הסכמי סייבר ופיקוח במרחב הקיברנטי
לאחרונה, דנו סין וארה"ב על הסכם פיקוח על נשק סייבר ושימוש בו, בהמשך לפרשיות הסייבר החמורות של השנים האחרונות. אבל השאלה העיקרית היא: האם ניתן לאכוף הסכם מעין זה?
ארה"ב בפרט והמערב בכללותו חווים בשנים האחרונות אירועים רבים, ולעיתים יומיומיים, הקשורים במרחב הקיברנטי ושליטתו על חיינו הפיזיים. זאת באמצעות פעולות של פריצה וגניבת מידע בעל ערך רב וכן נסיונות לתקוף ולשבש מערכות תפעוליות שונות אשר להן חלק והשפעה בחייה של מדינה מודרנית.
- האקרים פרצו למלונות הילטון: אלפי מספרי אשראי נגנבו
- ארה"ב וסין מקיימות מגעי חירום להגבלת מלחמת הסייבר ביניהן
- התוכנית החדשה של נתניהו: הקמת קמפוס ענק ללימודי סייבר בדימונה
אחד המקרים המפורסמים ביותר מהעת האחרונה הוא הפריצה למערכות המחשב של Office of Personnel Management וגנבת כ-25 מיליון רשומות מידע של עובדי ממשל בארה"ב ובהן מידע ערכי רב, אשר יש בו כדי להוות סכנה בטחונית למדינה, דוגמת הפרסומים לפיהם בין המידע הרב שנגנב היו ככל הנראה 5.6 מיליון טביעות אצבעות של גורמי ממשל. אסון אבטחתי ובטחוני ללא כל ספק, אשר נטען כי יכול לשמש את סין ורוסיה כדי לאתר מרגלים אמריקאיים.
מימין שי ג'ינפּינג, נשיא סין וברק אובמה, נשיא ארה"ב בפגישתם בבייג'ינג צילום: אימג'בנק, Gettyimages
כבמקרים רבים בעבר, הופנתה האצבע המאשימה כלפי סין, על ידי גורמים שונים ובכללם על ידי מנהל הבטחון הלאומי בארה"ב, ג'יימס קלאפר, גם אם התקבלה החלטה עוד קודם לכן לא להאשים רשמית את סין בפרשה. נשיא סין כמובן הכחיש את ההאשמות ואמר כי "ממשלת סין אינה מעורבת בכל צורה שהיא בגניבת סודות מסחריים ואינה מעודדת או תומכת בחברות סיניות המעורבות בכך בכל דרך שהיא".
בעקבות ארועים אלה הודיע הממשל כבר בסוף חודש אוגוסט כי הוא מפתח "חבילה של סנקציות כלכליות חסרות תקדים נגד חברות וגורמים פרטיים סיניים אשר ירוויחו מביצוע גנבות מקוונות על ידי ממשלתם של סודות מסחריים אמריקאיים בעלי ערך". לקראת פגישתם של נשיאי שתי המדינות, אשר התקיימה ב-25 ספטמבר, ובעקבות שלל הארועים שבה הואשמה סין, פרסם הנשיא אובמה אזהרה כלפי עמיתו הסיני לפיה כל פעולה של ריגול תעשייתי נתמך מדינה תחשב על ידי ארה"ב כ"מעשה של תוקפנות", הוא שב והזהיר מפני סנקציות אפשריות שיוטלו על סין וציין כי הסוגיה תהווה נושא מרכזי בשיחות בין השניים.
לקראת פגישת שני הנשיאים, דנו המדינות בהסכם לפיקוח נשק במרחב הקיברנטי, אשר יכלול הסכמה לא לעשות שימוש בנשק קיברנטי לתקיפת תשתיותיה של האחרת בעת שלום, אולם הוא לא יכלול ריגול תעשייתי מקוון או ארועים דוגמת פריצה למערכות ממשל. הסכם אשר לראשונה יכלול הגבלות על שימוש במרחב הקיברנטי כאמצעי נשק, בדומה לקיים לגבי נשק כימי, ביולוגי וגרעיני.
