"הסייבר הוא עסק של כולם"

רוברט סטרוד, הנשיא העולמי של ארגון ISACA אומר בראיון כי צריך לשנות את הגישה להגנה בסייבר. "במקום הגנה סטטית, צריך מודיעין ופעילות פרו-אקטיבית", הוא אומר ומוסיף כי "הביטחון [בסייבר] הוא עסק של כולם. ממשלה, עסקים ואזרחים"

Robert E Stroud

השלוחה הישראלית של ארגון ISACA תקיים מחר (ב') את הכנס השנתי שלה, ולכבודו הגיע לארץ הנשיא העולמי של הארגון, רוברט סטרוד (Robert E Stroud) שצפוי להיפגש עם אישים בכירים בעולם הסייבר הישראלי. בין הפגישות הרבות, סטרוד ושי זנדני, נשיא הסניף הישראלי של הארגון, הסכימו לעצור לראיון טלפוני קצר עם מגזין "ישראל דיפנס".

ארגון ISACA הוקם בשנת 1967 על ידי אנשי מקצוע מתוך מטרה להוות מוקד ידע והנחייה בתחום ה-IT, ובהמשך גם בתחום אבטחת המידע והסייבר. כיום הארגון פועל ב-80 מדינות וחברים בו מעל ל-115,00 אנשי מקצוע מכל העולם. המטרה העיקרית של הארגון היא העלאת מודעות לנושאי ליבה בסייבר ובעולם ה-IT, ביניהם גם נושא אבטחת מידע.

חלק מפעילות הארגון היא הכשרת אנשי מקצוע בתחומים רלוונטים והוא נותן הסמכות כמו CISA, CISM, CGEIT ו-CRISC. לאחרונה דיווח הארגון על הסמכות חדשות בתחום הסייבר תחת השם Cybersecurity Fundamentals Certificate. "בשלב זה מדובר בהסמכה ראשונה של ISACA ייעודית לעולם הסייבר המיועדת למתחילים בעולם זה (entry-level)", מסביר זנדני. מדובר בהסמכה שאינה מחייבת ידע או ניסיון מוקדם ולמעשה כל אחד יכול לגשת אליה. כדי לקבל את ההסמכה צריך מבחן מקוון אחד בעלות סימלית של 150 דולרים. "בעתיד הקרוב נשיק הסמכה נוספת לרמת מתקדמים שתהיה שקולה להסמכת CISSP", מוסיף זנדני.

משקיעים בהגנה, אבל ההתקפות ממשיכות

אחד הנושאים הראשונים שעלו לדיון היא שאלת היחס בין ההשקעה הכספית במוצרי אבטחת מידע לבין היקף התקיפות המדווחות בתקשורת. על פניו, נראה כי בעוד התעשייה מגדילה את הסכומים שהיא שופכת על מוצרי הגנה בסייבר, כמות התקיפות המוצלחות רק עולה.

"הרבה מההתקפות באות מחוץ לארגון, וזה דורש גישה שונה להגנה בסייבר", מסביר סטרוד. "ההגנה היום לא יכולה להיות מבוססת רק על פתרונות סטטיטיים בהיקף של הארגון. הגנה בפני מתקפות APT צריכה להיות מבוססת על ניטור והגנה פרו-אקטיבית".

זנדני מסביר שבחמש השנים הקרובות התעשייה צפוייה להשקיע יותר מ-100 מיליארדי דולרים בהגנה בסייבר. "צריך לשנות את הגישה. ההתקפות הגדולות שארעו לאחרונה כמו אלו שבוצעו נגד 'הום דיפו' ו'טארגט', גרמו לשינוי גדול בתעשייה. ההנהלה של החברות התחילה להפנים שאבטחת מידע היא גם אחריות של מנהלים בארגון, ולא רק של אנשי IT או אבטחת מידע. הנהלת החברה והדירקטוריון צריכים לדעת מה לשאול את האנשים הטכנולוגיים בארגון. הסייבר זו אחריות מנהלית.

