הגנת הסייבר: המלצות לנשיא טראמפ, משמעויות לישראל

מאת 1 פברואר 2017

This is a Hebrew version of "Cybersecurity: Recommendations for Trump, Implications for Israel," by Col. (res.) Shay Shabtai  (English version to be published soon).

תקציר: שני דו"חות בתחום הגנת הסייבר – האחד שהוזמן על-ידי הנשיא אובמה והאחר של מכון המחקר CSIS – מונחים על שולחנו של הנשיא טראמפ. הם שונים ביניהם בגישה הבסיסית – התפתחות אבולוציונית המתבססת על כלי עבודה נוהליים ו"רכים" בראשון או קו אקטיביסטי כלפי פנים ולוחמני יותר כלפי היריבים מבחוץ בשני. עם זאת, בשניהם יש המלצות שעשויות להיות רלבנטיות לישראל – למשל, תכנית לאומית לחיזוק מנגנוני ההזדהות, "מטריית הגנה" לכלל האוכלוסייה, תכנית מודעות לאומית, העברת הממשל לתשתיות ענן ועוד. התעשייה הישראלית גם יכולה להשתלב בתכניות המוצעות – למשל, בתחומים של יישום מוצרי הגנה, מחקר ופיתוח והכשרת עובדים – במידה שייצאו לדרך. 

הגנת הסייבר זכתה לכותרות משמעותיות בארצות הברית בחודשים האחרונים, ובלטה כסוגיה אפילו במערכת הבחירות ובתהליך חילופי הממשלים, שהתאפיינו בפרופיל גבוה במיוחד. הנשיא היוצא אובמה ביצע בשבועות האחרונים לתפקידו מהלכי ענישה נגד רוסיה, לאחר שקהיליית המודיעין קבעה, שזו ביצעה מהלכים על מנת לפגוע ולהשפיע על תהליך הבחירות בארצות הברית, כשבין היתר, "שירותי המודיעין של רוסיה ניהלו מבצעי סייבר נגד מטרות הקשורות בבחירות 2016 לנשיאות בארצות הברית".[1] לאחר שנחשף למידע המסווג על הפעילות הרוסית, החליט הנשיא הנכנס טראמפ למנות את מקורבו, רודי ג'וליאני, העומד בראש חברה העוסקת באבטחה, כיועץ לא פורמאלי לעניין הגנת סייבר על מנת לבנות עבורו מפגשי למידה בתחום.[2]

על שולחן הנשיא מונחים שני דו"חות העוסקים במדיניות הגנת הסייבר של ארצות הברית. האחד הוגש לנשיא אובאמה ב-1 בדצמבר 2016 על-ידי ועדה דו-מפלגתית שמינה.[3] הדו"ח נכתב על-ידי צוות בהובלת אישים כמו תום דונילון, לשעבר היועץ לביטחון לאומי, וגנרל קית' אלכסנדר, לשעבר ראש ה-NSA, ובסיוע מומחים מהממשל בדגש על ה-[4].NIST האחר הוכן ופורסם בינואר 2017 על-ידי מכון המחקר CSIS עבור הנשיא הנכנס[5] על-ידי צוות בראשות הסנאטור הדמוקרטי שלדון וייטהאוס.

מה אפשר ללמוד משני הדו"חות שעשוי להיות רלבנטי גם עבור ישראל?

הדו"חות יוצאים מנקודת ההנחה שהעולם הדיגיטלי, שהפך ליסוד קריטי בהתנהלות האנושית ובכלכלה הגלובלית והאמריקנית, מבוסס על טכנולוגיות פגיעות. ברקע לכך, בין היתר, הפער בין הרווח מהדיגיטל שעומד על טריליונים לבין הנזק מהתקפות סייבר העומד על עשרות מיליארדים. כפועל יוצא צרכיי ההגנה נדחקים מפני הקדימות הברורה הניתנת למהירות הפיתוח והחדירה לשוק; ליצירת סביבת עבודה גמישה לעובדים כולל עבודה מרחוק ושימוש במכשירים מהבית (Bring your own device); להגברת הקישוריות וההסתמכות על שרשרת האספקה; ולמימוש של טכנולוגיות מורכבות שהן מטבען פגיעות יותר.

בסביבה שאלו הם מאפייניה, הארגונים העסקיים רואים בהגנה סוגיה נלווית, וחלקם לא נוקטים ברף הפעולות הבסיסי הנדרש. מנגד, לתוקפים יש יתרון מובהק, משום שהם צריכים לאתר חולשה אחת בשביל להצליח, ומשום שמדובר בגורמים מתוחכמים ומעודכנים המאמצים את הטכנולוגיות המתקדמות ביותר במקביל ולעתים אף לפני המגנים.

הגופים הממשלתיים, שגם הם נעשים תלויים יותר ויותר בטכנולוגיות המידע, סובלים מכשלים אינהרנטיים של – תשתיות מידע מיושנות; תהליכי רכש שאינם מותאמים לעידן הדיגיטלי; קושי בתחרות על כוח אדם איכותי מול השוק האזרחי; והקושי לתכנן, להקצות משאבים ולממש כיווני התפתחות ארוכי טווח, בין היתר, בגלל מורכבות התהליכים התקציביים.