ניסוח הסכם הוא טוב ויפה, אולם האם ניתן לממשו הלכה למעשה ? לעקוב אחר אי הפרתו ? להרתיע, לאיים, לספק הוכחות לביצוע תקיפה קיברנטית שהפרה את ההסכם? האם אכן נשק קיברנטי משול לנשק כימי, ביולוגי וגרעיני מבחינת היכולת לפקח עליו, על ההצטיידות והשימוש בו ? אפילו לגבי דברים מוחשיים ופיזיים כנשק כימי ופרוקו בסוריה, התברר כי 'המדינה האסלאמית' הצליחה לשים ידה על נשק זה בסוריה, עת השתלטו על אזורים בהם החזיק המשטר חומרים אלו, למרות משטר הפיקוח והפרוק של האו"ם, ולתקוף את הכורדים בגז חרדל באוגוסט השנה.
אם כך, מה רמת הפיקוח על פעולה המתבצעת "במחשכי המחשבים" ושניתן להסוותה בנקל ? האם אכן ניתן לספק הוכחות לתקיפות שכאלה או שאיומי של הנשיא אובאמה הם אכן ריקים מתוכן? אחת מבעיות הייסוד של פעילות במרחב הקיברנטי היא "בעיית הייחוס" אותה סוגיה בסיסית שהיא הכרחית למניעה, מעקב, איום, הרתעה ותגובה, באשר היא; הידיעה מי האויב שלי ? מי מאיים עלי ? היכן הוא נמצא ? מי ביצע את התקיפה ?
מעקב אחר פעילות של מתקפות קיברנטיות היא קשה, על אחת כמה וכמה במקרים בהם מעורב בכך שחקן מדינתי בעל יכולות על להסוות את דבר התקיפה ומעל לכל את זהות ושיוך הגורם העומד מאחוריה. בתחילת חודש ספטמבר פורסם קיומה של קבוצת האקרים דוברת רוסית העושה שימוש בלוויינים מסחריים, לא רק לשם גנבת מידע רגיש מגופים דיפלומטיים וצבאיים בארה"ב ובאירופה, אלא אף כדי להסוות את מיקומם האמיתי.
אמנם הסכם זה בין ארה"ב וסין לעניין השימוש בנשק קיברנטי סביר להניח כי כולל מנגנוני בקרה ופיקוח, התרעה וסנקציות, אולם בעיינה עומדת השאלה בדבר היכולת לממש זאת, לדעת בזמן אמת את זהות התוקף הקיברנטי בצורה מדוייקת וודאית. תוך יכולת להציג הוכחות חותכות לא רק לדבר ביצוע הפריצה או המתקפה, אלא מעל לכל לזהות התוקף.
ניתן להטיל ספק בדבר יכולתה של מדינה לא רק להשיג הוכחות חותכות שכאלה, אלא מעל לכל להציגן לציבור כדי לממש איומים בפעולת תגמול דוגמת סנקציות או תקיפה צבאית. סביר כי גם אם מדינה תוכל להגיע להוכחות שכאלה, היא לא בהכרח תרצה להציגן לציבור ובכך לחשוף מקורות ושיטות עבודה.
ובלא הוכחות ממשיות, עלולים ההסכמים, האיומים וההצהרות השונות בנושא להיות לא יותר מתרגיל יחסי ציבור ומילים ריקות מכל תוכן ממשי. כך שאולי זהו הסכם ראשון להסדרת השימוש בנשק קיברנטי, אבל ארוכה הדרך ליכולת לממשו בעת הצורך באמצעות הטלת סנקציות או ביצוע תקיפה צבאית ממשית כתגובה למתקפה קיברנטית.
הכותב הינו מומחה לאיומי אינטרנט וסייבר, עורך האתר Middleeasternet
