ביולי 2018 יצא ראש המודיעין הלאומי של ארה"ב באזהרה חמורה: "התשתית הדיגיטלית שלנו נמצאת תחת מתקפה, פשוטו כמשמעו". הוא הצהיר ש"כל נורות האזהרה מהבהבות" ורוב הפרשנים חשבו שהוא מתייחס להאקרים רוסים שמתערבים מטעם ממשלתם בבחירות האמצע בארה"ב, כפי שהתערבו בבחירות לנשיאות ב-2016. אבל יכול להיות שההתמקדות הזאת בהתערבויות בבחירות כמוה כניהול קרב מאסף, התגייסות להדוף מתקפות עבר על חשבון נקודות התורפה הבוערות כרגע. לא מן הנמנע שאיום הסייבר האמתי מצד רוסיה מתגלם כיום באיום המתקפה על תשתיות חיוניות בארה"ב, כולל מתקפה על רשת החשמל, שתחשיך מיליוני בתים בארה"ב.
אנחנו כבר יודעים למה מסוגלת רוסיה, כי אנחנו רואים מה רוסיה עושה במקומות אחרים. דוח הצוות של ועדת הסנאט ליחסים בין-לאומיים מצא ראיות ולפיהן לקראת הבחירות ב-2016 ניסתה רוסיה להטות את הבחירות ב-18 ארצות אחרות. מאז הצליחו סוכנויות ביון וחברות אבטחה לקשור האקרים רוסיים להשבתה של מפעל פלדה גרמני, לניתוק שירותי הטלפון וחיבור האינטרנט של כ-900 אלף גרמנים, ובמקרה אחד מדאיג במיוחד, לשני שיבושים ברשת החשמל של אוקראינה. הלקח שיש להפיק מההתערבות הרוסית ב-2016 חורג מעבר לדרישה שוושינגטון תגן על הבחירות בארה"ב; ניסיון זה מלמד שהדברים שרוסיה עושה במרחב הסייבר של ברה"מ לשעבר הם בגדר תמרור אזהרה, עדות למה שתוכל לעולל בארה"ב.
ניסויי כלים
בדצמבר 2015 כיבו האקרים רוסים את האורות במחוז איוונו-פרנקיווסק שבמערב אוקראינה, ועלטה ירדה על 230 אלף לקוחות. במסגרת המתקפה הושבתו 30 תחנות משנה ונותקו ממערכות התקשורת שלהן, כדי שלא יוכלו להפעיל אותן מחדש מרחוק. במתקפה השנייה, כעבור שנה, התמקדה המתקפה בתחנות משנה בקייב. בסיכומו של דבר אפשר להגיד שמתקפות אלה נבלמו: הפסקת החשמל של 2015 באיוונו-פרנקיווסק נמשכה שש שעות בלבד ואילו המתקפה ב-2016 פגעה בעשרים אחוז בלבד מאספקת החשמל של קייב, למשך שעה בלבד.
אבל אין סיבה לנשום לרווחה לנוכח ההיקף המצומצם יחסית של המתקפות באוקראינה. יכול להיות שבאמצעות המתקפות האמורות ביקשה רוסיה להעביר מסר לאוקראינה, ולאו דווקא להסב נזק של ממש. מטרידה מכך האפשרות שמדובר בניסויי כלים שבדקו את יכולות הסייבר של רוסיה.
ראשית כול המתקפות מעידות על רמה מדאיגה של יכולת ותחכום מצד ההאקרים הרוסים. "מבחינתי תחכום מורכב מלוגיסטיקה, מתכנון וממבצעים ו…ממה שקורה לכל אורך האירוע", כך אמר ל-Wired רוברט מ. לי, מומחה באבטחת מערכות בקרה, "ובמקרה זה ניכרת רמת תחכום גבוהה". התוקפים יצאו במבצעי מחקר וסיור נרחבים כדי להבין את המטרה ואז הוציאו לפועל מתקפה רבת-שלבים ובו-זמנית נגד מטרות רבות.
התוקפים, מעבר ליכולות התכנון וליכולות המבצעיות שהפגינו, תכננו כלים משופרים לביצוע מתקפות מסוג זה. התוכנה הזדונית שהשתמשו בה במתקפה ב-2016 הייתה מתוחכמת בהרבה מזאת שהייתה בשימוש במתקפה ב-2015. במקום למחזר תוכנה זדונית מוכרת שמיועדת למערכות עסקיות, השתמשו התוקפים בתוכנה זדונית ייעודית שבכוחה לחולל הפסקות חשמל נרחבות במטרות רבות. מהשיפורים הטכנולוגיים שחלו בין שתי המתקפות עולה שמבחינת רוסיה הייתה זאת הזדמנות לעשות ניסוי כלים על אוקראינה.
