"ככל שהטכנולוגיה הולכת ומתפתחת – כך נפתח פתח לכישלונות מבצעיים"

"בארגונים ביטחוניים, הדבר הראשון בהגנה הוא הפרדה בין המערכות המבצעיות, שעליהן להיות מנותקות מהעולם החיצון, מהאינטרנט, למערכות המנהלתיות, שחייבות להיות מחוברות לרשת. עוצמת הגנת הסייבר הנדרשת על המערכת המבצעית היא מוחלטת, שאם לא כן, ניתן לפגוע בכל יכולות הפיקוד והשליטה של ארגון דוגמת צה"ל", כך אמר הרמטכ"ל לשעבר, רא"ל (מיל') דן חלוץ.

חלוץ דיבר בפאנל שנערך היום (ב') במסגרת אירוע שקיימה סייפוקס הישראלית, שבו היא השיקה סוכן תאימות רגולטורית אוטונומית, מבוסס GenAI. את הפאנל, שדן בעתיד סיכוני הסייבר והתאימות לרגולציות, הנחה יוסי טל, מנכ"ל החברה.

"כשהייתי בחיל האוויר", אמר חלוץ, שהיה מפקד החיל, "מערכת מבצעית נחשפה לתקיפה פנימית. הבעיה הראשונה היא כיצד לחנך אנשים שלא להכניס התקנים חיצוניים למערכת. כשלא ידענו מה לעשות, התקנו התרעה למקרה של חיבור לא מורשה למערכת – והיא הושבתה מיידית. זהו אתגר יוצא דופן, והוא כרוך בשלושה היבטים: חינוך, משמעת וסנקציות".

הוא סיכם באומרו כי "אתגר ההתגוננות הוא כבד. ככל שהטכנולוגיה הולכת ומתפתחת, כך גדלה מידת החשיפה. לחות'ים אין בעית הגנת סייבר, כי מהאוהל בצנעא אי אפשר לנהל הרבה מערכות דיגיטל וסייבר. לעומת זאת, בארגונים מפותחים יותר, אם אתה לא מוגן ב-100%, אתה פותח פתח לכישלונות מבצעיים. המאבק בין המגן לתוקף הוא משחק מתמשך של חתול ועכבר. מרבית ארגוני הפשע האיכותיים שעוסקים בסייבר לא מלבינים כסף 'שחור' – אלא גונבים כסף לבן".

שלי שלמה בראונשטיין, סמנכ"לית לקוחות ומשאבים בקוד בלו. צילום: יגאל פסחוב

שלי שלמה בראונשטיין, סמנכ"לית לקוחות ומשאבים בקוד בלו, אמרה בפאנל כי "רגולציות ותקנות מגזריות הן נושא חשוב, אבל הן גוזלות משאבים רבים בדרך לעמוד בהן". בראונשטיין, שבשנים האחרונות הייתה סמנכ"לית אבטחת המידע והגנת הסייבר של מנורה מבטחים, ציינה ש-"אני מגיעה מהעולם הפיננסי, ומאמינה בצורך ובחיוניות של הרגולציות לתפקוד משופר של ארגונים. נדרש להפוך את נקודת המבט: במקום להתייחס על הרגולציה כעל משקולת מכבידה, יש להפוך אותה למנוף להצלחה ולעוד רובד הגנה".

לדבריה, "הרגולציה, כמות שהיא, היא מסמך שכתוב באופן 'כבד' ומסורבל, כזה שלא פשוט להבין ולפעול לאור ההנחיות שכלולות בו. על מנת להבין אותה וליישמה בצורה המיטבית, יש לחבור ליועץ המשפטי בארגון ולגורם עסקי טכנולוגי שרלוונטי לנושא. ביחד יש להביט על הרגולציה כעל זו שמסדרת, שממנפת את הארגון קדימה".

בראונשטיין הוסיפה כי "יש צורך לציית לרגולציה, ונדרש לעקוב אחרי המימוש של התאימות אליה, גם במטרה שההנהלה תבין למה נושא הגנת הסייבר הוא חשוב. יש להביא שימת לב ניהולית לתחום ולהראות כיצד רצוי ליישם את התאימות גם ממניעים עסקיים – למשל, מניעת הונאות. כשקורה אירוע סייבר – הכאוס שולט, והטמעת יכולות הגנה מבוססות AI עשויה לצמצם את השפעת האירוע".

עוד היא אמרה ש-"אבטחת מידע היא לא הבעיה של מנהל האבטחה בארגון, ואם זו הבעיה שלו – הארגון מצוי בבעיה".

חזי כאלו, לשעבר מנכ"ל בנק ישראל. צילום: דוברות הבנק

דובר נוסף בדיון היה מנכ"ל לשעבר של הרגולטור המרכזי על המערכת הפיננסית בישראל – בנק ישראל. הדובר, חזי כאלו, אמר כי "בהיותי בבנק, הוטל עלינו להקים מאגר נתוני אשראי, להגדלת התחרות בשוק האשראי, עם הנגשת מידע זמין לציבור. הקמת המאגר נוהלה כמעט כמו מבצע צבאי: פחדתי מחדירת סייבר לבנק ישראל. אמנם אין שם סודות אטום, אבל חוסנו של הבנק טמון ב-IT שלו ובאמון הציבור בו. חששנו מבעיות הגנת מידע ופריצות. סירבתי לקבל את האפשרות שתהיה פריצה. התייעצתי עם גופי מודיעין והקמנו 'צוות אדום', שנדרש לתקף את תפיסות האבטחה של הארגון ולראות כיצד להתגונן. הקמת המאגר עברה בשלום, אבל נותרתי מודאג – מה קורה כשהשומרים נרדמים? ביצענו בדיקות חדירה, גילינו פרצות וזיהינו כשלים – אבל זה תהליך לא פשוט".

"לא מעט ארגונים חושבים שהם אלופי העולם בהגנה. ביטחון עצמי מופרז ויהירות הם מאוד מסוכנים – ובכל תחום", אמר.

כאלו סיכם בציינו כי "אבטחת מידע זו הבעיה של המנכ"ל. מנכ"ל שלא יעסוק בכך – יחטוף".