ארט קוביילו, מנכ"ל RSA: "איום האבטחה הגדול ביותר מגיע ממכשירים ניידים ורשתות חברתיות"

"האיום העיקרי של תחילת האלף השלישי, מגיע מצידם של המכשירים הניידים, מחשבים וטלפונים ניידים, וכן מצד הרשתות החברתיות. ראו הוזהרתם. הרכיבים הניידים מאפשרים זליגת מידע וחדירת נוזקות ברמות חדשות, בגלל נפיצותם ואי מודעותם של מיליארדי המשתמשים בהם בעולם. ואילו הרשתות החברתיות מפתות את חבריהם להעביר נתונים אישיים, המשמשים את הגורמים הפליליים לגנוב את נתוניהם הכספיים מחשבונותיהם וגם את זהותם לביצוע פשעים אחרים" – כך אמר ארט קוביילו, נשיא RSA, חטיבת הגנת המידע ב-EMC.

קוביילו, המשמש כמנכ"ל RSA מזה 14 שנים, היה דובר המפתח בכנס האירופי לאבטחת מידע RSA 2009. הכנס, המתקיים זו הפעם העשירית באירופה, נערך השבוע בלונדון, בהשתתפות כאלף מקצועני ומנהלי אבטחת מידע מכל היבשת, לצד ספקיות אבטחת מידע. הוא מקבילו של הכנס הגדול הרבה יותר הנערך כל שנה, שבשנה הבאה יחוג 20 שנים, RSA USA, שנערך בסן פרנסיסקו.

לדברי קוביילו, האיומים הגלובליים על המידע בעולם הולכים ומתרבים יותר ויותר. "גורמי 'העולם התחתון הקיברנטי' מעורבים בפריצות ובניסיונות הפריצה למערכות מידע של ארגונים בעולם". הוא ציין כי "בעוד שהארגונים הצבאיים ערוכים בדרך כלל להגנה על המידע שלהם, משום שזה חלק ממהותם, ריגול וריגול נגדי – הרי שעולם העסקים נותר פרוץ, בדרך כלל". זאת, פרט לעולם הפיננסי, שלדבריו מודע יותר מהאחרים, ומקדיש יותר משאבים להגנתו. ברור, אמר קוביילו, "שהמטרה הראשית לגניבת מידע, המביאה לפורצים תמורה מיידית וראויה – היא הפקת ממון ממנו".

קוביילו ציין כי הפער בין הטכנולוגיה בכלל וה-IT בפרט, לבין ההתנהגות האנושית כפי שמתבטאת בשימוש בטכנולוגיה – הולך וגדל. הסיבה, הסביר, היא שבמאה האחרונה הטכנולוגיה והמידע התפתחו עשרות מונים, בעוד שההתנהגות האנושית נותרה כשהייתה, מוגבלת למדי בהתמודדות עם הסיבוכיות שיוצרת הטכנולוגיה עצמה למשתמשיה. "ככל שרמת השירותים שה-IT עולה, כך עולה גם רמת הסיכון בשימוש בה, מבחינת האיומים שבגניבת המידע", אמר.

קוביילו הביא את המשל המפורסם על הצפרדע הנעשית אדישה לשינויים המינוריים וההדרגתיים בתנאי סביבתה, עד שהיא נכחדת על ידם. ההוכחה: אם זורקים צפרדע למיכל מים רותחים, היא תקפוץ מייד מחוצה לו. לעומת זאת, אם נחמם הדרגתית את המים במיכל, היא לא תחוש בהבדל ותישאר בו עד למותה מחום. "כך אנו המשתמשים", אמר קוביילו, "מתרגלים לחיות בסביבה הטכנולוגית של הגברה קבועה והדרגתית של איומי פריצת המידע שלנו, עד שאיננו חשים בזליגת המידע, שתגרום לנו נזק בלתי הפיך".

לדבריו, מה שנדרש הוא להעלות את המודעות של האנשים, כמו גם של הצפרדע, לאותם שינויים הדרגתיים, וזה תפקידה העיקרי של RSA, המציעה פתרונות אקטיביים להגנת המידע הארגוני ברשת העולמית. קוביילו קרא לארגונים לפתח אסטרטגיה מערכתית לאבטחה כוללת של המידע הארגוני שלהם. "האסטרטגיה הזו חייבת להשתמש בטכנולוגיות מתקדמות ביותר", אמר, "ולראות בהשקעה בהם הזדמנות לשיפור האבטחה – ולא עול והוצאה מיותרת שכדאי למצוא דרך להיפטר ממנה. כך תיבנה תשתית מוגנת היטב של מידע התומך בעסקים עצמם".

קוביילו קרא לארגונים לבנות אסטרטגיית הגנת מידע מערכתית, המבוססת על ראייה כוללת של הארגון – על תהליכיו, אנשיו ומשאביו. הוא הציג את שבעה העקרונות שראוי להתבסס עליהם. הראשונה, על האבטחה להיות מוטמעת ומשובצת (embedded) בתשתית ה-IT הארגונית, ולא רק משולבת בה. "כך עושה RSA עצמה", אמר, "בשיתופי הפעולה שיש לה עם סיסקו בעולם הרשתות ועם VMware ברמת מערכות ההפעלה והווירטואליזציה". עקרון נוסף, ציין, הוא לפתח פתרונות מבוססים על מערכת משולבת אקוסיסטם של פתרונות ושירותים של חברות וארגונים שונים. "בלי מערכת משולבת", התריע, "הפריצות תמיד תגענה 'בין התפרים'. הוא ציין כי RSA הקימה את הרשת eFraud Network, המהווה אקוסיסטם של אלפי מוסדות פיננסיים, ואשר משתפת מידע ביניהם, לגילוי הפשעים וההונאות המבוצעים נגדם.

