"יש פער עצום בין ההשקעות האדירות בהגנת המידע להצלחות הבולטות של התוקפים"
"אנשי אבטחת המידע חייבים לדון כיצד הפער הזה קורה ואיך סוגרים אותו", אמר אופיר זילביגר, מנכ"ל SECOZ, בראיון לקראת כנס InfoSec, שיעסוק בנושא זה
"עולם אבטחת המידע חייב לקיים דיון פנימי סביב הפער העצום שיש בין ההשקעות האדירות שארגונים משקיעים כדי להגן על נכסי המידע שלהם להצלחות הבולטות שהתוקפים רשמו, בעיקר בשנה האחרונה", כך אמר אופיר זילביגר, מנכ"ל חברת האבטחה והייעוץ SECOZ.
זילביגר משמש כיו"ר ועדת התכנים של כנס אבטחת המידע והסייבר הגדול בישראל, InfoSec 2015, שמופק על ידי אנשים ומחשבים וייערך ב-21 במאי במרכז הכנסים אווניו שבקריית שדה התעופה. הכנס יתקיים זו השנה ה-16 ברציפות.
"אם לחלק את הפעילות לפי תקופות", אמר זילביגר, "מ-2003 ועד 2010 היינו בעידן אבטחת המידע. אז דיברו ועשו הרבה בתחום זה, והנושא עלה למודעות ולסדר היום של כל הארגונים. אין כיום ארגון שלא מקצה משאבים לאבטחת מידע. מ-2011 חל שינוי במצב – נכנסנו לעידן הסייבר, שהזיז מעט הצידה את האבטחה. עכשיו אנחנו במעין התפכחות, כאשר לכולם ברור שגם הסייבר, שאין לו הגדרה אחת, קשור להגנה על תשתיות המידע של הארגון".
יחד עם ההכרח בצמצום הפער בין ההשקעות של הארגונים להצלחות של התוקפים, ידון כנס InfoSec השנה באירועים הבולטים שהיו השנה בתחום. ביניהם ציין זילביגר "מתקפות על אתרי ממשל רגישים, המשך ההשלכות של ויקיליקס (Wikileaks) וכמובן פרשיות כגון סוני (Sony) ו-Target. אין מחלוקת שבכל המקרים הללו היה כשל של הארגונים בהגנה על המידע ובמניעת זליגת נתונים. אני בכוונה לא נכנס להגדרות של מה זה סייבר, בעיניי זה שולי. השאלה המרכזית שצריכה להישאל היא מה עושים טוב יותר, אחרת ממה שעשו עד היום, כדי למנוע תופעות כאלה בעתיד".
מה קורה בישראל בנושא הזה?
"גם בישראל יש איומים וקרו אירועים שמשמעותם כשל בהגנה על המידע. המוכר ביותר הוא הסיפור של לאומי קארד. הנושא אמנם נמצא כעת בבירור משפטי, אבל מדובר באירוע אבטחתי משמעותי ביותר, שכולנו לומדים את הלקחים ממנו".
לכאורה מדובר בעובד שניצל מידע פנים כדי לגרום נזק לארגונו – תופעה מוכרת מזה שנים. למה אתה מתייג את זה דווקא כאירוע אבטחה?
"אפשר להגדיר זאת כך ואפשר להסתכל על זה מההיבט של זליגת המידע, תופעה שאיתה ארגונים מתמודדים כבר שנים. היא מייצגת את הדילמה המוכרת בין הענקת הרשאות נרחבות לבעלי תפקידים בארגונים, בדרך כלל אנשי מערכות מידע, להפרדה ומידור הרשאות, מבלי לפגוע בעבודה שלהם.
אנשי מערכות המידע מצוידים אמנם בהרשאות רבות, אבל ניתן וצריך לנהל את זה, לפקח על הפעילות שלהם וכמובן, ליצור נורמות ברורות, שיגדירו מה מותר ומה אסור. אחת הבעיות עם הטיפול במניעת זליגת מידע היא בעיית סיווגו. ישנם פתרונות רבים לזליגת מידע ובאחרונה אף נחשפה טכנולוגיה ישראלית ייחודית לטיפול אוטומטי בסיווג מידע של MinerEye".
באמצעי התקשורת הוגדר המקרה של לאומי קארד כאירוע סייבר. האם אתה מסכים?
"אפשר להגדיר את זה מכל מיני זוויות. התשובה להגדרה מה זה סייבר היא ערכית וכפי שאמרתי, היא פחות חשובה בעיניי. דבר אחד ברור: האחראים על הביטחון הדיגיטלי בכל ארגון צריכים להתמודד עם תופעות כמו זו של לאומי קארד, להבין מה צריך לעשות כדי שמקרה כל כך חמור לא יחזור על עצמו ויאיים על המגזר הפיננסי במדינת ישראל, כפי שראשי לאומי קארד עצמם אמרו בראיונות לתקשורת.
ב-InfoSec נתייחס לשאלות הללו וננסה לצייד את מנהלי האבטחה שיגיעו לכנס בכלים ועצות מה ואיך לעשות. בהקשר זה צריך לציין כי אורח הכבוד בוועידה יהיה דן סולומון, מנהל סיכוני סייבר ב-Optimal Risk הבריטית, ש-SECOZ עובדת אתה בשיתוף פעולה הדוק. הוא בעיקר יענה על השאלות הללו, וידבר על האתגרים בתחום האבטחה".
