גרטנר: המתווה של חוק הביומטריה בישראל הוא טעות; על השוק הפרטי לממש אותו ולא הממשלה

"המתווה של חוק הביומטריה בישראל הוא טעות. על השוק הפרטי לממש אותו ולא הממשלה", קובע מייקל זבוריי, מנהל אבטחת המידע של גרטנר (Gartner), בראיון לאנשים ומחשבים. לדברי זבוריי, שהגיע לביקור בישראל באחרונה, "ממשלים טובים בזיהוי בעיות, אולם המימוש שלהן צריך להתבצע על ידי חברות פרטיות".

זבוריי טוען, כי "כאשר פוליטיקאים מתערבים בנושאים בעלי היבטים טכנולוגיים, נהיה בלגן. תנו לממשלות להגדיר את הבעיה, ואת האפיון, ההגדרה, התכנון והביצוע – השאירו לשוק החופשי, בעזרת הפיקוח המתאים. כל ניסיון לפעול בדרך אחרת יוביל לכך ששום דבר טוב לא ייצא מכך. כך, מבלי להיכנס לפרטים הטכנולוגיים של החוק, על פניו אני נגדו".

מנהל האבטחה של גרטנר מדגיש, שאין הוא מתנגד עקרונית לתוצאות החוק, כלומר הנפקת תעודות זהות ודרכונים בעלי מאפייני זיהוי ביומטריים, אלא רק מתקומם נגד אופן הביצוע. "כמו שמנהל פרויקט בחברת תוכנה לא יודע לחוקק חוקים, כך ממשלות לא יודעות לנהל פרויקטי IT. פשוטו כמשמעו. הוויכוחים והעיכובים סביב חוק הביומטריה אצלכם מובנים, אולם מיותרים. תנו למומחים לטפל בעניינים הטכניים והתפנו אתם לטפל בעניינכם".

אל תשקיעו בפיירוולים
"בעבר הייתי אנליסט, וכך יצא לי לפגוש את גיל שווייד מצ'ק פוינט (Check Point), באמצע שנות ה-90', עוד בטרם הוא היה עשיר. כבר אז התרשמתי ממנו", אמר בראיון. בשנים האחרונות חדל מלהיות אנליסט אבטחה באופן רשמי, בשל תפקידו הנוכחי, אולם לדבריו, "יש לי ערך מוסף בהכירי את הנושא משני צידי המתרס: בעבר בהיבט התיאורטי כמנהל מחקר – וכעת כמנהל אבטחת מידע של ארגון גלובלי".

איך אתה מתרשם משוק ה-IT הישראלי?
"מדובר בשוק ששם דגש מאוד חזק על חדשנות והמצאתיות. זה היתרון הגדול שלכם מול הענקיות מהמזרח, סין והודו. ישראל, בשל בעיותיה הביטחוניות, בשל העובדה שרבים הולכים לצבא, בשל הרגישות הקיימת במדינה לנושא אבטחה וביטחון – יצאו מפה לא מעט חברות הזנק בתחום, ובל נשכח את צ'ק פוינט. היתרון הזה יוצר פער משמעותי מול חברות אבטחה ממדינות אחרות".

כיצד ארגונים בעולם מתמודדים עם המשבר הכלכלי, בהיבט ה-IT ואבטחת מידע?
"יש רצון לשמר את הקיים ולא להשקיע בטכנולוגיות חדשות. אני מבחין אצל לקוחות בניצול הרבה יותר גדול מבעבר, של מערכות שכבר עובדות. מכיוון שאבטחת מידע היא נושא שכיום מחובר באופן מובהק לניהול סיכונים, אנו רואים ארגונים רבים פשוט מגדילים את טווח הסיכון בו הם פועלים, והדבר משפיע בהכרח על התנהלותו של מנהל האבטחה. המלצתי ללקוחות היא לתעדף את הסיכונים אחרי בדיקה 'מיקרוסקופית' שלהם. אצל האחד זו פריצה לאתר, בארגון אחר זו גניבה מידי עובד פנימי. כל ארגון צריך לבחון מה המשמעות, מבחינת המוניטין של הארגון וההיבט העסקי שלו – אם אירוע אבטחת מידע שנלקח בחשבון בתרחישים – אכן קורה בפועל.

בהיבט הטכנולוגי, אני ממליץ לא להשקיע בכל הפיירוולים, האנטי-וירוסים, מונעי הרוגלה ומסנני דוןאר הזבל. אם אין כסף – מה שיש, ימשיך להיות טוב מספיק גם מחר. אותה המלצה אני אומר גם לגבי הקמת SOC, מרכז תפעול אבטחה. למעט בנקים, חברות טלקום וספקיות אינטרנט, לגבי שאר הארגונים אינני בטוח בנחיצות של הקמת מרכז שכזה בימים אלה. מה שהיה טוב להן ב-2008, יהיה טוב עבורן גם ב-2010.

איפה כן הייתי ממליץ להשקיע? בתחום החדש והחשוב של DLP, מניעת זליגת נתונים. בנוסף, מומלץ לבדוק היכן ניתן לחסוך בתפעול אבטחת מידע, על ידי מיכון תהליכים. בכל מקרה, המלצתי למנהלי האבטחה היא ליידע את המנכ"לים, לא את מנהלי ה-IT – בכל פעולה שהם עושים. זה דרוש לא לצורך ועדת חקירה עתידית, או תירוץ בטרם פיטורים, אלא אני באמת מאמין שזה יכול לסייע למנהל האבטחה בפעילותו בארגון".

מה צפוי השנה ובשנה הבאה בתחום?
"גרטנר צופה כי שוק האבטחה השנה יפגין סימנים של האטה, אבל ימשיך לצמוח בכ-9%. מה שמניע את שוק האבטחה בעולם הוא אבטחת מידע ופרטיות, לצד הצורך להגן על תשתית ה-IT מפני הכמות הגדלה של המתקפות המתוחכמות והממוקדות".

"מנהל האבטחה יכול להתמודד עם המצוקה התקציבית", מסכם זבוריי, "כל שעליו לעשות הוא להדק את הנעילות על המשתמשים, או להגדיל את רמת המודעות והחינוך לתחום בארגון. שתי הפעולות הללו לא גוזלות משאבים יקרים יחסית".