אמירתו המפורסמת של התיאורטיקן הצבאי הפרוסי פון-קלאוזביץ' "המלחמה אינה אלא המשך המדיניות באמצעים אחרים", מקבלת משמעות שונה בשנים האחרונות, כשפעולות סייבר התקפיות תופסות את מקום המלחמה הפיזית (קינטית) ומשלימות את היחסים הדיפלומטיים בין מדינות ומעצמות. בחודשים האחרונים חלה עלייה ניכרת בפעילות הסייבר הבין-מדינתית - ספרד, בריטניה וארצות הברית האשימו האקרים סינים בניסיון לגנוב מידע ממעבדות שמפתחות חיסון לקורונה.
משרד המשפטים האמריקני הודיע שהפליל חמישה האקרים סינים ושני מלזים שתקפו למעלה מ-100 חברות, ארגונים ואנשים פרטיים ב-14 מדינות. כתב אישום נוסף הוגש כנגד שלושה אזרחים איראניים באשמת פריצת לחברות תעופה וחלל בארה"ב וריגול אחר מתנגדי משטר גולים, ועוד כתב אישום הוגש כנגד שני האקרים איראנים נוספים בגין השחתת אתרים בתעמולה פרו-איראנית בעקבות חיסול סולימאני בינואר האחרון.
הזינוק בפעילות הסייבר הזו אינו טרנד רגעי, אלא מגמה שמתגברת והולכת. פעילות התקיפה של מדינות גדלה לא רק מבחינת נפח אלא גם בהיקף ותחכום. הבעיה הוחמרה בגלל מגפת הקורונה והשפעתה על הכלכלה העולמית ועל היחסים הבינלאומיים.
יתר על כן, מנושא זניח יחסית, שנידון בדרך כלל בעיתונות מקצועית של תעשיית הסייבר או בגופי מחקר שעוסקים ביחסים אסטרטגיים, הסייבר נמצא כרגע בכותרות. עדות לכך ניתן לראות בהצהרות של גורמים רשמיים בארה"ב, בריטניה (שר החוץ דומיניק ראב מרבה להתייחס לנושא) ובאחרונה, על ידי שרת ההגנה האוסטרלית לינדה ריינולדס. שרת ההגנה אמרה כי התקפות סייבר זדוניות נגד עסקים אוסטרליים וסוכנויות ממשלתיות מצד שחקן מדינתי, כנראה שהוא סין, גברו בחודשיים האחרונים.
קריאת כל הכותרות הללו עלולה להיות מבלבלת. מי תוקף את מי, למה ואיך? בואו ננסה לפרק את הפעילויות השונות של מדינת הלאום במרחב הסייבר.
טרמינולוגיה
- "סייבר התקפי": פעולות התקפיות שמבוצעות על ידי גורמים מדינתיים במרחב הסייבר. סייבר התקפי שונה מפשיעת סייבר בתחכום ובעוצמה של הכלים שבהם עושים שימוש, בבחירת הקורבנות, במוטיבציה (שאינה מוטיבציה פיננסית גרידא).
- APT: ראשי תיבות של "Advanced Persistence Threat". המשמעות היא קמפיין התקפי מתוחכם וממומן, שמבוצע על ידי תוקפים מדינתיים. קמפיינים כאלו יכולים להמשך שנים ארוכות עד שהם מתגלים.
- "תוקפים מדינתיים": בעולם הסייבר לא נהוג להאשים ישירות מדינות וגופים צבאים בפעולות פריצה. קודם כל, קשה מאוד להוכיח קשר בין תקיפה לבין התוקף. ככל שהתוקפים מיומנים יותר, כך הם מצליחים לטשטש את עקבותיהם בצורה מוצלחת יותר. זאת ועוד, למיקום הגיאוגרפי של השרת ממנו מבוצעת מתקפה יש משמעות מועטה בלבד בעולם הסייבר - ניתן בקלות להשתלט על שרת בישראל ולתקוף ממנו ישות שנמצאת בגרמניה, לדוגמא.
