גדי גילאון, מוביסק: "מנהל האבטחה צריך לחשוב על דרך החשיבה שלו"

"מנהל אבטחת המידע לא יכול לחשוב רק על טכנולוגיה. הוא חייב לאמץ חשיבה עסקית ולנהל סיכונים", כך אמר גדי גילאון, מייסד ויו"ר מוביסק.

גילאון דיבר בכנס אבטחת המידע Infosec 2015, שהתקיים באחרונה במרכז הכנסים אווניו שבקריית שדה התעופה, בהפקת אנשים ומחשבים.

לדבריו, "המעבר מהעולם הישן, מהמחשוב הקלאסי, לעידן של ימינו לא היה מעבר של תפיסה אלא יותר של אימוץ טכנולוגיות. למשל, יכולות עבודה עם מערכות פתוחות ושרתים גדולים. חל שינוי בטכנולוגיה ולא שינוי תפיסתי".

"עולם המחשוב הנוכחי מחייב אותנו לחשוב מחדש על דרך החשיבה שלנו", אמר. "זה לא אומר שאנחנו צריכים לזנוח את כל הכלים שאנחנו מכירים אבל על מנהל אבטחת המידע להתחיל לחשוב כיצד להתייחס למחשוב החדש".

גילאון ציין כי "המחשוב החדש מורכב משלושה דברים: ראשית, המובייל – מרכיב שכולל מכשירים חדשים ומערכות הפעלה חדשות. אין יצרן אחד ואין מערכת הפעלה אחת. העולם השני הוא הענן – עולם שמייצר לא מעט סיכונים ומעורר מחשבות כיצד העתיד עומד להיראות. שלישי הוא עולם האינטרנט של הדברים, היכולת לחבר אנשים ומערכות לכדי יחידה אחת".

"תפיסת האבטחה הרווחת קורסת לחלוטין"

בהמשך הוא דיבר על ההבדל הגדול, לדבריו, בין המחשוב הקלאסי למחשוב החדש, בתחום אבטחת המידע: "הסביבה הארגונית בעולם המחשוב הקלאסי היא כמו טירה מימי הביניים – עם מתחם, חומה, תעלה ורק גשר אחד שדרכו ניתן להיכנס אליה. כלומר, מתחם אחד שמוגן מסביב. כיום הטירה קיימת אך היא מאוד קטנה והרבה עסקים יצאו מתוכה החוצה, עברו למובייל ולענן ויעברו לאינטרנט של הדברים. בעצם, נוצר מחשוב ארגוני חדש".

"תפיסת אבטחת המידע הרווחת קורסת לחלוטין", אמר גילאון. "קווי האבטחה של הארגון במצב החדש יהיו שונים לחלוטין. דוגמה אחת היא BYOD. פתאום המכשיר עימו עובדים הוא לא של הארגון, אלא של העובד. עולות בעקבות זה  שאלות כמו: מה אפשר לעשות על המכשיר? מהן מגבלות הפרטיות? העולם הזה יוצר אתגר אבטחה שונה לחלוטין מזה שהכרנו עד היום. אין יותר את הגשר האחד שעליו עוצרים את כל הדברים הלא טובים".

"בנוסף, כל אחד מביא את האפליקציות שלו", אמר. "אלה כלים שמנהל האבטחה לא תמיד יודע עליהם ולכן הוא גם לא יכול לפקח עליהם. בנוסף, מקומות רבים מאפשרים לעובד לרכוש את הטכנולוגיה שהוא רוצה ולעבוד איתה. זה סיוט של כל מנהל אבטחת מידע, כי בעצם הכול פתוח".

"משמעות הדבר היא שצריך לשנות תפיסות", הוסיף גילאון. "אי אפשר לייצר פתרונות לעולם החדש מבלי לחשוב מה העולם החדש עושה. מי שמציע כיום פתרונות לעולם החדש עושה זאת על הרקע של העולם הישן ומשתמשים בפתרונות העולם הישן מהר מאוד מגלים שהצעדים שהם נוקטים אינם יעילים".

הוא ציין כי "גם מערכת היחסים בין ה-IT והארגון השתנתה. במצב הקודם, ה-IT היה קובע לארגון במה ישתמש. כיום, המשתמש, העובד, הוא זה שמחליט אם הארגון יאמץ אפליקציה מסוימת או לא. אם הוא לא יהיה מרוצה מהאפליקציה – הוא לא יעבוד בה בבית ולא יהיה מחובר תמידית למתן שירות".

בהמשך אמר גילאון כי "חייבים לדבר על משילות, אבל אי אפשר לדבר על משילות של ה-IT בלי לדעת מה קורה. אפשר לדעת, צריך רק לבקש ממנהל אבטחת המידע להתקין את הכלים. אלא שבמרבית המקרים, זה לא נמצא בסדר העדיפויות וכמו במשל שלושת הקופים, עוצמים עיניים, אוטמים את האוזניים ולא מוציאים הגה מהפה. אם לא מתקינים את הכלים – לא יודעים, לא יכולים לנקוט מדיניות ונשארים חשופים".

"צריכים לאמץ גישה היברידית"

גילאון ציין שנתוני הגישה לארגון נחשפים ונגנבים בקרב 15% מהמשתמשים הארגוניים. נתון נוסף מצביע על כך ש-50% מהמשתמשים משתמשים באותה הסיסמה ליישומים עסקיים ופרטיים כאחד, וכך האקר ממוצע יכול לפרוץ ליישום בלתי מוגן ודרכו להיכנס לארגון.

"צריכים לאמץ גישה היברידית", אמר גילאון, "לפיה הטלפון של העובד הוא גם ארגוני וגם פרטי, שהענן מכיל יישומים מאושרים ולא מאושרים על ידי ה-IT, שבעולם האינטרנט של הדברים יחוברו הרבה מאוד מצלמות ושיש בטלפונים שלנו מידע רב".

"חייבים להכין תשתית לאבטחת המידע החדשה", הוסיף. "חייבים להתקין כלים שיספקו שקיפות ויאפשרו אכיפת מדיניות. הכלים הללו נמצאים. הם עדיין לא מספיק טובים, בעוד שלוש שנים נחליף אותם, אבל הם מאפשרים ללמוד את העניין, לדעת איך מאבטחים סביבות שונות, להבין את ההבדלים והמגבלות".

"השקיפות היא העוצמה של מנהלי אבטחת המידע החדשים", אמר גילאון. "המטרה היא לא לחסום אלא לדעת מה קורה במערכת ולהגיב. הדבר החשוב ביותר הוא לטפל ב-IT הצללים. כדי לנהל אותו צריך לעבוד עם הכלים שמקנים שקיפות", אמר גילאון.

לסיכום, לדבריו, "תפיסת אבטחת המידע הארגונית החדשה דוגלת בלאפשר. העובדה שהחדשנות מגיעה דרך ערוץ שלא מבינים אותו לא אומרת שצריכים להמשיך להשתמש בשפה שמשתמשים בה. הבנת ההבדלים בין העולם הישן והחדש תאפשר תפיסה עסקית וארגונית טובה יותר והתנהלות טובה יותר של הארגון בעולם התחרותי שבו הוא נמצא".