כריס לאבג'וי, יבמ: "היחס לאבטחה צריך להיות כמו לכריות אוויר – רוכשים מראש ולא מתקינים בנפרד"

"ההתייחסות לאבטחה צריכה להיות כמו אל כריות אוויר או ABS במכונית: רוכשים אותן מלכתחילה, כשהן משולבות במכונית, ולא מתקינים אותן בנפרד", כך אמרה כריסטין לאבג'וי, מנהלת תחום שירותי האבטחה בחטיבת השירותים הגלובלית של יבמ (IBM) העולמית, שמבקרת השבוע בישראל.

היא אמרה בראיון לאנשים ומחשבים, כי "אנשים דואגים לאבטחה בגלל צורך בעמידה בדרישות חקיקה ותקנות בתחום פעילות הארגון או כשהם ניצבים בפני בעיה שפוגעת בהם. לכן, נדרש להתקין ולשלב מערכות אבטחה מההתחלה. שילוב שכזה הוא גם ערובה לחיסכון. עשינו תחשיב שמעלה ששילוב רכיב אבטחה בשלב הבניה המוקדם של יישום חדש עומד על לא יותר מ-60 דולרים. הוספתו בשלב מאוחר יותר של תהליך התכנות עלול לעלות 6,000 דולרים ויותר".

לדבריה, "אתגר האבטחה מחייב גישה חדשה ושינוי תהליכים ארגוניים מן היסוד, מאחר שזרמי הנתונים המגיעים מדי יום לארגונים הולכים וגואים ויש לאפשר ניתוח מקיף יותר בזמן אמת של תמונת המציאות אותה מייצגים הנתונים האלה, כמו גם קבלת החלטות נכונות יותר. עובדים, לקוחות, מנהלים וספקים קשורים זה לזה במגוון רחב של ערוצים, אלא שריבוי הרשתות, מכשירי הקצה, היישומים ומאגרי המידע יוצרים עימם מספר כמעט אינסופי של נקודות שעלולות להיות חשופות להתקפה ופריצה".

לאבג'וי ציטטה מחקר של ענקית אבטחת המידע קספרסקי (Kaspersky) שקובע ש-91% מהעובדים בחברות ובארגונים שמחזיקים בטלפון חכם משתמשים בו גם על מנת לגשת למייל הארגוני שלהם, אולם רק שליש מהם נדרשים על ידי מנהלי האבטחה להתקין על גבי המכשיר שלהם תוכנת אבטחה הולמת. נתון אחר מעלה ש-20%-30% מהמחשבים האישיים שמשרתים משתמשים פרטיים נגועים בתוכנה זדונית. "כל מחשב כזה עלול לגרום נזק משמעותי לרשת ארגונית עימה הוא עשוי להיות קשור", אמרה.

"יש סביבת IT שמאזנת בין מימוש היעדים העסקיים וגמישות מערכות הנדרשת לצורך כך לבין הטיפול בסיכוני האבטחה", ציינה לאבג'וי. "כך, לדוגמה, אנחנו עושים בעת הקליטה והמיזוג של חברות אותן רכשנו".

היא הוסיפה ש-"במקרים רבים, אנשי עסקים אינם מודעים לסיכוני האבטחה. תוקפי מערכות ופורצים מבינים שיש עבורם הזדמנות ברגע שחברה מכריזה על רכישה, הם מזהים אפשרות לפרוץ לרשת של החברה הרוכשת דרך המערכות של זו הנרכשת. עד ליום המיזוג בפועל, יש פער זמנים שבו אפשר להשיג גישה לארגון דרך מערכות הללו".

"כשיבמ רוכשת חברה היא עוברת תהליך גילוי נאות שבוחן את שלמות הנכסים שאנחנו רוכשים ומבנה ההגנה סביבה", ציינה לאבג'וי. "חלק מתהליך המעבר הוא להבטיח שליטה בארגון הזה, כך שאינך מגדיל את האיום. יש לנו תוכנית מוגדרת של מה שמכונה 'שטיפה כחולה': התאמת דפוסי ההתנהלות של הארגון הנרכש לאלה של יבמ".

לקרוא כל שורת קוד
לדבריה, תהליך הקליטה הזה מורכב עוד יותר כשמדובר בקליטת קוד של תוכנה ויישומים שפותחו בחברה הנרכשת. היא ציינה שיבמ מבצעת תהליך מקיף של הערכת קוד מקור, שבו קוראים מומחי הענק הכחול כל שורת קוד, כדי לוודא שאין סיכון בשילוב המוצר בפורטפוליו של יבמ. "שלמות קוד היא עניין מרכזי. אי אפשר למכור מוצר לפני שנבדק", אמרה לאבג'וי. "התסריט הגרוע ביותר מבחינתנו הוא זה שבו אנחנו רוכשים מוצר שמסכן את אחד הלקוחות שלנו. אנחנו עורכים ניתוח סטטי לקריאת שורות קוד המקור, על בסיס כלי Q lab שרכשנו, וניתוח דינמי, שמתבצע בתהליך העבודה ומוודא שאין שינויים ואיומים חדשים, עם כלי WatchFire". היא ציינה, כי "לאחר שרכשנו את WatchFire הקמנו מרכז פיתוח בישראל".

"אנשים ומשתמשים עשויים להיות האיום הגדול ביותר", אמרה לאבג'וי. "אין בשוק מישהו שמבין לעומק כמה משמעותי התהליך שבו מביאים אנשים את מכשירי הקצה שלהם ומשתמשים בהם במסגרת הארגונית (BYOD) ואין בו מישהו שמבין את חוסר הבגרות של השוק. תהליך BYOD מתפתח במהירות מתפרצת. רוב הארגונים רוצים לתת לעובדים להשתמש במכשיר הפרטי, כי זה לכאורה זול יותר, מאחר שהעובד הוא זה שרוכש את המכשיר והמעביד חוסך את עלותו. אלא שניהול מכשיר קצה של עובד עולה כ-120 דולרים לשנה לכל אחד מהם. הרכיב היקר ביותר הוא אבטחת המכשיר הפרטי".

"יותר מדי ארגונים נכשלים בהגנה על עצמם, ואין פתרון אחד שמכסה את כל הסיכונים בכל הארגונים", סיכמה לאבג'וי. "הייתי רוצה שזה יהיה פשוט יותר. השוק לא בוגר וקודם כל צריכים להתמקד באסטרטגיה: לקבוע למי מותר להפעיל מכשירים ולאילו שימושים, ומהם הסיכונים שאנחנו מוכנים לקחת על עצמנו בקשר לכך".