מנהל ה-CIA וה-NSA לשעבר: "אם לא ניזהר, המתקפות הקיברנטיות יהיו לפצצות האטום של המאה ה-21"

"קיים חוסר הבשלות בעולם הקיברנטי, וצריך לבוא למקבל ההחלטות ולבקש ממנו לקחת סיכון שאת תוצאותיו אין יכולת לקבוע או למדוד", אמר גנרל בדימוס מייקל היידן, לשעבר מנהל הסוכנות לביטחון לאומי (NSA) ולשעבר מנהל ה-CIA. "אם לא נהיה זהירים, כלי הנשק הקיברנטיים יהפכו להיות כלי הנשק בה"א הידיעה של המאה ה-21, כמו שהפצצות האטומיות היו אלה של המאה ה-20". הוא סיים בקריאה לאלפי מקצועני האבטחה בכנס להציע הצעות כיצד לעצב את תשתית האבטחה של הרשת.

לדבריו, "ארצות הברית צריכה להחליט על הכללים והדרכים לתקיפת רשתות תקשורת של מדינות אחרות, בנוסף לטרור קיברנטי. הדבר יכול להיעשות בין השאר באמצעות הסכם בינלאומי לתקיפה, תוך סייגים מסוימים, כגון: לא לפגוע במערכות פיננסיות ובתשתיות מיחשוב של רשתות החשמל של אותן מדינות", כך

היידן היה דובר המפתח בכנס האבטחה Black Hat, שנערך בסוף השבוע בלאס וגאס. לדבריו, ישנה בעיה, שטרם לובנה לעומק, כיצד להתייחס למדינות שמהן יוצאות מתקפות קיברנטיות, וכיצד להטיל עליהן את האחריות למה שיוצא מקרבן – בין אם שלא בידיעתן ובין אם באישורן ובעידוד ומימון שלהן. הוא אמר, כי אחת האפשרויות שנדונו בממשל האמריקני היא לחדול מלשאול לגבי היכולת למצוא את התוקפים, ובמקום זאת – להטיל את האחריות על המדינה שממנה יצאה כל מתקפה. דברי היידן התקבלו על ידי המאזינים – מומחי אבטחת מידע מקוונת – בהתלהבות.

"עלות הכניסה והפעילות בעולם הקיברנטי ומתקפות בה היא מאוד נמוכה", אמר היידן. "מנגד, קשה להוכיח את מעורבותה של המדינה, או את עידודה למעשה התקיפה. בין שעשית את המתקפה בעצמך ובין שלא – התוצאות והנזקים של מעשה התקיפה שבאו מהמדינה שלך הם זהים".

כאשר נתבקש על ידי אחד הנוכחים לתת דוגמאות, אמר היידן, כי "כל מיני סוגים של הגליה קיברנטית באים בחשבון, או תגובה שתאיים ותפגע בזרימת התעבורה האינטרנטית של המדינה שממנה באה הפגיעה. האטה של המסחר המקוון היא בהחלט אפשרות, כמו גם פגיעה ביכולות התקשורת של אותה מדינה".

הוא הוסיף, כי במסגרת דיונים שנעשו בממשל, אחת האפשרויות לפעולה שנדונו הייתה Dos, התקפת מניעת שירות, שכן היא עומדת בהגבלות של אמנת ז'נבה ללחימה קיברנטית. "זהו כלי נשק זמין וקל. עלינו לגרום למדינות בוגרות להפנים שיש להן אחריות גם על המרחב הקיברנטי ומה שיוצא משם", אמר. היידן הסביר, כי הועלו רעיונות של תחומים בהם אסור לפגוע במרחב הקיברנטי, לדוגמה ברשתות תקשורת רגישות, כגון: רשתות חשמל ומערכות בנקאות, וכי יש לקבוע שאלה יהיו מחוץ לתחום בעת מלחמות קיברנטיות. הוא ציין, כי קיים פרדוקס מסוים, שכן במלחמה פיזית, אלה יעדי תקיפה לגיטימיים ומותרים.

סייברקום – תקיפה במקום הגנה

במשפט שלא ברור אם הוא ביקורתי או משגר מסר של ביטחון, אמר היידן, כי "נאמר לי שבסייברקום, הפיקוד הקיברנטי החדש שהוקם באחרונה, חושבים ב-90% מהזמן שלהם כיצד לתקוף, אולם האנשים שם עסוקים בפועל ב-90% מהזמן שלהם בפעילות הגנתית".

היידן הודה, כי "יש בעיה עם הצפי לתוצאות ממתקפות קיברנטיות. הן קשות לחיזוי במידה רבה יותר מאשר נזקים הנגרמים ממתקפה פיזית. אינך יכול לעשות דבר בתחום זה מבלי שמשהו יקפוץ בעולם הפיזי. בסופו של יום, זה לא משחק וידיאו, ומשהו יקרה למישהו בעולם האמיתי".

הוא אמר, כי צבא ארצות הברית אינו שוקל פעולות תקיפה חכמות כפי שהוא הציע, אולם ריגול קיברנטי "נורמלי", לדבריו, מתרחש בין מדינות בקביעות. "מבלי להיכנס לפרטים, ארצות הברית טובה למדי בתחום זה", אמר היידן. "הסינים הם לא היחידים שפועלים בתחום".

היידן מועסק כעת על ידי קבוצת האבטחה צ'רטוף (Chertoff), שהוקמה על ידי מייקל צ'רטוף, לשעבר השר לביטחון פנים של ארצות הברית, והשר להגנה על תשתיות לאומיות בממשל הנשיא ג'ורג' בוש.