"צבא ארה"ב לא מוכן לסייבר"

מייקל רוג'רס, ראש סוכנות ה-NSA וראש פיקוד הסייבר של צבא ארה"ב, אמר בשבוע שעבר שהצבא האמריקאי לא מוכן לעידן הסייבר. הסיבה: תרבות רכש מיושנת

אדמירל מייקל רוג'רס - nationaldefensemagazine.org

מערכת הרכש של צבא ארה"ב צרת אופקים, מיושנת ומאטה את המאמצים לשיפור הגנת סייבר מפני התקפות רשת מתוחכמות יותר ויותר, אמר אדמירל מייקל רוג'רס, מנהל הסוכנות לביטחון הלאומי [NSA] וראש פיקוד הסייבר של ארה"ב. כך על פי דיווח באתר nationaldefensemagazine.

[רחמנא לצלן - כך גם חלק מהחוזים של מדינת ישראל - ראה כדוגמא את המכרז ליועץ עבור רשת "מגיבים ראשונים" שאינו כולל התייחסות מפורשת לתחום אבטחת המידע. היות וחלק מהחוזים הקשורים לסייבר הם חשאיים - כמו למשל המכרז לתפעול והקמה של ה-CERT הלאומי או המכרז שבו זכתה מטריקס לקורסי אבטחת מידע בצה"ל - אין לציבור אפשרות לפקח על טיבם. גם העדר רגולציה לאומית בנושא אבטחת מידע ברשתות קריטיות ורשתות עסקיות תורם לפגיעות הכללית של מדינת ישראל בסייבר].

פיקוד סייבר? שיסתדר

הפנטגון יצר את פיקוד הסייבר לפני ארבע שנים כדי להתכונן למלחמה נגד האקרים ומרגלים זרים. יש לו תקציב שנתי של 500 מליוני דולרים וקמפוס רחב ידיים בפורט מייד, מרילנד. עם זאת, יכולתו להגן על רשתות משרד ההגנה מוגבלת על ידי הארגון הקטוע של הצבא וגישות מיושנות על טכנולוגיית מידע, אמר רוג'רס בשבוע שעבר. "האתגר הגדול שלנו הוא לא בטכנולוגיה, אלא בארגון", הוא אמר במסיבה של אגודת צבא ארה"ב, בארלינגטון, וירג'יניה.

הפנטגון לפי הערכות מסוימות מפעיל 15,000 רשתות. כל סניף של הצבא קונה ומנהל את המערכות שלו לבד. רוב הדאגה של רוג'רס נובעת מכך שאת אבטחת המידע נוטים לשים על אש קטנה. "מפקדים צבאיים חייבים להיות הבעלים של הסייבר", אמר רוג'רס. "רשתות וסייבר [צריכים להיות] העסק של המפקדים [לא של הרכש]".

בתפקידו הקודם כראש צי הסייבר של חיל הים, רוג'רס היה מתוסכל מתרבות שבה רשתות מידע נדחקו לצוות התמיכה הטכני, ולא נתפסו כעדיפות פיקודית. כשאר התקפות הסייבר הופכות לנפוצות יותר וסוררות "היכולת שלנו לשלב את הסייבר לתפיסה מבצעית רחבה יותר הולכת להיות מפתח", הוא אמר. עכשיו, "אנחנו מתייחסים לסייבר כמו משהו כל כך מיוחד, כל כך שונה, כל כך ייחודי, שנמצא מחוץ למסגרת המבצעית".

מפקדים פועלים תחת הרעיון "הפגום" שהם יכולים להפקיד את האחריות לרשת בידי מומחי טכנולוגיית המידע של היחידה, אמר רוג'רס. "מפקדים צריכים להחזיק את המשימה הזאת ולשלב אותה בפעילות. קצינים בכירים צריכים להיות בקיאים ביכולות הרשת של היחידה ובנקודות התורפה הפוטנציאליות כפי שהם יהיו על אספקת הדלק והתחמושת שלהם", הוא הוסיף. "האתגר הוא תרבותי הרבה יותר מאשר הוא טכני".

"הצבא, אכן, זקוק לטכנולוגיות מתקדמות כדי לבנות הגנות סייבר חזקות יותר", אמר רוג'רס. אבל מערכת רכש קטועה עושה את זה קשה. מחלקת הביטחון היום, הוא אמר, לא יכולה "לסנכרן את היכולות שלנו כצוות".

