"צריך להעצים אנשים לשלוט על הנתונים שלהם"

סקוט מוריסון, Distinguished Engineer ב-CA, מדבר בראיון לאנשים ומחשבים על חששות האבטחה בעידן הסיכונים המוגברים בסביבת האינטרנט של הדברים

09/03/2016 12:40
סקוט מוריסון, Distinguished Engineer ב-CA Technologies

הראיון מתקיים לקראת הכנס השנתי של חטיבת CA ישראל ב-NessPRO, שייערך ב-14 במרץ במתחם האירועים LAGO בראשון לציון.

יותר מ-700 חברות הציגו בכנס אבטחת המידע והסייבר הגדול בעולם, של RSA, שנערך באחרונה בסן פרנסיסקו. בין החברות היו סטארט-אפים רבים, כולל כ-50 מישראל, וענקיות ישראליות ובינלאומיות.

אחת מהן הייתה CA Technologies, מהחברות הוותיקות בתעשייה, שהשנה מלאו לה 40. החברה פועלת בישראל יותר מ-20 שנה והמייצגת המקומית שלה כיום היא חטיבת NessPRO בקבוצת נס, שתומכת בלקוחותיה, שנמנים על מגזרי הפיננסים, הביטחון, הבריאות, השירותים, המסחר והתעשייה.

לקראת כנס הלקוחות הגדול של CA ו-NessPro בישראל, Application Economy: What's Next, שייערך ביום ב' הקרוב, בהפקת אנשים ומחשבים, נפגשתי עם סקוט מוריסון, Distinguished Engineer ב-CA Technologies, לשיחה על חששות האבטחה בעידן הסיכונים המוגברים בסביבת האינטרנט של הדברים.

ביתן CA ב-RSA 2016. המוטו הוא: "בעסקים, הכול תוכנה". הכול אפליקציות, ואין ספק שחייבים להגן על כל הנתונים בכל עת. צילום: פלי הנמר

ביתן CA ב-RSA 2016. המוטו הוא: "בעסקים, הכול תוכנה". הכול אפליקציות, ואין ספק שחייבים להגן על כל הנתונים בכל עת. צילום: פלי הנמר

מהם החששות הגדולים ביותר כיום בעולם האינטרנט של הדברים?
"בעולם האינטרנט של הדברים, החשש לא קשור למכשיר, אלא לנתונים. אבטחת מידע ופרטיות הן בראש מעייניהם של האנשים. חשש זה הוא מעבר למה שנמצא על הטלפון החכם של מישהו, ומתרחב להתקני האינטרנט של הדברים שאוספים ומשדרים ברציפות נתונים עלינו.

ברור שאנחנו צריכים להתייחס לחששות בתחום הפרטיות בעולם זה, המחובר יותר ויותר. בין אם מדובר במכונית שלך, בתרמוסטט שלך או במכשיר רפואי מושתל, הבעלות על הנתונים היא בסימן שאלה. בעוד יצרנית המכשיר אוספת את הנתונים ואחראית על המידע, הבעיה היא מי שולט בנתונים ומה הוא יכול לעשות איתם. אנחנו צריכים להעצים אנשים לשלוט על הנתונים שלהם".

אנא הסבר כיצד ה-"בעלות" על נתוניו של אדם מסוים יכולה להיחשב כשייכת למישהו אחר.
"בעלות על נתונים היא נושא לוויכוח בתחום האינטרנט של הדברים. בוא נסתכל על המכונית המחוברת כדוגמה כיצד הבעלות על נתונים יכול להיות בסימן שאלה. כמו הסמארטפונים, מכוניות רבות מזרימות נתונים על המיקום שלנו, שיכול לשמש כמידע חשוב ביותר לסוחרים ולמתחמי הקניות המועדפים עלינו, או כמה רחוק אנחנו נוסעים. ניתן בנוסף לאסוף מידע לגבי המהירות שבה אנחנו נוסעים, כמה אנחנו לוחצים על הבלמים או מה אנחנו שומעים עכשיו ברדיו.

