כתבה זו נכתבה על ידנו עבור המגזין IsraelDefense ופורסמה בגליון מאי-יוני 2012.

כיצד ניתן לזהות אירועים פתאומיים ובעלי השלכות מרחיקות לכת בעולם הסייבר? ד”ר גיל דוד על ה”ברבורים השחורים” במרחב הקיברנטי שמלמדים כי יש להיערך לכל תרחיש קיצוני.

במאה ה-16, כשרצו לומר באירופה שמשהו הוא בלתי אפשרי נהגו להשתמש בביטוי “ברבור שחור”. מטבע לשון זה תיאר אירוע שלא יכול להתרחש במציאות, שהרי כל העדויות ההיסטוריות עד לאותה תקופה דיווחו כי לברבורים יש נוצות לבנות בלבד ולכן המסקנה היא שאין דבר כזה ברבור שחור. במאה ה-17 העולם הוכה בתדהמה – באוסטרליה הרחוקה התגלו ברבורים שחורים. ההנחה החד משמעית שאין ברבורים שחורים הופרכה ברגע אחד.

בשנת 2007 הציג הפילוסוף נאסים טאלב את תאוריית הברבור השחור אותה הוא גיבש במשך מספר שנים. לפי הגדרתו של טאלב, ברבור שחור הוא ארוע החורג מעבר לצפוי באותה סיטואציה ואותו יהיה מאוד קשה לצפות. אירועים המוגדרים כברבורים שחורים הם בדרך כלל אקראיים ובלתי ניתנים לצפייה. ברבור שחור הינו high impact low frequency event – כלומר, השפעתם של אירועים אלה על העתיד הינה קיצונית אך תדירות התרחשותם נמוכה.

תאוריית הברבור השחור גורסת כי מספר קטן של ברבורים שחורים מסביר כמעט כל דבר המתרחש בעולמנו. החל מהצלחתם של רעיונות, דרך פריחתן של דתות, פריצתן של מלחמות ועד לעלייתן ונפילתן של מעצמות, מדינות וכלכלות. הדוגמא המפורסמת ביותר, בימינו, המתארת ברבור שחור הינה אירועי ספטמבר 2001 בארה”ב, מתקפת המטוסים על מרכז הסחר העולמי והפנטגון. ארוע זה עומד בכל הקריטריונים המגדירים ברבור שחור. ראשית, אין ספק שהוא היה חריג וכל מי שצפה בו בכל מקום בעולם הוכה בתדהמה. שנית, השפעתו על העתיד ניכרת היום בכל שדה תעופה בעולם. רמת האבטחה עלתה באופן ניכר וממשלות ממשיכות להעלות אותה יותר ויותר, דבר המשפיע באופן ניכר על התנהלות הנוסעים ועל המשאבים האדירים שהוקצו לשם כך. ושלישית, במבט לאחור התגלו ראיות חותכות להתחזקותה של תנועת אל קאעידה וכוונתה ליזום אירוע משמעותי ואפילו ישנן עדויות שמסרים סמויים הועברו דרך האינטרנט ע”י פעילי הארגון טרם ביצוע ההתקפה.

על תולעים וברבורים

רבות דובר על מלחמות הסייבר, מטות הסייבר, לוחמת הסייבר, נשק יום הדין של עולם הסייבר וכיוצא בזה. אך האם ניתן למצוא ברבורים שחורים המסתתרים בתוך הרשת? אחד האירועים הגדולים ביותר שהתרחשו בתחום לוחמת הסייבר בשנים האחרונות, היה החדרת תולעת ה-stuxnet למתקנים הגרעיניים באיראן. על פי דיווחיהם של מומחי אבטחה שונים בעולם, התולעת תקפה את הבקרים של הצנטריפוגות ושינתה בהם את ההוראות. התולעת יועדה לשנות את מהירות הסיבוב של הצנטריפוגות עד לסדיקתן והתפוצצותן. בנוסף, היא הכילה מספר מרכיבים שגרמו להטעיה של מפעילי הכור ושל חוקרי התקלות שארעו בו כך שאיתור התולעת ואופן פעולתה ארכו זמן רב.

