בוקי כרמלי, משרד הביטחון: "אנחנו אשמים בבעיות האבטחה – כי אנחנו רוצים הכול מהר, זול, יעיל וקטן"
"בעקבות הרצונות שלנו נוצר מצב שבו התוכנה יוצאת לאחר בדיקה מינימלית ולא מעמיקה - דבר שגורם לבאגים", אמר כרמלי, איש משרד הביטחון, בכנס CyberSec 2012, שנערך בהפקת אנשים ומחשבים ● לדבריו, "לתוקפים מספיק סדק אחד על מנת לתקוף, ואילו למותקפים נדרשת הרמטיות מוחלטת" ● "על מנת להדביק את הפערים הללו יש לפעול לא רק בהיבט הטכנולוגי אלא גם בתחומי ההדרכה, החינוך ושינוי התרבות; ישראל עושה לא מעט על מנת לבצע זאת", ציין
"אנחנו, הצרכנים הפרטיים והעובדים הארגוניים, אשמים בבעיות האבטחה הקיימות בעולם. כמשתמשים, אנחנו רוצים הכול מהר, יעיל, זול וקטן. כך נוצר מצב שבו התוכנה יוצאת לאחר בדיקה מינימלית ולא מעמיקה – דבר שגורם לבאגים", אמר בוקי כרמלי, איש משרד הביטחון.
כרמלי דיבר אתמול (א') בפתח כנס CyberSec 2012, שהופק על ידי אנשים ומחשבים ונערך במרכז הכנסים אבניו שבקריית שדה התעופה, בהשתתפות מאות מומחי אבטחת מידע. מנחה הכנס היה אבי וייסמן, מנכ"ל שיא סקיוריטי.
לדברי כרמלי, "תוכנה עם מאה הסתעפויות דורשת טריליוני שנות בדיקה. המסקנה הנובעת מכך היא שהתוכנות לא נבדקות לעומק, הן מוצר שלא ניתן לקבוע שהוא תקין". הוא ציטט מחקר סטטיסטי שהעלה, כי אם צרכן משתמש בתוכנה מסוימת במשך 10 שנים, ב-5 השנים האחרונות הוא ייתקל בה באלף באגים.
"תוכנה זה דבר מסוכן", אמר כרמלי. הוא נתן מספר דוגמאות, ביניהן מטוס איירבוס (Airbus) שהתרסק ב-1990 בשל שגיאת ניווט. "השגיאה הזו קרתה בגלל תקלה של 'חלוקה באפס' (באג ידוע)", אמר.
"מחקר של חולשות"
"פורץ מחשבים לא צריך דוקטורט", הוסיף כרמלי. "הוא צריך נגישות ובעיקר זמן. הוא מחפש באגים, וכשיש 100 אלף מחפשים – זו בעיה. הפורץ בודק אילו באגים היצרן יודע שטרם נחשפו לציבור, הוא עושה מחקר של חולשות".
"עולם הסייבר החל בשנות ה-80", ציין. "הווירוסים הראשונים הופיעו במקביל לכך שהתאגידים, בעיקר אלה הפיננסיים, הבינו שביכולתם להגדיל את הכנסותיהם על ידי הקמת אתר אינטרנט, ובכך האתרים הפכו להיות מוקד לאיומים. בתחילת שנות ה-2000, עיקר ההשקעות של קרנות ותאגידים בעולם האבטחה היה תוצאה של פעילות האקרים ושיתוף הפעולה שלהם עם ארגוני פשע. כך גם עד היום. על מנת להוזיל עלויות, מדינות עברו מהתבססות על טכנולוגיות ייחודיות להתבססות על טכנולוגיות מיינסטרים. או אז, בעיות האבטחה חדלו להיות בעיות של התאגידים והפכו להיות בעיית המדינה".
הוא הוסיף, כי "עולם הסייבר הוא עולם שטוח. הרבה ממדים בו אינם רלוונטיים, בהם המימד הפיזי ומימד המרחק. ההתנהגות של גוגל (Google) ב-2010, בעקבות הפריצה לשרתיה בסין, מעידה שהכסף מדבר. האינטרנט נתפס כנשק פוליטי. סין היא המעצמה מספר 1 בעולם בתחום הסייבר ויש לה צבא האקרים שמונה בין 100 ל-150 אלף איש. למרות זאת, יש קושי לחבר ולעשות את הזיהוי של התוקפים עם מדינות".
כרמלי ציין כמה סוגי מתקפות שמבוצעות, ביניהן מניעת שירות (Dos) על ידי יצירת עומס, השחתת אתרים והשתלטות על מערכי ניתוב, מה שגורם לשיתוק התעבורה ברשת. הוא אמר שיש "אינסוף מתקפות סייבר" וציין כמה מהמפורסמות שבהן, כולל זו שקרתה באסטוניה, שהיא מדינה מבוססת מיחשוב, ב-2007. לאחר שהוחלט להזיז את פסל החייל האלמוני ממרכז הבירה, טאלין, למקום צדדי, חוותה אסטוניה מתקפות קיברנטיות בלתי פוסקות מצד רוסיה – מה שהביא לשיתוק החיים בה במשך שבועות. "האם לנו זה יכול לקרות?", שאל כרמלי ומיד השיב: "יכול".
כרמלי עמד על האבחנה בין סייבר וביטחון מערכות מידע (במ"מ). "סייבר זה לא במ"מ", אמר. "דמיינו תקלה במערכת טלפוניה ארצית שהיא תוצאה של תקיפה שמביאה להשבתה. במקביל, דמיינו אירוע רב נפגעים, כגון הצתה. התקלה הגדולה בסלקום התרחשה יום אחד לפני השריפה בכרמל. חישבו איך היו כוחות הביטחון מטפלים בשריפה כאשר שליש מהטלפונים מושבתים".
לדבריו, "עולם הסייבר הוא אמיתי, הוא לא המצאה של אנשי שיווק ומכירות של ספקיות אבטחת מידע. הוא חיבור של עולם הבמ"מ להיבט של יצירת איום על תאגידים, על גופי תשתיות לאומיות קריטיות ועל מדינה". "סייבר זה לא מימד, זו פלטפורמת לחימה", הוסיף. "הוא יכול לעמוד בפני עצמו או כחלק ממכלול רחב יותר של מתקפות שלא במימד הסייבר".
הוא תיאר את מעגלי ההגנה השונים שנדרש לבנות על מערכות המיחשוב, וציין כי במעגל הניטור מתחיל החיבור לסייבר, ובנוסף נדרש איתור אקטיבי.
"לתוקפים מספיק סדק אחד על מנת לתקוף, ואילו למותקפים נדרשת הרמטיות מוחלטת", סיכם כרמלי. "על מנת להדביק את הפערים הללו יש לפעול לא רק בהיבט הטכנולוגי אלא גם בתחומי ההדרכה, החינוך ושינוי התרבות. ישראל עושה לא מעט על מנת לבצע זאת".
תגובות
(0)