שאן ג'ון, סימנטק: "מגמת 'האינטרנט של דברים' עלולה להביא להרס תשתיות קריטיות כגון חברות חשמל"
האסטרטגית הראשית לאבטחת מידע בחברה העריכה כי שוק שחור ל-Big Data המופק מפריטי מיחשוב לביש הוא רק עניין של זמן ● איך פריצה למקררים תביא לקריסת חברת החשמל ● "גניבת מידע קלה היום- ותהיה קלה יותר מחר"
"למצלמות אבטחה ולחיישנים שיש במיטות של תינוקות – ההאקרים כבר הצליחו לפרוץ. לא ירחק היום בו יפרצו למקררים, פעולה שעלולה להביא, בסופו של דבר, אם תיעשה בבתים רבים – להשבתת תשתית לאומית קריטית של חברת חשמל", כך אמרה שאן ג'ון, אסטרטגית ראשית לאבטחת מידע, סימנטק (Symantec).
ג'ון התראיינה לאנשים ומחשבים במסגרת מסיבת עיתונאים שנערכה בדבלין בירת אירלנד אתמול (ג'), עת פורסם דו"ח האיומים השנתי (Internet Security Threat Report, ISTR) של ענקית אבטחת המידע.
לדברי ג'ון, אחת מיצרניות מצלמות האבטחה הגדולות בעולם כבר נקנסה על ידי הרשויות הפדרליות בארה"ב, בשל העובדה שמצלמות האבטחה, למרבה האירוניה, לא היו מאובטחות בעצמן, וניתן היה לשלוף מהן את הנתונים המצולמים בלא קושי – ואכן כך עשו ההאקרים.
על פי ג'ון, "מגמת 'האינטרנט של דברים' (The Internet of Things) מביאה לכך שנאספת כמות מידע עצומה, אותה לא הכרנו בעבר. הבעיה משולשת – האחת, עצם איסוף נתונים רבים, חלקם הגדול אישי, השנייה – שידור הנתונים הללו בתווך תקשורתי שפעמים רבות אינו מוצפן, והשלישית, איסוף הנתונים ושמירתם במקום לא מאובטח, למשל בענן". לכן, ג'ון העריכה כי כאשר יצטלבו שתי מגמות – יהיה החזר השקעה מהיר ליכולת הפריצה למקרר החכם, ותהיה יכולת טכנולוגית לעשות זאת, אז יקרה אסון בעולם האנרגיה. לדבריה, "האקרים בעלי מוטיבציה פוליטית – ולא כספית, יפרצו לכמות נכבדה של מקררים במדינה מסוימת. המקררים אינם ערוכים להיות במצב של הפעלה וכיבוי, וחלקם יתקלקל, ואלו הנותרים יצרכו חשמל באופן מוגזם, שבתזמון נכון וחכם – יביא להשבתה של חברת החשמל באותה מדינה, עקב עומס שנובע מביקוש יתר".
היא ציינה כי חלק ממגמת האינטרנט של הדברים, היא מיחשוב לביש, "החל מחיישנים המחוברים לנעלי הריצה, ועד לחיישנים המודדים את הדופק, המליחות ושאר נתונים פיזיים, בעת עריכת ספורט למשל. מיחשוב לביש יהיה 'שער הכניסה' הבא של ההאקרים. כל פריטי המיחשוב הלביש, הקיימים והעתידיים, חסרי רכיבי אבטחת מידע ולכן פוטנציאל הנוזקות שיודבקו אליהם, נוזקות שייקח זמן למצוא להן הטלאה – הוא פוטנציאל גדול, והוא ימומש על ידי ההאקרים". כך, אמרה, "משקפי גוגל (Google) הם בסך הכל הרחבה של מכשיר הטלפון הנייד, רכיב שהוא בעצמו אינו מאובטח. כבר לפני חצי שנה גילינו נוזקות לעולם זה".
הבעיה, לדברי ג'ון "נובעת מהעובדה כי כאשר מוצר טכנולוגי בא לעולם, המהנדסים שתכננו אותו חשבו על פונקציונליות, ועל ידידותיות למשתמש, אולם ברוב המקרים, לא חשבו על היבטי אבטחת מידע והגנה על הפרטיות. לכן, אם כבר הוטמעו יישומי אבטחת מידע, הם הוטמעו בשולי הייצור של המוצר, או בסופו, ולא כחלק מובנה בהליך הייצור. כאשר חברה מתכננת פריט מיחשוב לביש, היא חושבת על היבט ה'קוליות' והאופנתיות – ולא על היותו מאובטח או לא".
