרה” ע”י חברת סוני. דבר זה איפר לתוקפים להשיג אישורי גישה במהירות די רבה ולהקדיש זמן רב למיפוי רשת החברה ולתכנון עיקר ההתקפה אשר בפועל החלה רק חודשיים מאוחר יותר – בנובמבר 2011 – עם פגיעה בכוננים קשיחים ובשרתים של חברת סוני. ההדלפות המשמעותיות הראשונות החלו ב- 1.12.2014 דבר המוכיח שההתקפה הייתה למשהו שהוא רק קמפיין הרס ופגיעה. יומיים מאוחר יותר היו שוב הדלפות מתוך המידע.

ב- 19.12.2014, שלושה שבועות לאחר ההתקפה, הייתה סוף סוף התייחסות אמריקנית רשמית לנושט וב- 22.12.2014 הייתה צפון קוריאה קורבן להתקפת מניעת שירות [Denial of Service, DoS]. “ארצות הברית הכחישה מעורבות בהתקפה זו. כל שאנו יודעים הוא שהאינטרנט נותק בצפון קוריאה למשך יומיים. ייתכן שהדבר היה מקרי. איש אינו יודע [בוודאות]”. הצעד הבא היה שארה”ב הנהיגה עיצומים חדשים על צפון קוריאה בעקבות התקפת הסייבר על סוני פיקצ’רס.

בחודש פברואר השנה הודיעה סוני כי  הנזק שנגרם לה בשל החקירה והשבת המצב לקדמותו הוא בהיקף של 15 מיליון דולר אולם שנייר מפקפק בכך ואומר כי לדעתו הנזק הכספי גדול יותר.

הוא ציין כי לאחר המתקפה על סוני היו בארה”ב דיבורים על ‘מלחמת סייבר’ למרות שלא היה מדובר במתקפה על תשתית לאומית קריטית במדינה. בניגוד למרבית התקפות הסייבר המטרה במקרה זה לא הייתה גניבה אלא “כפייה, גרימת מבוכה או נזק כשלעצמו (…) לא מסוג האיום שאנו נוהגים לדאוג לגביו למרות שכולנו פגיעים לסוג זה של התקפה”.

שנייר אמר עוד כי “כנגד סוג כזה של התקפה, לא משנה את רמת האבטחה שלך טובה יחסית לזו של מישהו אחר. מה שחשוב הוא האם רמת האבטחה שלך טובה יותר מהמיומנויות המקצועיות של התוקפים”.

ברוס שנייר דיבר גם על מה שהוא מכנה ‘דמוקרטיזציה’ של טקטיקטות: “זה לא שאנו נלחמים מלחמות סייבר. אנו רואים יותר ויותר טקטיקות דמויות-מלחמה בעימותים סייבריים נרחבים יותר. אנו חיים בעולם בו אפשרי שתותקף ולא תדע האם התוקף הוא ממשלה בעלת עוצמה גרעינית עם תקציב צבאי של 20 מיליארד דולר או כמה צעירים באיזשהו מרתף. טכנולוגיה היא יכולת המתפשטת באופן נרחב ובאותם טקטיקות וכלי-נשק יכול כל-אחד להשתמש”.

ברוס שנייר אמר עוד כי “מבחינתי מה שמטריד הוא שההתקפה על סוני התבצעה והשאלה הראשונה שנשאלה בעולם היא ‘מי ביצע אותה’? השאלה האחרונה שיש לשאול היא מי ביצע את ההתקפה. כאשר אתה מותקף במרחב הסייבר, שני הדברים שאינך יודע הוא מי היצע את ההתקפה ומדוע זו הסיבה שאנו זקוקים להגנה טובה נטולת ייחוס [attribution]. מה שאנו רוצים הוא עמידות וחוסן של הרשתות, המערכות והמוסדות שלנו. אנו צריכים לחשוב על מי מאבטח את התשתיות הקריטיות, החשמל, התקשורת והמפעלים הכימיים שלנו”.