- "קבוצות תקיפה": בעולם הסייבר הגבולות מטושטשים. אנחנו רגילים לחשוב ששאר מדינות העולם פועלות בתבנית הישראלית, כלומר, יש להן יחידת "8200" מרכזית, שמבצעת תקיפות סייבר כנגד מדינות אויב. המציאות מסובכת יותר - במדינות רבות יש מיש-מש של גופים צבאיים, מדינתיים (כגון "מוסד"), אזרחים ומיליציות סמי-רשמיות שעוסקות בפעילות סייבר. לכן, ברוב המקרים חוקרי סייבר יתנו לקבוצת תקיפה שם או מספר (כגון APT 1- קבוצת תקיפה סיני , הראשונה שנחשפה לעולם), יציינו את קשריה לגורמים רשמיים (במקרה של APT 1 יחידה 61398של צבא סין), את הכלים בהם היא עושה שימוש והמוטיבציה שלה (במקרה זה, ריגול תעשייתי אחרי חברות מערביות). במסגרת "קבוצות תקיפה" אלו, יכולים אנשים לעבוד בעבודה לגיטימית ובמקביל לסייע למדינתם בפעילות סייבר. דוגמא לכך ניתן לראות אצל חוקר האבטחה האיראני מוחמד רזה אספרגהם, שהיה חוקר אבטחה מוערך עם חשבון טוויטר פעיל שאף הרצה בכנסים בינלאומיים. כתב אישום שהוגש לאחרונה חשף שהוא עובד עם משמרות המהפכה ומסייע להם בפיתוח כלי פריצה ותקיפת אתרים.
אז מי תוקף את מי וכיצד? מהפעולות האגרסיביות עד לחלשות ביותר
- חבלה: ממד הסייבר יכול לפרוץ לעולם האמיתי כאשר מדינות משתמשות באמצעי סייבר כדי לגרום נזק למערכות מחשב או מערכות פיזיות של מדינות אחרות. ההתקפות על תשתיות קריטיות גדלו מאוד בשנתיים האחרונות. כזכור, טרנד זה החל לפני עשור בתקיפה (שמיוחסת לישראל וארה"ב) על מתקני האטום באיראן, ממשיכה במתקפות רוסיות על תשתיות חשמל באוקראינה בעימות האחרון בין המדינות ונמשך עד היום בדו-קרב בין ישראל לבין איראן: התקפה איראנית על תשתית המים של ישראל הובילה לנקמה ישראלית נגד נמל שאהיד רג'אי.
- ריגול: ריגול ישן וטוב הוא פעילות נפוצה הרבה יותר מאשר חבלה. אומות ריגלו זה אחר זה מאז ומתמיד, אך כיום חלק ניכר מפעילות הריגול מתנהלת במרחב הסייבר. גניבת נתונים קלה יותר, זולה יותר ונטולת סיכון יחסית כשאתה עומד מאחורי מקלדת וחודר לשרת במדינה אחרת כשאתה מוגן על ידי החוקים ומערכות ההגנה של מדינתך.
- קמפייני השפעה ולוחמה פסיכולוגית: מדינות משתמשות בטכניקות של לוחמה פסיכולוגית מאז ומתמיד כדי להשיג יתרון על פני מדינות אחרות, אך מרחב הסייבר העניק להן את האמצעים לעשות זאת בקנה מידה שלא חלמו עליו קודם. אומות יכולות להתערב בתהליכים פוליטיים במדינות אחרות ללא פחד ובקלות רבה (ובעלות זניחה). לדוגמא, ההתערבות הרוסית במשאל העם לעצמאות סקוטלנד, התערבות רוסית במשאל הברקזיט בבריטניה, וכמובן המעורבות הגסה של (שוב) רוסיה בבחירות לנשיאות ארצות הברית 2016, ולמרבה הצער גם הבחירות הקרובות בארה"ב לשנת 2020.
- פוליטיקה אזורית: מדינות גם רוצות להפעיל כוח במרחב הסייבר כדי לפתור (או להסלים) סכסוכים אזוריים. בקיץ 2020 מתקפות סייבר סיניות על ישויות הודיות התרחשו מייד לאחר התכתשות בין שתי הצבאות שגרמה לעשרות הרוגים באזור הגבול ההררי של לאדאק. שירותי הביטחון האוקראינים דיווחו בשנת 2019 כי האקרים רוסים תוקפים גורמים צבאיים ומשטרתיים באוקראינה. על פי הדיווחים, קבוצת התקיפה הרוסית "גמארדון" תקפה לפחות 482 יעדי תשתית קריטיים באוקראינה בקמפיין הנתמך על ידי רוסיה. זאת כמובן, מבלי להסתכן בפעולה צבאית גלויה.
