הלוואי עלינו

לא כולם היו בחופשה בשבוע שעבר. במשרד להגנת המולדת בארצות הברית, למשל, טרחו בזמן הזה על הוצאתו לאור של דו"ח מעניין מאוד, המפרט את פגיעותו של התחום הקיברנטי בהסתכלות על. המסמך עוסק בסיכונים הלאומיים שיוצרת טכנולוגיית המידע ובאמצעים להתגוננות מפניהם. התסריטים התיאורטיים בתחום זה אינם מלבבים. אולם, מנגד מפתיעה משהו התמונה האופטימית יחסית, באשר לעשייה בתחום ההתגוננות, המנטרלת חלקים לא מבוטלים מהסיכונים הללו.

המסמך טוען להיות קו המוצא בהערכת הסיכונים של סקטור ה-IT. המשך ההעמקה בעניין זה, צפוי בקרוב. התוצאה שפורסמה בציבור הנה פיריו של שיתוף פעולה בין המשרד הממשלתי האמור, לבין IT SCC – המועצה לתיאום סקטור מערכות המידע. המדובר בגוף המונה כמה עשרות מהשמות הגדולים בענף, כגון: מיקרוסופט (Microsoft), גוגל (Google) וסיסקו (Cisco). מומחים מקרב חברות הפעילות במועצה, הוו רוב מבין כשמונים האנשים שהוציאו מתחת ידיהם את המסמך.

הדו"ח בן 112 העמודים הנו מסמך שאני ממליץ לאנשי המקצוע הבכירים לעיין בו. הוא מזכיר שישה תחומים קריטיים בטכנולוגיית המידע, שיכולים להוות מטרה למתקפות. בכל אחד מהם נבחנו דרכי פגיעה אפשרויות, מידת הפגיעות והתוצאות האפשריות של התרחשויות שכאלה. זוהי כאמור התשתית ממנה מתכוונים האחראים לפרויקט להמשיך ולהתקדם. מעבר להעמקה הצפויה, כבר מדברים גם על הרחבה שתכניס למסגרת תחומים נוספים.

תחום אחד הנו הייצור והאספקה של מוצרים ושירותים ממוחשבים. הכוונה לפגיעות במהלך שרשרת האספקה שלהם. דוגמה אחת מיני רבות יכולה להיות השתלת יכולות של גניבת זהויות בתהליכי ייצור של מחשבים, כל זאת בידי גורמים חורשי רע. תחום סיכון שני, הנו ניהול הזהויות. אין צורך להכביר מילים על פוטנציאל הנזק הגלום בחדירה למערכות מידור והרשאה. תחום נוסף קשור לשירותי התגובה והטיפול בתקריות.

שלושת התחומים האחרונים שייכים לממלכת האינטרנט, מה שמצביע על משקלו המרכזי בטכנולוגיית המידע. ראשית, מערכת שמות המתחם. יכולות להטות פניות אינטרנטיות עלולות ליצור תשתית לפגיעות רבות. אחריו, התחום של תקשורת ותכנים ברשת. חותם את הרשימה, תחום ספקי האינטרנט ושירותיו.

בכל אחת מהזירות הללו ניתן למצוא הערכה של פוטנציאל האיום ומאידך את הסיכוי להתרחשותו. זאת, בהתייחס לאמצעי הנטרול שכבר מיושמים, או צפויים להתממש. כך, למשל, התרחיש של פגיעה בשרשרת האספקה, מסומן כבעל פוטנציאל נזק גבוה, אולם ההסתברות להתממשותו מוגדרת כנמוכה.

למקרא הדו"ח נמלאתי קנאה. כולנו מקווים, כי גם אצלנו יש מי שדואג וחושב על הסיכונים והדרכים להפחתתם. אולם אצלנו תמיד הדברים הכל כך טריוויאליים נעשים, אם בכלל, תחת מעטה הסודיות של גופים חשאיים. שום נזק לא יכול להיגרם לביטחון המדינה ממאמצים גלויים שכאלה. מנגד, הם מגבירים את הידע ובעיקר את המודעות. אלו הן הרי אבני היסוד בכל מאמץ אבטחתי.

מי ייתן וגם אצלנו יקומו גופים שיוכלו לרכז פעילות מקצועית סדורה. הנטייה שלנו לזלזל בכל מה שעושים אחרים, הוכיחה עצמה כמשגה רב עוצמה. חשוב תמיד להקדים מחשבה לעשייה. יש לקוות כי גם בארצנו, נוכל להגיע למצב בו הסקטור הפרטי משולב לכל רוחבו, בהכנת מסמכים מקצועיים עקרוניים של הממשל ולאו דווקא במסגרת של מכירה שעות עבודה.