מצב זה מנוצל היטב על-ידי התוקפים לשלוש מטרות – החלשת המערכות הקריטיות, ריגול וגניבת מידע ופשע. ארצות הברית סובלת מאיום משמעותי של גורמים מדינתיים (הצהרת ראשי השירותים לסנאט מציינת את רוסיה, סין, צפון קוריאה ואיראן)[6] וגורמי טרור על התשתיות והתהליכים הקריטיים במדינה; מריגול ביטחוני וכלכלי המוביל לאובדן קניין רוחני ולצמצום היתרון האיכותי הצבאי; ומפשיעת סייבר. הנזקים של אלו נאמדים במאה מיליארד דולר בשנה לארצות הברית ובין ארבע מאות וחמישים לשש מאות מיליארד דולר בכל העולם.

לגבי הפתרונות נחלקות הדעות בין שני הדו"חות. הדו"ח שהוגש לנשיא אובמה, אך מכוון לנשיא טראמפ, מבוסס על המשכיות מתוך המצב הקיים והתפתחות המתבססת על כלי עבודה נוהליים ו"רכים" – תמריצים, סטנדרטים, מודעות, מחקר ופיתוח, הכשרת כוח אדם ואחריות בכירים. זאת, למימוש ארבעה יעדים – הגנת הפרטיות, בטיחות וביטחון, התפתחות העולם הדיגיטלי וחיזוק שותפויות – לשיפור ההגנה הקיימת ולפיתוח המענה בראייה עתידית.

דו"ח מכון המחקר CSIS מתאפיין בקו אקטיביסטי ולוחמני יותר, וקורא לשנות מן היסוד את המדיניות הקיימת. במסגרת זו הוא קובע שהתבססות על הסקטור הפרטי ועל תמריצי שוק – כמו ביטוח – יקדמו את הגנת הסייבר – אם בכלל – בקצב אטי מדי ביחס להתפתחות האיום. המלצות הדו"ח הרשמי מייצגות בעיניו אי הבנה של הדינאמיקה המורכבת של הבירוקרטיה הממשלית, ומבוססות על "קלישאות" שאבד עליהן הכלח, ושלא מתממשות כרצוי, דוגמת – מנגנוני שיתוף מידע; שותפות בין מגזרית בין ממשלתי לעסקי; התבססות על "חדשנות"; יוזמות לאומיות כוללות ומרחיקות לכת; מנגנונים בינ"ל וולונטריים שלא רלבנטיים לתוקפים; ורעיון "ההגנה האקטיבית". אל מול כל אלו מציב הדו"ח שני עקרונות – העלאת המחיר על תקיפה לגורמים חיצוניים ודחיפה אקטיבית של הגורמים הפנימיים להעמיק ההגנה.

מספר המלצות קונקרטיות בדו"חות עשויות להיות חדשניות ורלבנטיות מאוד גם עבור מדיניות הגנת הסייבר הישראלית ועבור פעילות התעשייה הישראלית בארצות הברית:

