"אין כמו אבטחה ישראלית"

השבוע הודיעו אנשי ה־FBI כי הצליחו לפרוץ לאייפון של הרוצח מסן ברנרדינו, ובעקבות כך הם מסירים את הדרישה שלפיה חברת אפל תפתח תוכנה שתיצור "דלת אחורית" למכשירי אייפון, ולמעשה תאפשר לפרוץ למכשירים. 

יוג'ין קספרסקי, מייסד ומנכ"ל מעבדות קספרסקי לאבטחת מידע, שהגיע השבוע לישראל לסידרת פגישות עסקיות, משוכנע שחברת אפל פעלה נכון. "אפל צדקה בכך שלא הסכימה לייצר 'דלת אחורית'. היא התבקשה לסייע בחקירה וגם סייעה להגיע למידע, אבל כשביקשו ממנה את הכלי שיאפשר לפתוח כל מכשיר היא סירבה, משום שזו בקשה לא חוקית. אני חושב שזו שאלה אתית, ואם למישהו יש כלי כזה, יש סיכון שהוא יגיע לידיים הלא נכונות. זה יהרוס את המוניטין של החברה וגם יגרום לריגול אחרי אנשים תמימים. אם כלי אוניברסלי כזה קיים, יש סיכון שזה יודלף, וישתמשו בו לא רק ממשלות ושלטונות אכיפת החוק, אלא גם אחרים, וברור שבמוקדם או במאוחר זה יודלף ויגיע לידיים של האנשים הלא נכונים. 

"אני גם לא מסכים עם הקביעה שאסור לאפשר הצפנה, כי גם אם הכלים של העברת מידע לא יוצפנו, הפושעים תמיד יצפינו את המסרים שלהם, למרות שאסור להצפין, כי בכל מקרה הם עוברים על החוק, והם יעברו גם בנקודה הזו, והמידע שלהם יעבור מוצפן. אפשר לאסור שימוש בכלי נשק חמים, אבל הפושעים ישתמשו בהם למרות האיסור. זה בדיוק אותו דבר באיסור של הצפנה".

כיצד מתאפשר זיהוי פעילות חבלנית אם כל המסרים מוצפנים?

"אני לא יודע לגבי המתקפה בבריסל, אבל לפני המתקפה בפאריס המחבלים העבירו מידע מוצפן ולא השתמשו בתקשורת גלויה. עצם העובדה שמידע נשלח כבר מצביע על פעילות שצריך לעקוב אחריה, אפילו אם לא יודעים מה התוכן. אנשי מקצוע שמנטרים את המחבלים, יכולים לראות פתאום עלייה בכמות המסרים ושינוי בתדירותם, וזה צריך להדליק נורה אדומה ולגרום להם לפעול. אפשר לבנות מערכת שעוקבת אחרי התקשורת של המחבלים ורואה כל אנומליה. אנשי מקצוע חכמים יוכלו לראות פתאום שיש יותר מסרים מוצפנים. גורמי המודיעין צריכים לבנות את מפת התקשורת בין הפעילים ולראות איזה מידע הם מחליפים ביניהם. גם אם לא יודעים מה התוכן, אפשר לבנות מערכת שעוקבת אחרי החשודים ולראות כל שינוי שמעורר חשד". 

 

פתרון לבעיות הכופר

הפיגועים האחרונים באיסטנבול ובבריסל העלו בפעם המי יודע כמה את בעיית האבטחה בנמלי התעופה. קספרסקי טוען שכדי לשפר את האבטחה בנמלים יש צורך בכמה מעגלי אבטחה, שילוב של אבטחה פיזית ואבטחת סייבר. "בנמלי התעופה של מערב אירופה אין אבטחה", הוא מוסיף. "בישראל האבטחה הכי חזקה. אחרי הפיגוע בבריסל הם יהיו עסוקים זמן רב בהתקנת המערכות, ואני צופה שזה יגרום לתורים ארוכים כי כולם חשודים, וייקח זמן עד שהדברים יזרמו. כך היה גם אחרי החבלה בנמל התעופה של מוסקבה, כשהוסיפו אבטחה, אבל באירופה זה יהיה קשה ובעייתי, אבל אין להם ברירה".

