טרם ביצעת אימות לכתובת הדוא"ל שלך. לאימות כתובת הדואל שלך  לחצו כאן

רשימת קריאה

רשימת הקריאה מאפשרת לך לשמור כתבות ולקרוא אותן במועד מאוחר יותר באתר,במובייל או באפליקציה.

לחיצה על כפתור "שמור", בתחילת הכתבה תוסיף את הכתבה לרשימת הקריאה שלך.
לחיצה על "הסר" תסיר את הכתבה מרשימת הקריאה.

מה הקשר בין Flame, סטוקסנט וברבורים שחורים?

פיגועי 9/11 במגדלי התאומים ובוושינגטון, הצונאמי שהיכה ביפאן והמשבר הכלכלי של 2008 תוארו כולם כברבורים שחורים, וגם בעולם הסייבר לא חסרים כאלה

תגובות

במאה ה-16, כשרצו לומר באירופה שמשהו הוא בלתי אפשרי, לא ייתכן, נהגו להשתמש בביטוי "ברבור שחור". מטבע לשון זה תיאר אירוע שלא יכול להתרחש במציאות, בדיוק כמו שעד אותה תקופה היה ברור באירופה שיש רק ברבורים לבנים ולמעשה לא קיים בטבע ברבור שחור. כלומר, כל העדויות ההיסטוריות עד לאותה תקופה דיווחו כי לברבורים יש נוצות לבנות בלבד ולכן המסקנה היא שאין דבר כזה ברבור שחור. בשנת 1697 העולם המערבי הוכה בתדהמה – באוסטרליה הרחוקה התגלו ברבורים שחורים.

כלומר, ההנחה החד משמעית שאין ברבורים שחורים הופרכה ברגע אחד על ידי תצפית אחת שהוכיחה את ההפך המוחלט. למעשה, צריך רק תצפית אחת שתפריך מאות שנים של עדויות היסטוריות. במאה ה-17 השתנתה משמעותו של הביטוי "ברבור שחור" ומאז הוא מצביע על כך שאירוע הנתפס כבלתי אפשרי יכול להתגלות מאוחר יותר כאפשרי ביותר.

בשנת 2007 הציג הפילוסוף נאסים טאלב את תאוריית הברבור השחור אותה הוא גיבש במשך מספר שנים. לפי הגדרתו של טאלב, ברבור שחור הוא אירוע החורג מעבר לצפוי באותה סיטואציה ואותו יהיה מאוד קשה לצפות. אירועים המוגדרים כברבורים שחורים הם בדרך כלל אקראיים ובלתי ניתנים לצפייה.

לברבור שחור יש שלוש תכונות עיקריות; ראשית, אירוע זה הוא חריג באופן שכמעט איננו מתקבל על הדעת בהתבסס על אירועים שהתרחשו בעבר. אירוע כזה הינו הפתעה גמורה ומוחלטת לצופה בו שיוכה בתדהמה לנוכח התרחשותו. שנית, לאירוע יש השפעה קיצונית ביותר על העתיד. ושלישית, למתבונן באירוע לאחר התרחשותו ישנו הרושם או האמונה שניתן היה לצפות אירוע זה מבעוד מועד.

אי–פי

ברבור שחור הינו high impact low frequency event – כלומר, השפעתם של אירועים אלה על העתיד הינה קיצונית אך תדירות התרחשותם נמוכה.

תיאוריית הברבור השחור גורסת כי מספר קטן של ברבורים שחורים מסביר כמעט כל דבר המתרחש בעולמנו. החל מהצלחתם של רעיונות, דרך פריחתן של דתות, פריצתן של מלחמות ועד לעלייתן ונפילתן של מעצמות, מדינות וכלכלות. יתר על כן, אפילו האירועים המשמעותיים ביותר בחיינו האישיים והזוגיים הינם למעשה אוסף של ברבורים שחורים. כלומר, ברבור שחור איננו בהכרח אירוע בעל השפעה בקנה מידע עולמי וייתכן שהשפעתו הקיצונית הינה על אדם יחיד, שהוא הצופה המופתע.

יום עצמאות שמח. למי בדיוק?

לדוגמא, נניח שתרנגולת חביבה מטופלת ברכות ומואכלת בנדיבות יום יום על ידי הלולן שלה. ככל שהימים עוברים, התרנגולת משמינה יותר ויותר, ומרגישה יותר ויותר בטוחה בחיים שלה, ביציבות הסביבה שלה ובלולן שלה. בכל יום שעובר עולה רמת האמון של התרנגולת בלולן הנאמן והמסור וכעבור מספר חודשים היא מגיעה לשיאה. מבחינת התרנגולת, כאשר היא מביטה על רצף אירועי העבר, היא מסיקה שמכיוון שכל יום היה יותר טוב מהיום הקודם לו, גם מחר יהיה יותר טוב מהיום. תהליך זה מכונה במדע בשם אינדוקציה – הסקת מסקנות ממספר מקרים פרטיים ומעבר לקביעה כללית. אם כל יום בעבר היה טוב אז מחר חייב להיות טוב גם כן.

