<
יום שני , דצמבר 18 2017
מבזקים

שולחן עגול סייבר: הממד של תשתיות לאומיותP1520797

יהודה אלידע: התכנסנו כאן, במשרדי גיתם, לדון בנושא בטיחות ושרידות מערכות תשתית לאומית, כמו תקשורת ואנרגיה, בעידן שלוחמת סייבר מתחילה להסתמן כאיום הגדול ביותר על כלכלות מפותחות וצבאות מתוחכמים. גם בתשתיות האזרחיות, סיכוני חבלנות מקוונת תופסים את מקומם של פצצות אקדחים כגורם המדיר שינה מעיני הממונים על שלום הציבור. תקשורת, לדוגמה, ממלאת חלק מאוד מהותי בתפקוד של החברה. המוסדות המדינתיים והעסקיים, כמו גם זרימת חיי היומיום של הפרט, לא יכולים לתפקד בלי תקשורת – אבל תשתית התקשורת פרוצה יותר מכל תחום אחר למתקפות סייבר ולניצול פלילי. כי תקשורת מהגדרתה היא מדיום פתוח וחסינותה לא יכולה לבוא מגדרות תיל או מחומות אש סביב הפרימטר. שאלת הפתיחה שלי היא, איך אנחנו כאזרחי מדינה תחת איום מתמיד מוודאים, שמעבר לאינטרס של כל חברת תקשורת כשלעצמה להגן על התשתיות שלה, המדינה מספקת סביבה בטוחה למרחב התקשורת ברמה גבוהה יותר מכל מה שחברה פרטית יכולה להרשות לעצמה מבחינה כספית?

דר יצחק שמר

דר יצחק שמר, ראש התוכנית ב"ניהול מערכות מידע" במכללה האקדמית לישראל.

יצחק שמר:    אני חושב שהנושא נוגע להרבה יותר מאשר תחום התקשורת בלבד. אנחנו מתחילים בפיגור משמעותי, כיוון שהמודעות לנושא האבטחה של כל התשתיות, או שלא הייתה קיימת או שלא הקדישו לך את המשאבים הדרושים בתקווה שהבעיה תעלם מעצמה. נקודה שנייה, אבטחה דורשת התגייסות של כולם, בכל הרבדים הארגוניים. לומר שהממשלה תטפל, שהממשלה תעשה, וכל אחד מהגופים אחרים יישאר שאנן, זה ממש לא הולך. נדרשת עבודה בכל הרבדים, גם ברמה הלאומית, גם ברמת החברה, וגם ברמת המשתמש הבודד. ועוד תובנה כללית, כלים טכנולוגיים (מעולים ככל שיהיו) אינם מספיקים בלי מנהלי אבטחה, בלי הדרכת משתמשים, בלי אכיפה.  הכלים הטכנולוגיים הם תנאי הכרחי אבל לא מספיק. הרגולטור כנראה צריך לייצר איזשהו סטנדרט לרמת סף של הגנה, ולאכוף אותו, כרגולטור, לא כנותן שירות, לא כמבצע.

ישראל לבבי: לעניות דעתי לא משנה מה לא תעשה, אי אפשר לחסום, אי אפשר להגן, ולכן הפתרון צריך להיות במקום אחר. רגולציה, בירוקרטיה, אלה דברים שבעולם אוטופי אולי אפשר להביא למימוש, אבל לא בעולם האמיתי כפי שאנו מכירים אותו היום.

יהודה אלידע: למה זה שונה מאשר רגולציות על בטחון בכבישים? גם זה נושא בעייתי, והממשלה אמורה לטפל בו.

ישראל לבבי: לצמצם, בוודאי, אבל לסגור הרמטית אין מצב. לכן צריך לראות איך מסיטים את ההתפרצויות לכיוונים אחרים.

דובב פלג:     אני מסכים לחלוטין עם ישראל, אין 100% הגנה. ואני חושב שרגולציה מהווה בסיס מאוד משמעותי לרבדים נוספים של אבטחה. האנלוגיה לכבישים היא טובה מאד, וממנה נלמד את חשיבות החינוך להתנהגות בטוחה. עד לא מזמן, לחגור מאחור היה נשמע הזוי כמעט – והיום זה הדבר הכי טריוויאלי. כולנו מכירים בכך, שהפרצות  הכי גדולות מתחילות באנשים, אז כמו שחינכו אותנו לבטיחות דרכים, צריך להתחיל לחנך לביטחון מידע מגיל נמוך, אפילו במסגרת בתי ספר יסודיים. הבנות שלי, למשל, כבר משתמשות בסמארטפונים, כלומר בגיל 5 הן נחשפות לסיכוני סייבר.

יהודה אלידע: חינוך תמיד נתפס כמקור הטוב החברתי – אפילו המורים הלא טובים נחשבים ליותר טובים ממני – אבל השאלה היא כזאת: האם במילה רגולציה אתה מכליל קביעה של סטנדרטים? כלומר לא סתם להגיד שצריך להיזהר, אלא שהמדינה תקבע הגדרות ברורות למה נחשב בטוח ומה לא, כיום אנחנו חיים משמועות.

עידו נאור:      לפני כמה שנים אנשים גם אמרו דברים דומים לגבי עישון. איך לעשות רגולציה לעישון, כשאנו לא יכולים לעקוב אחרי כל אדם, שהולך עם קופסת סיגריות ומעשן איפה שבא לו. ובכל זאת אנשים התחילו לאט לשנות הרגלים, ולהבין שבמקום סגור אסור לעשן. היום אנשים לא מעשנים במקומות סגורים, אין ציות לחוק ב-100%, אבל רוב המעשנים לא מנסים להתחכם עם החוק.

ישראל לבבי מנהל תחום SCADA/HMI בחברת אפקון בקרה ואוטומציה

ישראל לבבי מנהל תחום SCADA/HMI בחברת אפקון בקרה ואוטומציה

יהודה אלידע: יש גם הבדל בקריטיות של החשיפה. אם אשב במסעדה עם אדם מעשן, אני לא נופל מיד מת מסרטן ריאות, אבל, כן יכול להיות שחשיפה במשך דקה לאיזשהו איום סייבר תפיל תשתית חיונית למדינה.

יצחק שמר:    בסיכומו של דבר, זה חוזר לשאלת הכסף. בעיניים של הנהלה עסקית, השקעה באבטחה היא תקורה.

אהרון יוסף:   ביטחון מגן כנגד הפסדים. האם רגולציה תיתן לנו הגנה ב-100%, חד משמעית לא!  אני לא חושב שרגולציה פותרת בעיות. עד שרגולציה קורמת עור וגידים לוקח שנים. אבל אירועים משתנים וקורים על בסיס רצוף, בעולם כיום מתגלים כעשרים Malware (נוזקות) כל שנייה. לדעתי, לא ניתן להגן מפני משהו שמשתנה כל הזמן באמצעות רגולציה. תמיד יהיו אנשים שינסו לראות איפה אפשר לעקוף את התקנות, כי זה הטבע האנושי. החינוך עוזר באיזושהי צורה, וגם רגולציה עוזרת, אבל האיומים משתנים כל הזמן. אנחנו מגיבים הרבה פעמים בדיעבד, ואם הרגולציה לא פותרת את בעיית הבעיות – כיצד להתמודד עם איומים שפספסתי בזמן אמת – יהיה בלתי אפשרי להתמודד עם האיומים האמיתיים הקיימים כיום.

עידו נאור:      אי אפשר לאבטח בלי להשקיע כסף, משאבי אנוש, הקצאת תקציב. ואם אחרי כל ההשקעה לא קרה כלום, וההנהלה אומרת למנמ"ר "על מה הייתה הפניקה?" והוא עונה," זה בזכות כל מה שעשיתי!" הפרדוקס הוא, שככל שאתה מצליח יותר בהגנה כך יותר קשה לך להוכיח את הנזקים שחסכת.

אהרון יוסף:   יש פה קבוצת ביקורת, אתה רואה מה חסמת ואיפה חסמת. נכון, אתה לא רואה מה לא הצלחת לחסום, אתה עיוור לדברים האלה, ולכן אתה לא באמת יכול לומר ב-100% ביטחון שהודות להשקעה הארגון בטוח מקצה לקצה.

