על המתח בין הגנה להתקפה במרחב הקיברנטי
שני אירועים שהתרחשו החודש הציפו בעוצמה את אחת הדילמות הבסיסיות הנוגעות לגישת המדינה, בוודאי המדינות המפותחות, לנושא הסייבר: עיקרה - המתח המובנה בין מערכי הגנה לכלי תקיפה והצורך בגיבוש תפיסה עקרונית שעל מדינות דמוקרטיות לאמץ על מנת שיוכלו לפעול בצורה נכונה בסביבה דינאמית ומאתגרת זו.
אירוע ראשון אשר לכד את העין הוא פרסום מאת העיתונאי אמנון אברמוביץ, בסוף אפריל 2017, על דבר קיומו של מכתב משותף, עליו חתומים בצוותא ראש השב"כ נדב ארגמן, ראש המוסד יוסי כהן, סגן הרמטכ"ל אלוף יאיר גולן ומנכ"ל משרד הביטחון אודי אדם. עניינו של מכתב זה, כך לפי הפרסום, מחאה כנגד טיוטת הצעת החוק בנושא סמכויות מטה הסייבר ורשות הסייבר הלאומית באשר "הצעת החוק, כפי שהיא, מהווה פגיעה חמורה בליבת העיסוק הביטחוני של מדינת ישראל", כפי שמצטט אברמוביץ. נוסח המכתב כמו גם נוסח טיוטת הצעת החוק לא פורסמו, כך שלא ברור לגמרי מה הביא את ראשי ארגוני הביטחון הנהנים מגישה ישירה לראש הממשלה, לשלוח מכתב משותף כה חריג.
אירוע משמעותי נוסף התרחש ביום שישי ה 12 במאי, בתקיפה חסרת תקדים בהיקפה, שכוונה נגד עשרות אלפי מחשבים, סימולטנית, בפריסה גלובלית של למעלה ממאה מדינות, בדרישת כופר שכונתה Wannacrypt. על פי הפרסומים בתקשורת, בתקיפה נעשה שימוש בכלי שפותח על ידי ה NSA והודלף לרשת. כלי התקיפה התבסס על גילוי חולשה ב Windows , הותאם על ידי ההאקרים לתצורה של כופרה ונשלח לארגונים ומוסדות ברחבי העולם. בעקבות התקיפה פרסם נשיא מיקרוסופט, בראד סמית', מכתב גלוי ובו, בין היתר, קריאה לממשלות ולארגוני הביטחון שלהן לשנות את התנהלותם בנושא הסייבר, שכן האירוע ממחיש את הסיכון מגניבת או דליפת כלי תקיפה שמפותחים על ידי ארגוני הביון. סמית׳ קרא לראות באירוע זה "קריאת השכמה" המחייבת פעולה.
מעניין כי בראד סמית' לא מצא מקום לציין היכן שגתה מיקרוסופט בהתנהלותה לאורך השנים, ואלו שינויים נדרשים בחברה על מנת להגן על משתמשי הקצה מפני חולשות במוצר הדגל שהם מפתחים. על שאלה זו להיות מופנית באופן דומה למרבית החברות המפתחות תוכנה, אשר בהעדר מניע כלכלי אינן עושות מספיק בכדי לייצר תוכנה בטוחה גם עבור משתמש הקצה שאינו יכול להרשות לעצמו לרכוש שורה של אמצעים משלימים לצורך שמירה על פרטיותו.
שני אירועים אלה ממחישים את הדילמה הבסיסית העומדת בפני ממשלות:
מחד, ברור לכל הצורך בהגנה מפני תקיפות סייבר, המאיימות לשבש את הפעילות המשקית, ועלולות למשל לשמש כר להתערבות בטוהר הבחירות וכנגזרת מכך – על אמון הציבור במופע הדמוקרטי הבסיסי, ובעצם – מאיימות בכל רגע, באופן פוטנציאלי, לגזול מכל אחד מהמשתמשים את פרטיותו, לחסום את גישתו למידע הקיים במחשבו או להשתמש בו לרעה.
מאידך, קיים צורך לכל המדינות בהשגת מידע בטחוני חיוני לביטחונן הלאומי. מידע זה מופק פעמים רבות באמצעות שימוש בכלי תקיפה לצורך פריצה לרשתות ולמחשבים. זאת ועוד – שימוש בכלים אלה נדרש לעתים לשם סיכול מזימות מצד יריבים בתחום הצבאי, הטרוריסטי ובתחום הפשיעה המאורגנת. לפיכך, נראה כי לא ייתכן להותיר ממשלות בלי כלי סייבר אפקטיביים לקידום יעדים לאומיים חיוניים כמו מלחמה בטרור ובפשיעה.