"שינוי נוסף הוא ההבנה שכדי להגן טוב, צריך להיות דינאמיים. אי אפשר לשים מוצרי הגנה, לחכות לביקורת השנתית, ולחשוב שהארגון מוגן. בעידן של התקפות ה-APT אתה צריך מודיעין והגנה אקטיבית. הארגון של היום צריך הגנה שתתמודד עם השינויים המהירים בעולם ההתקפה".

לא משקיעים בהתאוששות

היבט נוסף הוא השקעה בהגנה לעומת התאוששות. בעוד מרבית פתרונות ההגנה בעולם הסייבר עוסקים בניסיון לסכל התקפות, יש קולות בתעשייה הטוענים כי גם כאן צריך שינוי תפיסה. הרעיון פשוט: סיכול התקפת APT דורש הרבה משאבים וההסתברות להצלחה שלו נמוכה. מכאן, שמדובר בפתרון שמציג יעילות נמוכה. לצידו, הארגון צריך להשקיע יותר ביכולת התאוששות מהירה (resilience).

טענה זו אינה גורסת כי יש להפסיק את ההשקעה בפתרונות סיכול, אלא שבתמהיל ההשקעה בפתרונות הגנה צריך לראות חלק גדול יותר מהכסף מופנה לפתרונות התאוששות. "כיום זה לא המצב, אבל אני מניח שבקרוב נראה יותר השקעה בטכנולוגיות התאוששות מהתקפות", מסביר סטרוד. "התאוששות היא אפשרות לשיפור ההגנה בסייבר. בתור אחד שמשתתף בדיונים סביב מסגרת התקינה בסייבר של NIST [מכון התקנים האמריקאי], אני יכול לומר כי נושא ההתאוששות נמצא במרכז הדיונים".

בהמשך הראיון אומר סטרוד שמדובר בתהליך התבגרות של תעשיית ההגנה בסייבר. בהתחלה היו פתרונות היקפיים כמו פיירוול, אחר כך הגיעו פתרונות DPI והיום יש מודיעין בסייבר וזיהוי התנהגות חריגה. פתרונות ההתאוששות הם עוד שלב באבולוציה של ההגנה בסייבר.

מי ישלם על הרגולציה?

היות וארגון ISACA פועל בעשרות מדינות וחברים בו מאות אלפי אנשי מקצוע, הוא חשוף לדיונים המתנהלים במדינות השונות, ובראשן ארה"ב, סביב הגדרת רגולציה ואכיפה שלה. עבור אלו שלא מכירים את הדיון בנושא, נאמר כי בבסיס הדיונים הללו, גם בארץ, עומדת שאלת התשלום על יישום הרגולציה.

אם מחר תחליט ממשלת ישראל שכל עסק בארץ חייב להתקין חבילת מוצרי הגנה בשווי כמה עשרות אלפי שקלים, מי אמור לממן זאת? ומהצד השני, מה הטעם של הממשלה לקבוע רגולציה שהיא לא תוכל לאכוף? באווירת המחאה החברתית הקיימת בארץ בשנים האחרונות והדיונים סביב יוקר המחייה, ברור לכולם שגלגול עלות אבטחת המידע על הצרכן הסופי בדמות העלאת מחירים היא בעייתית, בלשון המעטה. הפוליטיקאים שרוצים להיבחר מחדש, ובעלי העסקים שנאבקים שמנסים לשרוד בתחרות עזה, אינם רוצים להיראות ככאלו שגרמו לצרכן לשלם יותר.

"השאלה הזו מזכירה דיונים בתחילת ימי האינטרנט", מסביר סטרוד. "היו בעיות דומות למה שקורה היום בסייבר. כרגע אפשר לומר שהרגולצייה פונה יותר לארגונים גדולים. זה נכון, תפעול שירותים דיגיטליים עולה כסף, ובתוך העלות הזו נכנסת שאלת הרגולציה של אבטחת המידע . זה אתגר, אין ספק".