יהודה אלידע: אני לא מחפש אשמים, אבל מגיעה לי הזכות, שהמדינה תגן עליי ברשות הרבים משגיאות של אחרים.

דובב פלג:     הדרישה להצדיק את העלות הכלכלית של אבטחה אינה ריאלית. כפי שאתה לא חייב להצדיק את העלות של מערכת כיבוי אש, כי יש רגולציה. אף אחד לא יזניח את תחזוקת מערכת כיבוי אש משום שב-20 שנים אחרונות לא הייתה שריפה… זה גידור סיכונים. התפקיד של הרגולטור הוא לקבוע את הסף התחתון, בוודאי שהוא לא קובע את הסף העליון. מבחינתי, כמו שבניין לא מקבל טופס 4, כי אין לו מערכת כיבוי אש, בנק לא יקבל אישור לעבוד אם אין לו רמה מסוימת של אבטחת מידע. הרגולטור לא צריך לקבוע כלים, והוא גם לא עושה את זה. הרגולטור צריך לקבוע סף מינימום – במיוחד לגבי מערכות קריטיות – ולאכוף אותו.

דובב פלג מנהל ההנדסה בבזק בינלאומי

דובב פלג מנהל ההנדסה בבזק בינלאומי

שמוליק ארן:  נקסטניין פעילה במגזרי תעשייה ותשתיות קריטיות כגון אנרגיה, חשמל, הובלה וייצור. התפיסה המסורתית במגזרים אלו הייתה מבוססת על מספר הנחות: 1. אף אחד לא מעניין אותו להתקיף אותי. לא נכון. 2. אף אחד לא יודע איך להתקיף. שוב, לא נכון. והעיקרון שלישי, אי אפשר להתקיף אותי כי אני מנותק מהאינטרנט. לא נכון בעידן הדיגיטלי. היום ההנהלה רוצה לקבל החלטות מבוססות מידע אותו יש לאסוף מהמפעל ולהוציא החוצה. בנוסף, מנהל המפעל חייב לאפשר למומחים גישה מרחוק לטובת תחזוקה מונעת וטיפול בבעיות.

יהודה אלידע: כלומר, נקודת המוצא היא, שהקישוריות של הכל נוצרה בגלל שזה מועיל, לא בגלל שזה מזיק.

שמוליק ארן: הקישוריות היא מציאות, המטרה לאפשר אותה באופן בטוח. בארה"ב כבר הוציאו הנחיות ותקנות cybersecurity למפעלי תעשייה ותשתיות לאומיות. השילוב של תקינה ודיווח בתקשורת על התקפות מייצר מודעות אצל מקבלי ההחלטות. המנכ"ל, לא רוצה ללכת הביתה בגלל פריצה של האקרים ובוודאי שאינו רוצה להיות חתום על נזק לסביבה או פריצה שעלתה בחיי אדם. למשל ב-Target. המנכ"ל הלך הביתה, מנהל התפעול הלך הביתה, המנמ"ר הלך הביתה. אירועים כאלו גורמים לחברות לבחון לעומק את החשיפה שלהם ולהוסיף שיקולי Cyber Security לצד שיקולי יעילות ובטיחות בעבודה. מנהל האבטחה נקרא לישיבות ההנהלה, בהן הוא נדרש לענות איך הוא מגן על המפעל בפני התקפות סייבר שישבשו את היצור , יגרמו לשריפה או נזק סביבתי. לדוגמה; מערכת אוטומציה של שניידר אלקטריק, במתקן של חברת נפט גדולה התקלקלה' ולצוות המקומי לא היו את המיומנות לתקנה. הם רצו שמומחה של שניידר יכנס מרחוק למחשב התעשייתי ויתקן את הבעיה במהירות, כל דקה שעוברת הכסף לא זורם וחמור מכך, יתכן ועולה הסיכוי  לאירוע בטיחות (safety). החברה חייבת לבחון האם הרווח ליעילות המפעל והשיפור בבטיחות עולה על חשיפת security שנגרמת  כתוצאה מכניסה מרחוק, והתשובה היא כמעט תמיד כן. ולכן אנשי ה  security  נדרשים לאפשר קישוריות מאובטחת.

יהודה אלידע: עכשיו אנחנו רוצים להגיד, שלתקשורת הזאת מאותה פלטפורמת קידוח למטה שניידר בצרפת, צריך להיות פיקוח צמוד, כמו שיש פיקוח על זהות הטכנאי שמותר לו בכלל להעלות עליה. אני לא יכול לבוא למתקן, ולהגיד תנו לי לתקן את הבעיה. כי יש רגולציה, צריך תעודת הסמכה מקצועית. כך גם בכל מה שקשור לתקשורת שחשופה לסייבר. צריך רישוי, והרישוי צריך להיות לאומי. לא שאני אוהב ממשלה, אלא בגלל שיש לזה השלכות על לא מעורבים. כמו שהממשלה צריכה להיות אחראית על אכיפת חיסון ילדים ממחלות מדבקות. אם אני לא מאמין בחיסונים, הילד שלי לא ידביק את כל הגן? ידביק. אז לכן מכריחים אותי לחסן אותו נגד קבוצה ספציפית של מחלות, בהן החיסון הוכיח את יעילותו. זה התפקיד של רגולציות, תפקיד של רגולציה זה לקחת את האינטרס הציבורי, שאין לו קול, ולתת לו עוצמה של חוק.

ישראל לבבי: יש התחלות אבל הבעיה שעדיין לא סיפקו שיניים לכל אותם גופים, שאוכפים את הרגולציה. אתן דוגמה מהתקנה שאנחנו ביצענו בתחנת הכוח בנשר. אומר לי הלקוח "אני מבין כמה זה חשוב, אבל התפקיד שלנו הוא לייצר חשמל, ואם המפעל הזה לא יצליח לייצר חשמל, זה שאתם תולשים לי את הכבלים כדי להגן על המערכות לא שווה לי שום דבר. בואו נחשוב על כיוון של תמריצים, למה כן כדאי לאותו מפעל כן להשקיע באבטחה. למשל; מצד חברת ביטוח שתגיד, אם תטמיעו כל מיני מנגנונים בתחום של אבטחת מידע, עלות הפוליסה שלכם תרד לחצי…

אהרון יוסף, מנהל אזורי של מומחי הסייבר של סיסקו בדרום אירופה.

אהרון יוסף, מנהל אזורי של מומחי הסייבר של סיסקו בדרום אירופה.

יהודה אלידע: בארה"ב מכון התקנים (Underwriters Lab) הוא של חברות הביטוח, הן אומרות שרק אם אתה עומד בתקן שלנו, אנו מוכנות להציע לך פוליסה. בישראל מכון התקנים שייך לתעשיינים, והתפקיד שלו לעשות קשיים למי שרוצה לייבא.

יצחק שמר:    עבדתי בעבר בבנקאות, ניהלתי את מערכות המידע של בנק דיסקונט, משם אביא שתי דוגמאות מהירות. מוסד פיננסי שרוצה להתחבר למערכות Swift, תשתית תקשורת להעברות כספים מקוונות סביב העולם, מקבל ספר הנחיות יישום פרטניות. ואם אתה לא עומד בדרישות אתה לא מתחבר ל-Swift, וכבנק הפסקת להיות גורם בינלאומי. כנ"ל לגבי כל מי שרוצה להתחבר למערכות הסליקה של כרטיסי האשראי ויזה, מאסטרקארד, אמריקן אקספרס ואחרות. יש הגדרות די מפורטות בפרק Security, ואם אתה לא עומד באלה אין לך מה לעשות בעולם הכרטיסים.

אהרון יוסף:   כדי לצמצם אותם בצורה דרמטית, רגולציה לא יכולה להיות המלצה מגובה 30,000 רגל, צריך לרדת לרזולוציות של Best Practice. גם פרוטוקולים מאובטחים מבוססי SSL, SSP הם עדיין פריצים…

יצחק שמר:    …רגולציה היא ברמה של עקרונות לא ברמה של מוצרים.

