מבט על שוק הסייבר הסיני

שוק מוצרי אבטחת המידע בסין צובר תאוצה ומושך אליו גם חברות ישראליות. בין החברות אפשר למצוא את סייבר ארק, Radware ו-Beyond Security

צבי שלגו, מנכ"ל חברת PTL Group

נושא אבטחת מידע מופיע בהרחבה בתוכניות הלאומיות של סין למו"פ ובתוכנית החומש האחרונה, אך מאז פרשת סנודן, חלה ללא ספק קפיצה גם בסין, וכמו בכל העולם, התעורר שיח ער בנושא. אם בעבר נציגי הממשלה והפקידים ששקלו הצעות מחברות אבטחת מידע ראו בהן מותרות, כיום הסינים בעיצומו של המרוץ לשדרוג מערכות האבטחה. מייסד NetentSec (חברת סייבר מבייג'ינג) התבדח בראיון והודה לאדוארד סנודן בשם ענף הסייבר בסין, כשבמקביל קבוצת Alibaba (פלטפורמת המסחר הגדולה בסין) מתכוונת להקים את הבנק האינטרנטי הסיני הראשון, מהלך שידרוש רמת אבטחה גבוהה במיוחד.

ההכנסות בשוק אבטחת המידע בסין הסתכמו ב-4.9 מיליארד דולר בשנת 2012 והצפי הוא שיוכפלו ב-5 השנים הקרובות, השלטונות הסינים מעודדים צמיחה בתחום הסייבר ומקצים משאבים רבים להטמעת טכנולוגיות מתקדמות. לצד התמיכה הממשלתית בפיתוח טכנולוגיות סיניות מקומיות, ולמרות החששות הגדולים של הסינים ממוצרים של חברות זרות, בעיקר במכירות לגופים ממשלתיים, הם יודעים להעריך איכות. הדרישה למוצרים איכותיים עולה, מה שפותח חלון הזדמנויות מעניין בפני חברות ישראליות.

עד כמה חמורה בעיית אבטחת המידע בסין?

לפי דו"ח של McAfee מ-2012, סין (יחד עם ברזיל ומקסיקו) היא בין המדינות הכי פחות ערוכות להגנה מפני מתקפות סייבר. הנתונים מדברים בעד עצמם: בשנת 2011, כ 8.5 מיליון מחשבים בסין הותקפו על ידי תוכנות עוינות בכל יום, מספר זה היווה 5.7% מכלל המחשבים המחוברים לרשת. מדובר בגידול של 48 אחוזים בהשוואה לשנה קודמת. בשנת 2012 מספר המחשבים שנפרצו כבר עלה ליותר מ -14 מליון וסקר ממשלתי העריך כי60% ממשתמשי האינטרנט בסין איבדו נתונים אישיים באינטרנט. מחקר אקדמי מ-2012 העריך את הנזק הכלכלי כתוצאה מהאקינג בסין ב- 852 מיליון $.

איומי האבטחה על רשתות התקשורת במערכת הפיננסית מדאיגים מאוד את הסינים. למרות הרפורמות של השנים האחרונות, תחום הבנקאות בסין נשאר בבעלות הממשלה. הבנקאות האלקטרונית נכנסה לסין ב- 1997 ומאז היא הולכת ומתפתחת, אולם בדו"ח שפורסם בשנה שעברה מטעם מרכז בדיקות התוכנה של סין, אתרי האינטרנט הבנקאיים בסין קיבלו פחות מ- 32 נקודות (מתוך 100) בסקר הערכה, שהיה הציון הנמוך ביותר מבין תחומי שירות שונים ומגוונים.

היקפי עבריינות הרשת המקומית הולכים ועולים. מדובר בעיקר בהונאות כספיות, גניבת מידע, גניבה ומכירה של סחורות פיסיות או וירטואליות וטכניקות מגוונות נוספות לניצול לא חוקי של משאבי אינטרנט למטרות רווח.

אחד הגורמים לרמת הפגיעות הגבוהה של המחשבים בסין הוא השימוש הנרחב בתוכנות גנובות, גם במשרדי הממשלה ובחברות שבבעלות מדינה. לא רק שתוכנות אלה אינן מקבלות עדכוני אבטחה שותפים, אלא שבגרסאות הגנובות המופצות בחינם, נראה שמותקנות נקודות תורפה – ומי שמפיץ אותן בשוק גם מוכר בהמשך גישה אחורית אליהן לכל המרבה במחיר.