האם יש עלייה במתקפות הסייבר הגדולות?

"לצערי, נראה יותר ויותר מתקפות כאלה. לפני שנה דיווחה גרמניה על מתקפת סייבר שפגעה במפעל פלדה וגרמה לנזק פיזי לתנורים. בשנה שעברה ראינו את המתקפה על רשת החשמל באוקראינה. בעתיד נראה עוד מתקפות על מערכות תשתית, ולכן צריך להוסיף שכבות הגנה לתשתית הקיימת". 

יש "חיסון" למתקפות על התשתיות המקוונות?

"קשה ליצור מערך אבטחה אחיד, כי כל מערכת תשתית היא שונה. גם בתחנת כוח יש טורבינות מכמה דורות, כשבכל דור יש שינויים ושיפורים, כך שהטורבינות אינן אחידות, ואי אפשר ליצור מערכת שתגן על כל הטורבינות באותה צורה. אין שתי תחנות כוח זהות, ובכל תחנת כוח יש רכיבים שונים. אלו מערכות מורכבות, וכל תחנה צריכה פתרון שתפור לצרכים הייחודיים שלה. זה לא מוצר הגנה אחד אלא כמה מוצרים".

אז מה אפשר לעשות?

"פיתחנו מערכת הפעלה למחשבים בתעשייה, שתהיה מנותקת מהאינטרנט. זו מערכת שנבנתה עם דגש על אבטחה. אי אפשר להוסיף לה יישומים משרדיים דוגמת אופיס. זה רק לשימוש מחשוב הפעולות של מתקני התשתית. לכל השאר הם צריכים מערכת מחשבים נפרדת, שאין לה נגיעה לתפעול של התשתית הרגישה. כאן צריכים לבצע אבטחה עסקית בתוך הרשתות, בשרתים, בחומת האש; זה הרבה יותר מורכב מאבטחה אישית. יש לנו שתי התקנות מוצלחות של מערכת ההפעלה, במזקקת נפט ברוסיה ובנמל בים הבלטי. זו ארכיטקטורה ייחודית לצרכים של התעשייה".

האם מערכת נפרדת בטוחה לגמרי?

"אלה שמתנתקים מהרשת אולי חושבים שהם מוגנים והם עובדים בסביבה בטוחה, אבל בדיקות שעשינו הראו שאנשים מביאים התקני USB ומחדירים כך וירוסים. מערכת ההפעלה שעיצבנו בודקת את ההתנהלות של המפעילים. אם הם סוטים מהתסריטים המורשים ומנסים לעגל פינות, המערכת מדליקה פעמונים מצלצלים. המהנדסים לא אוהבים את זה, אבל הם צריכים להתרגל לעבוד רק לפי תסריטים מורשים, כי אנחנו נראה כל חריגה. הם בסוף מבינים שזה לטובתם". 

לאחרונה יש גידול במקרי החדירה, שבהם דורשים כופר כדי לשחרר את המערכת שהושבתה. מה אפשר לעשות במקרים כאלה?

"יש מקרים רבים של דרישות כופר, למשל בבתי חולים ואפילו במשטרת בריטניה, ששילמה את הכופר שנדרש אחרי שהמערכת שלה נעצרה. אנחנו יכולים לעצור את זה. אנו רואים שחדר מסר מוצפן למערכת ועוצרים את הכניסה שלו. בסוף השנה יהיה פתרון כולל נגד מקרי הכופר לעסקים ולא יהיה צריך לשנות את התהליכים. זו תהיה שכבת אבטחה נוספת".

האם שכבות ההגנה הנוספות מאיטות תהליכים?

"אנו עושים את המקסימום כדי לא להאט את מערכות המחשוב. יש השפעה קלה על המערכת, אבל עדיף להאט מאשר להגיע למצב שבו משביתים לנו את המערכת. חשוב גם לבצע גיבוי של כל מערך המחשוב, ובעצם כמה גיבויים, שכל אחד מהם מתבצע בזמן אחר ולמקום אחר. כך ממזערים את סכנת ההשתלטות של דורשי הכופר גם על מערך הגיבויים, וכבר קרו מקרים כאלה". 

טעינו? נתקן! אם מצאתם טעות בכתבה, נשמח שתשתפו אותנו