ארט קוביילו, יו"ר RSA: "ארגונים חייבים לשתף פעולה בהגנה מפני מתקפות"

ארט קוביילו פועל כבר מעל ל-30 שנה בתעשיית ההיי-טק, מתוכן 17 בליבת תחום אבטחת המידע. ב-1995 הצטרף ל-RSA וכמנכ"ל הביא אותה ממחזור של 25 מיליון דולרים בשנה, ליותר ממיליארד בשנת 2007, כאשר נרכשה על ידי ענקית האיחסון והתוכנה, EMC. כיום משמש קוביילו כסגן נשיא אקזקוטיבי ב-EMC ויו"ר פעיל של RSA – חטיבת האבטחה של EMC. אחריותו כוללת גיבוש האסטרטגיה של RSA וניהול פעילותה היומיומית. כלומר, קוביילו מנהל את שני המישורים המקבילים והמשלימים: האסטרטגי והטקטי כאחד. הצלחתו המרשימה בהובלת RSA ובמיצובה כמובילה העולמית באימות דו-גורמי (Two Factor Authentication), בהצפנה ובניהול זהויות וגישה, כמו גם השתתפותו בוועדות נשיאותיות בארצות הברית המייעצות בנושאי אבטחה – קבעו את קוביילו כמוביל דעה עולמי ובר-סמכא בתחום.

הקשר הישראלי שלו החל כאשר רכשה RSA את סיוטה (Cyota) הישראלית בשנת 2005, תמורת כ-145 מיליון דולרים. עם השלמת העסקה, הפכה RSA למובילה העולמית גם בהגנה על ארגונים פיננסיים מפני מתקפות לגניבת נכסים. צוות מעבדות RSA בישראל נוסד על בסיס עובדי סיוטה. מאז הרכישה גדלו המעבדות, והן מעסיקות כיום מעל 150 מומחים, המנטרים את הרשת העולמית ללא הפסקה – 24 שעות ביממה, שבעה ימים בשבוע. קוביילו כבר ביקר במעבדות החברה בישראל, והוא עתיד לבקר שנית בתחילת השנה הבאה, לאחר שנענה להזמנתו של אלישע ינאי – יו"ר איגוד תעשיות האלקטרוניקה והתוכנה בישראל. במהלך הביקור ישמש קוביילו כמרצה הפותח בכנס השנתי של האיגוד, שיערך ב-17 בינואר במלון דיוויד אינטרקונטיננטל בתל אביב.

פגשתי את ארט קוביילו הנמרץ בכנס השנתי של משתמשי RSA באזור EMEA, שנערך בתחילת החודש במרכז הכנסים הילטון-מטרופול שבלונדון.

מתחילתה ולאורך ההיסטוריה שלה, תעשיית אבטחת המידע תמיד נמצאת במצב אפולוגטי, כשהיא נעה בין הצטדקות על חובת ההשקעה בהגנה לבין הדיפת הטענות שהיא ממציאה את איומי האבטחה כדי לייצר לעצמה פעילות והכנסות. המקרה המובהק ביותר היה בשנות השמונים של המאה הקודמת, כאשר תקפו את העולם וירוסים חדשות לבקרים, עד שבתעשייה תהו מי מייצר ומפיץ וירוסים אלה? מה דעתך, כמוביל עולמי של תעשיית האבטחה, על טענות אלה שמועלות מעת לעת?
"ראשית, אני לא תופס את הגישה של הספקים כהצטדקות כלל, כי האיומים אכן קיימים והם הולכים ומתגברים – החל מימי הפצת הווירוסים בשנות השמונים ועד למלחמת הסייבר של ימינו. כיום כבר אין מתקפות של וירוסים, כי ההגנות שבתוך מערכות ההפעלה חזקות מאוד ויודעות לטפל גם בווירוסים ללא חתימה, כלומר וירוסים חדשים שטרם התגלו. אך התקפות על נכסי המידע של הארגונים והממשלות בעולם, רק הולכות והופכות למתוחכמות ונועזות יותר. מתברר שנוצר שיתוף פעולה בין גורמים ברמה של מדינה ובין גורמי עולם תחתון ופשע, המתמחים בפריצה לארגונים מבלי להשאיר סימני חדירה או להעיר את מנגנוני ההגנה של המותקפים.

אגב, המדיה שמשמשת שופר לדעות ולתובנות שהזכרת, אינה חשופה לכל מה שקורה בתחום העלום הזה של מתקפות ברשת העולמית. לנו, כחברות אבטחת מידע, אין אינטרס לגלות את כל מה שאנו יודעים ואת כל מה שגילינו, מטעמים ברורים – של השארת הגורמים העוינים באפילה. ידוע הוא שיותר קל לתקוף מאשר להגן, לכן אין סיבה לספק לתוקפים מידע חשוב שנצבר בידי המתגוננים".

