קן מיניהן, לשעבר ראש הסוכנות לביטחון לאומי: "המלחמה הקרה – משחק לעומת האיומים הקיברנטיים"

"המלחמה הקרה שהתרחשה בין ארצות הברית וברית המועצות בשנות ה-50, ה-60 וה-70 של המאה הקודמת הייתה בסך הכול משחק ילדים לעומת המצב כיום, בעידן הדיגיטלי. בעידן שלנו, בשל התפתחות המרחב הקיברנטי, מדינות מתמודדות מול אתגרי אבטחה קשים בהרבה, עם מגוון איומים נרחב ומסוכן, בעל השלכות מרחיקות לכת. זה קיים בכל היבט של חיי היום יום, עבור הפרט, הארגון והמדינה", אמר לויטנט ג'נרל (בדימוס) קן מיניהן, לשעבר ראש הסוכנות לביטחון לאומי בארצות הברית וכיום חבר הנהלת גלאסהאוס (Glasshouse) העולמית, לאנשים ומחשבים. מיניהן הגיע לישראל כחלק ממשלחת בכירי החברה העולמית שהשתתפה בכנס שערכה גלאסהאוס ישראל אתמול (ד'). לכנס, בהפקת אנשים ומחשבים, הגיעו מאות לקוחות ושותפים עסקיים של החברה.

לדברי מיניהן, "תחום התשתיות הלאומיות הקריטיות הוא נושא חשוב מדי מכדי להשאיר את הטיפול בהגנה עליו רק לממשלות. דרוש שיתוף פעולה נרחב ועמוק בין מדינות העולם, ובכל מדינה – בין המגזר הממשלתי למגזר התעשייתי, על מנת להגביר את רמת האבטחה הנדרשת ליצירת שכבות אבטחה רבות וכוללות עבור התשתיות הלאומיות הקריטיות. רק שיתוף פעולה שכזה יספק מענה לאתגרים הרבים מולם ניצב העולם כיום".

מה מצב אבטחת המידע בארגונים ובממשלות כיום?
"אני מדמה אותו לקרחון, שרק 10% העליונים שלו גלויים. אין ספק שניתן לאתר חלק מהפעילות הבלתי חוקית של האקרים, פריצות וניסיונות פריצה, הזרקת נוזקות למערכי מיחשוב ארגוניים וממשלתיים, גניבת ודלף מידע. אבל השאלה המרכזית היא מה קורה בחלק הגדול, הבלתי נראה לעין, של הקרחון. ישנן פעילויות פריצה ואנטי-אבטחת מידע רבות שסמויות מן העין".

איך אבטחת המידע מתחברת לתפיסת מיחשוב הענן?
"הענן רק מחריף את הבעיות הללו. תפקידם של הצעירים בתעשיית ה-IT העולמית, כמו האנשים היושבים בכנס, הוא לאבטח את פעילות מערכי הארגונים במסגרת הענן וליצור את הענן לאפקטיבי לפעילות.

כשעמדתי בראש הסוכנות לביטחון לאומי, במאה ה-20, תקציב הארגון הצטמצם, לעומת תקציבו והיקף פעילותו בשנות ה-80, כי המלחמה הקרה הסתיימה. זו הייתה טעות. כעת, האתגר של אבטחת המידע בכל הארגונים – הממשלתיים והמסחריים – גדול יותר. תפקיד המנמ"רים כיום הוא לאבטח את כלל פעילות המיחשוב המבוצעת, וליצור את פעילות המיחשוב בענן ליעילה ומאובטחת. זהו ה-אתגר, בה"א הידיעה, של המאה ה-21.

כשהותקפנו על ידי הטרוריסטים בספטמבר 2001, במקרה הייתי בפנטגון בישיבה. הגעתי הביתה ואשתי אמרה לי: 'ג'נרל, מה קרה? הרי חשבתי שאנחנו מוגנים?' עניתי לה: 'נכון, אנחנו מותקפים, אבל יהיה בסדר'. המענה שנדרש הוא כזה של בניית הגנה על כלל התשתיות הלאומיות הקריטיות. רק ביצירת שיתוף פעולה בין המגזר הממשלתי-ציבורי לזה המסחרי-תעשייתי ניתן יהיה לייצר את אותה שכבת הגנה יעילה וכוללת".