אהרון יוסף:   אז היא לא יכולה לסייע. גם חברות אבטחת מידע נפרצו – וזה מנגנון האבטחה האייקוני, שכולנו גדלנו בצילו. זה אומר שגם למקומות הסגורים ביותר ניתן לפרוץ,  לרבות מערכות מבודדות מהאינטרנט

יהודה אלידע: זלזלנו כאן קודם בחוסן של סטנדרט האבטחה של מידע רפואי HIPAA. אבל HIPAA השיג את מטרת הרגולטור. כל העולם יכול לגנוב מידע רפואי, זה לא מעניין את הרגולטור, כי הוא לא ממונה על הגנת הפרטיות באופן גורף. מה שהרשויות חייבות למנוע – ומה ש-HIPAA מנעה, זה שחברות ביטוח יניחו יד באופן פשוט, בהליך חוקי, על תיקים רפואיים כדי לקבוע באופן פרטני (לא סטטיסטי) מה תהיה הפרמיה של כל מבוטח ואולי גם לא להסכים לבטח מועמדים "בעייתיים". ובזה הם הצליחו, כי שום חברת ביטוח רצינית לא יכולה לגנוב מידע רפואי ולהישאר בחיים. את זה הם עשו. גם נושא הגנת סייבר, זה שבמחשב שלי יהיה איזשהו וירוס? לא מעניין אף אחד מלבדי. מה שכן מעניין את הרגולטור זה, שהוירוס הזה לא יעבור וידביק את כל המנויים באותו רשת שלי.

אהרון יוסף:   סליחה שאני חוזר על המנטרה שלי, אתה לא יכול להגן על מה שאתה לא רואה. רגולציה צריכה לרדת לפרטי פרטים בהגדרת נראות בתוך הרשת, למשל, צץ משהו חדש שהתחבר לרשת, מי יודע שהוא שם? יש הרבה פתרונות מסוג Vulnerability Scanner, שמייצרים תמונת מצב ברגע נתון, אבל לא עוקבים ברצף אחרי האירועים. בין צילום מצב אחד לשני, נכנסו אנשים, העתיקו את כל המידע הארגוני לדיסק נייד ויצאו עד הבור, אבל למחרת בבוקר כשתצלם עוד פעם, תראה את אותו מצב ולא תדע שעברת אירוע חדירה. הניטור צריך לרדת לפרטים הרבה יותר חמקניים, זה צריך להיות Real-Time Vulnerability Assessment, אבל אין כמעט אין ארגונים, שמודעים לאבטחת מידע ברמת האלו, ואלה שמבינים משקיעים המון כסף על הנושא. זה מקור כמעט בלתי נדלה להגדלת הוצאות אבטחת מידע, אבל כשתדע מה קורה אצלך ברשת כל הזמן, תוכל להגן יותר טוב.

ניסים חי חברת SCHNEIDER ELECTRIC

ניסים חי חברת SCHNEIDER ELECTRIC

שמוליק ארן: בעבודה שלנו עם שחקני האוטומציה וחברות תעשיה הבנו כי צריך להתמקד ב security essentials ולא להתפזר ולרדוף אחרי חסימת  zero day. נקסטניין מבצעת פרויקט ענק של ניהול cyber security באחת מחברות ה oil& gas הגדולות העולם. מהיום הראשון מנהל האבטחה מיקד אותנו ברשימה מצומצמת של  security essentials כגון: מיפוי הנכסים, במקום מסננת של   VPN ניתוב ושליטה על הגישה המרוחקת לאתרי הייצור ממקום אחד, סנכרון תקופתי של patch, איסוף לוגים מהמערכות התעשייתיות וכד'.

דובב פלג:       יש פה איזה סקאלה, שצריך למצוא את דרך הביניים. מבחינתי, FDA זה סמן ימני לרגולטור שנכנס לפרטים ולטכנולוגיה, ובכך הוא יוצר סטגנציה, עצירה של תהליכי חדשנות. היום לאשר תרופה, בהליך FDA רגיל, זה מעל 10 שנים! אם נכניס רגולציות ברמה של FDA כתנאי סף לאפליקציות תקשורת, הטכנולוגיה וההתקדמות יעצרו במקום כדי לחכות לרגולציה. בתרופות כנראה אין ברירה, זו סכנת חיים מיידית, אבל לשוק שירותי המידע ולטכנולוגיה המודל הזה לא נכון. אני לא מאמין שרגולציה צריכה להכתיב ממש את הטכנולוגיה ואת הפרטים, כי אחרת אנחנו ניצור עצירה מוחלטת של התקדמות טכנולוגית.

יהודה אלידע: לי יש הרגשה, שהסכנה הכי גדולה ברגולציית סייבר, שהיא נופלת לידיים של גופים צבאיים, עם המנטליות הצבאית הנוקשה, עם הקצב הצבאי האיטי שלהם וזה יהפוך משהו שדומה לסטנדרט החומרה 810MIL-STD-, שבעטיו הזמינות של רכיבים צבאיים מפגר בעשור אחרי השוק האזרחי והמחירים שלהם כפולים פי 3 לפחות.

ניסים חי:       את הרגולציה צריך להכניס לפרופורציות, ולהסתכל על הסייבר ברמה של רגולציה הכי פשוטה, אותה אפשר לאכוף יחסית בטווח קצר, וזה אומר לעבוד דווקא על טבעת ההגנה החיצונית… את הסטנדרט הזה אפשר ליישם ברמה של חברות התקשורת. לחסום כתובות מסוימות או נקודות גישה ממקורות בעייתיים, ובדרך הזאת לנטרל המון איומים בעלות נמוכה, וגם הניטור שלו יחסית פשוט… היום שכאשר אני מגיע למדינה אחרת. הטלפון מתחבר ישירות לרשת המקומית, כי יש סטנדרט לאופן ההתממשקות, כלומר הספק המקומי מגדיר בדיוק מול איזה ספק בחו"ל אני עובד. אין סיבה שבנושא האבטחה זה יהיה אחרת.

יהודה אלידע: נדמה לי שהרצון שלך להתחבר לרשת, והרצון של הרשת שתתחבר, מספקים מוטיבציה שתתגבר על כל הדברים הטכניים הקטנים בדרך. אבל באבטחה זה לא קיים. כלקוח אני לא יודע אפילו מה אני רוצה מאבטחה, חוץ מזה שאני אוכל לישון בשקט.

עידו נאור, חוקר בכיר בצוות GReAT בחברת אבטחת המידע מעבדת קספרסקי.

עידו נאור, חוקר בכיר בצוות GReAT בחברת אבטחת המידע מעבדת קספרסקי.

אהרון יוסף:   המגנים הפסידו בקרב למול התוקפים. אנחנו נמצאים היום במציאות של בקרת נזקים. מנסים לצמצם זמן זיהוי, והסטטיסטיקה אומרת שאכן, זמן הזיהוי משתפר כל הזמן. ובכל זאת, עדיין התוקפים מצליחים לפרוץ מהר יותר…

דובב פלג:     כשמדברים על תשתיות לאומיות או חברות ממשלתיות וביטחוניות , נקודת המוצא של הארגון המתגונן צריכה להיות, שמערכות הארגון נפרצו או יפרצו, אין הגנה  מושלמת. ב-target למשל התוקף שהה ברשת במשך  ארבעה חודשים , עד שהגיע ליעד שהציב לעצמו והוציא את המידע מהארגון. התקפות מסוג זה מכונות (Advanced Persistent Threat) ובקיצור APT אלו התקפות מאד ממוקדות ובדרך כלל מאד מתוכננות ומבוצעות על ידי מומחים, ובדרך כלל ממומנות בהרבה כסף ואף על ידי מדינות. במקרה של התקפת APT שם המשחק הוא לא מניעה אלה זיהוי ועצירה של ההתקפה כמה שיותר מהר. למשל אילו Target הייתה מזהה את התוקף ברשת שלה לאחר יומיים, רוב, אם לא כול הנזק היה נמנע.  חברה ישראלית, בשם Illusive חלוצה בתחום המניעה של התקפות אלו, גישה של Illusive  היא להיכנס לראש של התוקף, להבין איזה מטרות מחפש התוקף כאשר הוא נמצא ברשת של הקורבן. Illusive  מכניסה לתוך הרשת, מספר רב מאד של מטרות הטעיה  חכמות שלתוקף נראות אמתיות ולמעשה גורמות לתוקף לתקוף את אותן  מטרות לא אמתיות, כאשר התוקף מבצע את ההתקפה הוא למעשה חושף את הפעילות שלו ומזוהה ברשת וניתן מידית לעצור אותו.