גורמים משמעותיים נוספים הם היעדר מנגנון ניהול יעיל, קיפאון ברגולציה ורפיון במערך האכיפה.בניגודלהנחה המקובלת, בסין אין מדיניות אחידה ומתואמת בנושא אבטחת מידע. הרבה גופים מעורבים בנושא, כשהעיקריים הם: המשרד לביטחון הציבור אחראי על פשיעה באינטרנט והגנה על תשתיות קריטיות; סוכנות ה- CCP, אחראית אבטחת מידע בתחום הפוליטי, הצבאי והאזרחי; ה- Secretariat Secrets Protection Office הוא הגורם המרכז את הטיפול במידע מסווג וסודות מדינה במשותף עם הצבא הסיני (PLA); ומשרד התעשייה וטכנולוגיית מידע (MIIT) אחראי על תיאום אסטרטגי בתחום אבטחת המידע בתקשורת ובאינטרנט הסיני.

בנוסף, גם לממשל המקומי בכל מחוז ומחוז יש השפעה מכרעת על התקנות ועל אכיפתן. כמו בתחומים רבים אחרים, גם בתחום אבטחת מידע, חברה זרה שתיכנס לפעילות בסין תאלץ להתמודד עם סבך מורכב של מוסדות רגולטורים ולעיתים גם הנחיות סותרות מגופים שונים. לאחרונה, יותר ויותר קולות מקומיים מהתעשייה, מהאקדמיה ומהמגזר הציבורי בסין, קוראים למינוי גוף מרכזי שיוביל מהלך לגיבוש אסטרטגיה לאומית בתחום, וליישומה.

המוניטין הישראלי באבטחת מידע פועל גם בסין

איכות היתה ונשארה אחד היתרונות התחרותיים המרכזיים של חברות טכנולוגיה ישראליות בסין. כך גם באבטחת מידע, תחום בו ישראל נחשבת לכמעט מעצמה עולמית, זהו יתרון משמעותי אל מול המתחרים המקומיים. חברת "סייבר ארק" הישראלית פועלת בסין כבר 3 שנים והצליחה לצבור מעל 10 לקוחות בתחום הפיננסי – בנקים וחברות ביטוח. החברה פועלת כיום באמצעות הסניף בהונג קונג ושותפים מקומיים בסין, ובהחלט מסמנת את השוק הסיני כמנוע צמיחה חשוב.

כמו בכל מקום, המגזר הפיננסי בסין נמצא תחת רגולציה מחמירה יותר מכל מגזר אחר. דן דינר, סמנכ"ל מכירות אסיה בסייבר ארק, אומר שמוצרי החברה, שמתמקדים בהגנה על נכסי המידע הרגיש בארגון באמצעות ניהול חשבונות פריבילגיים, עונים היטב על הצורך של הבנקים בסין: בגלל סדרי הגודל בסין ארגונים נדרשים לנהל אלפי ועשרות אלפי סיסמאות של חשבונות בעלי גישה חזקה שאינן מנוהלות ומהוות נקודת תורפה מצוינת לתוקפים. לדברי דינר, קשה יותר למכור לממשלה בגלל החששות הגדולים של הסינים, אבל המפתח הוא תמיכה מקומית.

צריך למצוא את הדרך המתאימה להסביר את הטכנולוגיה לסינים, וכמובן לרכוש מספיק לקוחות בסין כדי לבסס את מעמד החברה, מסכם דינר.

גם חברת Radware פעילה מאוד בשוק הסיני באמצעות משרדים ב-4 הערים המרכזיות בסין, וכן בהונג קונג וטאיוואן, כולל צוות של 55 איש במכירות, הנדסה וניהול. לחברה פעילות ענפה בסקטור הממשלתי (כולל חברות בבעלות ממשלתית) בתחבורה, ובמגזר הפיננסי כולל ביטוח. החברה צופה שוק מבטיח בסין, הן בזכות הצמיחה העצומה בסחר אלקטרוני ומובייל, והן בשל דרישות הרגולטור המשתנות, שתורמות להאצה בשוק ויוצרות ביקוש רב לפתרון אבטחה אמין ואיכותי.

פתרונות אבטחת מידע בסין צריכים לקבל הסמכה ו"רשיון למכור" ממשרד המשטרה בטרם היציאה לשוק. לפיכך, ראדוור וספקים אחרים מתבקשים להבין מהן הדרישות ואיך להתמודד עם אתגרים. בממשלה ובחברות שבבעלותה הרגולציה מעניקה לספקים מקומיים עדיפות גבוהה יותר. זאת, משיקולי ביטחון לאומי המיושמים כבר שנים. אתגרים נוספים בשוק כפי שמסמנת אותם גם ראדוור, הם לוקאליזציה של פתרונות אבטחה ותחרות עזה מצד ספקים גלובליים.