ומה קרה לתרנגולת שלנו? היא התעוררה בבוקרו של יום המחר וגילתה את האמת הנוראה. בניגוד לכל אירועי העבר, לטוב ליבו של הלולן, לסיפור חייה המופלא ולנסיונה העשיר,היום הוא ערב יום העצמאות ובעוד מספר שניות ייגדע באחת פתיל חייה וגופה יועלה לזבח על המנגל הקרוב...

כלומר, ערב יום העצמאות הוא ברבור שחור עבור התרנגולת שכן הוא עומד בשלושת התנאים: אירוע חריג שמהווה הפתעה מוחלטת לצופה בו (התרנגולת המסכנה), לאירוע יש השפעה קיצונית על העתיד (למעשה הוא כל כך קיצוני שהוע גודע את עתידה של התרנגולת) ורגע לפני מותה נוצר בה הרושם שניתן היה לצפות זאת (לא סתם נעלמו חברותיה בחול המועד פסח).

מצד שני, אירוע זה הוא ברבור לבן עבור הלולן שכן הוא זה שהפך אותה בכוונת תחילה לסטייק עוף...

הדוגמא המפורסמת ביותר המתארת ברבור שחור הינה אירועי ספטמבר 2001 בארה"ב, מתקפת המטוסים על מרכז הסחר העולמי והפנטגון. אירוע זה עומד גם כן בשלושת התנאים המגדירים ברבור שחור. ראשית, אין ספק שהוא היה חריג וכל מי שצפה בו בכל מקום בעולם הוכה בתדהמה. שנית, השפעתו על העתיד ניכרת היום בכל שדה תעופה בעולם. רמת האבטחה עלתה באופן ניכר וממשלות ממשיכות להעלות אותה יותר ויותר, דבר המשפיע באופן ניכר על התנהלות הנוסעים ועל המשאבים האדירים שהוקצו לשם כך. ושלישית, במבט לאחור התגלו ראיות חותכות להתחזוקתה של תנועת אל קאעדה וכוונתה ליזום אירוע משמעותי ואפילו ישנן עדויות שמסרים סמויים הועברו דרך האינטרנט ע"י פעילי הארגון טרם ביצוע ההתקפה.

איזה אירועים נוספים מוגדרים כברבורים שחורים?

כמעט כל אירוע משמעותי עליו שמעתם או חוויתם – מלחמת העולם הראשונה, מלחמת יום הכיפורים, הצונאמי באינדונזיה ב-2003, רעידות האדמה בפקיסטאן ב-2005 ובסין ב-2008, המשבר הפיננסי הגדול ב-2008 והנפילה של יותר מ-30% במחירי הבתים בארה"ב, רעידת האדמה בהאיטי ב-2010 בה נהרגו מעל 300 אלף איש, גל החום הקטלני ברוסיה ב-2010, דליפת הנפט במפרץ מקסיקו ב-2010 שגרמה נזק סביבתי אדיר ונזק כלכלי של עשרות מליארדי דולרים, קריסת הבזק של הבורסות בשנת 2010, רעידת האדמה והצונאמי ביפן ב-2011 והאסון הגרעיני שנגרם בעקבותיה ואפילו אי השקט והמהפכות במזרח התיכון בשנים האחרונות.

מה לגבי ברבורים שחורים בעולם הטכנולוגי?

גם כאן, כמעט כל אירוע הנתפס כיום כגדול ומשמעותי הינו למעשה ברבור שחור. החל מהמצאת המחשב האישי, דרך המצאת האינטרנט, עלייתן של חברות הענק מיקרוסופט, גוגל ופייסבוק, ואפילו הסמארטפונים וה-app stores למיניהן. כל אלה ועוד רבים וטובים אחרים הם למעשה אוסף של ברבורים שחורים שעיצבו את עולמנו הטכנולוגי וממשיכים להשפיע עליו בכל יום ויום.


ברבורים שחורים בשירות מלחמת הסייבר

רבות דובר על מלחמות הסייבר, מטות הסייבר, לוחמת הסייבר, נשק יום הדין של עולם הסייבר וכיוצא בזה. האם גם כאן האירועים המשמעותיים הם למעשה ברבורים שחורים?