יהודה אלידע: איך נסביר לקוראי העיתון, אנשים אינטליגנטיים שבדרך כלל לא מתעמקים יתר על המידה בהסברים טכנולוגיים, שהאקרים מסעודיה חדרו לאיזשהו מאגר מידע ישראלי, ועשו נזק כזה או אחר? הקורא הרגיל שואל את עצמו איך זה יכול להיות, אחרי שיותר מעשור מפמפמים לו סיפורי זוועה על התקפות סייבר והנזקים האפשריים של שאננות. מבחינתו זה כמו שיחזור אירוע מהסוג שהיה צפוי בשנות ה-70, מחבלים מגיעים בטיסה מציריך, נכנסים למסוף בשדה התעופה ופותחים באש. אם דבר כזה יקרה היום חס וחלילה, מישהו ייתן את הדין על רשלנות פושעת. אבל בתחום ביטחון מידע עדיין אנחנו שומעים על אירועים דומים ש"מטוייחים" בספין טכנולוגיסטי, כי כאילו זה מובן מאליו, שכל האקר יכול לחדור לכל מאגר מידע בישראל. לבן אדם שלא חי את המלחמה היומיומית, זה פשוט לא יאומן! איך הוא יכול לתת אמון במערכות ציבוריות, אם זה המצב?

עידו נאור:      אכן רוב האזרחים לא מבינים ברמה הטכנית. זה מזכיר לי סיפור ששמעתי מחבר; עורך דין, שחשב שיש לו במחשב איזה Malware. הביא לי את הנייד שלו, ואמר: תראה לי איפה התולעת. אין לי תולעת על המסך! זה לא שלא הייתה לו מודעות לסיכונים, הוא לא היה יכול לחשוב על תולעת וירטואלית, שמשחיתה את הקבצים בלי להשאיר עקבות על תצוגת המסך. בתחום הזה של תכנות ומחשבים, וסייבר ואבטחת מידע, זה משהו שאתה יכול לבחור ללמוד הגנה עצמית, כפי שאתה יכול לבחור ללמוד מוזיקה. הבעיה היא, שכשאנחנו הולכים לכל מקום, בין אם זה מוזיקה ובין הגנה לאומית או הנדסת בניין, הכול מעורב במחשבים. ועדיין לא חובה ללמוד את הנושא אפילו ברמת משתמש קצה תמים.

יהודה אלידע: אתה רוצה להוסיף את זה ללימודי הליבה?

עידו נאור:      כן. אין לי מושג למה זה עוד לא נכנס! אני חושב שעוד 2 דורות יבינו, שזה משהו שבלעדיו אתה פשוט הולך ערום ברחוב, חשוף להמון דברים זדוניים ואפילו לסיכון חיים ממשי. אני לא מבין למה זה עדיין לא חובה.

יהודה אלידע: ואני לא מבין למה לא מלמדים נהיגה בבית הספר הממשלתי. מי שיצא מבית ספר תיכון בגיל 18 בלי רישיון נהיגה, למעשה לא מוכן לחיים.

מוטי סדובסקי

מוטי סדובסקי

דובב פלג:     האבטחה הפיזית בתעופה התגברה, לאחר שאנחנו הישראלים היינו חלוצים, אך עדיין אתה רואה שהעולם מתקשה להפנים את הלקחים. מי שעבר לאחרונה באירופה, מבין שבשדה תעופה בארץ יותר קל לעבור, מאשר באירופה. אם לפני עשר שנים הייתי אומר לכם שיעשו כאלה בדיקות בטחוניות באירופה ובארה"ב, הייתם צוחקים. אבל העולם התבגר, ודבר דומה יקרה בתחום אבטחת המידע. זה פשוט לוקח את הזמן…

יהודה אלידע: למרות שמדובר באיום וירטואלי, משהו שאי אפשר לבעוט בו, ואי אפשר לצבוע אותו.

מוטי סדובסקי: אתה מדבר על קובץ ואני מדבר על רמזורים, על מכוניות שבכולן יש מחשב, על מערכות חשמל ומים. על חיי אדם במובן הכי ישיר. בעולם של IoT הכל פגיע.

ניסים חי:       אני רוצה להסתייג מהפרוגנוזה שלך לגבי האיום בעולם של IoT. אני חושב שיש מקום לנימה קצת יותר אופטימית. לדוגמה, אצלנו בחברת שניידר אלקטריק, ישנה מגמה  של הקשחת המוצרים, שממוקדת באמינות הליבה שלהם, כדי שיוכלו לתפקד בעולם של IoT. רבים שוכחים שהיום אנחנו משבצים במוצרינו מעבדים הרבה יותר מתקדמים, ולכן קיימת בתוך המוצרים עצמם יכולת לייצר התנהגות נבונה, כדי להגן על עצמם בפני התקפות של האקרים. כיום אותו בקר שאתמול היינו צריכים להגן עליו עם מוצר אבטחה ייעודי, יכול ליישם בתוכו כלים של הגנת סייבר עצמית. המוצרים כיום מוקשחים לתפקד בסביבה הזאת, לשרוד התקפות בספקטרום רחב של איומים. אם עד היום כל האקר היה יכול לגשת לכל ציוד תעשייתי, ולבצע בו שינויים, למרות שהוא מוגן לכאורה במפעל, היום אתה יכול לבצע הקשחה נקודתית ברמת ציוד הקצה. המטרה הינה שרק משתמש מוסמך, מזוהה ומאומת בתוך ציוד הקצה עצמו יוכל לבצע את הפעולות.

יהודה אלידע: אם נפל בידי קוד המקור של מי שתכנן את המערכת, האם עדיין המערכת מוגנת מפני רצון רע שלי?

ניסים חי:       השאלה רלוונטית לכל הנושא של הצפנה ואבטחת מידע. כדי שחברה תוכל לייצר כאלה מנגנונים ולהגן עליהם, גם שלבי הפיתוח עוברים איזשהו תהליך של סטנדרטיזציה, בצורה כזו שהאלמנטים המשמשים להצפנת הקוד, וקוד הפיתוח המקורי לא יהיו זמינים ומרוכזים בנקודה יחידה. כמו כן יש לציין פה את היתרון הגלום בעבודה עם חברה גדולה ובין לאומית, עובדה המבטיחה בקרות ונהלים ברמה גבוהה יחסית מיצרנים מקומיים ו/או קטנים החשופים בצורה משמעותית יותר לכשלים.

חברה כמו שניידר אלקטריק מייצרת במגוון מקומות בעולם ומבצעת אינטגרציות ובדיקות במקומות אחרים. היכולת לתכנן התקפות על ציודים הפזורים כך בעולם, נמוכה מאוד.

ישראל לבבי: בסופו של דבר היצרן הסיני, שמייצר את הצ'יפון הקטנצ'יק שמשובץ בתוך בבקר החכם במכונית שלך, מקבל הוראות מהממשלה שלו. דמיין לך שיום אחד הסינים יחליטו שנמאס להם מאתנו, הם פשוט ירימו שאלטר, וכל הצ'יפונים החמודים האלה יתפגרו.

שמוליק ארן, מנכל נקסטניין,

שמוליק ארן, מנכל נקסטניין,

מוטי סדובסקי: חברה סינית, שמכרה מכשירים סלולריים ומערכות תקשורת בעולם וזכתה להערכה והצלחה עסקית מרשימה, אפשרה לעשות שימוש בטלפונים סלולריים על מנת למצוא מתנגדי משטר במדינה ספציפית. הדבר נעשה באמצעות Backdoor שהם הכינו מראש במערכת ההפעלה. דוגמא נוספת: כיום אנו נוסעים בביטחון מדומה באוטו שמשובץ במערכות מחשב. האקר יכול לשבת ליד מחשב, להשתלט על אוטו ולנהוג אותו לאן שירצה, בלי שליטה אמיתית של הנהג.