הפנטגון חייב לבנות "עמוד שדרה של רשת משותפת", הוא אמר. "אני אף פעם לא הבנתי למה כל שירות בנפרד מוציא כסף על יצירה, שמירה, בנייה ותפעול של עמוד שדרה של תקשורת עולמית. אנחנו עושים את זה באופן עצמאי בנפרד. זה לא הגיוני ולא יעיל. זה לא יוביל לגישה משולבת לפתרון בעיות", הוא הוסיף. "אנו זקוקים למסגרת משותפת". כל שירות עדיין יכול לתת מענה לצרכים משלו עבור "הקילומטר הטקטי האחרון".

אי אפשר לעבוד לבד

משרד ההגנה בשנה שעברה השיק מאמץ לצור אינטגרציה הנקרא "סביבת מידע משותפת" כדי להגן על מערכות מפני התקפות סייבר. רוג'רס אינו רואה שום תיקונים קלים לבעיה זו מאשר "שינוי מהותי באופן בו אנו עושים את הרכישות". רשתות לא נתפסות כ"פלטפורמות לחימה", הוא אמר. "בדרך כלל אנחנו פונים למנהלי מערכות המידע שלנו ואומרים להם ללכת לבנות רשת .... אנחנו לא כורכים בזה רכישה ותפעול".

רוג'רס גם קרא לשירותים הצבאיים לחזק את הכשרון שלהם בתוך הבית. "אנחנו צריכים ליצור כוח עבודה שמבין את החזון, שיש לו את הכלים והיכולות לבצע את החזון", הוא אמר. "אנחנו, משרד ההגנה, לא נמצאים בחוד החנית כאשר זה מגיע לרשתות וטכנולוגיית מידע .... אנחנו צריכים לבנות כוח סייבר מבצעי מאומן ומוכן".

​​פיקוד הסייבר רוצה "לחבור" עם השירותים כי הוא לא יכול לעשות את העבודה בלי שיתוף הפעולה שלהם, הוא אמר. "זה לא הגיוני לפתח כמה חזונים משותפים ולדחוף אותם בגרונותיהם של השירותים שלנו. אני אומר לשירותים שאנחנו עושים את זה כקבוצה אחת". הרשתות בעתיד, אמר רוג'רס, לא רק חייבות להיות משותפות, אלא גם "בנות הגנה ... עם ארכיטקטורה עליה אפשר להגן. גמישות ויתירות הן מאפייני ליבה בעיצוב .... אני לא יכול להגיד את זה על הרשתות הקיימות".

"ל​​פיקוד הסייבר זה יכול להיות מרתיע להגן על רשתות שהוא לא יכול 'לראות'", אמר רוג'רס. "בלי מודעות מצבית משותפות, התפעול יהיה נורא קשה. אם בצד ההתקפי או הגנתי. בסביבה שבה אתה לא יכול לראות את הסביבה שבה אתה פועל". למפקדים בצבא יש "מרכזי פעילות טקטית" שבהם הם יכולים לעקוב אחר אירועים בזמן אמת. "אין לנו את זה בעולם הקיברנטי. אנחנו צריכים ליצור את זה. קשה להיות זריז כאשר אתה לא יכול לדמיין את מה שאתה עושה".

הפיקוד מתחלף - הביקורת נשארת

הביקורת של רוג'רס על התרבות הצבאית נשמעת כהדהוד לדברים שאמר קודמו בתפקיד, קית אלכסנדר. באחד מהנאומים הפומביים הראשונים שלו כראש פיקוד הסייבר הנכנס ביוני 2010, אלכסנדר התלונן על כך שהפיקוד חסר את הנראות לתוך הרשתות של משרד ההגנה, שהגבילו את יכולתו למנוע התקפות. הוא אמר כי פיקוד הסייבר הופך להיות רק מודע לחדירות לאחר שהם קורות, ואז מגיב לאירועים. זאת, כי יש לו רק קצת "מודעות מצבית".

הוא אמר כי הפיקוד לא יכול לעשות את העבודה שלו בלי "תמונת הפעלה משותפת". בתמרון, מפקדים צבאיים בשדה הקרב צריכים מודעות מצבית, כדי שיוכלו לאתר את מיקומו של האויב ולנסות לחזות מה זה הוא יכול לעשות. במרחב הקיברנטי, לצבא אין יכולת כזו.

רוג'רס אמר כי ​פיקוד הסייבר נערך ללוחמת סייבר כפי שהוא עוסק גם בנושאי מדיניות קוצניים. תפקידו הכפול כראש ה-NSA ופיקוד הסייבר, מעמיד אותו במרכז סערה גוברת על ריגול מקומי והזכות לפרטיות. "אנחנו צריכים להיות זהירים במדיניות ובשינויים המנהליים כדי ליישם את היכולות הללו", הוא אמר. "מהן המסגרות המשפטיות שאנחנו צריכים כדי לבצע את המשימה הזאת? הטכנולוגיה מתקדמת הרבה יותר מהר מאשר המדיניות שלנו".

You might be interested also