איפה הרגולטור הישראלי בנושאים האלה?
"באופן טבעי, המגזר הפיננסי מוביל ברגולציה ומהווה דוגמה למגזרים אחרים. באחרונה הוציא בנק ישראל תקנה חדשה, מספר 361, שעוסקת בסייבר ונותנת מענה גם לאתגרים שדיברתי עליהם קודם לכן. נעשתה שם עבודה יסודית והמסקנות מונחות על שולחנם של המנהלים הבכירים בכל הארגונים.
באופן אישי, כמי שמלווה ומנחה ועידות ופורומים של אבטחה מזה יותר מעשור, עצם העובדה שבנק ישראל מתייחס לנושא הזה בהרחבה כל כך הוא בשורה טובה ואין ספק שנראה את התוצאות שלה בשנים הקרובות.
אני מעריך שבעקבות הנייר של בנק ישראל ייצא נייר מקביל מטעם משרד האוצר, כדי להסדיר את הנושאים האלה במגזר הביטוח ויתר המוסדות הפיננסיים.
ב-InfoSec נתייחס כמובן לתקנה זו, ונקיים דיון בהשתתפות נציגי הארגונים והרגולטור, נעלה שאלות ונקבל כמובן גם תשובות".
גם השנה פרסמתם קול קורא למרצים כדי לבחור את ההרצאות הטובות ביותר. כיצד הייתה ההיענות?
"קיבלנו כמה עשרות הצעות ועד כה אישרנו שמונה הרצאות במסלול המקצועי, שהיה אחד המסלולים המוצלחים ביותר בוועידה, שהפכה להיות אירוע אבטחת המידע המרכזי בישראל – בכל המגזרים".
אם נחזור לרגע לנושא הסייבר, אתה מסכים לטענה שבניגוד למגזר הביטחוני, המגזר העסקי לא מוגן מספיק מפני איומים ומתקפות?
"אני מסכים לאמירה שמדינת ישראל צריכה לעבות את התווך הדיגיטלי שהיא נותנת, שירחיק את האיומים הקיברנטיים מדלתות הארגונים, בדיוק כפי שהיא עושה זאת במרחב הפיזי. שם הצבא מגן על גבולות המדינה ולא מאפשר לאויב לחדור פנימה, עד כמה שניתן".
למה אתה מתכוון? הרי המדינה לא יכולה לנהל את האבטחה של המגזר העסקי…
"ההגנה על הגבולות הדיגיטליים של ישראל נעשית מצד אחד על ידי זרועות הביטחון, המגנים על התחומים שהם אחראים עליהם. מצד שני, אין שום גורם ממלכתי שהאחריות שלו היא להגן על הגבולות הדיגיטליים האזרחיים. מה שקורה כיום הוא שמנהלי האבטחה פוגשים את התוקפים בפתח הארגון שלהם, או באזורים קרובים מאוד, דבר שלא קורה בביטחון הפיזי. היכולת של הארגונים להתמודד לבד עם איומים כאלה בעייתית ומוגבלת. הגיעה העת שהמדינה תיקח אחריות על הנושא הזה ואני תולה תקווה במטה הסייבר שפועל כעת תחת רשות, כחלק ממיזם ישראל דיגיטלית. יש שם אנשי מקצוע מצוינים שיכולים לתת מענה אמיתי לאתגרים הללו. גם בנושא זה נטפל בוועידה, לצד שורה של נושאים מקצועיים וטכנולוגיים, שמעניינים את קהילת אבטחת המידע בישראל".
מתעניינים באבטחת מידע וסייבר? רוצים לשמוע עוד? הירשמו לכנס InfoSec 2015 של אנשים ומחשבים.
זה נראה שתמיד יהיה כאן מאבק של רודפים ונרדפים. הנרדפים יוכלו לדעת על פריצות שלהם כמעט תמיד רק לאחר שהפריצות התרחשו בפועל, כי קשה מאוד לאתר אותן לפני והפורצים הופכים להיות יותר מתוחכמים מרגע לרגע. מתחילתו של התחום הזה בעצם הפורצים היו אלו שיזמו והנפרצים הגיבו - השאלה אם יש מה לעשות בכדי להפוך את המצב ולגרום לנפרצים להיות היוזמים. אני לא בטוח שאפשר.
"אבל מדובר באירוע אבטחתי משמעותי ביותר, שכולנו לומדים את הלקחים ממנו" - הלקח העיקרי הוא שהרגולטורים מחפים על קיומם של מחדלים רוחביים בארגונים, וכי הכשל מקורו ברמת ההנהלה, ואין כל קשר למימוש טכנולוגי כזה או אחר. "מה עושים טוב יותר, אחרת ממה שעשו עד היום, כדי למנוע תופעות כאלה בעתיד" - להוציא את הפוליטיקה מהזירה ולמנות רגולטורים שאינם בובה, כדוגמת בנק ישראל שמעלים עין מזה שנים מבעיות חמורות במערכות מידע של בנקים שונים. כנ"ל לגבי לשכת המפקחת על הביטוח שמהווה מס שפתיים ותו לא, ואף רמו"ט שמעבר לשליחת מכתב מענה לאקוני על בעיות חמורות במערכות תשלומים באינטרנט היא אינה עונה עושה דבר.