אהרון יוסף:   אבל הסטטיסטיקה אומרת שני דברים מדהימים: האחד, ב-2014 ו-2015, 100% מהתקיפות בוצעו על ידי שם משתמש לגיטימי, והשני, 99% מההתקפות כוונו מול חולשה ידועה של ההגנה, כזאת שכבר ידעו לנטרל אותה למעלה משנה! כל יום יוצא Patch חדש לחסום Vulnerability חדשה, ואתה רודף אחרי משהו שהוא קצת יותר גדול ממך. להגנה סבירה אתה זקוק לכלי ניטור לחיזוק הנראות, ולאמץ טקטיקה של Deception, הטעייה,  אני מאמין מאוד גדול בפתרונות האלה, אם הם נעשים כמו שצריך.

מוטי סדובסקי: העולם הטכנולוגי שאנחנו חיים בו משתנה בצורה דרמטית, ומערכות האבטחה רודפות אחרי השינויים בפיגור מסוים. לוקח זמן לסגור את הפערים המזוהים, ועד שאלה נסגרים נפתחים פערים במקומות אחרים.

יהודה אלידע: אז אולי צריך קצת להקפיא קצת את הטכנולוגיה?

מוטי סדובסקי: בשנות ה-80 עבדתי בתעשייה אווירית, ואז הגדר הפיזית הייתה גם גדר ההגנה הרשתית. במשך הזמן עלה צורך לחבר את המפעלים השונים בארץ ומרכזים בחו"ל. וכשעולה צורך כזה בארגון, עליך לקחת בחשבון, שיצרת אפשרות לפרוץ לארגון. היום כולם מקושרים עם כולם, ולא תמצא ארגון אחד, שיגיד אני מוותר על היכולות העסקיות כי יש איזושהי בעיה ביטחונית עם הפתיחות. אני מגיע לכאן מפורום הסייבר במכון למחקרים אסטרטגיים (INSS), וגם שם דיברו על הצורך לשמור על תקשורת אינטרנט פתוחה, גם בארגונים ביטחוניים, לצד סיכוני האבטחה שבדבר. נכון שמבוצעות פעולות אבטחה נרחבות שיקטינו את הסיכון לפגיעה. בסופו של דבר מדובר בניהול סיכונים, ויש צורך להחליט כמה risk אתה מוכן לקחת, תמורת התועלת העסקית.

יהודה אלידע: מה שאתה אומר, זה שאובדן הביטחון זה המחיר של שיפור הגמישות והזריזות העסקית, לדוגמה היכולות לעשות הרבה דברים בלי שמישהו יצטרך ללכת פיזית למקום רחוק ולעשות את הדרוש.

דובב פלג:     אני חושב שהנקודה שהועלתה פה, וכל אחד במיקרו שלו מנסה לפתור, היא, שבסך הכל יש שיפור ויש התקדמות, אבל קיימת אסימטריות בין הצדדים. לתוקף יש פריבילגיה לבחור את הנקודה הכי חלשה במערכת, ולרכז את כוחותיו מולה, והמתגוננים צריכים לחזק את כל הרמות. ארגונים צריכים להבין, שיש התקפות , שהם לא יוכלו לעצור בשער. נקודת המוצא צריכה להיות שתוקף  יכול לחדור או כבר חדר לרשת הארגון ולהתפשט ברשת מתחת לרדאר של מערכות האבטחה ,כמו סרטן, והבעיה אינה כיצד למנוע, אלא כמה   מהר אני מוצא את התוקפן וכמה מהר אני מרחיק אותו מהארגון.

מוטי סדובסקי: אני רוצה לעלות לרובד המדינה, לברר איזו הגנה היא נותנת לאזרח שלה. למשל ליישם רגולציה שאומרת, שמשנת 2020 באוטו שלי תהיה הגנה מפני תקיפת סייבר, ויש אפשרות לעשות את זה טכנולוגית. המדינה צריכה להחליט מה היא עושה, ומה היא מחייבת את הארגונים השונים לעשות. מחר אנחנו הולכים לחבר את הבית החכם לרשת האינטרנט, ליישם את העיר החכמה, לספק שירותים אנליטיים מדהימים לכול דורש – וכל מהלך כזה כרוך בהעמקת החשיפה. צריך לראות איך המדינה מגינה על האזרח, לא רק על ארגונים. לאזרח אין אפשרות להגן על עצמו ללא סיוע ומעורבות של המדינה.

אהרון יוסף:   בדיוק כמו שיש תקנות לחגירת חגורת בטיחות, ואזרח לא יכול לדרוש בשם חופש מצפוני זכות לצפצף עליהן, צריכות להיות רגולציות בנושא סייבר. על הממשלה לנסח תקנות מאוזנות מבחינת התועלת והנוחות של המשתמשים, שלא המדינה אמורה ליישם אותן, אלא שהיא דורשת ממי שנכנס לתחום העסקי שיציית גם אם לא מתחשק לו.

יצחק שמר:    העניין הוא, שהרגולטור לא יעצור בסייבר. צפה לכך שלא תוכל להתניע את המכונית שלך בלי בדיקת ינשוף, שתוודא שאתה לא שתוי.

יהודה אלידע: מאחר והמערכת הלאומית, כמו שהסברתם לנו כאן, אין סיכוי שהיא תפתור את הבעיה, ומאחר ולא מספיק שכל ארגון רק יגן על עצמו – כי זה דומה לבנק במערב הפרוע, שבפנים הכול מוגן, אבל בחוץ משתוללת מלחמה בה פורעי החוק מנצחים – האם ורטיקלים מסוימים יכולים להקים לעצמם אזורים מוגנים מחדירות באמצעות שיתופי פעלה סקטוריאליים? האם המגזר הפיננסי, למשל, שיש לו בעיות אבטחה חמורות במיוחד – כי לא צריך פתרון לוגיסטי כדי לברוח עם השלל – צריך לקבוע לחבריו חוקים שהרגולטור עוד לא החליט לאמץ?

יצחק שמר:    בזמנו, כשניהלתי מערכות מידע בבנק, רצינו, בהסכמה עם הגורמים העסקיים, להציע ים של שירותים דיגיטליים, והמפקח על הבנקים לא אישר לנו. הרגולטור אמר לנו אתם מטורפים, אתם רצים קדימה מהר מדי. אמרנו, הסיכון עלינו. הוא אומר, אני לא מוכן שתיקחו את הסיכון הזה.

אהרון יוסף:   דברים בכל זאת משתנים. עד לפני כמה שנים היית צריך מסמך מהבנק, היו שואלים אותך מה מספר הפקס שלך, למי יש היום פקס? יש לי שרת פקס במייל, אבל אין לי פקס פיזי. אז היום כבר שולחים לי את המסמך במייל. בסופו של יום, זה דור המילניום. הצעירים שרוצים הכול פה ועכשיו, אז אין מנוס מהדבר הזה.

מוטי סדובסקי: סוגיה מיוחדת הינה ההגנה על יישום בענן. כיום, למשל בבנקאות, אם הארגון רוצה להעלות יישום לענן, יש צורך באישור של הרגולטור.

חברות המספקות שירותי ענן, בין אם פרטי או ציבורי, נותנות את הדעת על נושא האבטחה, ויכולות לספק לפי SLA  עליו יוחלט, הגנה מיטבית, ואף כזו שלעיתים הארגון לא יכול לספק בעצמו.P1520748

אהרון יוסף:   גם אם נדורג במקום 200 מבחינת סטטיסטיקה עולמית להתקפות סייבר זה לא משנה לי. כשאני חושש שנפגעתי אכפת לי מהשגת וודאות, האם נפגעתי או לא נפגעתי. זה בדיוק העניין של ישראל, כמדינה, בהגנת סייבר. אם חברת החשמל היחידה של המדינה נפגעה, לא אכפת לי בתור רגולטור מדינתי, שירדתי למקום מספר 60 בסטטיסטיקת המתקפות העולמית.

עידו נאור:      למה לא?

אהרון יוסף:   נניח שהוותיקן נפרץ יותר ממני. האם זה אומר שאני יכול עכשיו להגיד סבבה, זו צרת רבים ואפשר להמשיך בשגרה? בואו נצא מנקודת הנחה כזאת: גם אם אנחנו הכי טובים בעולם, אם מחר חברת החשמל לא קיימת, האם זה מנחם אותי, שאנחנו מספר 60 בעולם?

עידו נאור:      זה לא תשובה של כן או לא, ממש לא. זה עניין של מודעות ושל רמת סיכון יחסית. למשל, הסיכוי שיתקפו את חברת החשמל באוקראינה, הרבה יותר גבוה.

