"כלי הסייבר שחברות סייבר התקפי כמו NSO מספקות לארגוני אכיפת חוק, יכולים אמנם לסייע בשמירת החוק, אך הם גם עלולים להתגלגל לידיהם של ארגונים שמבצעים פעולות דכאניות. נוסף על כך, גם ארגוני אכיפת חוק יכולים להיות דכאניים בעצמם". כך אמר מומחה מדיניות הסייבר בו וודס, בראיון ל-BUSINESS.
וודס, שביקר לאחרונה בישראל כדי לשאת דברים בכנס "סייבר וויק", שהתקיים במהלך כנס "סייבר-וויק" זו השנה ה-11 באוניברסיטת תל אביב, הוא יועץ בכיר לרשות הסייבר הפדרלית של ארה"ב CISA. על רקע פרשת NSO, הסביר וודס כי בתעשיית הסייבר העולמית "מנסים כיום ליצור מערכת נורמות מחייבות, וכחלק מהמהלך הזה דנים גם בשאלה כיצד ניתן להתיר אמצעים מסוימים של אכיפת חוק, תוך שבמקביל 'מסלקים מהשולחן' אמצעים דכאניים מדי".
אלא שמי שיפקח אוזן, לא יוכל עם זאת להתעלם מהרמז העבה לגישתו, שמקופל בהתחמקות: "אני מעדיף שלא לבטא את דעתי האישית על חברות כמו קבוצת NSO, או על קבוצות דומות לה בארה"ב, רוסיה וסין, שמתנהלות בתחום האפור, והמאוד דינמי הזה".
לדעת וודס, במקרים רבים, "שאלת הייחוס", או – מיהו הגורם אליו אפשר לייחס את המתקפה, כפי שנעשה למשל באירועי טרור – מיותרת. הסיבה לכך פשוטה: מתקפות סייבר, מעצם טבען, מתבצעות במקרים רבים על ידי חבירה של גורמים שונים שמשתפים פעולה ומשתמשים זה בזה כדי לשרת מגוון מטרות, כך שלעיתים קרובות קשה לזהות מיהו באמת הגורם שעומד מאחורי המתקפה, והאם מדובר בגורם מדיני, פלילי או אידיאולוגי.
הדבר בלט במיוחד במתקפת "סולרווינדס" בדצמבר 2020, שנחשבת אחת ממתקפות הסייבר החמורות ביותר שאירעו אי פעם. במסגרת המתקפה הדביקו האקרים מתוחכמים את חברת התוכנה "סולרווינדס" - תוכנת ניהול תשתיות IT שלה כ-300 אלף לקוחות ברחבי העולם, בהם גופי מימשל רבים בארה"ב ובעולם, ופגעו בשורה ארגונים שהבולטת שבהם היתה ענקית הטק מיקרוסופט.
במתקפת הסייבר המתוחכמת, נשלח ללקוחות החברה עדכון תוכנה, לאחר שהאקרים שתלו בו תוכנה זדונית. מדובר היה בעדכון שגרתי, מאלו שנשלחים ללקוחות בשגרה בכדי לתקן באגים, להוסיף פיצ'רים חדשים ולמרבה האירוניה – לסתום חורי אבטחה. האם זו הייתה סין כמו שטען בזמנו הנשיא דאז דונלד טראמפ, או שמא רוסיה? האם הן ביצעו פעולה זו ישירות או באמצעות פרוקסי – כמו ארגוני פשיעה למשל? ייתכן גם שלעולם לא נדע.
העיסוק בזהות התוקפים לא עזר גם לחברת "קולוניאל פיייפליינס", לאחר שזו גילתה במאי השנה כי ספגה מתקפת כופרה. בעקבות המתקפה, נאלצה לסגור את הצינור שמחבר בין שמונה מדינות מניו יורק ועד טקסס, באופן שהשאיר עד 16 אחוזים מתחנות הדלק באותן מדינות ריקות לחלוטין. במקרה זה הודיעו ההאקרים עצמם כי עשו זאת למטרת בצע כסף.
העיסוק בזהות התוקפים מסתיר לטענת וודס את העובדה ש"אנו פשוט פגיעים". עם זאת, הוא אומר, ייתכן שהשינוי כבר בדרך: "ראיתי שמישהו שטען לפני שלוש שנים שהחשש המרכזי שלנו הוא מאיומי סייבר שמקורם במדינות, מצייץ ש'מתקפות כופרה הן אחד מהאיומים הגדולים ביותר על הביטחון הלאומי האמריקאי'".
"גם ארגון קטן מאוד יכול להיות קריטי ביותר לשרשרת האספקה"
CISA, הגוף שלו ייעץ וודס, היא רשות פדרלית חדשה יחסית. גלגול של רשויות שונות שפעלו בעבר לכדי רשות פדרלית אחת, שמפקחת על הגנת כל הרשתות הלאומיות של ארה"ב, למעט הצבא, שאחראי על הגנתו שלו. בין יתר תפקידיה, מפקחת CISA גם על אבטחת הבחירות בארה"ב. מי שגייס את וודס לרשות היה ראש CISA דאז, כריס קרבס, שהתפרסם לאחר שבנובמבר האחרון פוטר על ידי נשיא ארה"ב לשעבר טראמפ, שהיה גם מי שמינה אותו ב-2018 לתפקיד הראש הראשון של הרשות. קרבס עצמו פוטר זמן קצר לאחר הבחירות לנשיאות, בעקבות הכרזתו כי הבחירות לנשיאות לא זויפו והגדיר אותן "הבטוחות ביותר בתולדות אמריקה".
המעמד של וודס מאפשר לו מצד אחד הצצה אל הנעשה בחדרי חדרים ובמרתפי הארגונים. מצד שני, כיועץ עצמאי הוא חופשי להתבטא הרבה יותר מגורמים רשמיים. וודס ביקש להדגיש שכל הנאמר בראיון הוא על דעתו, וכי הוא לא מייצג בדבריו את CISA. "הביאו אותנו לרשות בתחילת משבר הקורונה כדי לשפר את יכולת החשיבה שלהם מחוץ לקופסה, כדי שנביא איתנו קשרים, וכדי להבין איך המגזר הפרטי עושה דברים באופן שונה וטוב יותר", הוא מספר.
תחום ההתמחות של וודס הוא מערכות בריאות ושרשראות אספקה. שני תחומים שנפגשו במהלך משבר הקורונה בתחום החיסונים. "תתארו לעצמכם חוקרים במעבדת מחקר בתחום הפארמה, שצריכה לפתע להתמודד עם תוקפים מדינתיים. אחד המקרים הללו יצא לאור כשנחשפה מתקפה על יצרנית של ציוד של קירור מיוחד לחיסוני הקורונה. למרבה המזל, המתקפה, שנערכה גם היא על רקע פלילי, לא שיבשה את אספקת החיסונים", הוא מספר.
חשוב להבין, הוא מדגיש, "שגם ארגון קטן מאוד יכול להיות קריטי ביותר לשרשרת האספקה". בנוסף, הוא אומר, לא לכל השחקנים בשרשרת יש את אותם המשאבים להשקיע בהגנה. וודס מדבר על מה שמכונה "קו העוני של הסייבר", שתחתיו נמצאים ארגונים שלא משקיעים מספיק בסייבר, ובכך מסכנים את השרשרת כולה.
כשהוא נשאל, כמה מקרים כאלה התרחשו, מבלי שפורסמו, הוא משיב כי "קשה לומר", ומסביר כי "אחד האתגרים הגלובליים המשמעותיים בתחום הגנת הסייבר הוא שאין בנמצא פלטפורמה או רשות שירכזו דיווחים על מתקפות סייבר. לכן לממשלות ולארגונים אין יכולת לדעת כמה חברות באמת הותקפו וכמה באמת נפגעו.
בהקשר זה מעניין לציין כי במהלך הכנס הוכרז על הקמתה של פלטפורמת "גלובל סייברנט", המבוססת על רשת סייברנט הישראלית. את סייברנט פיתח מערך הסייבר הלאומי עבור המשק הישראלי, במטרה לשתף דיווחים על תקיפות סייבר, ולאחר מכן לבלום אותן ולטפל בהן.
גם על מלחמת הצללים שמנהלים גורמים שונים מול איראן בחזית הסייבר, סרב וודס להרחיב יותר מדי. הוא ציין כי הנושאים הללו נמצאים תחת אחריות משרד החוץ של ארה"ב (הסטייט דיפרטמנט), וכי הוא עצמו לא בדק לעומק את המתקפות במזרח התיכון. למרות זאת הוא ציין באופן כללי, "סייבר הוא לא זירה מתאימה לדיפלומטיה". זאת משום שלטענתו מדובר בזירה חדשה יחסית, ללא נורמות בשלות, ועם מידה רבה של אי בהירות. הסייבר, לדבריו, "מתנהל בתחום האפור, נתון לפרשנויות שגויות ולעמימות". במצב שכזה, לדבריו, "גם תאונות עלולות להידמות ולהיראות כמו מתקפת סייבר".
שיער כחול וללא השכלה רשמית: "תמיד הייתי טיפוס שלא אכפת לו ממוסכמות"
וודס מופיע לראיון בתספורת מוהאק קצרה צבועה לכחול, איתה גם עלה לדבר בפני הקהל שהתכנס באודיטוריום סמולרש באוניברסיטה. את השכלתו הטכנולוגית הוא רכש לבד, על "רצפת המפעל", החל מהיותו נער בבית ההורים, דרך מעבדת מחשבים מקומית, ובהמשך כמוקדן בדסק תמיכה בבית חולים.
גם מחשבים הוא לא למד באופן מסודר ("ידעתי שאעשה משהו בעולם הטק, רק לא ידעתי מה"). למעשה הוא למד מחשבים במשך יום אחד בקולג', שלאחריו פרש. "פרשתי לאחר שראיתי שכולם בכיתה חכמים ממני ומתקדמים ממני בשנות אור. לא הבנתי לא את הבדיחות שלהם, ולא את התרבות שלהם, והנה אני פה עכשיו".
"תמיד הייתי טיפוס שלא היה איכפת לו ממוסכמות. הלכתי בדרכי שלי", הוא אומר. אך מאחר שלדבריו, "תמיד היה גיק", התגלגל בסופו של דבר דווקא ללימודי פסיכולוגיה. "הלכתי ללמוד פסיכולוגיה כדי לברוח מהגיקיות ומה שהפך אותי בסוף למומחה סייבר, כמאמרו של זוכה הפיזיקאי הדני זוכה פרס נובל נילס בוהר – היתה העובדה שעשיתי כל טעות אפשרית בתחום".
"העשור הקרוב יהיה העשור של מתקפות שרשרת אספקה"
וודס, שכאמור עוסק בעיצוב מדיניות סייבר, מוטרד מרמת המודעות הלא מספיק גבוה לסיכונים בתחום בקרב הציבור ומקבלי ההחלטות. למעט אירועים יוצאי דופן, הוא אומר, רובן המכריע של המתקפות החמורות כלל לא מגיע לידיעת התקשורת. התוצאה, הוא מתריע, היא תחושת ביטחון מזויפת, שעלולה להביא בעקבותיה לשאננות.
מעבר לכך, הוא מתלונן על כך שגם שכבר מתפרסמים פרטים על אירועים חמורים, הם מתקשים לקבל תפוצה רחבה. כך היה לדבריו עם שני אירועים חמורים השנה שאירעו בשנה האחרונה בהם הותקפו כלי פיתוח תוכנה. מדובר במתקפות נגד חוליות רגישות במיוחד, משום שכמו במקרה של סולרווינדס, הקוד מזוהם עוד בשלב מוקדם של שרשרת האספקה, במקום בו הוא מיוצר, ומשם מופץ לכל עבר, דרך המשתמשים של אותן תוכנות.
"אני יודע שבאחד המקרים הללו, אחד התוקפים לא הסתפק בשתילת הקוד הזדוני, אלא גם שתה לחברה את רשימת הלקוחות אליהן היא היתה אמורה להישלח בהמשך הדרך", הוא מספר. לדבריו, רשימת לקוחות שכזו יכולה לכלול עשרות אלפי ארגונים שההאקרים יכולים לנסות תקוף מאוחר יותר". ולא שמדובר באירועים נדירים, הוא אומר עוד, "אירועים שכאלה קורים כל הזמן. הפורץ האופייני פועל לבדו ובניגוד למה שאפשר לדמיין, לא מדובר באיזה 'מאסטר קרימינלי'".
כמו בערך כל מומחי הסייבר, גם וודס מזהיר שמעט האירועים שמתפרסמים, אינם רק קצה הקרחון, אלא שזו רק ההתחלה. "העשור הקרוב יהיה העשור של מתקפות שרשרת אספקה. אנחנו רק מתחילים להבין כמה הן ארוכות, מורכבות ופגיעות. אנו צפויים לגלות עוד ועוד חולשות אבטחה חמורות בטרם נוכל בכלל לדעת איך להתמודד איתן ולהתחיל לשלם את הריבית על כל ה'אוברדראפט הטכנולוגי' שצברנו במשך עשורים, כשלא דאגנו לאבטחה ראויה".
מלבד הדברים שציינת, מהם כיום לדעתך האתגרים הכי משמעותיים שניצבים בפני עולם הסייבר וכיצד יהיה ניתן לפתור אותם?
"בראש ובראשונה יש להשקיע במקומות שבהם הסיכון משותף לכל השחקנים המעורבים. כמו בתשתית התקשורת הבסיסית של האינטרנט", הוא מסביר. "כי בלי תקשורת אחת לא יוכל להיות אינטרנט אחד, אלא אינטרנט מפוצל (ספלינטרנט). עניין נוסף הוא לנקות את שרשרת האספקה ולדאוג לאלטרנטיבות ראויות לחוליות החלשות. אם אתה יצרן של תוכנה שרבים עושים בה שימוש – אולי כדאי לפתוח חלקים ממנה כ'קוד פתוח' עבור גורמים חיצוניים, כדי שיוכלו לסייע לשפר את האבטחה".
"במקביל מתהווים טרנדים חדשים כמו ניתוח מתמטי, כזה שבעזרתו ניתן יהיה להעריך בעתיד אוטומטית את מידת העמידות של המערכות השונות בפני מתקפות, כמו גם את העלות שכרוכה בלהביא אותן למצב טוב".
"בכלל, הייתי רוצה שיהיה דבר כזה 'פילוסופים של סייבר'. אולי יש כבר כאלה, רק שטרם נתקלתי בהם. הייתי רוצה שיותר אנשים ישאלו שאלות כמו 'האם בדומה למדעים המדויקים, גם בסייבר יש עקרונות פשוטים שרלוונטיים לכולם?'. או: האם קיימים עקרונות מנחים בהם נוכל לדבוק כדי להפוך את העולם לבטוח יותר?".