הארייט פירסון, בכירה ביבמ ויועצת לנשיא אובמה: "מצב התשתיות הקריטיות בארה"ב טעון שיפור"
"אבטחת מידע היא כמו פיל שממששים אותו חמישה עיוורים וכל אחד 'רואה' משהו אחר. בסופו של דבר, מדובר בניהול מושכל של סיכונים", אמרה לאנשים ומחשבים עו"ד פירסון, סגנית נשיא בכירה לאבטחת מידע ונציבת הפרטיות ביבמ ● לדבריה, היא מצויה בקונפליקט: "החברה מעודדת שימוש ברשתות חברתיות - אבל לצד התועלת שבשיתוף המידע, יש גם פוטנציאל נזק חמור של דליפת סודות עסקיים"
"מזה כשנתיים אני פעילה ב-CSIS, המרכז ללימודים אסטרטגיים ובינלאומיים בוושינגטון. המכון הקים ועדה שמייעצת לנשיא ברק אובמה בנושאי אבטחת מידע קיברנטית ומניעת טרור מקוון, מאחר ומצב התשתיות הלאומיות הקריטיות בארה"ב טעון שיפור". כך אמרה בראיון בלעדי לאנשים ומחשבים עו"ד הארייט פירסון, סגנית נשיא בכירה לאבטחת מידע ונציבת הפרטיות של יבמ (IBM). פירסון אחראית להתוויית אסטרטגיית אבטחת המידע ושמירת הפרטיות בענק הכחול, ולייעוץ בנושאי אבטחה ושמירת פרטיות לממשלות ולארגוני ענק. היא אינה עוסקת במכירת מוצרי אבטחה.
פירסון השתתפה בכנס Pulse 2010, שנערך השבוע בלאס וגאס, ובו הוצגו כלי התוכנה טיבולי (Tivoli), מקסימו (Maximo) ונטקול (Net Call) של יבמ. לשאלת אנשים ומחשבים בנוגע למה שנדרש לעשות כדי לשפר את רמת ההגנה על התשתיות הלאומיות הקריטיות בארה"ב, סירבה פירסון לתת תשובה מפורטת. היא רק ציינה בלקוניות, כי "יש חשש למלחמות קיברנטיות ולסוגים שונים של פגיעות במערכות מיחשוב של תשתיות לאומיות קריטיות. המצב הזה טעון שיפור, ובכך עוסקת הוועדה בה אני חברה, המייעצת לנשיא. באופן כללי, יש גידול במורכבות של מערכות ה-IT, מה שמביא לצמצום רמת האבטחה. מערכות מיחשוב צריכות להיבנות כך שהיבטי אבטחת המידע ישולבו בהן כבר מתחילת כל פרויקט. מערכות של תשתיות לאומיות, ארגוני טלקום, מוסדות פיננסיים וממשלות, דורשות רמת אבטחת מידע גבוהה – זה מה שהאזרחים מצפים מגופים אלה. מעבר לכך, את מה שיש לי לומר אני אומרת לנשיא ולא לתקשורת".
מה זו אבטחת מידע לשיטתך?
"אבטחת מידע היא כמו פיל שממששים אותו חמישה עיוורים, וכל אחד 'רואה' משהו אחר. האחד קובע שזה חדק, השני – חט, והשלישי – אוזן גדולה. אותו הדבר לגבי המושג הזה: יש מי שרואה בווירוסים את חזות הכל, ויש מי שחושב שהגנה על הרשת ופיירוול (Firewall) ארגוני הם העיקר. יש מי שבצירוף 'טכנולוגיית מידע', IT, שם דגש על 'טכנולוגיה', ויש מי שעל ה-'מידע'. כדי לשמור על המידע, להגן עליו, לוודא שהוא אמין, לא נגנב ושלא נעשו עליו מניפולציות – צריך לא רק טכנולוגיה, אלא גם חינוך, הטמעה, מדיניות ארגונית, הלימה לרגולציות, תקנות, וחוקים שונים".
"בחמש השנים האחרונות, שדות הטכנולוגיה והמידע מתמזגים, בין השאר, כי אנשים מתקשרים ברשת יותר ויותר. אבטחת מידע היא עניין מורכב, המשלב היבטים רבים. כך למשל, כשמאבטחים מידע בארגון רפואי, בנוסף לכל ההיבטים הרגילים באבטחה, יש צורך בטיפול נוסף בהיבטי אבטחת גישה, שמירת חיסיון המידע הרפואי, ניהול זהויות ברמה גבוהה מהרגיל, ועוד".