אהרון יוסף:   כן, אבל לא אכפת לי מצרות של אחרים. אנחנו מדברים פה על תשתיות לאומיות! וזה גם קרה אצלנו… אני לא יכול לשתף אתכם בפרטים, אבל יש התקפות על מערכות מאוד רגישות במדינת ישראל, אצלנו בבית.

יהודה אלידע: הוא זורק רמזים על כל מיני אירועים, שהיו צריכים להיות כותרות, והוא אומר אנחנו לא נדבר על זה, כי זה לא המקום המתאים לחשיפה.

אהרון יוסף:   יש כותרות שתפסו מקום בעולם, לדוגמה; בשנת 2012, גוף שמציג את עצמו כ-Syrian Electronic Army  תקף את מערכת השקיה בעיריית חיפה. נכון שבסופו של דבר רק כמה גינות לא קיבלו מים בחיפה, אבל האירוע צריך היה לקבל חשיפה הרבה יותר גדולה כדי להפעיל את פעמוני האזעקה. כי אם מישהו הצליח להגיע לשם, סביר שהוא יכול להגיע לעוד מקומות, אולי כן קריטיים. אם אין לי חשמל, אין לי מים או מערך הקשתות של צה"ל לא עובד מחר, אני רוצה לדעת מה נעשה כדי למנוע את חדירה.

עידו נאור:      אומר דבר יותר פשוט: מתקיפים אותנו, כמו שמתקיפים את כל מזרח אירופה. אבל, בנק פועלים עדיין עומד, בנק דיסקונט עדיין עומד, בעוד 24 בנקים בכל מזרח אירופה קרסו. אתה חושב שלא היינו ברשימה?

אהרון יוסף:   עכשיו כל דבר יכול לקרות, גם הבנק המאובטח כביכול, שמכר את עצמו כמאובטח ביותר בצרפת חטף. לי אכפת רק אם חטפתי או לא חטפתי, אם יש לי פגיעות מסוימת, אם מישהו תקף אותי ולא הצליח, מעניין אותי לדעת שזה קרה, אפילו מאוד קריטי לי לדעת, שנפגעתי. זה מה שמעניין אותי, וזה מה שמעניין כל ארגון.

יהודה אלידע: נניח אני מדבר בשמו של מנהל חברה לא ממשלתית, שהאתר שלה, או מערכת ה-IT שלה נפגעה, והוא רוצה לדעת האם הוא נחשף לתביעת רשלנות. אם הוא צריך, יכול, חייב והוגן לבוא P1520767בטענות למנהל ה-IT שלו… או להגיד לעצמו, וואלה, זה קורה. פעם בשנתיים, בממוצע, כולם נדפקים. האם מישהו יכול לבוא אלי בטענות, למה לא דאגתי שמנהל ה-IT יתקין עוד משהו, אחרי שכולם כבר התקינו, ורק אצלנו זה חסר?

עידו נאור:      נניח שיש לך את כל הפרופילים של האקרים פרוסים לפניך, ואתה מוכן גם עם פתרון Machine Learning לצפות לדברים שעוד לא קרו בעבר, איך אתה יודע שיש לך כלים לעמוד בפני ההתקפות האלה? אתה לוקח את כל הפרופילים האלה, ואומר, ההאקרים האלה שהגיעו למדינות אחרות, האם גם אותי הם יתקיפו? ואם יתקיפו, האם באותה צורה? איך אני אתמודד? אני יודע שעד היום כל הפרופילים האלה שהגיעו למזרח אירופה, הגיעו גם אלי, דפקו על הדלת, ועדיין רובם לא הצליחו להיכנס.

אהרון יוסף:   אני לא זוכר איזה שר הגנה אמריקאי אמר משפט שהוא שווה זהב: הוא פחות מפחד מ-Known Unknowns, שאלות ידועות שאין עליהן תשובה, ומאוד מפחד מה-Unknown Unknowns, החורים בידיעה שאפילו לא עוררו שאלה וניסיון לקבל תשובה. זה בדיוק צילום של עולם אבטחת המידע.

יהודה אלידע: האיש הוא רמספלד, והוא היה שר הגנה לא ממש מוצלח. אומנם יש לו מוח אנליטי נפלא והוא היה טוב מאוד כשהוביל מהפך מחשבתי בפנטגון – אבל במלחמת עיראק השנייה הוא לא ראה בשטח את הדברים הפשוטים, כמו שוד מחסני הנשק בידי החיילים הסונים הבורחים, שכל סמל בגולני היה רואה ועוצר בזמן.

מוטי סדובסקי: זה בדיוק תחום ההתמחות של Big Data. כשאתה מפעיל תוכנות למצוא את ה-Unknown Unknowns בעולם של עובדות ידועות, אתה בעצם מחפש את החריגים. אתה לא באמת יודע מה לחפש ונותן למערכות האנליטיקה לחפש את החריגים בלי לכוון מראש.  יש היום תשובות לנושא בתחום של Data Mining.

ובנושא אחר: אנחנו שומעים הרבה בתקשורת על התקפות כופר, שנועלות את המחשבים עד שתשלם דמי "פרוטקשן", ואני חשבתי לתומי, שיש לזה פתרון. מסתבר שלא. מתברר שחברות אבטחה וחקירות רוכשות ביום ממוצע אלפי ביטקויינים, כדי לשחרר את הלקוחות שלהן מהחסימות האלה. הסיפור הזה מסמן תופעה, שאנחנו כנראה לא יודעים כמה היא רחבה.

עידו נאור:      ברגע שאתה מותקף, ויש לך תוכנת אנטי-וירוס מסוימת, היא דוגמת את המחשב שלך והמידע נשלח, זאת אומרת הסטטיסטיקה מגיעה עוד לפני שאתה מודע להיותך קורבן.

יהודה אלידע: אני מבקש שתענו על שאלה של אחד מקוראי העיתון, שלא מבין בטכנולוגיה, ולא רוצה לדעת הרבה על סייבר, האם להפעיל את החשבון בבנק בתקשורת? זה נורא נוח, אבל הוא רוצה לדעP1520826ת האם זה בטוח או לא בטוח?

ישראל לבבי: מה אתה רוצה שנגיד? שנשקר? שנגיד שזה בטוח לחלוטין? זה בטוח עד גבול מסוים. האמת שהאקר החלטי יצליח להיכנס לבנק. יהיה לו קשה, אבל מותר ללקוח לדעת שאנחנו נדע מזה, וההאקר ייתפס די מהר.

יצחק שמר:     זה המקרה הפשוט, כי כשאתה מדבר על רמת האזרח הבודד, יש לו הגנה נורא פשוטה. אם אתה בודק את דפי החשבון ואומר הפעולה הזאת לא שלי, אתה מוגן. אם אתה לא מתנער מחובת הזהירות ומפעיל בקרה אלמנטרית, אתה מוגן. במידה והיה נזק, מצבך יוחזר לקדמותו ללא שום פגיעה..

יהודה אלידע: מה שאני אומר זה, שיהיה גוף ממשלתי, שנותן אולי דירוג ביטחון או משהו דומה, שאני אוכל לדעת מתי זה בטוח, עם מי אני יכול לעשות עסקים מקוונים, עם מי בטוח ועם מי לא. אני רוצה דירוג אבטחה שאפשר לסמוך עליו.

יצחק שמר:    יהודה, אין דירוג. ואגיד לך משהו יותר חמור, הדור הצעיר גם לא רוצה דירוג. זה לא מעניין אותו. כי זה מטריד… אלה אמצעים אלמנטריים, שהפרט לא רוצה להשתמש בהם.

יהודה אלידע: תבינו, אני רוצה ליהנות מהטכנולוגיה. הייתי נורא שמח לשמוע שהחיבור בין המערכות הדיגיטליות בעולם מאפשר לי לקום בבוקר, לנסוע לשדה התעופה, לעלות על מטוס, לרדת בניו יורק, ולהגיע למלון שלי בלי שאכניס פעם אחת את היד לכיס כדי להוציא מסמכים או כרטיסים. שהכול ילך באוטומט בין CPU ל-CPU. אבל גם הייתי רוצה שזה יהיה קצת פחות פתוח לעוסקים בפלילים. מישהו צריך להכין את הקרקע לכך, שהחיים שלנו יהיו לא רק נוחים, אלא גם בטוחים.