בואו ניקח לדוגמא שניים מאירועי הסייבר הגדולים ביותר בעת האחרונה. הראשון הוא תולעת ה-Stuxnet והשני הוא וירוס ה-Flame שנחשף ממש בימים אלה.

על פי דיווחים שונים, תולעת ה-stuxnet פגעה באופן ניכר במאמץ הגרעיני של איראן. התולעת תקפה את הבקרים של הצנטריפוגות ושינתה בהם את ההוראות. התולעת יועדה לשנות את מהירות הסיבוב של הצנטריפוגות עד לסדיקתן והתפוצצותן. בנוסף, התולעת הכילה מספר מרכיבים שגרמו להטעיה של מפעילי הכור ושל חוקרי התקלות שארעו בו כך שאיתור התולעת ואופן פעולתה ארכו זמן רב. כלומר, התולעת השביתה הלכה למעשה את פעילותו של הכור הגרעיני.

לעומת זאת, על פי הדיווחים האחרונים בכלי התקשורת, וירוס ה-Flame גנב מידע רגיש ממחשבים ואירגונים שונים במזרח התיכון כאשר רוב התקיפות היו באיראן. הווירוס אסף מסמכים מסווגים ומידע רגיש, הקלטות אודיו וצילומי מסך של המחשבים והעביר אותם לשרתים מרוחקים. כלומר, בניגוד לתולעת ה-Stuxnet שגרמה לנזק ישיר (השבתת הכור הגרעיני), נראה שה-Flame נועד להיות בעיקר כלי איסוף מודיעיני.

האם תולעת ה-stuxnet ווירוס ה-Flame הם ברבורים שחורים עבור איראן?

ראשית, אלמנט ההפתעה ביחס לתולעת ה-stuxnet. על פי דיווחים זרים, מתקני הגרעין באיראן מאובטחים ומוגנים הן מפני איומים פיזיים והם מפני איומים וירטואליים ואיומי סייבר. רשתות התקשורת במתקני הגרעין הינן מבודדות מהאינטרנט, וקבורות כמה מטרים טובים מתחת לאדמה. בנוסף, רשת הייצור במתקני הגרעין עובדת בפרוטוקול SCADA ועד לאותה התקפה כמעט ולא היו עדויות להתקפות המיועדות ספציפית לפרוטוקול זה.

למרות כל אמצעי האבטחה וההפרדה בין רשתות הייצור המאובטחות היטב לרשתות החיצוניות, הצליחה התולעת לחדור פנימה ולפגוע בלב ליבו של המתקן הגרעיני בצורה כה מתוחכמת אותה איש לא חזה. יתר על כן, על פי הפירסומים התולעת השתמשה במספר תחבולות שנראה כאילו נלקחו מסרטי המתח הטובים ביותר. למעשה, מה שנראה היה כמשימה בלתי אפשרית התבצע בחוכמה ובערמומיות מעוררת השתאות, דבר שללא ספק השאיר את האיראנים פעורי פה.

לעומת זאת, נכון לרגע זה, לא ברור מהו אלמנט ההפתעה ביחס לוירוס ה-flame. כרגע איראן ממלאת פיה מים ועל כן לא ניתן לדעת אילו מחשבים הותקפו, מה המידע שנגנב, האם היה נזק נוסף ומה היתה מידת ההפתעה של האיראנים בעת גילוי הוירוס. אומנם איראן הודתה כי הוירוס הצליח לחדור למספר ארגונים ולגנוב מידע אך נראה שכמו במקרה של stuxnet, רק בעוד מספר ימים או שבועות תתגלה התמונה המלאה יותר ואיתה גם תתבהר מידת ההפתעה של האיראנים. במידה ויתברר למשל שהוירוס אכן היה היה פעיל במחשבים האיראנים במשך שנים רבות ללא ידיעתם, או שהוירוס אכן גרם להשבתת מסופי הנפט באיראן ולזליגתו של מידע מודיעיני רב ערך שהיה קבור במעמקי האדמה או במחשבים מסווגים ביותר, ניתן יהיה לומר שגם במקרה של Flame, אלמנט ההפתעה הינו משמעותי עבור האיראנים.