התעשייה טוענת, כי גורמים מדינתיים הם בין התוקפים בזירת הסייבר. מאז התקיפה המפורסמת על RSA, לפני כשנה וחצי, גם אתה ציינת זאת בנאומי הפתיחה שלך בשני הכנסים האחרונים של RSA. עם זאת, אף אחד מהטוענים אינו מזכיר מדינה כלשהי בשמה. כך יוצא שכל מדינה עשויה להיות חשודה, או שהאשמות הללו הן ניחושים בלתי מבוססים. מה דעתך?
"אכן, האמת היא שמדינות הצטרפו למתקפות בעולם הסייבר, כי כדי לייצר התקפות כל כך מתקדמות על ארגונים שמשקיעים רבות באבטחת מידע, חייבים משאבים ברמה שרק גורמי-על ברמת המדינה מסוגלים לגייס. מדינות נעזרות בגורמי פשיעה מקומיים ובינלאומיים, כדי לפרוץ לארגונים שיש להם מידע שחשוב לארגון המדינתי התוקף. יש גם מתקפות ברמה מדינתית שהמטרה בהן אינה להשיג מידע מודיעיני, צבאי ו/או עסקי, אלא להסב נזק למדינה המותקפת. למשל, המתקפות על אסטוניה, על גיאורגיה ועל מוסדות בברזיל ובארצות הברית וגם על איראן ועל מתקני הגרעין שלה. אף מדינה, לא זו שיזמה את ההתקפה וגם לא זו שביצעה אותה, הזדרזה להודות בכך. באופן טבעי, כל המדינות מתעלמות ומעדיפות לפזר עמימות. אבל כל מי שמעורב בתעשיית האבטחה יודע מי עושה מה ומתארגן להגנה בהתאם. אני ממליץ לארגונים ממשלתיים ועסקיים להיערך להגנה ולהתקפת-נגד בשיתוף פעולה, כדי להגביר את סיכוייהם".

תשובתך מובילה אותי לשאלה הבאה: בכנס אתה טוען, שאף ארגון לא יוכל יותר להתגונן לבדו בנפרד מארגונים אחרים, כי עוצמת המתקיפים הולכת וגוברת, ולכן הארגונים יצליחו מעתה לעצור התקפות רק בעבודה יחדיו ובשת"פ גלוי וצמוד. למי אתה קורא לעבוד יחדיו והאם יכולים להיווצר שיתופי פעולה ברמת ארגונים וגם ברמת המדינות?
"ראשית, אני קורא לארגונים עסקיים. הם חייבים להתארגן יחדיו להגנה מפני ההתקפות החזקות המאיימות עליהם ועל ארגונים אחרים הקשורים אליהם בקשרים עסקיים. כל שרשרת הערך של כל ארגון חשופה להתקפה. לא מדובר רק בארגונים גדולים או ביטחוניים הקשורים לממשלות, אלא גם בעסקים קטנים המשמשים כספקים לאחרים. לכן, חייבים לשתף מידע ודרכי פעולה בהגנה.

אפשר לראות את שיתוף הפעולה שקיים כבר שנים רבות בין הגופים הפיננסיים בעולם. הבנקים, הכפופים לרגולציה חזקה ונתונים לתקנות ממשלתיות, משתפים ביניהם פעולה כדי לשפר את תגובותיהם גם באבטחת מידע. סיבה חשובה נוספת היא המוצר של הבנקים, שהוא 'כסף', והערך של הגנה עליו מפני מתקפות ברור לכולם. אך כמו המגזר הפיננסי, יכולים לעשות זאת גם ארגונים במגזרים אחרים. בטווח הארוך, אני בטוח שיקומו שיתופי פעולה כאלה במגזרים נוספים, שיחצו גבולות מדינתיים ויגלו את הערך הגדול של שיתוף הפעולה לעומת התגוננות של כל גוף בנפרד – אפילו גורמים שמתחרים זה בזה".