יצחק שמר:    יהודה, סליחה רגע, בוא ניקח אנלוגיה, דיברת על טיסה, הענף התעופה הוא ענף תחת רגולציה מאוד מאוד קשוחה, מהקשוחות שיש, זה אומר שמטוסים לא נופלים מהשמיים?

יהודה אלידע: לא, בדרך כלל הם מתפוצצים מחבלה מכוונת, או שמישהו בקוקפיט מפיל אותם. היום מטוסי נוסעים לא מתרסקים סתם ככה, אפילו לא בסיטואציות של מזג אוויר קיצוני או תקלה טכנית שגרתית.

יצחק שמר:    כלומר רגולציה יכולה לצמצם חשיפות, היא יכולה להקטין נזקים, אבל "אפס סיכונים" זה מתכון להשקעת אין סוף משאבים.

יהודה אלידע: לא דרשתי משום דבר להיות בטוח ב-100%. עדיין זכותי להוריד את הסיכון לרמה שלדעתי כרוכה במחיר ששווה לי לשלם – ולדרוש מהממשלה לעזור בחלק של אכיפת התנהלות בטוחה על כל המשתמשים האחרים.

יצחק שמר:    הבעיה שלנו פתירה ברמת הבית. אני יכול לשלוט רגולטורית על הבטיחות והאמינות של אספקת החשמל לבית ברמה הביתית. לתקנן איזה נתיכים יותקנו לפי תחזית הצריכה, איך יעוצב הלוח הראשי, איזה בדיקות יעשו לפני החיבור לרשת החשמל, ומי אחראי על הנפקת האישורים. זה שאין לנו מושג אם חברת החשמל תיפול, כי על זה אין לאף אחד שליטה, גם לא לרגולטור. ואם חברת חשמל תיפול, כל הפקקים, והלוחות האוטומטיים, הכבלים התקניים, לכידת הברקים והארקות שפרסנו בבית לא יעזרו לנו.

שמוליק ארן:   אין ספק שרגולציה מניעה מנהלים ומשפרת את מצב הבטיחות, אנחנו רואים באופן מובהק יותר ביקוש למוצרי ניהול הבטחה בסקטור החשמל בארצות הברית כתוצאה מרגולציה

מוטי סדובסקי: הכל חשוב. אם אתה מאושפז בבית חולים מחובר לציוד ניטור רפואי, חשוב לך שלא יחדרו לקונסולת המכשור הרפואי. ואם אתה נוהג בעיר, חשוב שהרמזור לא ייפול בזמן שאתה חוצה צומת. אבטחה בעידן ה-IoT היא תפיסה הוליסטית, עם נגזרות רבות ושונות – שכולן חשובות.

יצחק שמר:    בעית הניטור הרפואי היא קריטית, כי אם אתה יכול להשתלט על מערכות המידע תוכל לפגוע דרכן בחיי אדם בקלי קלות.

יהודה אלידע: אני גם יכול לסכן חיי אדם, בזה שאני אשליך קליפת בננה על מדרגות הבית שלו, אז מה? גם זה אמור לעניין את הרגולטור?P1520816-1

עידו נאור:      מה שקורה היום בעולם של התוקפים הוא אחר לגמרי, התוקפים מחפשים לעשות כסף. איך הם יעשו כסף מלשבש טיפול רפואי? מפרסומות. הם יאספו מידע עלינו, ולא מעניין אותם על מי בדיוק, כי זה לא אישי, זה ביזנס. אם אני יכול לקשר את רמת הסוכר שלך לחשבון שלך בפייסבוק, ובלינקדין ולאיפה אתה נמצא מבחינת Waze, לאן אקח זה? לא תתפלאו מהגילוי, למכירת פרסומות…

אהרון יוסף:   … עידו צודק ב-100%. כי יש שוק ותעשייה שיודעים לנצל את המידע הזה. ב-2008 שילמו להאקר תמורת פרטי כרטיס אשראי 4 דולר – היום משלמים רק 25 סנט כי יש שיטפון של ספקים של נתונים גנובים – ועל תיק רפואי מלא משלמים היום לא פחות מ-300 דולר! למה? כי יש אנשים שעושים מזה כסף גדול. אני לא יודע איך עושים את זה, אבל יש הרבה כסף בתעשייה הזאת, משאבים כמעט בלתי נדלים…

דובב פלג:      גם בהתקפות סייבר של גופי ממשלתיים או כמו-ממשלתיים, אין הגבלה של כסף, ואין הגבלה של זמן, בצד התוקף כמו בצד המתגונן. במיוחד כשמדובר במלחמות שחייבות להתנהל מתחת לרדאר.

אהרון יוסף:   יש הרבה הסברים אפשריים למה המוצר Virus Total נמצא היום בידיים של גוגל, אבל אני ממליץ לקרוא את הספר, "כשגוגל פגשה את ויקליקס". מאוד מעניין לראות עד כמה מדינות מעורבות בתעשיות של אבטחת המידע. הרבה פעמים אתה לא יודע לומר מי תוקף אותך ולהיערך בהתאם, למשל בהתקפות בסגנון Stuxnet, אלה התקפות שאין לך כחברה עסקית התראת הנראות. אבל מערכת ניטור ממשלתית אמורה למנוע אותן. הניטור הלאומי מתבסס על משהו כמו 40 קונסולות ניהול אבטחה שונות, שחברות אבטחה, מסתכלות עליהן 24×365.

יהודה אלידע: אין איזו תוכנה שמנהלת את כולם ביחד, בתמונת מצב הוליסטית?

אהרון יוסף:   יש הרבה סטראט-אפים שעושים את זה, אבל בסוף היום, אם אני לא יודע איך הארגון שלי אמור לעבוד, ומה אמור להיות מצב "נורמלי", אז גם הכלים האלה לא מספקים מענה ברור. כי אני צריך לעשות להם Fine Tuning, ואם אני לא יודע מה קורה אצלי, איך אדע לעשות Fine Tuning? אולי תצורת בררת המחדל רלוונטית לבנק בצרפת, אבל לא רלוונטית לבנק בישראל? התוקפים מנצלים בדיוק את המקומות האלה, שאתה לא רואה כי לא נכנסת לפרטים הטכניים.

יהודה אלידע: תודה על זמנכם, הגיע זמן הסיכומים. המלצה שלי, כמה שיותר קצר והכי חכם שאפשר.

אהרון יוסף:   הסיכום שלי מאוד פשוט: נראות היא חזות הכול והיא נחלקת לשניים: מודיעין סייבר הנותן נראות על התוקפים מחד ומאידך נראות ארגונית: אם אתה לא יודע מי נמצא ברשת שלך, מה הוא עושה ומה הוא אמור לא לעשות, אתה לא יכול להגן על הרשת. תשקיעו בנראות, כי אתם לא יכולים להגן על מה שאתה לא רואים. אין לי משהו חכם יותר להגיד.

שמוליק ארן:   אנחנו שומעים ומדברים עם לקוחות שלנו, שבוע שעבר זה עלה כהמלצה מרכזית בכנס security של גרטנר. תתמקדו בדברים הבסיסים ה essential ופחות במרדף אחרי ה zero day, 99% מההתקפות יהיו על חולשות ידועות שכבר הוציאו עבורן patch, 33% מההתקפות יהיו על נכסי מידע שלא נמצאים במלאי.

ניסים חי:       אני חושב ששכבת ההגנה הראשונית, היא קודם כל הגורם האנושי. זה משהו שצריך לקבל תשומת לב ההנהלה בגיבוש מדיניות ארגונית, בתוכניות הדרכה, בהקצאת זמן עבודה ללימוד, ביוזמה להתניע שינויי נהלים בסיסיים. ברגע שהאספקט התודעתי יהיה ברור לאנשים, והם יפנימו את משמעות הסיכונים של חריגה מנהלים בטוחים, אז יהיה אפשר להטמיע גם את השכבות היותר עמוקות של התנהלות בטוחה. שניידר אלקטריק מפרסמת מעת לעת מדריכים ולומדות שמהותן שיפור רמת הידע הארגוני בהקשרים רבים וביניהם גם נושא אבטחת המידע. כמובילי שוק אנחנו רואים בזאת שליחות ואחריות ונמשיך לפרסם ולהעביר הדרכות רלוונטיות.P1520736

ישראל לבבי: הגנה לא יכולה להיות מוחלטת. אפשר כמובן רק להקשות, וחשוב להקשות ככל האפשר, לטפל בכל הפרמטרים שקיימים. אבל הכי חשוב לנטר ולדווח, לא לטמון ראש בחול ולא לטייח. כשאתה מזהה כשיש פה איזושהי התנהלות לא הגיונית, אנורמלית או חורגת משגרה, דווח. אולי הסכנה חלפה כרגע, אבל החולשה נחשפה ומזמינה התקפות המשך. אם תדווח, לפחות בהמשך נוכל לעצור אולי נזקים, שיכולים להתאפשר מהסתרת הבעיות.

