בכיר ביטחוני לשעבר בבית הלבן: מיקרוסופט – החוליה החלשה בהגנת ה-IT לתשתיות לאומיות

במהלך שני העשורים האחרונים, מיקרוסופט (Microsoft) עשתה כל שביכולתה כדי למנוע את העלאת רמת תקני האבטחה ב-IT בממשל האמריקני, לחמה כלביאה נגד לינוקס (Linux), השתמשה בטכניקות של איומים מפורשים והפעילה שדולה נרחבת בוושינגטון להפצת מוצריה – כך קובע ריצ'רד קלארק, שהיה בכיר ביטחוני בממשל האמריקני במשך 30 שנים, בספר חדש שחיבר. לדבריו, האיומים הופנו לא רק כלפי ה-IT הממשלתי, אלא גם כלפי המגזר הפיננסי והבנקאי בארצות הברית.

בספרו, "המלחמה הקיברנטית: האיום הבא על הביטחון הלאומי, ומה לעשות עם זה", כתב קלארק, כי "למיקרוסופט יש שפע של משאבים, מיליארדי דולרים במזומן ונכסים נזילים שווי ערך. זו אימפריה מצליחה, שנבנתה על דומיננטיות בשוק, המבוססת על מוצרים באיכות נמוכה". לדבריו, "בחדירתה המסיבית למערכי ה-IT בממשל האמריקני ולמערכות ה-IT הביטחוניות, ועם רמת אבטחה לא טובה כמו זו שיש למוצריה, מיקרוסופט היא החוליה החלשה בהגנה על מערכי טכנולוגיית המידע של התשתיות הלאומיות בארצות הברית".

עוד הוסיף קלארק, כי חוסר המוכנות של הממשל בוושינגטון מפני מתקפה קיברנטית נובע מכמה סיבות, ביניהן חוסר הרצון להתמודד עם רגולציות נוספות. אחת הסיבות היא מיקרוסופט. לדבריו, ענקית התוכנה קנתה לה במהלך השנים מעמד בממשל האמריקני, בין השאר בשל תרומות ענק. הוא ציין, המוטו העומד מאחורי פעילותה הוא: "אל תיישמו רגולציות בתחום אבטחת המידע, אל תמנעו מהפנטגון לצרוך את התוכנה של מיקרוסופט, לא משנה כמה פרצות אבטחה יהיו בה, ואל תדברו על ייצור תוכנה מעבר לים או על העסקים עם סין".

מיקרוסופט, קבע קלארק, לא פיתחה את מוצריה עבור רשתות קריטיות. "מטרת החברה הייתה להביא את המוצר אל סף דלת הצרכנים, ובמחיר העלות הנמוך ביותר. היא לא השקיעה רבות באבטחת איכות ובבקרת איכות תהליכי הייצור, ברמה שנאס"א מתעקשת עליה". למרות זאת, הסביר, אנשים הכניסו מערכות של מיקרוסופט לארגוניהם, "כי המערכות הללו היו זולות בהרבה מאשר פיתוח עצמי של יישומים". הוא הוסיף, כי כשהממשל השיק את תוכנית השימוש במוצרי מדף, לצמצום עלויות, מיקרוסופט הצליחה לשים רגל גם על מערכות ה-IT של הממסד הביטחוני האמריקני. "התוכניות הללו לצמצום ההוצאות הביאו לכך שבמערכות ה-IT שבפנטגון יש את אותן נוזקות שיש לצרכנים הפרטיים", קבע.

קלארק הביא בספר כדוגמה מקרה שאירע ב-1997, ובו קרסו המערכות בפנטגון שהיו מבוססות על מיקרוסופט. לאחר מכן, החל משרד ההגנה האמריקני לבחון בניית מערכות מבוססות לינוקס (Linux), ומיקרוסופט הגיבה על כך בעוצמה, במטרה להאט את המהלך הזה ככל האפשר. במקרה נוסף שמתאר קלארק בספרו, לאחר שאחת מסוכנויות הביון האמריקניות הטמיעה מערכות מבוססות לינוקס, מיקרוסופט איימה, כי תפסיק לשתף פעולה עם הממשל האמריקני כולו. קלארק כתב, כי האיום לא הפחיד אותו, אבל הצליח להרתיע גורמים אחרים בוושינגטון. הוא ציין, כי הענקית מרדמונד נקטה מהלך דומה מול ארגונים במגזרים הפיננסי והבנקאי בארצות הברית. בסופו של דבר, קבע קלארק, מיקרוסופט פעלה בכל שדולה אפשרית בבית הלבן כדי שרמת תקני האבטחה הממשלתיים לא תועלה.

לדבריו, אנשי מיקרוסופט הודו בפניו, שלא לציטוט, כי החברה לא עושה די לתיקון בעיות האבטחה שלה ולא מתייחסת לנושא ברצינות, למרות המבוכה המגיעה מפרסום פרצות במוצריה כמעט על בסיס יומי. "מיקרוסופט היא אחת מכמה חברות בודדות שהשפעתן רבה בעולם הקיברנטי, החיים שלה טובים ומנהליה לא מוצאים סיבה לשנות משהו – כי שינוי שכזה עלול להיות רע", כתב.

"ארצות הברית – המדינה המסוכנת ביותר בתחום אבטחת המידע"

"על אף שנראה, כי לארצות הברית יש יתרון במקומות מסוימים", כתב קלארק בספרו, "למעשה, המלחמה הקיברנטית ממקמת את המדינה במצב של הימור פרוע ומסוכן יותר מכל מדינה אחרת על פני הגלובוס". הוא הסביר, כי מצב זה נוצר בשל התלות של התשתיות הלאומיות הקריטיות, ובראשן המערכת הפיננסית ותשתיות האנרגיה, ברשתות המחשב. "הרשת מציבה אותנו במצב של פוטנציאל מתקפות בלתי פוסק", הוסיף. "כלל האוכלוסייה מקושר לארגונים שמריצים את המערכות הקריטיות שלהם על גבי הרשת, ולכן, בסבירות גבוהה, הם ייפגעו ממתקפות קיברנטיות".

קלארק ציין כמה התקפות קיברנטיות מפורסמות, לרבות זו שנערכה על אסטוניה ב-2007, מסוג "מניעת שירות" (DDoS), והעלה את השאלה האם מתקפות שכאלה יכולות לקרות גם בארצות הברית. הוא תיאר תרחישים של קריסת תשתיות לאומיות בשל התקפות על מערכי המיחשוב שלהן, חוסר יכולתן לתפקד ואובדן המידע שבהן, אף שהיה מגובה.

הוא שימש במשך שלושה עשורים כיועץ בכיר בבית הלבן, בפנטגון ובמחלקת המדינה, והיה היועץ המיוחד לענייני טרור ומודיעין של חמישה נשיאים אמריקנים, עד מחצית העשור הנוכחי. כעת הוא שותף בחברת הייעוץ לאבטחה Good Harbor. שם החברה הינו משחק מילים בין פרל הארבור, הנמל שבו אירעה מתקפת פתע יפנית על הבסיס האמריקני בהוואי ב-1941, שהובילה לכניסת ארצות הברית למלחמת העולם השנייה, ל-"אבטחת מידע כוללת וטובה".

במסגרת תפקידו, התריע קלארק שוב ושוב על המשמעויות הגלומות בארגון אל-קאעידה בחודשים שלפני ספטמבר 2001, ונודע כמי שחשף את חוסר ההיערכות של ממשל בוש להתראות שהיו על הפיגועים הללו. גם בין מבקריו, כאלה הטוענים שהוא עוסק בהגברת ההיסטריה לתחום הטרור הקיברנטי לצרכיו, יש המודים, כי קיים צדק בדבריו בדבר חוסר המוכנות של התשתיות הלאומיות בארצות הברית לקראת מלחמה קיברנטית אפשרית.