- ריגול תעשייתי: בניגוד לריגול 'קלאסי', פעילות זו מכוונת במיוחד לסגירת הפער הכלכלי בין מדינות, על ידי גניבת קניין רוחני ואז שימוש בו כדי להעתיק טכנולוגיה או להשיג יתרון מסחרי בלתי הוגן אחר. סין הואשמה רבות ע"י חברות מערביות, אוניברסיטאות, סוכנויות ממשלתיות וחברות טכנולוגיה בדיוק מפעולה זו. לדוגמא, כשהבינה סין שלא תצליח לבנות מפציץ חמקן משל עצמה, גנבה את העיצוב המוכח של F-35 האמריקאית כדי לקצר את הפיתוח וכיום טס בשמי סין ה J-20, מטוס שהוא רפליקה כמעט מושלמת של ה F-35 של ארצות הברית.
- פשיעה כלכלית: יש מדינות שנמצאות במצוקה כספית קיצונית, שהולכת ומחמירה בשל סנקציות בינלאומיות, ולכן הן נוקעות בפשיעה סייבר כדי למלא את קופותיהן. צפון קוריאה ידועה לשמצה בשימוש בפשיעת סייבר למטרות כאלה, ולאחרונה פתחה בקמפיין נוסף שנועד לגנוב כסף מבנקים וכספומטים בארה"ב. האו"ם העריך שצפון קוריאה גנבה יותר מ-2 מיליארד בשנת 2019 בלבד - כסף שנועד לממן את תוכנית הגרעין ופיתוח הטילים הבליסטיים במדינה.
2020: שנת מבחן
מגפת הקורונה יצרה תמריץ רב עוצמה עבור מדינות לפרוץ ולרגל אחת את השנייה. המרוץ להיות הראשון להשיג חיסון הביא למספר אירועי ריגול הקשורים לגניבת ידע הקשור לחיסון ממעבדות מחקר שונות בעולם. בהתבסס על המגמה העדכנית, סביר להניח שנראה קמפיינים נוספים המנסים לנצל את נקודות התורפה האבטחתיות, שמקורן במעבר מעבודה במשרד לבית וחוזר חלילה.
מלבד עניינים הקשורים למגיפה, שנת 2020 היא שנה ש"מזמינה" שיבושים פוליטיים, חברתיים, כלכליים נרחבים בארה"ב, ובמידה מסוימת גם בבריטניה ובאירופה. כל אלה ישחקו לידיהם של תוקפי סייבר, אשר ינצלו כל הזדמנות למנף אירועים אקטואליים לקידום קמפייני חבלה, השפעה ופשיעה. וכמובן, הבחירות הקרובות בארה"ב יביאו ככל הנראה לגידול בפעילות הסייבר, כמו ניסיונות פריצה נגד פוליטיקאים, מפלגות פוליטיות, רישומי בוחרים, אתרי הצבעה ומכונות הצבעה.
מה יהיה הסוף?
יש להניח שפעילות מדינתית במרחב הסייבר תימשך מעתה ועד עולם. יש לקוות שעם הזמן חוקים וכללים שחלים על פעולות התקפיות בממד הקינטי יחולו גם בממד הסייבר. לדוגמא, ארצות הברית הפעילה סנקציות אישיות כנגד 45 האקרים איראנים שעובדים בחסות מיניסטריון ההגנה והמודיעין האיראני, האיחוד האירופי הטיל סנקציות אישיות (כולל עיקול כספים ואיסור נסיעה) כנגד שישה האקרים מסין, צפון קוריאה ורוסיה על מעורבותם במתקפות הסייבר Wannacry של שנת 2017, וגרמניה פועלת בעקשנות לכך שהאיחוד האירופי יטיל סנקציות על האקרים רוסים שפרצו לחשבונות מייל של הבונדסטאג והקנצלרית מרקל בשנת 2015. אפשר לקוות שפעולות מסוג אלו יביאו להרגעה של השטח וליצירת תנאי משחק הוגנים פחות או יותר- אם כי יהיה זה נאיבי לצפות שמדינות "ציר הרשע של הסייבר" (איראן, סין, רוסיה וצפון קוריאה) יחדלו לגמרי מפעילותן במרחב זה.
יותם גוטמן הוא סמנכ"ל השיווק של חברת הסייבר SetninelOne