דובב פלג:     העלינו את נושא האתגר בניהול מספר רב של מערכות אבטחת מידע , אבל לא נכנסנו לפרטים, אני חושב שזו אחת הבעיות המרכזיות בתחום הסייבר.

ארגוניים גדולים, ובמיוחד  חברות ממשלתיות וחברות תשתית, מתחזקים מספר רב של מערכות אבטחת מערכות אלו בנוסף למערכות אחרות אשר יוצרות כמות אדירה של התראות, ארגון קטן ייצר כ- 500 אירועים בשנייה ואילו ארגון גדול יגיע אף לעשרות אלפי התראות בשנייה, כמות זו של התראות יש לבצע אנליזה באמצעות כלי ניתוח (Big Data) כדי לנהל  אירועי אבטחת מידע, לצורך זה הקימה בזק בינ"ל מערך SIEM/SOC ייעודי אשר מבצע את האנליזה בשיתוף פעולה עם הארגון ומנטר את מערכות אבטחת המידע של הארגון 24/7. זה למעשה מיקור חוץ לניהול של מערכות אבטחת מידע (MSSP) Managed Security Service Provider, באמצעות מיקור חוץ  לפעילות ניטור השוטף ניתן להגיע לרמת אנליזה וניטור מאד גבוהה של מערכות המידע בארגון בזמן מאד קצר ועלויות נמוכות משמעותית מאשר רכישת יכולות אלו פנימית.

מוטי סדובסקי: אני חושב שברמות השונות של אחריות למזעור סיכונים – מדינה, ארגון, אדם – כל אחד צריך לבחון את מפת הסיכונים שלו. בכל רמה צריך להחליט איזה סיכונים אתה לוקח על עצמך, כי אין הגנה מאה אחוז, ומול איזה סיכונים אתה מגן אקטיבית. ואני חושב שבעולם של ה-IoT ודיגיטציה גורפת (Pervasive), האתגר של פעם הופך להרבה יותר מורכב וקשה לפתרון.  כמויות המידע עלו דרמתית, והצורך במענה מהיר וכמעט ב- Real Time מצריך שכולם בארגון יהיו מודעים למשמעויותיה.

עידו נאור:      אני חושב שצריך להחליף את המושג "מודעות" בצו "משמעת", וצריך להכניס יותר לפוקוס את הנושא של החינוך, שהוא הדרך להטמיע התנהגות ממושמעת אצל משתמשים צעירים.

יהודה אלידע: מה אמרת? משמעת? משמעת אומרת שיש חוקים, שלא הכל "זורם"!

עידו נאור:      נכון, אין די במודעות, כי מודעות לבדה נותנת לאנשים שלא באמת מבינים את הנושא יותר מדי מרחב תמרון אופורטוניסטי לדפוק את המערכת. הגנת סייבר דורשת התמחות עמוקה ברמת מנהלי הסיכונים, ומשמעת מוחלטת אצל המשתמשים.

כמוכם, אני קם בבוקר ליום נוסף של מאבק סיזיפי בפושעים הדיגיטליים. אבל אני כן רוצה לחנך את הדור הצעיר, להיזהר, לגלות אחריות, לדעת לאתר את הפושע ואיך להפליל אותו. נכון, זה שיעור שאין לו סוף, כי המטרה נעה והפושעים מסתגלים. ואני רוצה לסיים בנימה אופטימית: טוב שיש רעים וטוב שיש טובים, ככה מתנהל העולם, במאבק בלתי פוסק בין הטובים לרעים. ללא אתגרים לא נמשיך בעשיה הטובה שאנחנו עושים בכל יום, והשאננות היא אם כל סכנה.

יצחק שמר:    אבטחת מידע, כמו גם אבטחת סייבר, היא תרבות ארגונית יותר מכל דבר אחר. זו תרבות ארגונית, שנשענת על מוצרים טכנולוגיים, אבל עמוד השדרה שלה הוא אנשים. ולכן צריך להעמיק את החינוך,P1520824 לייצר את המודעות המתמדת, למסד את הכלים להפצת ידע, ולחזק את מעורבות הבכירים.

יהודה אלידע: מילת סיום שלי: אני מצטט את אנדי גרוב, Andy Grove, הפליט מהונגריה שהיה בין מייסדי אינטל ומאוחר יותר (בזמן "הזינוק הגדול" שלה בשנות ה-80), אמר באוטוביוגרפיה שלו, ש"רק הפרנואידים שורדים". הוא מה זה צודק! וכמו שכותב גם מחבר משלי, "אשרי אדם מפחד תמיד".  תפחדו מהסכנות שאתם מודעים לקיומן, ועוד יותר מאלה שלא נראות על המסך.

מוטי סדובסקי: בתנאי שלפרנואידים יש גם תקציב לשלם לחברות האבטחה כדי שנפיג במקצת את פחדיהם…

יצחק שמר:    אתה יודע יהודה, זה שאתה פרנואיד לא אומר שלא רודפים אותך.

יהודה אלידע: כן, גם לפרנואידים יש אויבים. הבעיה לדעתי, היא מהותית לפסיכולוגיה האנושית, משום שהאיומים הם וירטואליים, לא מוחשים ולא מעוררים תגובה רגשית של החלקים "הפרימיטיביים" של המוח, כמו האמיגדלה. במיליוני שנים של התפתחות המוח העתיק למד לזהות דברים מסוכנים פיזית, כמו תנועה חשודה של נמר בין צללי הג'ונגל. וזה עובד עלינו גם היום, בעולם שאין בו נמרים ואת עלוות הג'ונגל מחליפה ערוות העיר. קל לשכנע אפילו ילד קטן לא לרוץ לכביש, אפילו חתול יודע שזה מסוכן, אבל קשה לשכנע גם אנשים מאוד חכמים לא לעשות שטויות במחשב. אנחנו לא מרגישים את הסיכון, כפי שאנו לא מקבלים התראה חושית על עודף סוכר או כולסטרול, ולכן ממשיכים במנהגי אכילה מזיקים. מערכות הגנת הסייבר באות למלא את החסך הזה באמצעי זיהוי סכנה כפי שקיימים בממדים הפיזיים. הארגון יכול להיקלע לסכנה קיומית שדורשת פעולות חירום אגרסיביות – אבל אף אחד לא רואה, לא שומע ולא מרגיש, כי זה קורה בעולם וירטואלי. זאת בניגוד למה שיתרחש, אם המנכ"ל יצא מהמשרדים בערב, והוא רואה שאין שומר ליד דלת הכניסה. כי במקרה האחרון הוא מרגיש פיזית ממש ("תחושת בטן") את הסיכון בדלת פרוצה. ההבדל מהותי, ואנחנו עוד לא הטמענו לתרבות ההתנהגות שלנו, ממה אנחנו צריכים באמת לפחד. וזה מה שנותן לכם, מכובדי משתתפי הדיון, פרנסה בטוחה, שתמשך אני מקווה (למרות הרצון שהבעתי לנטרל סופית את סיכוני הסייבר) עוד הרבה זמן.

אודות מערכת ITNEWS מאיר עשת

מנהל/עורך אתר ITNEWS. בוגר כלכלה ומנה"ס באונ' בן גוריון ו- MBA בירושליים. בעבר: כהן כיועץ כלכלי מטעם המדינה בהולנד ובהודו. היה סמנכ"ל שיווק בברדר, משנה למנכ"ל בסטארטאפ TVNGO, מנהל IT מגזין של גלובס בשלוש שנים האחרונות.
נגישות