מגמה נוספת הצפויה לקרות בשנתיים-שלוש שנים הקרובות, אמרה ג'ון, "היא האגירה הבלתי פוסקת של נתונים. ככל שיהיו יותר רכיבים ממוכשרים ומקושרים, הם ייצרו יותר מידע. ה-Big Data הזה יהיה צריך להיות מטופל. המדובר על המון פרטים אישיים, שלצד בעיית אבטחת המידע, משקף בעייה של אובדן פרטיות. למשל, אם מישהו נוטל תרופות מסויימות, אבל מסתיר את עובדת היותו חולה ממקום העבודה. בשל כך, ערך המידע שייצבר – יעלה, ויש להניח כי המידע הזה ייגנב בשלב כלשהו, ויימכר בשוק השחור, בשל הערך הכספי הגלום בו. זה לא יקרה מחר – אבל בטוח יקרה מחרתיים".
"השוק השחור העתידי במידע הוא רק עניין של זמן"
ג'ון שרטטה את ההתקדמות של הרעים למיניהם במהלך שני העשורים האחרונים: בתחילה היו מחשבים אישיים ושרתים, ואז נולדו הווירוסים. לאר מכן, עם התפשטות האינטרנט ותחילת המסחר המקוון, החלו מתקפות מניעת שירות, DoS, מתקפות מניעת שירות מבוזרות, DDoS, וגניבת זהויות. התקופה הנוכחית, אמרה, המתאפיינת במיחשוב נייד ובמיחשוב ענן, מגלמת בחובה איומים מסוג נוזקות מתוחכמות, והדבקת טלפונים חכמים דרך עולם המובייל והרשתות החברתיות. השלב הבא בעולם המיחשוב, אמרה ג'ון, הוא M2M, מכשיר למכשיר, אינטרנט של דברים וטכנולוגיות מיחשוב לביש. פה האיומים, לדבריה, יגיעו משני כיוונים, טרוריסטים מקוונים, והאקרים העובדים עבור ארגוני פשע מאורגן. אלה וגם אלה יפעלו בכמה דרכים – גניבת מידע אישי ומסחר בו, מה שיביא לעוד ועוד אובדן של הפרטיות, מניפולציה על המידע, על מנת להניב ממנו רווח כלכלי, ופגיעה בתשתיות לאומיות קריטיות, תוך שימוש ברכיבים המקושרים החדשים כמחשבי זומבי, לצורך תקיפה, או שיבוש פעילויות שונות. בסופו של דבר, אמרה ג'ון, "הצורך באבטחת מידע, הגנה מפני מתקפות סייבר ושמירה על הפרטיות – שלוש המגמות הללו תתאחדנה, כי יש להן אותו יעד".
"צריך לאבטח את הסביבה הטכנולוגית החדשה, בדיוק כמו שצריך לאבטח את זו הקיימת", אמרה ג'ון,"אלא שכבר כיום זה לא נעשה, או שנעשה בצורה חלקית. צריך להגיע למצב הדומה לזה הקיים במכונית – שבו אף אם היא יכולה מבחינה מכנית להגיע ליותר מ-220 קמ"ש -היא תמנע זאת מהנהג. ככה צריך לשמור על המידע החדש".
"גניבת מידע תהיה קלה מחר יותר מאשר היא קלה היום", סיכמה ג'ון, "כי המידע, שכבר כיום הוא נגיש ולא מאובטח – יהיה עוד יותר נגיש ועוד יותר לא מאובטח מחר – ובעיקר יהיה הרבה יותר מידע. השוק השחור העתידי במידע זה הוא רק עניין של זמן – עם מציאת הערך הכלכלי שלו. כשיימצא הערך הכלכלי – המידע ייגנב, בוודאות".
הכותב היה שליח אנשים ומחשבים לאירלנד
מזכיר לי את האגדה האורבנית על המצאת המכונית. "אסטרטגים טכנולוגיים" בפריז העריכו שצואת הסוסים במרחבי פריז יכסו את פריז בכמותם. ולכן המציאו את המכונית. אכן - חובת משלבי הטכנולוגיה: במקררים, במכוניות, ברמזורים ובמחשוב הלביש - לדאוג להגנה נאותה למוצר