הבעיה הבסיסית היא כאמור, קיומו של מתח מובנה בין שני אינטרסים חיוניים אלה: יעילותו של כלי תקיפת מחשבים לצורך ריגול המפותח על ידי סוכנות ביטחון, מותנית בכך שלמגן אין ידיעה לגבי האופן בו פועל כלי זה, שכן אחרת, המגן יוכל לטפל בחולשה המאפשרת את התקיפה באמצעי זה או אחר. משמעות הדבר היא שכדי שסוכנות מדינתית כמו ה NSA תוכל להצליח בפיתוח ושימור כלי תקיפה היא אנוסה, למעשה, שלא לשתף את הסוכנויות שעיסוקן בהגנה על תשתיות מחשביות במידע לגבי כלים אלה. בכך היא מכשילה, בפועל, את סוכנויות ההגנה. בתמונת מראה – סוכנות העוסקת בהגנה מפני תקיפת תשתיות מחשב קריטיות, עשויה לסכל בעצמה, מבלי דעת, את כלי התקיפה שפותחו על ידי סוכנות הביון ולהוריד לטמיון יכולות חשובות לביטחון הלאומי שהושקעו בהן שנים של עבודה.
התוצאה היא שכאשר מדינה מחליטה לחזק את סוכנויות הגנת הסייבר שלה, לרבות בתחום הרגולציה והשקעת האמצעים המוקצים לכך, היא עשויה לפגוע במאמצים המקבילים של ארגוני הביטחון והביון שלה עצמה להשגת יעדיהם באמצעות פיתוח כלי תקיפה. מאחר ובמדינה כמו ישראל מדובר באנשים המגיעים בדרך כלל מאותו רקע (יחידה 8200 בצה"ל והיחידות הטכנולוגיות בארגוני הביטחון האחרים) – העברות הידע בין מערכי ההגנה להתקפה הן כמעט בלתי נמנעות. סימביוזה זו, שיש בה יתרונות מצד אחד, עשויה להיות זרז לתוצאה מצרפית כאוטית למדי.
השאלה העקרונית אותה מעלה סמית' היא האם, בשקלול הסיכונים - לרבות אלו הנובעים מהדלפות כמו של סנודן ונוספים - לא נכון לשנות כליל את גישת המדינות, במובן זה שהמדינות לא תעסוקנה עוד בחיפוש חולשות במערכות ההפעלה של המחשבים לצורך פיתוח כלי תקיפה, אלא להיפך: הן תפעלנה ביחד עם השוק כדי למצוא ולתקן חולשות. וכך למשל, במקרה כמו wannacrypt – המדינה תדווח למיקרוסופט על החולשה שנמצאה בתוכנת ההפעלה שלה, על מנת שמיקרוסופט תתקן בעצמה את הפרצה ותעדכן את התוכנה לכלל המשתמשים. יתר על כן, בשל אופיו הבינלאומי והעל-מדינתי של תחום הסייבר, סמית' קורא ליצירת מנגנוני שיתוף פעולה בינלאומיים אפקטיביים החיוניים לפיתוח יעיל של מערכי הגנה. פיתוח כזה מחייב רגולציה בינלאומית, שיתוף פעולה והעברת ידע בין מדינות ופעילות מתואמת לשם הקמת שכבת הגנה יעילה על מדינות, ארגונים ויחידים.
במדינה כמו ישראל לא ניתן לבטל אף אחד משני האינטרסים הללו – הן האינטרס של הגנה יעילה על המשתמשים, על ארגונים וחברות, על תשתיות לאומיות קריטיות כגון חשמל, תקשורת, מים וכו', ועל מנגנוני הדמוקרטיה כמו בחירות מפני פגיעה של גורמים עוינים, מעצמות זרות או ארגוני פשיעה ומאידך - האינטרס החיוני לא פחות של סיכול איומים צבאיים וטרוריסטיים באמצעות חדירה מדינתית למחשבים של אויבים ויריבים. זהו עולם דינמי מאד ונקודת האיזון עשויה להשתנות בעתיד הלא רחוק, למשל, כנגזרת מהאיומים ומההזדמנויות שמציבים התקניIOT (INTERNET OF THINGS).
נראה, לכן, כי בשלב זה, הדרך היחידה לקיים את שני האינטרסים הסותרים הללו בצורה סבירה היא בשתי רמות: ברמה הבירוקרטית - באמצעות קיום מנגנון תיאום על-ארגוני, שייקח בחשבון שיקולים שונים בהערכת המצב הלאומית בנושא הסיכונים וההזדמנויות מכלי תקיפה ומערכי הגנה, ויהווה מנגנון הכרעת מחלוקות הרואה לנגד עיניו את האינטרס הלאומי הכולל, תוך איזון בין הצורך בהגנה מול הצורך בכלי תקיפה. בכך ייחסכו, כך יש לקוות, כיפופי הידיים וריב הסמכויות.
ברמה המהותית יותר – יש צורך בפתיחת השיח לבירור חברתי, בו יעלו האינטרסים השונים והיחס בינם לבין הערכים הדמוקרטיים. בירור נמשך כזה חיוני לגיבוש תפיסה חברתית עקרונית, שתתורגם למהלכים בירוקרטיים והסדרתיים בסוגיה קריטית ודחופה זו.
רון שמיר, מנכ"ל חברת פונטיקה ויועץ בתחום הסייבר ולשעבר - ראש אגף הטכנולוגיה בשירות הביטחון הכללי.
אלי בכר, חוקר במכון הישראלי לדמוקרטיה ולשעבר – היועץ המשפטי של שירות הביטחון הכללי