כאשר נתונים אלה נאספים, הם שוכנים אצל יצרן הרכב, שבאותו השלב כבר יכול לחלוק אותם עם צד שלישי. המציאות היא שאלה הם הנתונים שלנו, של הפרט. יצרני הרכב צריכים לאפשר לנו לבחור עם מי אנחנו חולקים את המידע הזה ומתי. לדוגמה, אני אולי לא רוצה לחלוק את מה שאני שומע ברדיו, אבל רוצה לשתף את הרגלי הנהיגה שלי וסגנון הנהיגה עם חברת הביטוח שלי, כדי לקבל הזדמנות לתעריף מוזל.

אם האינטרנט של הדברים הוא עניין של נתונים ושל חששות סביב האבטחה והפרטיות של נתונים אלה, אנחנו צריכים להציב מערכות שמשגיחות שהשליטה והבעלות על הנתונים יהיו בידיו של הפרט".

איך אתה מגדיר את מערכת האינטרנט של הדברים שמאפשרת לאדם לשלוט בנתונים שלו?
"אם הדבר המרכזי הוא לשלוט בנתונים כך שיש לנו גמישות לשתף חלק מהפרטים אך לא את כולם, אין צורך להמציא מחדש אבטחה עבור האינטרנט של הדברים. אנחנו פשוט צריכים להשתמש בלקחים שעסקים למדו בעולם האפליקציות, ולהשתמש ב-APIs ובפרוטוקולים שונים כדי לקבוע מי משתף בצורה מאובטחת ועם מי.

APIs מספקים מודל לשיתוף מידע וניתן להשתמש בהם כדי להחזיר את השליטה לידיהם של בעלי הנתונים. אנחנו יכולים לראות זאת כיום בטוויטר (Twitter) ובפייסבוק (Facebook), שבהם יש לנו אפשרות לשתף את הציוצים ועמודי הפייסבוק שלנו. אמנם זו דוגמה פשוטה, ובוודאי שלא דוגמה לשימוש בנתונים פרטיים כמו מידע רפואי או נתוני הכושר והשינה שלנו, אך הרעיון זהה.

אם נשתמש ב-APIs ובפרוטוקולים כמו OAuth כדי לאפשר גישה לנתונים, אנחנו יכולים לקבוע אילו נתונים לשתף ועם מי. אנחנו צריכים להיות מסוגלים לומר שזה בסדר לשתף נתונים מסוימים עם הרופא, אבל לא עם יצרן ההתקן".

נראה שיהיה צורך ב-APIs נפרדים לכל הזדמנות לשיתוף נתונים. האם לא תהיה בעיה של עיתוי וניהול עבור גופי האינטרנט של הדברים, שאוספים את הנתונים הללו ואחראים עליהם?
"זה המקום שבו הטכנולוגיה נכנסת לתמונה, למשל באמצעות כלי ניהול API, כמו CA Live API Creator ,CA API Gateway או CA API Management SaaS. כלים אלה מספקים יכולות של API gateway ופורטל למפתחים ויכולים לעזור ליצרן האינטרנט של הדברים ליצור במהירות, לאבטח ולנהל APIs, כך שכשבעל הנתונים בוחר לחלוק את המידע עם ישות אחרת, יש לו או לה את הביטחון שהם מוגנים ומנוהלים באופן עקבי".

מתעניינים בתחום? רוצים לשמוע עוד? הירשמו לכנס הלקוחות של CA ו-NessPRO, בהפקת אנשים ומחשבים.

תמונה נוספת מביתן CA בתערוכה: ניהול זהויות הוא בליבה של אבטחת המידע בעידן אבטחת הסייבר. צילום: פלי הנמר

תמונה נוספת מביתן CA בתערוכה: ניהול זהויות הוא בליבה של אבטחת המידע בעידן אבטחת הסייבר. צילום: פלי הנמר

תגובות

(1)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים