"נדרש שמרחב הסייבר יהיה כמו ברז: המים זורמים תמיד – ולא מזוהמים"
"יש לשאול בכל אחד מממשקי העבודה מה משמעות הגנת הסייבר, להגדיר דרישות, ולהתאימן לרמת הסיכון המיטבית - כי אי אפשר להגן הרמטית", אמר אבירם עצבה, ראש מרכז תורה באגף אסדרה והכשרה ברשות הלאומית להגנת הסייבר
"אנחנו אחראים לקיומו התקין של מרחב הסייבר במדינת ישראל ועלינו לדאוג שהוא יהיה כמו פתיחת ברז מים בבית: שתמיד יהיו מים זורמים ושהם לא יהיו מזוהמים", כך אמר אבירם עצבה, ראש מרכז תורה באגף אסדרה והכשרה ברשות הלאומית להגנת הסייבר. לדבריו, "תפקידנו להעלות את חוסן הסייבר במדינה, כך שיהיה קשה יותר לתקוף אותנו – ואם תקפו, לעזור לארגונים שהותקפו להתגונן".
עצבה דיבר במסלול סייבר שנערך במסגרת הכנס השנתי ה-21 של PMI, העמותה לניהול פרויקטים בישראל. הכנס, בהפקת אנשים ומחשבים, התקיים אתמול (ד'), במלון דיוויד אינטרקונטיננטל בתל אביב, תחת הכותרת אסטרטגיית חשיבה יוצרת ערך ובהשתתפות יותר מ-1,000 מקצועני ניהול פרויקטים. מנחה המסלול היה עופר מועלם, סגן נשיא PMI ישראל לקשרי מערכת הביטחון.
בדבריו ציין עצבה שב-2015 החליטה הממשלה על הקמת הרשות, שייעודה להגן על מרחב הסייבר האזרחי של מדינת ישראל, והגדירה את אחריותה ותפקידיה. הרשות החלה לפעול ב-2016, עם מינויו של בוקי כרמלי כראשה – על ידי ראש הממשלה ובאישור הממשלה.
"אחד הדברים שעשינו", ציין, "הוא לפרסם תורת הגנה לאומית לארגונים, כדי שכל ארגון בישראל יוכל להעלות את רמת ההגנה שלו נגד אירועי סייבר. הרעיון הוא להבין מה יש בארגון, איך נכון להגן, לאתר מתקפות, להתמודד מולן ולאחר מכן לחזור לתפעול".
לדברי עצבה, "בעולם שאנחנו חיים בו יצליחו לתקוף אותנו, כי אנחנו בונים פרויקטים, שירותים ומערכות עם הרבה חורים. לכן התוקפים מצליחים להיכנס. ככל שנבנה אותם בצורה מאובטחת יותר, כך יהיה קשה יותר להצליח במתקפה". הוא אמר ש-"הנזק אמר יתבטא בהשפעה על תשתיות קריטיות, כניסה למאגרי מידע גדולים, זליגת נתונים או גניבת כסף. לכן, חשוב לפתח מוצרים ושירותים בצורה מאובטחת, כדי למנוע נזקים: אובדן עסקים ונכסים, פגיעה במוניטין וחבות משפטית".
בהמשך הוא דיבר על תפקידיו של מנהל הפרויקט בעידן הנוכחי ואמר כי "עליו להבין שבעידן החדש, הגנת הסייבר היא באחריותו". עצבה העריך ש-"בעתיד הלא רחוק, תהיינה תביעות לא רק נגד התוקף והתשתית – אלא גם נגד יצרן שייצר מערכת לא מאובטחת".
"מהנדס המערכת – חוליה קריטית"
בהמשך תיאר עצבה שורת שדות בהם נדרשת פעילות הגנת הסייבר. כך, אמר, "יש לשאול בכל אחד מממשקי העבודה מה משמעות הגנת הסייבר, יש להגדיר את הדרישות ולהתאימן לרמת הסיכון המיטבית, כי אי אפשר להגן הרמטית. ברמת הנדסת המערכת, יש להבין את הממשקים עם כל הגופים עימם הם עובדים. מהנדס המערכת הוא חוליה קריטית, תפקידו לדאוג שהמוצר יהיה בעל רמת הגנה נאותה".
לגבי פיתוח חומרה, הסביר עצבה כי "ארגונים חיים עם זה בסדר, עד שהם 'חוטפים', כשהם מפתחים חומרה לא מאובטחת. מהנדס החומרה צריך להישאל האם הוא מוגן, כדי להבין את רמת הסיכון".
הוא הדגיש ש-"פיתוח תוכנה הוא האזור הכי קל לפריצה, מכיוון שיש בו המון פונקציונליות. ישנם מתודולוגיות וכלים ליצירת מוצרים מאובטחים יותר".
לדבריו, "היבט האינטגרציה והבדיקות הוא החוליה החלשה בארגון. לוקחים מוצר או מערכת ומכניסים אותם לארגון. יש לבחון איך אנשי הבדיקות בודקים, האם הם מנסים לחדור למוצר, ויש לראות האם הוא עמיד. ישנה מתודולוגיה שלמה להגנה בסייבר והיא קריטית להוצאת מוצר מאובטח".
עוד הוא דיבר על מימד פס הייצור ואמר כי "בעבר היה קשה לבצע מתקפות סייבר נגדו, אבל כיום קל לעשות זאת, כי יש תוכנה ורובוטים". השלב הבא, לדבריו, "הוא התקנות אצל הלקוח. ככל שיעבור הזמן, לארגונים יהיו יותר דרישות משלהם להגנת סייבר, ויש לענות להן".
"יש לשלב את הגנת הסייבר לאורך כל מחזור חיי הפרויקט"
עצבה הוסיף כי "הגנת הסייבר נדרשת להיות משולבת לאורך כל מחזור חיי הפרויקט. אם לקוח לא קונה שירות עדכוני אבטחת סייבר, כעבור זמן הפרויקט יהיה פריץ. חייבים לוודא שלאורך חיי המוצר ניתן יהיה לעדכן את מנגנוני האבטחה, שהמוצר או השירות יהיו מוגנים בכל עת ובכל שדרוג. לבסוף, יש להתייחס לגריטה. תוכנה ממשיכה לחיות בנכס בו היא נמצאת, המידע שווה כסף ואי אפשר לזרוק את המוצר בלי תהליך גריטה מסודר".
לסיכום הוא אמר כי "יש להפוך תקליט בכל הקשור להגנת הסייבר, לעשות סוויץ'. יש להתייחס להיבט הגנת הסייבר בכל השלבים. אם זה לא יבוא בטוב – זה יבוא דרך רגולציות וחוקים. אנחנו, ברשות הלאומית להגנת הסייבר, רוצים להוביל את התחום. כשהביקוש יגיע למוצר מאובטח – נקדים את העולם. יש יתרונות רבים בכך שכולם ייכנסו להגנת הסייבר ואנחנו, ברשות, אחראים לכך ברמת המדינה. כל מנהל פרויקט מוסיף אבן לגו לאקו-סיסטם ואנחנו רוצים שכל אבני הלגו יהיו מאובטחות – על בסיס ידע, מתודולוגיות, כלים וביצוע ניהול סיכונים".
תגובות
(0)