כרמי גילון: "רק גישה פרואקטיבית תמנע התמודדות בלתי פוסקת לאיומים המשתנים"
"ארגונים נמצאים לא פעם במצב בו עליהם להשקיע מיליונים באבטחת מידע, הדבר נכון גם לגבי ארגונים מהמגזר הפיננסי, אבל גם ארגוני לואו-טק. זאת, כיוון שלכל ארגון יש את הנכס שלו, והוא המידע", אמר גילון, לשעבר ראש השב"כ שמונה לאחרונה ליו"ר דירקטוריון חברת הסייבר סייטג'יק
"איומי אבטחת המידע והסייבר משתנים כל הזמן. לכן נדרש לטפל באיומים בגישה פרואקטיבית, על מנת שלא להתמודד כל הזמן עם האיומים המשתנים ולהתאים עצמך אליהם. אם הארגון בא מוכן מראש ויוצר לעצמו תמונה מלאה של האיומים, הרי שיעילות ההגנה תהא רבה יותר", כך אמר כרמי גילון, ראש השב"כ לשעבר.
גילון, שונה באחרונה לתפקיד יו"ר דירקטוריון סייטג'יק (Cytegic), המציעה מערכת לניתוח מודיעין והערכת סיכונים בתחום אבטחת המידע, דיבר במליאה המרכזית בכנס Infosec 2014. הכנס, בהפקת אנשים ומחשבים, נערך היום (ה') במרכז הכנסים אבניו, קריית שדה התעופה. לכנס הגיעו מאות מקצועני אבטחת מידע והנחה אותו פלי הנמר, יזם ומנהיג אנשים ומחשבים.
גילון הציג עצמו כמי שבא מהעולם הישן, ודיבר עם דף כתוב, ואמר "אני מעריך אנשים שאומרים שאינם מבינים בתחום מסויים, ולכן עליהם להיוועץ בעת שהם צריכים לקבל החלטות קשות".
"ארגונים נמצאים לא פעם במצב בו עליהם להשקיע מיליונים באבטחת מידע, הדבר נכון גם לגבי ארגונים מהמגזר הפיננסי, אבל גם ארגוני לואו-טק. זאת, כיוון שלכל ארגון יש את הנכס שלו, והוא המידע".
לדברי גילון, "יש טכנולוגיות מצויינות בתחום הסייבר, אלא שאלה אינן מתאימות לכל ארגון. אז שואל עצמו המנהל, אשר נדרש לאשר את ההוצאה התקציבית, 'מה מכל העצים ייצור את היער שמתאים לארגון שלי?'. עוצמת האיום והשינויים התכופים במגוון האיומים מסכנים את הארגון ומצד שני, ההגנה מפני איומים אלה יקרה מאד".
גילון סיפר כי שמע פעם יושב ראש הנהלה של בנק מספר כי אינו מעז שלא לאשר תקציבים לטובת עוד ועוד מערכות הגנה ואבטחת מידע, "הטראומה הגדולה שלו היא שיתקפו אותו בבטן הרכה שלו, במערכות הליבה הבנקאיות".
הדרך לבניית תכנית הגנה ואבטחת מידע, אמר גילון, כוללת כמה שלבים: האחד, רישום ומיפוי הנכסים הארגוניים. השני, דירוג אותם נכסים ארגוניים לפי מידת הנזק שתיגרם "כי יש אינסוף איומים ומנגד, יש לא מעט מוגבלויות טכנולוגיות". השלב השלישי, לדברי גילון, "הוא בדיקת שוק, אילו סוגי מענה יש מבחינת ההגנה. גם פה הדבר נדרש להיעשות על פי סדרי עדיפויות".
לאחר מכן, אמר ראש השב"כ לשעבר, "יש לשלב בין האיומים ובין אמצעי ההגנה הנדרשים עבורם, ויש ליצור תמונת מצב המכילה שני מימדים אלה, לטובת הצגת תמונת מצב זו למנהל הכספים או מנכ"ל הארגון – על מנת שאלה יאשרו את בניית המענה הנדרש".
"כל מנהל אבטת מידע בכל ארגון צריך לתפור את חליפת אבטחת המידע ובניית מערך ההגנה המתאים לו", סיכם גילון, "אבל ההחלטה על הקצאת תקציב היא רק התחלת הדרך. נדרש להיות במצב מתמיד של מעקב אחר השינויים בארגון, כמו גם מעקב אחר האיומים, שמשתנים גם הם בצורה תדירה. לבסוף, יש לערוך בקרת איכות וביצוע, גם עבור המנהלים הבכירים, וגם עבור מנהלי אבטחת המידע. בעברי בשב"כ, כאשר נדרשנו לאבטח דברים חשובים, לקחנו מאבטח והשכבנו אותו על הכספת, זה גם עלה כסף – אבל זה לא עלה רבע ממחירי אבטחת המידע כיום. כלומר, על המנהל לשאול את עצמו איפה הגבול, ועל מנהלי האבטחה לבדוק שמה שהם עושים, הם עושים לתועלת הארגון".
כאשר קראתי את הכתוב, ושיניתי - פה ושם, מילים והגדרות - מצאתי את הדרך שצה"ל משיג תקציבים ללא הכרה - לדוגמא: 1. גילון סיפר כי שמע פעם ראש ממשלה מספר כי אינו מעז שלא לאשר תקציבים לטובת עוד ועוד מערכות הגנה ואבטחת מידע, "הטראומה הגדולה שלו היא שיתקפו אותו בבטן הרכה שלו, במערכות הליבה בעורף". 2. "אבל ההחלטה על הקצאת תקציב היא רק התחלת הדרך. נדרש להיות במצב מתמיד של מעקב אחר השינויים בצה"ל, כמו גם מעקב אחר האיומים, שמשתנים גם הם בצורה תדירה. לבסוף, יש לערוך בקרת איכות וביצוע, גם עבור המפקדים הבכירים, וגם עבור דרגי השדה והעורף. יש עוד ....