ומדוע יש לשלב בין תעשיות האבטחה הממשלתית והמסחרית?
"כי רק שיתוף פעולה שכזה יניב את רמת האבטחה הנדרשת. האתגר גדול ונרחב ביותר, יש טכנולוגיות שלא ניתן לאבטח, יהיה קונפליקט בארגונים – מה לאבטח, איך. צריך לבנות תשתיות הגנה בהיבט האבטחה בצד המסחרי, כאלו שיגנו על כלל התשתיות. הרי, בסופו של דבר, כולנו ניזוקים מאותן נוזקות ויש  לנו אותן פגיעויות. ישויות הפוגעות בתשתיות המסחריות ובתשתיות הממשלתיות-ציבוריות הן זהות. אלה אותם האקרים.

לכן, נדרשת אותה אסטרטגיית הגנה. יש להבטיח שכל תהליך עסקי יהיה מאובטח כמו כל תהליך ממשלתי. אם תאבטחו בצורה מכונה וכוללת – תוכלו לאבחן בצורה נכונה את מה שקרה, ולהיערך בצורה פרו-אקטיבית לקראת האיומים הבאים.

הרעיון הוא להגיע לדיון של הגנה אקטיבית. כשנולד נושא ה-Homeland Security, הוא נתפס כביטוי אמריקני של תגובה לטרור במגדלי התאומים. אבל 'מולדת' היא הסביבה הכוללת של איפה שאנו חיים ועובדים. תשתיות ה-IT הללו הן כלל עולמיות. מדובר בבעיה כלל עולמית שתבטיח שנוכל להמשיך לחיות ולעבוד, מבלי שלמערכות ה-IT תהיינה בעיות והן תותקפנה על ידי נוזקות שתפסקנה את פעולתן"

מיניהן שירת כטייס ומפקד טייסות בחיל האוויר האמריקני במשך 30 שנים, לחם בווייטנאם, ובתפקידו האחרון בחיל האוויר שימש כסגן ראש להק מודיעין אוויר. לאחר מכן שימש בתפקידי מטה שונים במטה צבא ארצות הברית, והיה אחראי, בין השאר, לנושאי מודיעין בכלל ומודיעין אלקטרוני בפרט, הגנה קיברנטית, מניעת טרור קיברנטי והגנה על תשתיות לאומיות קריטיות. בשנות ה-90, תחת ממשלו של הנשיא האמריקני ביל קלינטון, עמד מיניהן בראש שני ארגוני ביון אמריקניים – ה-DIA (ר"ת Defense Intelligence Agency), המודיעין הצבאי וה-NSA (ר"ת National Security Agency), הסוכנות לביטחון לאומי, שהיא המקבילה האמריקנית ליחידה 8200 בארץ. כיום הוא משמש כחבר הנהלת גלאסהאוס העולמית כנציג מטעם אחת מקבוצות המשקיעים בחברה, דירקטור ב-20 חברות וקרנות הון סיכון, פעיל ביצירת שיתופי פעולה בין חברות אבטחה, קרנות הון סיכון וגופי ממשל וביון בארצות הברית ומחוצה לה.

"הטכנולוגיה היא גם הזדמנות", סיכם מיניהן, "אבל המודל העסקי יצטרך לעבור את מסננת האבטחה. עליכם, הצעירים, מוטלת המשימה שכלל המערכות של המיחשוב, בכל המגזרים, הממשלתיים והמסחריים, תהיינה מאובטחות, על מנת לוודא שכל התהליכים יבוצעו בצורה מאובטחת. בעיות אבטחת המידע כיום אינן לאומיות, כי אם גלובליות,  ולכן נדרש מודל עסקי שיטפל בהגנה ובאבטחת המידע באופן כוללני. בכל מקרה, המודל של אבטחת המידע למערכות ה-IT יקבל משנה תוקף מבחינת החשיבות שלו בתקופה הקרובה, הרבה יותר מבעבר".