מי יהיה קורבן הסייבר הבא? "המציאות עגומה משאנו חושבים"

משתתפי הפאנל בוועידת שוק ההון: "לפעמים משהו שנראה כמו מתקפה של מדינה זה בעצם התקפה של גוף מסחרי"

נדב צפריר / צילום: איל יצהר
נדב צפריר / צילום: איל יצהר

גבולות מיטשטשים עמדו במוקד מושב "חור באבטחה - מי יהיה קורבן הסייבר הבא?" שנערך בוועידת שוק ההון של "גלובס" בשיתוף עם קבוצת הסייבר TEAM8. מדובר בגבולות בין מתקפת סייבר מדינתית לעסקית, בין הגדרות של הגנה והתקפה, בין האחריות של המדינה ושל המגזר העסקי ובין התפקידים של הרגולטורים השונים בטיפול באבטחת סייבר. "האם להעמיק או לא להעמיק את התפקיד של הרגולציה?", שאל מנחה המושב, עו"ד אלון סהר, שותף במשרד מיתר ליקוורניק גבע לשם טל. "יש לי ציפייה שהמדינה תגן עלי כשמטוס יורט מטיל קרקע-אוויר. האם צריכה להיות לי ציפייה שונה אם פוגעים במערכות הקריטיות שלו ובגלל זה הוא מיורט. האם יש למדינה תפקיד אחר בהתערבות או בקביעת סדרי העדיפויות באופן שבו מגנים צריכים לקחת על עצמם מעבר לתחומים הספציפיים שבהם נמצאת הרגולציה?".

קיראו עוד ב"גלובס"


האם למדינה יש תפקיד באבטחת סייבר מעבר לתפקיד רגיל של מדינה? "התשובה היא 'ברור שכן'", השיב פרופ' יצחק בן ישראל, ראש סדנת יובל נאמן למדע באוניברסיטת תל-אביב. "אם מישהו רוצה להוריד את תחנת הכוח ברידינג, הוא יורה טיל. אם מישהו רוצה לירות טיל סייבר ולשתק את הקונטרולרים של הטורבינות - הוא לא יכול לעשות את זה, אי-אפשר להעיף טיל שייפול על המחשב של הטורבינות. זה צריך לצאת מאיזשהו מקום בעולם, נוסע לו מסרבר לסרבר, ואם הכול הולך כמו שצריך, בסוף מגיע לטורבינה. אתה יכול לעשות הגנת סייבר על הטורבינה, פיירוולים וכל מיני דברים, זה כמו המאבטחים שעומדים עם הסורקים שמצפצפים בכניסה לסופר, זה בערך אותה יעילות. זאת אומרת, אם הכול נכשל, תעשה גם הגנה בפתח של הטורבינה. אבל אם אתה רוצה להיות יעיל, אתה צריך לתפוס את זה בדרך. אבל זה לא סרברים שלך, איך אתה בתור חברת החשמל יכול לעשות משהו ל-malware (נוזקה) שרצה לה בדרך על סרברים של אנשים אחרים? רק המדינה יכולה לעשות את זה. אחרת תהיה לך הגנה מאוחרת מדי".

עם זאת, פרופ' בן ישראל תומך ברגולציה "במינימום שצריך. יותר מדי התערבות של הממשלה זה אף פעם לא טוב. אני אתן דוגמה ממשהו שהממשלה החליטה לפני שש שנים, ולפני שנה-שנתיים היה רעש גדול כי הממשלה רצתה לקחת צעד אחורה: כדי שיהיה אקוסיסטם של סייבר אתה צריך תעשייה עצמאית שמחזיקה את עצמה, ופה אף תעשיה לא מחזיקה את עצמה אם היא לא מייצאת אז אתה צריך ייצוא. איך אתה מייצא סייבר בלי שהטכנולוגיה תיפול בידי הרעים? בביטחון יש מלמ"ב (הממונה על הביטחון במערכת הביטחון) ואפ"י (אגף הפיקוח על היצוא הביטחוני) ואתה מבקש רישיון. יש כמה הבדלים בין תעשיית הביטחון לתעשיית הסייבר: בביטחון זה כמה תעשיות גדולות, יש מדור אפ"י, שידברו עם אפ"י ויעשו מו"מ. הם לא נכנסים לפרויקט לפני שהם יודעים את כל הדרך עד הסוף.