לאור יכולת הסייבר המפותחת של הרוסים, סביר להניח שלו רצתה ממשלת רוסיה לחולל באוקראינה הפסקות חשמל נרחבות וממושכות יותר, היא הייתה יכולה לעשות זאת – למשל, על ידי פריסת צוותים נוספים שיגרמו הפסקות חשמל בו-זמניות במחוזות רבים. אבל רוסיה יכלה למנף גם נקודות אחרות באוקראינה, בעיקר את הגבול המשותף והאוכלוסייה הגדולה של אוקראינים פרו-רוסים ממוצא רוסי, שטומנת בחובה אפשרויות אחרות להשפעה על אוקראינה. ובל נשכח את התאוריה שלפיה מתקפות הסייבר היו בעצם ניסוי כלים, תרגול לקראת היום שהיכולת להשבית רשת חשמל תקנה לרוסיה יתרון אסטרטגי או טקטי.
אבחון נקודות תורפה
מנקודת המבט של ארה"ב, למתקפות על אוקראינה יש היבטים מדאיגים. המתקפות האמורות נשענו על כלים בסיסיים למדי: הן נפתחו בפישינג ממוקד של תכתובות דוא"ל, ניצלו נקודות תורפה מוכרות והשיקו משפחה חדשה של תוכנות זדוניות. יכול להיות שמאז הספיקה רוסיה לפתח יכולות סייבר מתוחכמות בהרבה, בסגנון התוכנה הזדונית Stuxnet שהתמקדה בתכנת הגרעין האיראנית וגרמה נזק פיזי של ממש לצנטריפוגות. למפעילים של רשת החשמל באוקראינה לא נותר אלא לשבת ולצפות בהאקרים שהזיזו את העכבר הווירטואלי על פני המסכים ביחידות הבקרה שלהם והשביתו מערכות כוח, וכך לפחות התריעו בפניהם על קיומה של מתקפת סייבר. במתקפה מתוחכמת מזאת, לא מן הנמנע שמפעילי הרשת יהיו אובדי עצות בנוגע לסיבות להפסקת החשמל.
עד כמה חשופה רשת החשמל של ארה"ב למתקפה דומה לזאת שספגה אוקראינה? חשופה מאוד, אם תשאלו את קהילת המודיעין של ארה"ב. בשנת 2014 אדמירל מייקל רוג'רס, בזמנו ראש הסוכנות לביטחון לאומי, אמר לקונגרס שבתשתיות חיוניות ברחבי ארה"ב נמצאה תוכנה זדונית המיוחסת לרוסיה. אבל רוג'רס ציין בזמנו שלרוסיה ולאויבות אחרות אין מניע חזק להוציא לפועל מתקפה כזאת.
והיה אם רוסיה תחליט שמשתלם לה להחשיך את ארה"ב, לא ידוע אם ספקיות השירותים יוכלו לאתר ולסכל מתקפה כזאת. איתור נקודות התורפה יצריך פעולה מצד סוכנות פדרלית כלשהו, אבל עד כה לא נעשה דבר. למפעילי הרשת יש יכולות מסוימת לבצע הערכות בטיחות בעצמם, אבל בדרך כלל הם לוקים בחוסר משאבים ובחוסר תיאום בין המפעילים השונים. חלק מספקיות השירותים משקיעות מיליונים באבטחה וחלקן נאלצות לבחור בין גיזום עצים לאורך קווי חשמל לבין שדרוג של ציוד האבטחה. אין ספק שמגבלות התעריפים שקובעות חברות התשתיות הציבוריות מונעות מספקיות שירותים מסוימות לעשות את שניהם.
כמו כן, ברשת כמו רשת החשמל של ארה"ב קיים פוטנציאל גבוה מאוד להסלמה בכשלים. אחת הדוגמאות המוחשיות לכך היא הפסקת החשמל שפקדה חלקים נרחבים בצפון-מזרח ארה"ב ובאונטריו, בשל בעיה מקומית בספקית אנרגיה אחת באקרון, אוהיו. משמע שגם אם ספקיות שירותים מקומיות מסוימות ישקיעו באבטחת סייבר כדי לסכל ניסיונות של תוקפים רוסים לשבש ישירות את אספקת החשמל שלהן, כולם יהיו חשופים לפגיעה אם ספקיות אחרות לא ישקיעו באבטחה גם הן.
כדאי גם לציין שלפחות במובן אחד רשת החשמל של ארה"ב חשופה לפגיעות אף יותר מזאת של אוקראינה. כשהאקרים השביתו את הבקרה האלקטרונית של הרשת, הצליחו האוקראינים לעבור להפעלה ידנית, ותשתיות רבות בארה"ב ביטלו את הפונקציה הזאת. מאחר שאי אפשר לעבור להפעלה ידנית, המתקפה עלולה להפיל את רשת החשמל וגם לדאוג שלא תקום.
הגנה על הרשת
כיום כבר יש ראיות רבות שרוסיה אוספת מידע על רשת החשמל של ארה"ב. עלון שפרסמה המחלקה לביטחון לאומי במרץ השנה מזהיר מפעילים של תשתיות חיוניות מפני גורמים רוסיים ומציין שהמערכה "מתמקדת בתשתיות של מערכות בקרה תעשייתיות". העלון מציין ששישה מגזרים במשק נמצאים בסיכון במיוחד, כולל מגזר האנרגיה, מתקני גרעין ומים, שקיימת בהם תלות קריטית בהפקת חשמל.
