גוף ביקורת של הקונגרס האמריקאי חשף כי מערכות נשק אמריקאיות פועלות עם חולשות בסייבר

בבדיקות מבצעיות, משרד הביטחון האמריקאי מצא באופן שגרתי פגיעות  סייבר קריטיות במערכות שהיו תחת פיתוח, אך גורמים בGAO שנפגשו עם מנהלים באותן תכניות פיתוח שמעו מהם כי הם מאמינים שהמערכות שלהם בטוחות והניחו כי הממצאים לא מציאותיים. כך לפי פרסום של gao. "מצאנו כי בין 2012 ל 2017, בודקי משרד הביטחון מצאו באופן שגרתי פגיעויות סייבר בכל מערכות הנשק שהיו תחת פיתוח", אומרים בדו"ח שפורסם לאחרונה מטעם GAO.

באמצעות כלים וטכניקות פשוטים יחסית, הבודקים היו מסוגלים להשתלט על מערכות ולפעול בחשאי ללא התגלות, בין היתר בשל בעיות בסיסיות כגון ניהול סיסמאות לקוי ותקשורת לא מוצפנת. בנוסף, פגיעויות שמשרד הביטחון מודע להן מייצגות חלק קטן מסך הפגיעויות בשל מגבלות הבדיקה. לדוגמה, לא כל התוכניות נבדקו והבדיקות אינן משקפות את מלוא טווח האיומים, כך לפי הדו"ח. לפיו, משרד הביטחון האמריקאי ניצב בפני מחסומים שעלולים להגביל את האפקטיביות של צעדי ההתגוננות, כגון אתגרים של כוח עבודה בסייבר, קשיים בשיתוף מידע ושיעורים לגבי נקודות תורפה.

"ממצאי הערכת הגנה בסייבר נכונים לתאריך מסוים, כך שפגיעויות שזוהו במהלך פיתוח המערכת עשויות שלא להיות עוד קיימות כאשר המערכת תגיע לשטח", כותבים בדו"ח. "משרד הביטחון רק לאחרונה החלה לתת עדיפות למערכות נשק בהקשר אבטחת סייבר. במקום זאת, במשך שנים רבות, משרד הביטחון ממוקד במאמצי הגנה על רשתות ומערכות IT מסורתיות, כגון חשבונאות, ולא נשק. מומחים שראיינו כמו גם פקידים ממשרדי התוכנית, משרד הביטחון, וחלקם ארגוני בדיקה צבאית הסבירו כי, עד סביבות 2014, היה חוסר כללי של דגש על הגנת סייבר בתהליך רכישת מערכות נשק", כותבים בדו"ח.

"בשל חוסר התמקדות בהגנת מערכות נשק, משרד הביטחון יצר דור שלם של מערכות שתוכננו ונבנו ללא התחשבות נאותה בביטחון הקיברנטי. גם אם משרד הביטחון מסוגל להפוך את המערכות החדשות ליותר מאובטחת, אבל מחבר אותם למערכות ישנות יותר, זה מעמיד את המערכות החדשות בסיכון."

הדו"ח מתייחס גם לטענת הטמעת עדכוני תוכנה. "פקידים מאחת התוכניות שפגשנו אמרו שהם אמורים להחיל תיקונים בתוך 21 ימים מרגע השחרור, אבל בדיקה מלאה של תיקון יכולה לקחת חודשים בשל המורכבות של המערכת", כותבים בGAO.

"גם כאשר הטלאים נבדקו, החלת הטלאים עשויה להימשך זמן נוסף. מערכות נשק מפוזרות או נפרסות לעתים קרובות ברחבי העולם. כמה מערכות שנפרסות יכולות לעדכן טלאים או לקבל תוכנות שיפורים רק כאשר הן חוזרות למיקומים ספציפיים. למרות שיש סיבות חוקיות לעיכוב תיקוני מערכות נשק, הפירוש הוא שיש כמה מערכות נשק שפועלות, לעתים תקופות ארוכות, עם נקודות תורפה ידועות."

ומה בישראל? ובכן, בישראל לכנסת יש גוף מחקר מקביל לGAO של הקונגרס (מרכז המחקר של הכנסת) אך הוא חסר שיניים בכל הקשור לבדיקות כאלו של אמל"ח. בפועל הכנסת נסמכת על משרד הביטחון כמקור מידע מונופוליסטי בהקשר זה. הבעיה שמשרד הביטחון הוא גם גוף הרכש, הפיתוח והשימוש באמל"ח. אז לא ברור מה האינטרס שלו לחשוף מידע כזה, אם קיים גם במערכות נשק ישראליות.