"בסייבר יש מלא קבוצות קטנות, אם תבקש שהם ידברו עם משרד הביטחון ויגיעו להסכמים - לא יהיה מי שיעשה את הפיתוח הטכנולוגי. והם לא ממומנים על ידי המדינה אלא השוק הפרטי. תאר לך שאתה מבקש ממשקיע פרטי 10 מיליון דולר, ואחרי שאני אבזבז את ה-10 מיליון דולר שלך, אם אני אצליח, אלך לאפ"י ואבקש רישיון, ואולי יגידו לי לא - ואז כל ההשקעה שלך לא שווה כלום, כי למכור רק בישראל לא שווה, בשביל זה לא מפתחים.

"לפני שש שנים החלטנו שנגדיר את הרגולציה הבאה: כל מי שמפתח מערכת סייבר להגנה לא צריך רישיון, ומי שמפתח מערכת להתקפה צריך רישיון. גופי הממשלה עשו עבודת מטה - שאלו אם אפשר להגדיר מה זה הגנה ומה זה התקפה, ועלה הרעיון שאת כל התחום האפור נעשה דיונים ונחדד אותו. הבעיה שזה ביטחון, אז תמיד הופכים את האפור לשחור - מגדילים את הביטחון אבל הורגים את התעשייה. בסוף הוחלט להישאר בכלל הידוע - ניתן לכל אחד לפרש איך שהוא רוצה, ואם נתפוס מישהו יצירתי מדי, שלקח מערכת התקפית וקרא לה הגנתית, נפעיל כלים של אכיפת חוק ותביעות".

"ניהול סיכונים"

מוטי בנמוחא, ראש אגף הסייבר והביטחון בבנק לאומי, סיפר איך נראים איומי סייבר מנקודת מבט פרקטית: "התפקיד שלי לאפשר לבנק להתנהל בצורה סבירה עם ניהול סיכונים סביר. המרחב שאני מתנהל בו הוא קודם כל ההבנה מהם האיומים, מה נדרש, מה מידת ההשקעה הנדרשת להגנה מהאיומים העסקיים; ומצד שני אנחנו עובדים מאוד צמוד עם בנק ישראל, שמחלק הנחיות שיש להן משמעות. הוא יכול להחליט לעשות במקרה קיצון לבוא לעשות ביקורת ולראות אם אני עומד בהנחיות שלו.

"יותר מזה, אם בנק לאומי שרוצה להוביל את הדיגיטל והחדשנות מעלה שירותים לענן - התכתשנו שנתיים וחצי עם בנק ישראל לקבל אישור. יש שחקן חדש במגרש, הרשות הלאומית להגנת הסייבר במשרד הראש הממשלה. היא הכניסה למגרש הזה עוד שחקן שהוא גורם מקצועי, שמעבר לשיתוף ידע, הדבר העיקרי שהוא יכול לתת לי זה בזמנים של אירועים מאוד גדולים ומשמעותיים שהבנק נתקל בהם, ואין לבנק דרך אמיתית יכול לפתור אותם גם אם יפעיל את כל היכולות שלו. מאחר שלמה שקורה בבנק יש השפעה לאומית, אז יש גופים שמישהו צריך לתווך ביניהם. מה קרה קודם? ההוא התקשר להוא, דיבר איתו והסתדרו.

"נכון להיום מבחינת ההסדרה שהולכת להיות, אם יש אירוע שבו יש משמעות לאומית של הגוף הנפגע, אז לפחות יש עוד גוף שיודע לתווך ביני לבין הגופים האחרים שאני רוצה להגיע אליהם. פעם זה היה נורא ברור - אם זה מדינה תוקפת אני לא מתעסק, אם זה ארגון פשיעה אני כן. הגבולות האלה היטשטשו לחלוטין ואנחנו שחקנים במגרש הזה. אני לא צריך להגיד אם מאחורי התקיפה יש מדינה או לא. אני במשחק של הגדולים".

