נתקלתי בכתבה הזו ב-Security Focus, שמתארת מחלוקת עמוקה שהתגלתה בין יצרני תוכנה בתחום מערכות השליטה ובקרה התעשייתיות (SCADA: Supervisory Control And Data Aquisition) לבין מומחי אבטחה. המחלוקת צפה בכנס שנקרא PCSF (Process Control System Forum), עקב גילוי פומבי של מפגע אבטחה במוצר של חברת LiveData שמאפשר להשבית שרתים המריצים את התוכנה הפגועה.
בתחום מערכות השו"ב התעשיתיות הנושא של איתור מפגעים וחשיפתם בפומבי, כפי שאנו מכירים ממערכות ארגוניות אחרות, אינו כל כך נפוץ. בעיקר כי מערכות אלה אינן כה נפוצות ופחות נגישות לחוקרים (ולפורצים). מערכות שו"ב תעשיתיות הנן המערכות המשמשות לשליטה על תשתיות לאומיות ותשתיות אחרות, כמו מפעלי חשמל, תשתיות הולכת גז, בתי זיקוק, סכרים, מפעלים כימיים וכדומה. מדובר במערכות קריטיות, מערכות זמן אמת שתקלה בהן באמת ובתמים יכולה לעלות בחיי אדם.
המחלוקת הייתה סביב השאלה האם זה ראוי לפרסם מפגעים למערכות אלה כתמריץ לחברות התוכנה לתקן ליקויים, או שעקב רגישות המערכות יש להשאיר את העניינים סמויים מהעין.
אני חסיד של הגישה האומרת "היכן שאין שקיפות סימן שהמים עכורים". הדרך היחידה שלנו כאזרחים לוודא את רמת האבטחה של תשתיות לאומיות (אני כותב כאילו שיש לי קשר למחקר או לכנס) היא על ידי חשיפת מחדלים באופן פומבי. מרגע שמחליטים שבשם "הבטחון הלאומי" לא כדאי לחשוף כשלי אבטחה כיוון שאלה עלולים להיות מנוצלים לרעה, הרי שרוב הסיכויים שהכשלים האלו יישארו כמות שהם ויום אחד מישהו גם ינצל אותם לרעה.
ומשהו קטן לסיום. מהו תרחיש האיום? אם מדובר בהגנה על תשתיות לאומיות, הרי הנחת היסוד היא שהיריב אינו ילדון שמריץ סקריפטים שהוריד מהאינטרנט אלא גוף במימון מדינתי (אירן?) שמבצע ממש מחקר עומק. גוף כזה יעלה על מפגעים שכאלה בעצמו ולא יחכה עד שמישהו יספר לו כיצד לפרוץ למערכות, כך שהטיעון של חשיפה פומבית כמגביר פוטנציאל נזק הוא קלוש.
ועוד משהו קטנטן - שווה לקרוא בהקשר זה את עקרון קרקהוף בוויקיפדיה
בבלוג זה
בכל הבלוגים