  • גישה של גביית מחיר מיריבים – גישה פרואקטיבית של הטלת סנקציות והעמדה לדין נגד תוקפים מדינתיים (לא המושג הבעייתי בהקשר הסייבר של הרתעה); מענה נוקשה בפשיעת סייבר; ולחץ על מדינות לטפל בחריפות ביריבים הפועלים משטחן.
  • ליבת המענה להגנת הסייבר על-ידי גורמי ביטחון הפנים – הקמת סוכנות לאומית להגנת הסייבר תחת המשרד לביטחון המולדת והוספת משימת הגנת הסייבר לתפקידי המשמר הלאומי. זאת, תוך העדפת גורמי ביטחון הפנים על ה-NSA ופיקוד הסייבר. לצד זאת, הקמת מרכז היתוך מידע לאומי תחת ה-DNI במודל של המרכז בתחום לוחמת הטרור (NCTC).
  • יצירת "מטריית הגנה" לכל רשתות המחשוב במדינה – הממשל צריך לבנות – בשיתוף הסקטור העסקי – הגנה רחבה על מחשבים, רשתות מחשוב, רשתות אלחוטיות ושירותים בשימוש נרחב כמו ה-GPS על מנת לאפשר למשתמש הבודד לפעול ללא צורך לדאוג כל העת להגנה שלו. המיקוד בהגנה הרחבה הזו צריך להיות על עסקים קטנים ובינוניים המהווים רכיב מפתח בכלכלה הלאומית.
  • יצירת מודעות צרכנים – מתחת ל"מטריה" צריכה להיווצר תרבות לאומית של הגנת הסייבר. זו תפותח באמצעות קמפיינים של הסברה, יצירת מנגנוני מודעות כמו תווי תקן לאיכות ההגנה של מוצרים ותכניות הדרכות מנדטוריות לאוכלוסיות ייחודיות כמו מנהלים במגזר העסקי. תוכניהם של קמפיינים אלו והנהלים המקצועיים שילוו אותם יוכלו לשמש גם בישראל.
  • מענה נרחב לרשתות המתפתחות של סנסורים ומערכות מחשוב מקומיות (מה שמכונה "האינטרנט של הדברים" – IoT) אלו צריכות להיות מבוססות על סטנדרטים גבוהים של הגנה (Security by Default) כולל מנגנוני הזדהות חזקים. ברקע לכך ההבנה שלא ניתן יהיה להפריד את הקישוריות בין הרשתות הרגישות של תשתיות לאומיות (Critical Infrastructure) ומחשוב של מערכות פיזיות (Operational Technology) לבין רשתות של שרשרת האספקה ולאמצעים בשימוש המוני דוגמת המובייל וה-IoT, ולכן, צריך להגן גם עליהם ברמה גבוהה.
  • תכנית לאומית לחיזוק מנגנוני האותנטִיקצְיה היעד שלה הוא מניעת כל חדירה משמעותית דרך מנגנוני הזדהות עד 2021. במסגרת זו הממשל יסייע בבניית מנגנוני הזדהות חזקים שישמשו את המגזר האזרחי, יחזק את ההזדהות באתרי השרות שלו, ויוביל תהליך הערכה שיקראPIA – Privacy Impact Assessment.
  • חיזוק המחשוב הממשלתי – איחוד ה-IT של הסוכנויות הממשלתיות ואף העברתו לענן שהוא סביבה שבה מנגנוני ההגנה ברמה גבוהה יחסית לשרתים הקיימים. לצד זאת, תכנית ממשלית לסגירת חולשות במערכות המחשוב, בין היתר, באמצעות הסדרה של התכניות המתגמלות חושפי חולשות (Bug Bounty).
  • שימוש ללא סייגים בהצפנה – הצפנת תשתיות מידע מפני תקיפה צריכה לקבל קדימות על פני הרצון למנוע טכנולוגיות אלו מידי גורמי טרור ופשע. עדיף להפיץ יכולות הצפנה וליצור הגנת סייבר חזקה יותר ולנהל את הסיכון של שימוש בהן על-ידי גורמים שליליים.
  • האצת ההכשרה של מגני סייבר – בעולם קיים צורך ב-1.5 מיליון מגני סייבר נוספים עד 2020. על מנת לגשר על הפער בארצות הברית יש להכשיר מאה אלף ולהימצא בהכשרה של עוד חמישים אלף עד 2020. לצד זאת עולה הצעה למשוך לארצות הברית עשרים וחמישה אלף מגני סייבר מרחבי העולם, וכן, להאיץ את הפיתוח של תכניות לימוד מבית ספר יסודי ואילך אף שמדובר בתהליך ארוך מאוד.
  • מחקר ופיתוח של פתרונות טכנולוגיים – השקעה פדראלית של ארבעה מיליארד דולר על פני עשר שנים דרך המדענים הראשיים והסוכנויות למו"פ כמו DARPA.

גרסת PDF

 *אל"מ במיל' שי שבתאי הוא מומחה, מרצה ובעל ניסיון מעשי של למעלה מעשרים שנה בסוגיות במזרח התיכון, באסטרטגיית הביטחון של ישראל ובתכנון אסטרטגי וצבאי. יועץ אסטרטגי בחברת הייעוץ להגנת הסייבר קונפידס (www.konfidas.com). מרצה בתכנית ללימודי מודיעין, צבא וביטחון באוניברסיטת בר אילן, ונמצא בקדם דוקטורט העוסק בהשפעת המודיעין על תפיסת הביטחון הלאומי. הכותב מבקש להודות לעמיתיו בחברת קונפידס על רעיונות הנכללים בנייר. 

סדרת הפרסומים מבט מבס"א מתפרסמת הודות לנדיבותה של משפחת גרג רוסהנדלר.

[1] DNI, Background to “Assessing Russian Activities and Intentions in Recent US Elections”: The Analytic Process and Cyber Incident Attribution, 6 January 2017, https://www.dni.gov/files/documents/ICA_2017_01.pdf

[2]  Abby Phillip, Trump names Rudy Giuliani as cybersecurity adviser, Washington Post, 12 January 2017.

[3] COMMISSION ON ENHANCING NATIONAL CYBERSECURITY – REPORT ON SECURING AND

GROWING THE DIGITAL ECONOMY, 1 DECEMBER 2016, https://www.nist.gov/sites/default/files/documents/2016/12/02/cybersecurity-commission-report-final-post.pdf

[4] The National Institute of Standards and Technology.

[5] A Report of the CSIS Cyber Policy Task Force – From Awareness to Action – A Cybersecurity Agenda for the 45th President , JANUARY 2017, https://www.whitehouse.senate.gov/imo/media/doc/2016-01-03%20-%20CSIS%20Lewis%20Cyber%20Recommendations%20Next%20Administration.pdf

[6] James R Clapper, Marcel Lettre and  Admiral Michael S Rogers,  Joint Statement for the Record to the Senate Armed Services Committee – Foreign Cyber Threats to the United States, 5 January 2017, http://www.armed-services.senate.gov/imo/media/doc/Clapper-Lettre-Rogers_01-05-16.pdf