זנדני מנסה לספק תשובה באמצעות הקבלה של עולם הסייבר לעולם הביטחון הפיזי. "נמל תעופה צריך הגנה? בנקים צריכים הגנה? חברת חשמל צריכה הגנה? אם מחר יפלו טילים על בנק מרכזי בישראל וישתקו את הפעילות שלו או על תחנות של חברת חשמל זו תהיה בעיה לכלל האזרחים ולמדינה", אומר זנדני. "כך גם דינה של התקפת סייבר על בנק או תשתית קריטית. וכמו בעולם הפיזי, חלק מהתשלום כנראה יבוא מהממשלה וחלק מהמגזר העסקי".

צריך לזכור כי כאשר אומרים ממשלה, מתכוונים למעשה לאזרחים שמממנים את התקציב שלה באמצעות מיסים. כלומר, את הרגולציה העתידית בתחום הסייבר צפויים לממן האזרחים מהמיסים שהם משלמים, מעלות המוצר שהם משלמים וחלק נוסף יממנו העסקים בקיטון שולי הרווח שלהם. צריך לזכור שכבר היום אזרחי מדינת ישראל מממנים חלק נכבד מההגנה בסייבר דרך תקציב הביטחון שמכסה את פעילות צה"ל, תקציב מטה הסייבר, תקציב השב"כ שחלקו הולך לרשות לאבטחת מידע ותקציב המשטרה שחלקו מממן את יחידת הסייבר של המשטרה. בעתיד הקרוב יהיה תשלום גם על רשות הסייבר הלאומית שעתידה לקום. זה לא רע או טוב, זו המציאות.

"הביטחון הוא עסק של כולם", אומר סטרוד. "של ממשלה, אזרחים ועסקים. מדינות וארגונים במערכת הבינלאומית ישחקו תפקיד בהגנה בסייבר, כך גם עסקים ויחידים. כמו שאנו דורשים מאזרחים לדווח אם הם רואים בסביבתם משהו חשוד, כך נדרוש מהם שידווחו על אירועים חשודים בסייבר. אנו נראה את אבטחת המידע הופכת להיות חלק ממארג הביטחון של האזרח. כמו שאנו מלמדים את הילדים איך לחצות את הכביש, צריך ללמד אותם גם להתנהל בסייבר. זו תגובה משולבת שתהיה תלויה באקו-סיסטם בין המגזר הממשלתי, העסקי והפרטי".

האם אפשר להגן בלי שיתוף פעולה בין מדינות?

"אנו רוצים לקדם תגובה גלובלית. אי אפשר לעשות זאת לבד. לצורך כך, אנו בונים את הכלים שיאפשרו את הבסיס באמצעות מודעות וחינוך. אנו משתפים פעולה עם NIST וארגונים דומים. אמון בין מדינות וארגונים הוא הבסיס לשינוי. צריך שיתוף פעולה", אומר סטרוד. "זה כבר קורה. המודעות לאיומים בסייבר עולה בכל העולם. כבר רואים יוזמות של שיתוף פעולה בינלאומי. בשנתיים הקרובות נראה נושאים כמו חינוך ואימון תופסים תאוצה בארגונים".

זנדני מוסיף כי כמו בשינויים טכנולוגיים אחרים, גם ההגנה בסייבר מתחילה במגזר הביטחוני, ואחר כך עוברת למגזר העסקי והפרטי. "אני חושב שב-5-10 שנים הקרובות נראה שינויים בתחום הרגולציה והיבטים נוספים כמו שיתוף מידע וידע. זה מתחיל בארגוני ביטחון, ומחלחל לשאר המשק", הוא אומר. "בישראל, אנו נתונים כל הזמן תחת מתקפות. במגזר הפיננסי האנשים מאד פרו-אקטיבים, יותר מסקטורים אחרים. יחד עם זאת, אנו צריכים להיות מספיק מהירים כדי לא להילחם את המלחמות של אתמול".

You might be interested also