וד המליץ קוביילו על יצירת הגנה הרמטית ושקופה. "על הגנת המידע להיות שקופה למשתמשיה", אמר, "אין להטיל על המשתמשים עול ואחריות בהפעלתה, מה שיוריד מהותית את סיכויי הטמעתה והצלחתה. כך יצטמצם הפער בין הרמה הטכנולוגית הגבוהה של פתרונות ההגנה לבין השימוש בהם". המלצה נוספת, לדבריו, היא הצורך להבטיח שבקרות הגנת המידע אכן מופעלות כהלכה ומתואמות לתוכן של המידע המוגן. קוביילו ציין כי "כל סוג מידע אחר ראוי להגנה ולבקרה שונה, כי משמעותו וערכו למשתמשים – שונים".

ההגנה, אמר קוביילו, "חייבת להיות כפולת-פנים: גם מהרשת, כלומר העולם החיצוני לתוך הארגון וגם מתוך הארגון – החוצה". הוא הוסיף כי "ההגנה חייבת להיות דינמית, ומבוססת על הערכה קבועה של הסיכונים המשתנים מעת לעת ובמהירות. ההגנה חייבת גם לטפל בממשל IT ובהלימה לרגולציות ולתקנות, governance and compliance".

"על הגנה טובה להיות כזו של לימוד עצמי", סיכם קוביילו בהמלצה על העקרון האחרון, "הדינמיקה של תשתיות IT וההתקפות הנוזקה, חזקה יותר מיכולתם של בני אדם להסתגל למהירות ולסיבוכיות. לכן, אסטרטגיית הגנת המידע חייבת להיות דינמית ועוקבת התנהגות". כך, אמר, RSA מסייעת בהשגת מטרה זו בהכרזה על שיתוף פעולה עם טרנד מיקרו, המשלב את  המידע בזמן אמת על הווירוסים, רוגלות, דואר זבל, ושאר נוזקות – הנוצר במרכזי איתור האיומים שלה. זאת, כדי להגביר את ההגנה על מכשירי הקצה ללקוחות שירותי FraudAction Anti-Trojan של RSA, המפעילה אותם ממרכז הבקרה שלה למניעת הונאה.

מדי שנה בכנס, נבחרים נושא או אישיות מתקופה היסטורית אחרת, הממחישים את חשיבותה של הגנת המידע. השנה האישיות שנבחרה היא של אדגר אלן פו, הסופר, העורך והעיתונאי האמריקאי. פו פעל במחצית הראשונה של המאה ה-19 והוקסם מהצפנה וקידוד של מסרים, אותם גם הטמיע בפואמות אחדות שלו, כמו ה"עורב". בסיפורו ה"חיפושית הצהובה", פתרון החידה המוצפנת חושף מפת אוצר חבוי. כך השפיע פו על קידומה של ההצפנה.

את הכנסים הנערכים בארה"ב, אירופה, וביפן – עבור אזור אסיה-פסיפיק, מארגנת חברה עצמאית שעובדיה עובדים ב-RSA, חברת ההצפנה והאימות המובילה בעולם. מכאן גם שמם הזהה. בכנסים בעולם משתתפות ומציגות מיטב החברות המציעות פתרונות אבטחת מידע בתחומים הבאים: גניבת זהויות, האקינג, טרור קיברנטי, ביומטריה, פריצת רשתות, הגנה על הרשת, אבטחת אתרים ושירותי רשת, הצפנה והדרכת אבטחה לכל הרמות, החל במודעות המשתמשים וכלה בצמרת המקצוענים והמפתחים. שמו של הכנס, כשמה של החברה, RSA, מבוסס על ראשי התיבות של שלושת החוקרים: רונלד ריבסט, עדי שמיר ולאונרד אדלמן, שכבר לפני 32 שנים פיתחו יחדיו אלגוריתם להצפנת מפתחות ציבוריים, המשמש להגנת מידע חזקה.

האלגוריתם כה חזק, עד שהפך לתקן הלכה למעשה להצפנת מידע המועבר בעיקר ברשת האינטרנט והוא משמש גם בדפדפנים הנפוצים. בשנת 1982 שלושת החוקרים הקימו את חברת RSA Data Security. לפני שלוש שנים חברת האיחסון וניהול תשתיות המידע הגדולה בעולם EMC, רכשה את RSA, תמורת 2.1 מיליארד דולרים. שנה לפני כן רכשה RSA את חברת סאיוטה הישראלית, שהתמחתה בהגנת המידע ובמניעת הונאות במוסדות פיננסים בעולם. כך נעשה המרכז בהרצלייה למעבדת תוכנה גדולה של EMC-RSA בעולם.

קוביילו, מנכ"לה הדינמי של חטיבת ההגנה על המידע ב-EMC, מוביל את החברה לשיאים חדשים מדי שנה. הוא הביא את החברה ממחזור שנתי של 25 מיליון דולר ב-1996, ליותר מחצי מיליארד דולרים בשנת 2007, עת נרכשה על ידי EMC. ענקית תשתיות המידע אינה מפרסמת מחזור נפרד של כל חטיבה שלה, אך ההערכות חברת המחקר IDC הן על היקף פעילות ומכירות של 600 מיליון דולרים לשנת 2008. כך ממוקמת RSA אחר סימנטק, מק'אפי, טרנד-מיקרו וצ'ק-פוינט, בין חברות הגנת התוכנה בעולם.