שנית, אלמנט ההשפעה על העתיד ביחס לתולעת ה-stuxnet. השפעת התולעת על תוכנית הגרעין האיראנית היתה עצומה, הן מבחינה מוראלית והן מבחינה מעשית. ישנן עדויות כי התקפה זו עיכבה את תוכנית הגרעין של איראן במספר חודשים ואף שנים. בנוסף, בעקבות ההתקפה החליטו האיראנים לבסס את התוכנות שלהם במתקני הגרעין על קוד המפותח על ידם בלבד ולא להשתמש בקוד חיצוני שעלול להכיל תולעים נוספות. דבר זה מצריך הערכות מיוחדת, הכשרה של מהנדסים והקצאת משאבים לא מעטים, כמו גם עיכוב של תוכניות הפיתוח. ברמה העולמית, השפעת תולעת ה-Stuxnet על עולם אבטחת הסייבר היתה משמעותית ביותר וגרמה להפניית משאבים רבים לטובת התמודדות מול איומים דומים בעתיד. היא הוכיחה שהבלתי אפשרי הוא למעשה מציאותי ועל כן גרמה לשינוי בתפיסת האבטחה של מדינות וממשלות והצריכה שינוי משמעותי בהערכת האיומים בעולם הסייבר.

לעומת זאת, כרגע לא ברור מהו אלמנט ההשפעה על העתיד ביחס לוירוס ה-flame. ברור כי העולם (או לפחות אמצעי התקשורת ) נמצא בסוג של פאניקה וייתכן שרמת הפראנויה באיראן אף עלתה בעקבות החשיפה אולם ימים יגידו כיצד השפיע הווירוס על עולם האבטחה באופן כללי ועל איראן בפרט. במידה ואיראן תנקוט באמצעים קיצוניים, כגון החלפת מערכות המיחשוב בכל הארגונים הרגישים, ניתוק כללי מרשת האינטרנט של ארגונים שלמים, השבתת רשתות המחשב באירגונים ומוסדות ממשל, כיבוי מתקנים רגישים וחיוניים וכו', ניתן יהיה לומר שגם ההשפעה על העתיד היתה משמעותית. גם כאן, יש לחכות עד שלהבות הווירוס תדעכנה והעשן יתפזר במעט על מנת שניתן יהיה לבנות תמונת מצב ברורה יותר.

שלישית, עדויות רטרוספקטיביות להתקפה על איראן. לאורך כל השנים האחרונות ישנן עדויות לא מעטות לשימוש בסוסים טרויאנים, zero-day attacks, דלתות אחוריות ושאר התוכנות הפוגעניות לביצוע התקפות ממוקדות על ארגונים ומתקנים. בנוסף, החדרת תולעים לרשת ע"י שימוש בהדבקה חיצונית (כגון, disk-on-key שמוכנס למחשב הנתקף) תוך עקיפת כל אמצעי ההגנה הינה טכניקה ידועה כבר מספר שנים. השימוש בסוכנים אנושיים המסייעים בביצוע ההתקפה (למשל בשלב החדרת התולעת לרשת או בעידכונה) הינו ידוע ומוכר לאורך ההיסטוריה, כמו גם עקיפת מנגנוני האבטחה המתוחכמים ביותר ע"י שימוש בהנדסה חברתית (social engineering). בנוסף, העולם המערבי היה ועודו נחוש לעכב את תוכנית הגרעין האיראנית כמעט בכל מחיר וגם להשיג מידע מודיעני רב ערך מתוך ארגונים מסווגים ביותר באיראן. גם stuxnet וגם flame עומדים בתנאי השלישי בצורה מלאה.

קיום שלושת התנאים האלה עבור תולעת ה-stuxnet מראה שהתולעת אכן היתה ברבור שחור, וככל הנראה הברבור השחור המשמעותי הראשון שראינו בשמי הסייבר.
לגבי וירוס ה-flame, עדיין מוקדם לקבוע האם הוא ברבור שחור נוסף עבור איראן. לפי הנתונים שנחשפו כרגע הוא עדיין איננו ברבור שחור אך ייתכן מאוד שבעתיד הקרוב, עת תתבהר התמונה, ניווכח לדעת שאיראן אכן נפגעה ע"י ברבור שחור נוסף.

ניתן לומר בוודאות שברבורים שחורים אלה ואחרים מבשרים את העתיד ועוד נראה ברבורים שחורים רבים בעולם הסייבר. החוכמה היא להימנע מלהיות תרנגול יום העצמאות על ידי זיהוי איזורי החולשה והכנת תוכניות מגירה להתמודדות מול התרחשותם של האירועים החמורים ביותר על מנת להפוך את הברבור השחור ללבן. רק כך נוכל להגן על המערכות הרגישות ביותר שלנו ולהיות מוכנים למלחמת עולם הסייבר הממשמשת ובאה.

ד"ר גיל דוד הוא מנכ"ל חברת Brainstorm Private Consulting



תגובות

דלג על התגובות

בשליחת תגובה זו הנני מצהיר שאני מסכים/מסכימה עם תנאי השימוש של אתר הארץ

סדר את התגובות