באבטחת סייבר אין פתרונות קסם: חייבים להקים אינטרנט חדש

פקידי ממשל בארה"ב ובבריטניה חגגו לאחר שהכריזו על ירידה של 15% במתקפות תוכנות כופר. באופן אירוני, באותו הזמן העולם היה בעיצומו של בליץ מתקפות כאלה, כנראה מצד קבוצת האקרים רוסים וסינים. הם הדביקו 5,000 קורבנות באירופה ובארה"ב, המחשה לאופי המלחמה בטרור הקיברנטי: שני צעדים קדימה, צעד אחורה.

לפני כמה שנים התקשר אליי מנכ"ל מוסד פיננסי גדול אחרי שהחברה שלו נפגעה במתקפה מקוונת. סביר להניח שבזמן שלקח לי להגיע למשרד שלו, נתוני הלקוחות כבר הופצו ברשת האפלה. כיועץ החברה הייתי צריך לקבוע לא רק מה קרה, אלא מה - ומתי - אפשר לספר לרגולטורים וללקוחות. חשבנו שהחדירה לשרתי החברה בוצעה דרך ספק חיצוני. כאשר ראיינו אותו, גילינו שהוא השיג את החומרה ואת התוכנה מצדדים שלישיים, שהסתמכו בעצמם על צדדים רביעיים (חלקם במדינות זרות) שרבים מהם חשו רק אחריות מינימלית למה שקרה, במקרה הטוב.

באותו רגע הבנתי את השבריריות של אינטרנט שלא נבנה מתוך כוונה לאבטח את כל הדאטה והערך הקיימים בעולם. הבנתי גם כמה קשה להטיל אחריות על פריצות, בייחוד בהתחשב במספר הגורמים בשרשרת והטעויות הבלתי נמנעות שאנשים עושים.

פריצות משמעותיות נגד מגוון של סוכנויות ממשלתיות ותאגידים נמשכות ללא הפוגה. מה שמעלה שאלת מפתח בפני מנהלים: איך מתמודדים עם עתיד וירטואלי שעשוי לכלול יותר איומים מאשר רווחים?

איומים בכל מקום

בארה"ב אחד מכל שלושה מחשבים בבתים פרטיים נדבק בתוכנות זדוניות, והמידע האישי של 47% מהמבוגרים בארה"ב נחשף בפני פושעי סייבר. הממשלה הגיעה למסקנה כי מדי יום נפרצים בארה"ב 600 אלף חשבונות פייסבוק. המספרים האלה אפילו יעלו. אז מי הולך לשלם על זה?

אסטרטגיית ביטחון הסייבר הלאומי של ממשל ביידן, שפורסמה במרץ, מנסה לענות על השאלה. בין היתר, היא מציעה יותר מעורבות ממשלתית ברגולציית סייבר על מנת להקדים את העבריינים. זה לא עבד וזה לא יעבוד. הטלת קנסות כבדים יותר על המגזר הפרטי בשל אחריות לפריצות תשנה את התמריץ הכלכלי שמתגמל ראשוניות אבל בקושי תעניש את אלו שרודפים אחר הרווחים ומתעלמים מתקני אבטחה.

ההתמודדות עם איומי סייבר תהפוך למורכבת אף יותר נוכח ההתקדמויות הדיגיטליות הגדולות שמתרחשות. לדוגמה, תוך חודשיים 100 מיליון משתמשים הורידו את ChatGPT, בלי להבין את הסיכונים. טכנולוגיות 5G יהוו גשר לקישוריות ויאפשרו אינטרנט של הדברים (IoT) חלק ויעיל שיחבר אנשים, חיות מחמד, מכשירי חשמל ביתיים וכלים תעשייתיים - ויגביר את היכולת שלהם לפעול, לנטר ולתקשר בהתערבות אנושית מינימלית. היעילות העסקית של הכלים החדשים האלה תהיה עצומה, וכך גם הסיכונים. החיבור ייצור מאגרי מידע חדשים, גדולים יותר שניתן לאחסן, לנתח וגם לנצל לרעה. אפשר לפרוץ את כל מה שמחובר, והכל יהיה מחובר.

אם לא די בכך, ישנו גם מחשוב קוונטי, שמאיים להכחיד את הטכנולוגיה הנוכחית שמגנה על דאטה ועל כסף. לדברי מדעני מחשב, מחשבי העל של ימינו זקוקים ל-300 טריליון שנה על מנת לפצח את הצפנת RSA עם 2048 ביט, הנפוצה להגנה על דאטה. לשם השוואה, מחשב בעל כוח חישוב של 4,099 קוביט יוכל בעתיד הקרוב לפצח הצפנה כזו תוך 10 שניות. מומחים מעריכים כי יפתחו מחשב קוונטי של 1,000 קוביט כבר בשנים הקרובות. כך נתקדם בנתיב לעבר הגנה טובה יותר או פירוק כל מערכת אבטחה דיגיטלית קיימת, תלוי מי יגיע לשם ראשון ומה יעשה עם זה. באופן לא מקרי, סין מתכננת להגיע לשם ראשונה, ומוציאה הרבה יותר כסף מארה"ב בניסיונות.

לסיום, ישנו המטאוורס - הדור הבא של האינטרנט שיגביר את הסיכונים והקשיים באבטחת הסביבה המקוונת, על ידי טשטוש נוסף של הקווים בין בני אדם ותודעת מכונה.

לאמת בני אדם

ממשלות לא מסוגלות לתקן את אי-הביטחון של האינטרנט בעצמן, וחברות לא צפויות לעשות זאת לפני שהפגיעה הכלכלית של התעלמות מאי-הביטחון תעלה על הרווחים שניתן להפיק ממנו. אין פתרונות קסם שאינם בנייה מחדש של כל האינטרנט, כך שיסתמך יותר על רשתות פרטיות מאובטחות חדשות, בייחוד לתפעול תשתיות חיוניות. לשם כך, עסקים, ממשלות והמשתמשים במדינות דמוקרטיות צריכים לפעול יחד כדי להפוך את האינטרנט לרשתות שמסתמכות על אימות של בני אדם ולא של כתובות IP, לקבוע כללים נוקשים להתנהגות ברשת ולקיים משטרת סייבר (אנושית או ממוכנת) כדי לאכוף אותם.

זו לא תהיה משימה קלה או פופולרית, אבל האלטרנטיבה של סייבר-כאוס והאפשרות שיעלמו החשמל, הכסף או שירותי הבריאות אינה מתקבלת על הדעת. הגל החדש הזה של רגולציה יצריך צורת פיקוח מבוזרת יותר וקולגיאלית יותר, שבה המגזר הפרטי והציבורי עובדים ביחד כדי לשתף מידע ולבנות מדיניות מוסכמת. כל זה ייקח זמן ויהיה צורך במנהיגים חזקים כדי לבצע זאת. כרגע לא נראה שיש לנו הרבה מזה או מזה.