ממשל ביידן מורה לסוכנויות פדרליות לתקן מאות נקודות תורפה שמאפשרות פריצות של האקרים

הצו מטיל לחץ חדש על סוכנויות ממשלה לתקן פרצות אבטחה לאחר שלפעמים נמנעו מלטפל בהן בעבר

ג'ו ביידן / צילום: Shutterstock
ג'ו ביידן / צילום: Shutterstock

ממשל ביידן הוציא ביום רביעי צו מקיף שמחייב כמעט את כל הסוכנויות הפדרליות לתקן מאות נקודות תורפה בסייבר שמהוות סיכון רציני לפלישות מזיקות למערכות מחשוב של הממשלה האמריקאית.

ההוראה החדשה היא אחת ההוראות המקיפות ביותר בתחום בטיחות הסייבר שאי פעם פורסמו לגבי הממשלה הפדרלית. היא כוללת כ-200 נקודות תורפה מוכרות שזוהו על ידי מומחי סייבר בין 2017 ל-2020 ועוד כ-90 שהתגלו ב-2021 שנצפו בשימוש על ידי האקרים בעלי רצון לפגוע. הפגמים האלה נרשמו בקטלוג פדרלי חדש ככרוכים ב"סיכון משמעותי ליוזמות הממשלה הפדרלית".

ההוראה - שפורסמה על ידי ג'ן איסטרלי, מנהלת סוכנות בטיחות הסייבר וביטחון תשתיות במשרד הגנת המולדת, שהנפיק את הצו - נוגעת לכל משרדי הרשות המבצעת ולסוכנויותיהן חוץ ממשרד ההגנה, ה-CIA ומשרד מנהל המודיעין הלאומי. אבטחת סייבר של סוכנויות פדרליות אזרחיות לרוב מנוהלת בנפרד מהצבא וסוכנויות הגנה לאומית למיניהן.

"ארגונים בכל הגדלים, כולל הממשלה הפדרלית, חייבים להתגונן נגד שחקני סייבר רעים המבקשים לחדור למערכות שלנו, להגיע לנתונים שלנו ולסכן את חייהם של אזרחי ארה"ב", אמר ראש משרד הגנת המולדת אלחנדרו מיורקס בהודעה כתובה שיצאה לצד הצו. הצו החדש "דורש ממשרדים פדרליים אזרחיים וסוכנויות להתגונן נגד נקודות תורפה קריטיות מוכרות, באופן שיקטין את הסיכון של חדירה רעה ויגדיל את בטיחות הסייבר של כולנו".

סוכנויות פדרליות לרוב מנהלות תוכניות משלהן לתיקון נקודות תורפה בתחום הסייבר, כך שסביר שחלק מהפגמים שהודגשו בצו החדש כבר טופלו בחלקם על ידי מחלקות שונות של הממשלה. אבל כמה סוכנויות באופן כרוני סובלות מתת-ביצוע בכל הנוגע לטיפול בסיכוני סייבר, כך ניתן ללמוד מבדיקות פנימיות שנעשו בשנים האחרונות, ופקידים בכירים בממשל כבר זמן רב אומר שיש צורך בהוראות נוספות על מנת להבטיח התנהלות נכונה יותר לסתימת פרצות ואימוץ של נהלים טובים יותר.

בעוד שלקונגרס יש הסמכות להעביר חקיקה שתקבע סטנדרטים של בטיחות סייבר לממשלה, מחוקקים האצילו סמכות לפני כמה שנים למשרד להגנת המולדת להוציא הוראות מחייבות העוסקות בנקודות תורפה שונות עם גילויין. בדיקה מ-2020 של הוראות אבטחת סייבר מחייבות שביצע משרד ביקורת הממשלה מצא שרמת הציות במשרדי ממשלה שונים גבוהה בסך הכל, אך עם זאת ישנן כמה סוכנויות שלא עומדות בזמני היעד ליישום תיקונים של פרצות.

כאשר בכירי אבטחת סייבר במשרד זה או אחר כושלים בציות להוראה, המשרד להגנת המולדת יכול להודיע לראשי אותה סוכנות, ועליהם מוטלת האחריות לפתור את בעיית אי הציות. הסלמה מסוג זה קורית אמנם אבל רק לעתים רחוקות, כך ניתן ללמוד מהמסמך שהפיק משרד הביקורת ב-2020.