לאור הסיכונים האמורים, חייבים בוושינגטון לנקוט פעולה בדחיפות. קודם כול, על נשיא ארה"ב דונלד טראמפ לנקוט במהירות פעולות שירתיעו ממשלות זרות מאיסוף המידע שהכרחי לתקיפת הרשת. עליו להבהיר להן שאם ארה"ב תזהה התערבות מצד גורמים עוינים זרים במערכות האנרגיה של ארה"ב, הוא יראה בנוכחותם פעולה עוינת שעלולה לגרום תגובה מצד ארה"ב. הסנקציות שהוטלו על רוסיה במרץ 2018 הן במידה מסוימת תגובה לגישושים של רוסיה במגזר האנרגיה, אבל אין בהן לבדן כדי לקבוע נורמה בהתייחס לפעילות מסוג זה. הנשיא צריך להורות לגורמים עוינים זרים, חד וחלק, לצאת מתשתיות חיוניות בארה"ב ולאיים שאם לא יעשו זאת, יהיו לכך השלכות.
בשלב הבא יצטרכו בוושינגטון לקבוע אם גורמים עוינים, רוסים או זרים אחרים, שועים למסר האמור. אפשר שקהילת המודיעין תצליח להעריך את מידת הציות להוראה, אבל הדרך הטובה ביותר לדאוג לביטחון עוברת במינוי פקחים מטעם הממשלה, שיאמתו ישירות אם רשתות התשתיות נחשפו לפגיעה (קודם כול יצטרך טראמפ לקבוע אם יש בידי לשכתו או בידי ועדת הרגולציה העצמאית הפדרלית סמכות להורות על פיקוח כזה ואם אין להן סמכות כזאת, עליהם לבקש את רשות הקונגרס לעשות זאת). כמו כן יש לעודד את השירותים הציבוריים לשתף פעולה מרצונם החופשי. רגולטורים מטעם המדינה, שמחזיקים בסמכות בנוגע לאספקת חשמל לבתים פרטיים ולעסקים, צריכים אף הם לצאת בהפגנת שרירים רגולטורית.
בהערכות אלה אפשר שייחשפו סימנים לפעילות עוינת, אבל בעיקר יתגלו בהן מערכות פגיעות, בעלות תצורה שגויה, שדורשות הגנה ומעקב מוגברים. בשלב זה יהיה על הקונגרס לצייד את השירותים השונים במשאבים הדרושים להתגוננות, על ידי חקיקה שתעמיד לרשותם את המימון הדרוש.
מתן רשות לגבות מכל חשבון דמי אבטחה, בדומה לדמי השירות הכוללים שנגבים מכל חשבונות הטלפון, הוא הדרך הישירה והיעילה ביותר לדאוג שספקיות השירות יקבלו את המימון הדרוש לגיבוש תוכנות אבטחה חזקות. קיים חשש שהחיוב הנוסף יעיק על צרכנים בעלי הכנסה נמוכה, אבל את המכשול הזה אפשר לסלק על ידי תוספת מימון פדרלי לתכנית לסיוע בחשמל ביתי לבעלי הכנסה נמוכה (Low Income Home Energy Assistance Program).
לבסוף, אם יתברר שאכן חלה התערבות, צריך הנשיא לוודא שפיקוד הסייבר של ארה"ב ערוך להשיב מתקפות נגד רוסיה ולתאם את הפעילות האמורה עם מגזר האנרגיה. הן הקונגרס והן הבית הלבן צריכים להקנות עדיפות לגיבוש מהיר של מנגנונים כאלה, כדי לאפשר תיאום שכזה בעת הצורך.
כרגע יכול להיות שאין לרוסיה מניע לצאת במתקפה כזאת על רשת החשמל של ארה"ב. לפי הכותרות שמגיעות ממוסקבה בעקבות פסגת הלסינקי, רוסיה מרוצה למדי מהיחסים השוררים כיום בינה לבין ממשל טראמפ. ירח הדבש ביחסי טראמפ ונשיא רוסיה ולדימיר פוטין נמשך מעבר לתחזיות של רבים מפרשני רוסיה, אבל אפשר שלא ירחק היום ויעבור ביניהן חתול שחור, לאור המחלוקת ששוררת בין ארה"ב לרוסיה בנוגע לאיראן, לסוריה ולשאר עניינים שנוגעים במדיניות חוץ. במקרה זה, אפשר שרוסיה תחליט ליישם את מה שלמדה באוקראינה נגד ארה"ב. יכול להיות שהקשת בענן היחסים החמים שיצר טראמפ עם פוטין טמונה בעובדה שהוא הרוויח זמן, זמן למגן את רשת החשמל של ארה"ב ותשתיות חיוניות אחרות נגד מתקפות סייבר מצד הרוסים. את הזמן הזה אסור לבזבז.