"דרך אחרת להתבונן באבטחה היא לוודא שכמה שיותר תהליכים יהיו ממוכנים. כך, תימנע פגיעה אפשרית אם עדכון טלאים או ניהול זהויות לא ייעשה באופן ידני, ויהיה מי שישכח לעדכן תחנת קצה אחת, או משתמש אחד. בסופו של דבר, אבטחת מידע היא ניהול מושכל של סיכונים".
כיצד את מתייחסת לרשתות החברתיות?
"אני מצויה בקונפליקט. מצד אחד אני עובדת בחברה המעודדת שיתוף מידע בין עובדיה לבין עצמם ואף החוצה. מנגד, מדובר בחזית חדשה של סיכונים. צריך לאזן בין שתי הגישות וזה אינו דבר פשוט. יבמ היא חברה מסובכת, עם 400 אלף עובדים, ויש למנוע מצבים של פגיעה בפרטיות או דליפת סודות עסקיים. יצרנו נוהל עבודה לנושא ב-2008, ואנו עסוקים ללא הרף בהטמעתו. הדגש הוא על תרבות ארגונית ואכיפת מדיניות האבטחה של החברה".
מה דעתך על עבודה בתצורה של ענן מיחשוב?
"הענן יילך ויתפוס תאוצה. כבר כיום שמונה מכל עשרה מנמ"רים בעולם מצהירים, כי הם יטמיעו תפיסה זו, למרות הבעייתיות שקיימת בהוצאת מידע ארגוני מחוץ לארגון. מודל מיחשוב הענן כבר בשל טכנולוגית ולכן יוטמע בארגונים. קיים סיכון לא קטן בהוצאת היישומים הארגוניים והמידע שבהם החוצה. תשובתי לנושא אחת: כל סביבה צריכה להיות מאובטחת מלכתחילה, והדבר נכון שבעתיים במיחשוב ענן".
"הענן יוצר בעיות חדשות ומרחיב בעיות קיימות. אם אני חולה וקונה במרכול, לא מעניין אותי מי הבעלים של המידע. מה שמעניין אותי זה שלא יידעו במה חליתי ומה קניתי במרכול, כלומר ששום מידע אישי בהיבט הרפואי או הצרכני לא ידלוף. הדגש צריך להיות על מי אחראי על המידע שבענן ולא מי הבעלים שלו – לשם צריכות ללכת הרגולציות הבאות. זה נכון גם לגבי מידע בתצורה רגילה, שאינו בענן".
"אחת התשובות שלנו לבעיית המידע בענן היא באמצעות הצפנה הומו-מורפית. בחור ממרכז המו"פ של יבמ עסק בפתרון בעיה מתמטית מסובכת שהעסיקה מתמטיקאים שנים רבות, ותוך כדי פתרון הבעיה הביא לנו ב-2009 תשובה. לא אכנס לפרטים הטכנולוגיים והמתמטיים, אך אומר שהפתרון מספק יכולת לקחת מידע מהענן, להשתמש במעטפת החיצונית שלו – ולא לראות את הקרביים שלו, את פרטיו".
"אני אומרת לארגונים ולממשלות שני דברים", מסכמת פירסון. "האחד – אבטחו מלכתחילה, אל תיזכרו רק בסוף. עצתי השנייה לארגונים היא, 'עשו רק 20% ממה שנדרש ותקבלו 80% אבטחה'. זה יותר ממה שהם עושים כיום, ויגדיל משמעותית את רמת אבטחת המידע שלהם. אני חוזרת על המנטרה הזו כבר 15 שנים, אבל לצערי, לא תמיד מקשיבים לי. מאמצי אבטחת המידע בארגונים לעולם לא מסתיימים – תמיד צצות סכנות חדשות".
אפילו ענקיות מידע כמו גוגל הותקפו לאחרונה על ידי האקרים סיניים. בכל חומה יש מלט בין האריחים וכנראה שהמאבק על מידע סודי ימשך לעד. קראתי בבלוג של גוגל שהאקרים סיניים פרצו למגוון חברות כימייה ופיזיקה אמריקאיות במרדף אחר מידע עליו השקיעו מליוני דולרים במחקר ופיתוח..