בעבר הטיל המשרד להגנת המולדת הוראות אבטחת סייבר לסוכנויות ממשלה שונות, לעתים בצורת דרישות חירום לתיקון מידי של בעיית תוכנה דחופה שנעשה בה שימוש במתקפת סייבר פעילה. ב-2017 ממשל טראמפ הוציא הוראה להסיר את תוכנת האנטי וירוס של החברה הרוסית קספרסקי מכל המחשבים הפדרליים לאחר שבכירי מודיעין אמריקאים העלו חששות שהתוכנה משמשת לריגול על ידי הרוסים.

ב-2015, יצא צו שחייב סוכנויות פדרליות לתקן פגמי אבטחת סייבר קריטיים תוך חודש לכל היותר מרגע גילויים. רמת הסיכון הקריטית מוגדרת על פי מאגר מידע ציבורי שמקטלג פרצות אבטחה על פי רמת חומרתן. ב-2019, המשרד להגנת המולדת האריך את הדרישה לתיקון תוך חודש גם לכלילת פרצות ברמת הסיכון המוגדרת כגבוהה.

ההוראה מיום רביעי מנסה להתרחק מהקטגוריות האלה על ידי ההכרה בכך שגם פגמים קלים לכאורה יכולים לגרום לנזק רב אם האקרים ינצלו אותם לחדירה למערכת מחשוב בעלת ערך, בייחוד אם הם עורכים מתקפה מתוחכמת המנצלת את הפגמים הקלים לצד ניצול של כשלים אחרים.

ההוראה כוללת את כל התוכנות ורכיבי החומרה במערכות מידע פדרליות, כולל אלה שמוחזקות בידי צדדים שלישיים - למשל קבלנים פדרליים - וכוללת גם כאלה שלא דווקא מגיעים לרף המקובל לגבי סיכון גבוה או קריטי. הצו מיום רביעי הוא הראשון הדורש תיקונים בכל רחבי הממשלה גם של מערכות המחוברות לאינטרנט וגם של מערכות שאינן מחוברות לרשתות.

רוב משמעותי מהפגמים שפורסמו בקטלוג של משרד הגנת המולדת הם כאלה שלא כוסו בצווים קודמים, כך אמר פקיד בכיר. אלה שנוספו ב-2021 יצטרכו להיות מתוקנים תוך שבועיים ובעתיד, פגמים חדשים שיתגלו יצטרכו תיקון אפילו מהיר מלוח זמנים זה, כך אמר הבכיר. סוכנויות יקבלו עד חצי שנה לטיפול בפרצות אבטחה שהתגלו בשנים קודמות מפני שלגביהן ישנו סיכון מופחת שינוצלו וכמו כן צוותי אבטחת סייבר עשויים להיות נתונים לעומס בבואם לתקן פגמים שהתגלו יותר לאחרונה.

הנשיא ביידן ביקש לתת עדיפות לאבטחת סייבר כאיום על הביטחון הלאומי של ארה"ב מאז שנכנס לתפקיד בינואר. ההוראה מיום רביעי באה בעקבות כמה שינויים ארגוניים בבית הלבן ובמחלקת המדינה שהעלו את חשיבות הנושא ודחפו לפרסום הוראות על בטיחות סייבר בכמה תעשיות פרטיות, כמו רשת הצינורות או הרכבות, לאחר שכמה ממשלים משתי המפלגות סמכו ברובם על התעשיות שיטפלו בנושאים האלה מרצונן.

"בעוד שההוראה הזו נוגעת לסוכנויות פדרליות אזרחיות, אנו יודעים שארגונים ברחבי המדינה, כולל ישויות תשתיות קריטיות, מהוות מטרה על ידי ניצול אותן נקודות תורפה", אמרה איסטרלי בהצהרה שהתלוותה לצו החדש. "לפיכך זה חיוני שכל ארגון יאמץ את ההוראה הזו וייתן עדיפות לטיפול בנקודות התורפה שנרשמו בקטלוג סוכנות בטיחות הסייבר וביטחון תשתיות שפורסם".

צרו איתנו קשר *5988