וגר זאב עם כבש: מחלקות התקיפה וההגנה ב-NSA מתאחדות

ה-NSA, הסוכנות לביטחון לאומי בארצות הברית, צפויה להודיע השבוע על ארגון מחדש במבנה שלה. במסגרת הארגון מחדש, ימוזגו שתי יחידות, זו העוסקת בהגנה מפני מתקפות סייבר – וזו הפועלת לתקיפה.

על הצד ההגנתי מופקדת יחידה בשם הנהלת הבטחת מידע, IAD (ר"ת Information Assurance Directorate), אשר עובדת עם חברות פרטיות ורשתות הממשלה על מנת לתקן פרצות אבטחה לפני שהן יכולות להיות מנוצלות למתקפות סייבר. על הצד המתקפתי אחראית יחידה בשם הנהלת מודיעין אותות Signals Intelligence Directorate, אשר מבקשת להותיר חורי אבטחה בלא הטלאה, כדי שהם יוכלו לנצל אותם לפרוץ למערכות IT של גופים מחוץ לארצות הברית.

מיזוג שכזה, של שתי המחלקות, נוגד את ההמלצות של כמה מומחים לאבטחת מידע, מנהלי טכנולוגיה וחברי ועדת רפורמת מעקב של ממשל אובמה – אשר כולם טענו כי שתי משימות אלה, של שתי היחידות, טומנות בחובן סתירה ולכן צריכות להיות נפרדות.

כך, טענו המבקרים את ההחלטה על האיחוד הצפוי כי "ה-NSA יכולה להחליט שלא לספר לחברת IT על פגם אבטחה, ולא להנחות אותה לתקן אותו – אם היא יודעת שהפרצה יכולה לסייע לה לפרוץ למערכת שנמצאת על הכוונת שלה. זה יכול להביא למצב בו צרכנים נמצאים בסיכון".

הגוף הגדול ישלוט ברוחו ובהתנהגותו

כמה מומחים לאבטחת מידע ואנשי מודיעין לשעבר, אמרו כי ה-NSA במבנה החדש שלה, עלולה להימצא במתח, הנובע מהצורך בבחירה בין ביצוע עבירה – לבין הגנה. "כאשר גוף קטן מצטרף לגוף גדול – תמיד קיימת הסכנה כי הגוף הגדול ישלוט ברוחו ובהתנהגותו", אמר בכיר בממשל לשעבר.

ב-2013 הגישה ועדה שבחנה את תחום ה-ICT של המודיעין, דו"ח לנשיא אובמה, בו המליצה כי גוף ההגנה, הנהלת הבטחת מידע, IAD – יפוצל מתוך הסוכנות ויהווה ארגון העומד בפני עצמו. "אנחנו מודאגים מכך", כתבו חברי הוועדה בדו"ח, "שהעובדה ש-IAD משולב ב-NSA יוצרת ניגודי עניינים פוטנציאליים". גם ארט קוביילו, יו"ר RSA – חטיבת האבטחה של EMC, אוחז בדיעה דומה. בכנס אבטחת המידע מהגדולים בעולם, RSA, שנערך לפני שנתיים בסן פרנסיסקו, אמר קוביילו, כי חווה את המתח בין שני הצדדים של NSA בעשור האחרון, כאשר החברה שלו אימצה סכימת הצפנה, אשר קיבלה גיבוי מהצד ההגנתי של הסוכנות. שנים מאוחר יותר, דווח בכלי התקשורת כי סוג זה של הצפנה – שהסתמכה על מחולל מספרים אקראי – נפרץ על ידי האקרים של NSA.

האדמירל מייקל רוג'רס, ראש ה-NSA, אמר כי מבנה שטוח של הארגון הוא הכרחי לביצועים טובים יותר של הסוכנות. זאת, כדי שהיא לא תיקלע לסבך של ביורוקרטיה ושיח צבאי, ותהיה זריזה יותר – ככל שפעילות ההאקרים הופכת להיות חצופה יותר ויותר.

דובר ה-NSA אמר כי "משימות הליבה של הסוכנות הן קריטיות, ככל שאנו מתמודדים עם איומים מורכבים ומתפתחים, המהווים סיכון ביטחוני לאומה".