על רגולציה, כופר וסייבר
שלושת הנושאים האלה עמדו במרכזו של כנס המנמ"רים והמנכ"לים שנערך על ידי אנשים ומחשבים ביוהנסבורג ● התובנות שיצאו משם בהחלט עשויות לעניין אתכם - וחלקן מדאיגות
אחד המושבים המרתקים שהיו בכנס של פורום המנמ"רים והמנכ"לים C3 מבית אנשים ומחשבים, שנערך בסוף השבוע שעבר ביוהנסבורג, עסק בשינויים הרגולטורים שהולכים ומתרבים באחרונה. מנחה הפאנל, רונן זרצקי, ביקש מהמשתתפים להשיב לשאלה כיצד הם מתמודדים עם סוגיה זו ואילו פתרונות קיימים. בתשובות עלתה נקודה אחת זהה: רגולציה אינה דבר שלילי והיא כבר לא נתפסת כגורם שתפקידו להפריע, לשבש או לעצור תהליכים.
לרגולטור, כך אמרו המשתתפים, יש שני תפקידים: האחד הוא לשמור על האינטרסים של הציבור בכל מה שקשור לבנקים ולשירותים שהם מקבלים מגופים שמפוקחים על ידי הממשלה. התפקיד השני והלא פחות חשוב הוא לעודד את התעשייה, לחדש, להתייעל ולפתח שירותים חדשים, בהנחה שמי שייהנה מהם הוא הצרכן הסופי.
"אם עובדים נכון עם הרגולטור – אפשר לחנך אותו"
בין המשתתפים בפאנל היו מחד אבנר זיו, מנמ"ר בנק ישראל, המזוהה עם הרגולציה על הבנקים, ומאידך יצחק בלומנטל, מנכ"ל חברת נמל אשדוד, שמטבע הדברים מפוקח רגולטורית על ידי הממשלה, מזוויות שונות. בלומנטל הודה שבעבר, הרגולטור אמנם היה מעורב "עד צוואר" בפעילות של הנמל, אבל שינויים שנערכו במבנה הנמלים והפיכתם לחברות הורידו את עוצמתה והפכו אותה מגורם מעכב לגורם מאפשר.
הוא אמר שלבעלי תפקידים שונים, כולל מנמ"רים, נוח לפעמים לתלות אי עשייה והעדר התייעלות ברגולציה, שהם הופכים אותה למשהו דמוני, שמאוד נוח לפחד ממנו.
התירוץ הזה עובד טוב בדיוני מועצות מנהלים וערב לאוזניהם של דירקטורים, אבל המציאות, כאמור, שונה. בתום פאנל אחר, על מחשוב ענן, שבו בלומנטל ישב כמאזין, הוא אמר שאחד הלקחים שהפיק מהכנס הוא שהגיע הזמן לבדוק מעבר לענן. הכיצד?, שאלתי אותו, הרי יש עליכם רגולציה. "זו לא סיבה", הוא השיב. "אם יודעים לייצר את הפתרון הנכון ולעבוד נכון עם הרגולטור, אפשר לחנך ולשנות אותו". ואכן, כך הוא מתכוון לעשות.
זיו ציין שהרגולציה שמפעיל בנק ישראל מבוססת על מערכת יחסי אמון, הבנה הדדית ושיתוף פעולה עם הבנקים. הוא נשאל האם האידיליה הזו לא גורמת להפחתת עוצמת הפיקוח על הבנקים והאם היא לא צריכה להדאיג את האזרחים, והשיב שההיפך הוא הנכון. המעבר לדיגיטל, לדבריו, הידק את הפיקוח על המערכת הבנקאית והפך אותו ליעיל יותר, ולכן – אפשר להמשיך לישון בשקט.
כופר כופר תרדוף
ביום השני של הדיונים שמעו המשתתפים שתי הרצאות שעסקו בסייבר בכלל ובמתקפות כופר בפרט. מאיר עמור, מנכ"ל FireEye בישראל, מסר נתונים מדאיגים על היקף מתקפות הכופר על ארגונים ואנשים פרטיים, במימדים שהולכים וגדלים.
ההחמרה לא באה לידי ביטוי רק במספר התקיפות, אלא גם באופיין. אם בעבר, מתקפות היו נחלתם של חובבי מחשבים ונערים שובבים, ואחר כך גם עיסוקם העיקרי של האקרים שרצו להתפרנס מזה, כיום שותפים ל-"חגיגה" הזו ארגוני פשע שממומנים על ידי ממשלות, שנעזרות בהם כדי לתקוף מדינות אחרות. הידיעות, השמועות וההאשמות ההדדיות שהוחלפו באחרונה בין רוסיה לארצות הברית לא נולדו פתאום והן חלק בלתי נפרד ממציאות זו.
עמור ניפץ את התפיסה שרווחת בקומות ההנהלות של ארגונים, שלפיה הגנה נכונה עם כלים טובים היא הפתרון למאבק בהאקרים. הוא ציטט מחקרים שלפיהם מרבית הארגונים שנפרצו אבטחו היטב את השרתים והמערכות שלהם, ולחלק ניכר מהם היו 32 כלי אבטחה מוכרים.
ההאקרים כבר לא מתאמצים לפרוץ רק אל הארגונים אלא מחפשים גם את השותפים, הלקוחות והעובדים שלהם. די להם בפרצה אחת, קטנה, שאנשי הטכנולוגיה של הארגונים לא חשבו עליה, והם מתנחלים בארגון. בדיוק כמו בצבא – הם עושים מארבים סמויים, שיכולים להימשך עד 150 יום. בזמן זה הם יודעים על הארגון כל מה שהוא לא רוצה שהם ידעו וברגע המתאים להם, והכי פחות מתאים לארגון, הם פועלים. מכאן והלאה התסריטים הם מגוונים, השמיים הם הגבול.
דובר נוסף בכנס היה שרון נימרובסקי, מנכ"ל חברה צעירה ומדליקה ששמה White Hat. החברה כוללת מספר לא גדול של צעירים נועזים, ששוכבים בשביל ארגונים מעבר לקווי האויב או, יותר נכון, בתוכם. אלה הם האנשים שעובדים בחשאי, 24 שעות, ויודעים לזהות תקיפות ואיומים. מדובר באנשים שאף האקר מצוי לא היה רוצה להיתקל בהם בפעילותו.
נימרובסקי אתגר את השומעים בכך שהציג להם תעריפים שמוכיחים שכל אחד יכול היום להיות האקר: למשל, די ב-150 דולר כדי לרכוש ערכה ולשבש את הפעילות של כל רשת ענקית שאתם רק יכולים להעלות על דעתכם. פייסבוק (Facebook), כבר אמרנו?
הסיירת של נימרובסקי מצויה בכל מקום. הפעילות שלה חוקית. הם פורצים לארגונים שמסכימים לכך ולפעמים גורמים להם להחוויר, לאחר שהם מציגים בפני ההנהלה ואנשי הטכנולוגיה את מערומי אבטחת המידע שלהם – על אף שהשקיעו, סגרו, חסמו והזהירו.
המסקנה מדברי שני הדוברים האלה היא שכדי לנצח את ההאקרים ולמנוע כופרות ואי נעימויות, צריך להילחם בכלים של המלחמה של מחר ולא של אתמול. בדיוק כמו בשדה הקרב העתידי. חומר למחשבה.
תגובות
(0)