על פי פרסומים זרים, התולעת השביתה הלכה למעשה את פעילותו של הכור הגרעיני. ניתן להגדיר את ה-stuxnet כברבור שחור מכמה סיבות: ראשית, אלמנט ההפתעה. מתקני הגרעין מאובטחים ומוגנים הן מפני איומים פיזיים והן מפני איומים וירטואליים ואיומי סייבר. רשתות התקשורת במתקני הגרעין הינן מבודדות מהאינטרנט, וקבורות כמה מטרים טובים מתחת לאדמה. בנוסף, רשת הייצור במתקני הגרעין עובדת בפרוטוקול SCADA ועד לאותה התקפה כמעט ולא היו עדויות להתקפות המיועדות ספציפית לפרוטוקול זה. למרות כל אמצעי האבטחה וההפרדה בין רשתות הייצור המאובטחות היטב לרשתות החיצוניות, הצליחה התולעת לחדור פנימה ולפגוע בלב ליבו של המתקן הגרעיני בצורה כה מתוחכמת אותה איש לא חזה.

למעשה, מה שנראה היה כמשימה בלתי אפשרית התבצע בחוכמה ובערמומיות מעוררת השתאות, דבר שללא ספק השאיר את האיראנים פעורי פה. שנית, השפעת התולעת על תוכנית הגרעין האיראנית היתה עצומה, הן מבחינה מוראלית והן מבחינה מעשית. ישנן עדויות כי התקפה זו עיכבה את תוכנית הגרעין של איראן במספר חודשים ואף שנים. בנוסף, בעקבות ההתקפה החליטו האיראנים לבסס את התוכנות שלהם במתקני הגרעין על קוד המפותח על ידם בלבד ולא להשתמש בקוד חיצוני שעלול להכיל תולעים נוספות. דבר זה מצריך הערכות מיוחדת, הכשרה של מהנדסים והקצאת משאבים לא מעטים, כמו גם עיכוב של תוכניות הפיתוח.

ברמה העולמית, השפעת תולעת ה-Stuxnet על עולם אבטחת הסייבר היתה משמעותית ביותר וגרמה להפניית משאבים רבים לטובת התמודדות מול איומים דומים בעתיד ועל כן גרמה לשינוי בתפיסת האבטחה של מדינות וממשלות והצריכה שינוי משמעותי בהערכת האיומים בעולם הסייבר. שלישית, לאורך כל השנים האחרונות ישנן עדויות לא מעטות לשימוש בסוסים טרויאנים, zero-day attacks, דלתות אחוריות ושאר התוכנות הפוגעניות לביצוע התקפות ממוקדות על ארגונים ומתקנים.

בנוסף, החדרת תולעים לרשת על ידי שימוש בהדבקה חיצונית כגון disk-on-key שמוכנס למחשב הנתקף (תוך עקיפת כל אמצעי ההגנה) הינה טכניקה ידועה כבר מספר שנים. השימוש בסוכנים אנושיים המסייעים בביצוע ההתקפה, למשל בשלב החדרת התולעת לרשת או בעידכונה הינו ידוע ומוכר לאורך ההיסטוריה, כמו גם עקיפת מנגנוני האבטחה המתוחכמים ביותר ע”י שימוש בהנדסה חברתית (social engineering). ואפילו היו מספר עדויות (אומנם לא רבות) לכך שניתן לבצע התקפה על מערכות המבוססות פרוטוקול SCADA. ברמה העולמית, העולם המערבי היה נחוש לעכב את תוכנית הגרעין האיראנית כמעט בכל מחיר. קיום שלושת התנאים האלה מראה שתולעת ה-Stuxnet אכן היתה ברבור שחור, וככל הנראה הברבור השחור המשמעותי הראשון שראינו בשמי הסייבר.

ניתן לומר בוודאות שברבור שחור זה מבשר את העתיד ועוד נראה ברבורים שחורים רבים בעולם הסייבר. החוכמה היא להימנע מלהיות הצד הנפגע באירועים אלו על ידי זיהוי איזורי החולשות על מנת להפוך את הברבור השחור ללבן. רק כך נוכל להגן על המערכות הרגישות ביותר שלנו ולהיות מוכנים למלחמת עולם הסייבר הממשמשת ובאה.

זו הגירסא המקורית כפי שפורסמה במגזין – יש להקליק על הכתבה לשם הגדלתה.

© 2017 Brainstorm Private Consulting Blog Suffusion theme by Sayontan Sinha