אתה פותח כל כנס של RSA בהטפה כיצד להתגונן, בהסברים לאן הולכת התעשייה ובעיקר מעודד את המנמ"רים בארגונים להעלות את המודעות שבחשיבות השקעת משאבים באבטחת המידע. מה יוצא ל-RSA מהרצאותיך? בסופו של יום, אתה אחראי להגדלת ההכנסות של החברה?
"נכון שאני תמיד נושא נאומים ברמת-העל של תחום האבטחה ומקפיד לחשוף את המגמות החדשות בפריצות הגנה ובהתקפות על ארגונים. כיום כבר אין צורך לעורר את המודעות לאבטחת המידע ואף לא להגביר אותה, כי כולם מודעים – ממנהל אבטחת המידע בארגון, דרך המנמ"ר ועד צמרת ההנהלה והמנכ"ל. היום חייבים ללמד את הארגונים להשתמש בשיטות אבטחה מבוססות בינה עסקית ובמודיעין כלכלי ומעין צבאי. המודלים העדכניים של אבטחת המידע אינם מתקדמים במהירות מספקת לביצוע המעבר מאבטחה מבוססת היקף, לאבטחה מונחית מודיעין. זאת, בעוד שהאויבים הופכים למתוחכמים יותר. אסטרטגיות, גישות וטכנולוגיות מיושנות, מונעות מארגונים להתגונן בצורה יעילה מפני סיכונים שמתפתחים במהרה.

אני גם טוען מעל כל במה שניתנת לי, שההקצאות הבלתי מאוזנות בתקציבי האבטחה, המחסור בכוח אדם מיומן ופער התפיסה לעומת המציאות, מהווים את האתגרים המרכזיים הפוגעים באפקטיביות של ארגוני אבטחה. אני מציע דגם של אבטחה מונחית מודיעין, שמבוסס על הבנה מעמיקה ותעדוף מחדש של סיכונים עסקיים ומתמקד באסטרטגיות למיתון סיכונים. הטמעת אסטרטגיות אלה מייצרת ארגונים עמידים בפני איומים, הפועלים בהלימה ובתאימות לתקנות (Compliance). עוד תובנה שאני מציג בכל עת היא, שהמצב המצוי לעומת הרצוי הוא ש-80% מתקציב האבטחה בארגונים מיועד להגנה מפני פריצות ונוזקות למיניהן, ורק המעט שנותר הולך למעקב, ניטור ותגובה. המטרה היא ליצור איזון בין התקציבים, ולהביא למצב שבו תקציב התגובה, כלומר ההתקפה, יצמח לכדי שליש.

לגבי השאלה, מה יוצא לי ול-RSA מנאומי 'התוכחה' שלי, ובכן כך מזהים אותי ואת RSA – כמבינים את התחום וכמובילים את אבטחת המידע בארגונים. הקהל שומע מה יש לנו להציע למנמ"רים כפתרונות מוכחים לבלימת ההתקפות להגנה על הנכסים הפיננסים ונכסי המידע. RSA מוכרת בעולם כמובילה באבטחת המידע מאז התחלנו להציע פתרונות, ועתה המנמ"רים נוכחים שאנו מתחדשים ומתעדכנים, כי יש לנו מידע מובהק ומוכח של מציאות הסייבר ופתרונות האבטחה שלנו מדויקים ואמינים. ההוכחה היא שאנו ממשיכים לצמוח".

כמי שמכיר ומוקיר את השוק הישראלי, חברות האבטחה בו והרמה הגבוהה של האנשים הפועלים בו, איך אתה רואה את התפתחות שוק אבטחת המידע הישראלי ומה בדבר רכישת ידע ו/או חברות מקומיות?
"כולם מכירים את 'הסוד' וגם אני שותף לו: ישראל ואנשי אבטחת המידע שלה הם מהטובים בעולם. החממה הטובה בעולם היא הצבא הישראלי וזרועות המודיעין שלו, המובילים באבטחת מידע ובהתקפות מתקדמות ביותר – כך לפחות לפי המתפרסם במדיה הגלובלית. יש לנו פעילות מעמיקה ורחבה של ניטור הרשת העולמית מפני חדירות ופריצות, כשירות מתקדם לאלפי בנקים ומוסדות פיננסיים בעולם וגם מעבדות פיתוח למוצרי אבטחת מידע. בקרוב יתמנה מנכ"ל חדש לפעילות של הצוות, והוא יהיה איש מקצוע בכיר מהמעלה הראשונה.

ייתכן שבעתיד נרכוש טכנולוגיות או חברות אבטחה ישראליות נוספות. במבנה של EMC יש מנהל פיתוח עסקי ברמת החברה כולה וגם מנהל מיוחד לפיתוח עסקי ורכישות ומיזוגים, המקדיש את זמנו לחטיבת אבטחת המידע, RSA. כלומר, אנו רציניים ביותר להמשיך ולצמוח – הן אורגנית והן על ידי רכישות. ישראל היא תמיד מקום מעניין לאתר בו את הדבר הבא בטכנולוגיה בכלל ובאבטחת מידע בפרט".

הכותב הוא שליח אנשים ומחשבים לבריטניה