חברת Beyond Security הישראלית פועלת בסין מעל 5 שנים, באמצעות משרד ו-4 עובדים בבייג’ינג וכבר ביצעה מכירות לממשלה, לצבא, ובתחומי הטלקום, התעשייה האווירית והבנקאות.

מוצר בדיקות התוכנה שלה, מאז נרכש ע"י הממשלה הסינית למטרת בדיקת אבטחת מידע של מוצרים, הוא זה שעכשיו מגדיר את רף האבטחה הנדרש ממוצרים שצריכים לעבוד בדיקת אבטחה בסין. מוצרי ביונד סקיוריטי בודקים את רמת האבטחה של הרשת, האפליקציה או המוצר, על ידי נסיון אוטומטי “לפרוץ” אותו, וכך לחשוף חולשות.

אבירם ג'ניק המנכ"ל מספר, כי החברה נאלצה לעמוד בסטנדרטים נוקשים לפני שהותר לה למכור בשוק, וכיוון שלא היו סטנדרטים קיימים למוצרי בדיקת אבטחה כמו שלה, הממשלה הסינית ביקשה מהיצרנים המקומיים (המתחרים) ליצור את הסטנדרטים האלה, שהיה על החברה הישראלית לעמוד בהם. היצרנים המקומיים אכן עשו זאת, והכריחו את החברה לעמוד באותם סטנדרטים שנכפו עליה, לפני שיכלה לבצע את המכירה הראשונה.

למרות הקושי, לדברי ג'ניק, "סין היא כרגע השוק מספר 2לביונד סקיוריטי ברמת המכירות, אחרי ארה”ב. יש מודעות גוברת ודגש על אבטחת מידע שמגיע מלמעלה, מהממשלה. כחברה ישראלית, מוצרינו והטכנולוגיה שלנו לא רק שמתקבלים בברכה, הם אפילו מקבלים העדפה כמוצרי אבטחה ישראלים שנהנים ממיתוג גבוה בסין".

הבשורות האחרונות מעוררות אופטימיות

הבשורות האחרונות מעוררות אופטימיות, ב -22 באוגוסט 2013, הנציבות הסינית לפיתוח לאומי ורפורמה (NDRC) פרסמה חוזר ובו רשימת החלטות שנועדו לשפר את רמת אבטחת מידע בארבעת התחומים הבאים: פיננסים, מחשוב ענן ומאגרי מידע גדולים, מערכות אבטחת מידע ובקרה תעשייתית.

ממשלת סין הודיעה על חבילת תמריצים חדשה שתסייע לבנקים מסחריים להתקין פיילוטים לשדרוג רמות האבטחה בבנקאות האלקטרונית, בתשלומי המובייל ובמאגרי המידע האישי, ולהיערך להתגוננות מפני סיכונים פיננסיים. כשבוע מאוחר יותר הופץ במגזר הבנקאות בסין קובץ הנחיות ממשלתי ובו הבהרה באשר לאחריותו של הבנק לנקוט באמצעים יעילים, להגן על המידע של לקוחותיו ולמנוע חשיפתו לצד שלישי ללא אישור הלקוח.

החלטות נוספות שפורסמו באותו חוזר נוגעות להגדלת התמיכה הממשלתית בחברות הפעילות ב- 6 תעשיות מפתח- תחום הפיננסים, אנרגיה, תחבורה, ממשל זמין, מסחר אלקטרוני ושירותי אינטרנט.הרגולטור הסיני יתמוך בפרויקטים ש"ישפרו את ההגנה על מחשוב ענן ומאגרי מידע גדולים באמצעות טכנולוגיות חדשות ואמינות". שני תחומים נוספים בהם צפויה התעוררות בהתאם לאותו חוזר הם מערכות המידע של רשויות השלטון ומערכות מידע ובקרה בתעשייה.

מבחינה טכנולוגית, סין אינה מסוגלת להתמודד היום באופן עצמאי עם תחום אבטחת המידע ברשתות ארגוניות מורכבות. מומחים מקומיים מעריכים שמצב זה לא צפוי להשתנות בשנים הקרובות. זהו ללא ספק חלון הזדמנויות מתאים לחברות ישראליות, אם כי חשוב לזכור, שהדרך לעסקים מוצלחים בסין היא מורכבת, והיתרון הטכנולוגי לבדו אינו מספיק כאן. המפתח הוא בניית תשתית ניהולית נכונה ויציבה, שמאחוריה חשיבה אסטרטגית לטווח ארוך. אלמנט נוסף, חשוב לא פחות, הוא שליטה מלאה של החברה הישראלית בעסקיה בסין – זוהי הדרך שתאפשר לה לצמוח ולשלוט בבניית המותג שלה ובביסוס מעמדה בשוק הגדול בעולם.

הכותב הוא מנכ"ל חברת PTL Group China.