החתול והשמנת: סין מקבלת גישה לפגיעויות לפני ספקיות ה-IT

סין יכולה לבחון באגי אבטחה לפני שחברות הטכנולוגיה מוציאות להם תיקונים, אמר בכיר במשרד להגנת המולדת האמריקני.

בהרצאתו אתמול (ד') בכנס בלאק האט בלאס וגאס, אמר רוברט סילברס, תת-השר במשרד להגנת במולדת (DHS) לנושאי אסטרטגיה, מדיניות ותכנון, כי "נראה שממשלת סין משתמשת בכללי חשיפת פגיעויות התוכנה שלה כדי לדעת מבעוד מועד על פגמים מסוכנים, מסוג 'יום אפס' – ולעשות זאת עוד לפני שחברות טכנולוגיה יוכלו לפרוס להם הטלאות ותיקונים".

לדברי סילברס, "הכללים המחמירים של דיווח על פגיעות בבייג'ינג, פירושם שפקידי ממשל יכולים לקבל גישה מוקדמת – אפילו לפגיעויות החמורות ביותר".

מומחים ציינו, כי אם ממשלת סין מנתחת פגיעויות מסוג "יום אפס", או פגמי תוכנה שלא היו ידועים עד כה – ועושה זאת לפני שהחברות המושפעות יכולות לפרוס תיקון, "הרי שבייג'ין עשויה להשיג יתרון – והיד שלה תהיה על העליונה, בעת ביצוע מתקפות סייבר שלה נגד ארה"ב, או יריבים דיגיטליים אחרים".

לדברי סילברס, ועדת ביקורת של המשרד להגנת המולדת התכנסה באחרונה, על מנת לחקור את פגיעות התוכנה האחרונה של Log4j – שהתגלתה בתחילה על ידי ענקית הטכנולוגיה הסינית עלי באבא. הוא הדגיש כי "הוועדה סיימה את החקירה שלה בשאלות מטרידות מאוד לגבי כללי החשיפה הסיניים". ספציפית לגבי המקרה של הפגיעות Log4j – הוא אמר כי עלי באבא חשפה את הפגם לפני ההודעה לממשלה הסינית. "עלי באבא עשתה את הדבר הנכון", אמר, "אבל, ממצאי ועדת הביקורת מצביעים על כך שעלי באבא נענשה, ככל הנראה, על ידי ממשלת סין – מה שמעלה שאלות לגבי האם וכיצד גורמים רשמיים בסין משתמשים במידע על חשיפת פגיעויות אבטחה".

ועדת הביקורת במשרד, המכונה "מועצת סקירת בטיחות הסייבר", היא קבוצה המונה 15 מומחי אבטחת סייבר מהמגזר הציבורי והפרטי. החקירה הראשונית שלה, על פגיעות Log4j – נערכה בחודש שעבר. הוא אמר שחברי הוועדה מודאגים מהדיווחים בחדשות הסיניות, לפיהן עלי באבא נענשה על כך שחשפה את הפגיעות בפומבי – ועשתה זאת בטרם הזעיקה את הממשלה הסינית.

חברות סיניות נדרשות לדווח לממשלה על נקודות תורפה – בתוך יומיים מרגע גילוין. כמו כן, נאסר עליהן לחשוף בפומבי פגיעות במהלך "אירועים לאומיים גדולים".

"אנחנו חושבים שזה היה תהליך גילוי פגיעות טוב, והפריע לנו שהוא לווה בעונש", אמר סילברס. הוא כינה את עבודת הוועדה על Log4j "תגובת הסייבר בקנה מידה המוני – הגדולה ביותר בהיסטוריה". הוא הוסיף כי "הסיכונים מהפגיעות של Log4j לא ייעלמו בזמן הקרוב. הפגיעות היא כל כך קלה לניצול, וכל כך נפוצה בכל מקום – עד שארגונים צריכים לצפות שהאיום יישאר למשך השנים הבאות, אולי עשור – או יותר".