"לפעמים משהו שנראה כמו מתקפה של מדינה זה בעצם התקפה של גוף מסחרי", העירה על כך מיכל ברוורמן-בלומנשטיק, מנהלת כללית סייבר סקיורטי באז'ור, מיקרוסופט, וסיפרה על פעילות החברה שלה בתחום. "הכרזנו עכשיו על קנייה של עוד חברת אבטחת סייבר ישראלית. בעצם, זה שזה בישראל זה במקרה - אנחנו לא נחושים להסתכל רק על ישראל, אבל יש פה הזדמנויות מאוד טובות. למה מיקרוסופט החליטה להיות שחקן משמעותי בתחום האבטחה? החזון של מיקרוסופט הוא לעשות כל אדם פרודוקטיבי באשר הוא. ברגע שיש איומים, ברגע שאנשים מפחדים להשתמש במדיות הדיגיטליות בגלל כל האיומים, אנחנו לא יכולים לממש את החזון שלנו, לכן נושא האבטחה מאוד אסטרטגי לנו. כל הנושא של תשתיות תמיד היה, מיקרוסופט דאגה לאבטח את כל המוצרים שלה. אבל אבטחה כנושא אסטרטגי - זה קרה בשלוש ומשהו שנים האחרונות. ולכן מיקרוסופט משקיעה המון בפיתוח בכל הנושא של פתרונות אבטחה, קניית חברות איפה שאנחנו מרגישים שיש לנו חסכים ואנחנו רוצים לסגור את הפער בצורה יותר מהירה מאשר לעשות פיתוחים בתוך הבית, אנחנו משקיעים מעל מיליארד דולר בשנה בפיתוח אבטחה מעבר לרכישת חברות. זה בנפשנו - אם לא נדאג לזה ולא נעשה את זה, כל עתידה של מיקרוסופט בסכנה".

"המציאות האמיתית הרבה יותר עגומה ממה שאנחנו חושבים", הזהיר ד"ר נמרוד קוזלובסקי, שותף ב-JVP, "בארגונים בממוצע יש 70-80 מוצרי סייבר שונים. כשבודקים אותם, חלק גדול מהם עושים את אותה פעולה, ולפעמים זה אפילו פוגע בביצועים, במהירויות ובאבטחה עצמה. דבר נוסף - כשבודקים את רוב המוצרים מגלים שאתה בין לא מפעיל אותם למפעיל אותם למודולים בודדים. עשו בדיקות בפיירוול על כל מגוון הפונקציות וגילוי שאו שהוא כבוי, או שהוא מופעל בצורה מאוד מוגבלת יחסית ליכולות, בגלל המורכבות של ניהול המוצרים. המורכבות הכי גדולה היא לעשות קונפיגורציה של מוצרי אבטחה, לנהל אותם, לסנכרן ביניהם עם ההתנגשויות המובנות שיש ביניהם".

"שאלה של קצב"

"הבעיה היא שבזמן שאנחנו מפתחים מערכות, גם התוקפים מפתחים מערכות", אמר נדב צפריר, מנכ"ל Team8 ולשעבר מפקד יחידה 8200. "השאלה היא שאלה של קצב. התחרות בסוף היא תחרות למידה. כרגע אנחנו לא בצד המנצח כמערכת הגנתית, מי שנמצא בצד המנצח אלו המערכות ההתקפיות. ההתקפה שהיתה על ה-DNC (המפלגה הדמוקרטית) לפני שנה הפתיעה את כולם. לעומת זאת, בצרפת, אילולא היו תוקפים אותם הם היו מופתעים, זה הופך להיות דבר מקובל. הבעיה השנייה היא שבכל פעם שנחשפת יכולת מדינתית, שהושקעו בה עשרות מיליונים ולפעמים יותר, לקהל שזה מעניין אותו, היכולת להפוך את זה לכלי התקפי היא די בסיסית, לא צריך תשתית מטורפת. לכן הקצב הוא לא לינארי. נדמה לי שקצב הפיתוח של עולם ההגנה הוא לינארי, ובהתקפה יש מדי פעם קפיצת מדרגה דרמטית שתופסת את כולם לא מוכנים.

"אני חושב שבסופו של דבר נצטרך לעבור גם בעולם הגנה לקפיצות מדרגה יותר מהירות, שמשנות תפיסה. לא יעזור לקחת המון מידע ולעשות עליו אנליזה. אנחנו צריכים לשנות את הצורה שבה אנחנו מתייחסים למידע. צריך לנסות להתחכם לתוקפים, להיכנס לראש שלהם, להבין איך הם פועלים ולהפוך את החיים שלהם ליותר מסובכים, על מנת שבתחרות הזאת מדי פעם אנחנו נהיה בצד המנצח. דבר שני, לעבור לפרדיגמה חדשה של הגנה - שאומרת שלא נצליח להגן כמו פעם. לפני 20 שנה הכול היה פרטי ובחרת מה לפרסם. עכשיו זה הפוך, הכול גלוי ואתה בוחר על מה להגן בצורה מאוד ממוקדת. יש תהליכים שצריך להשתנות בצורה משמעותית. ברגע שנגן על דברים מאוד בסיסיים וליבתיים נוכל להעלות למערכת אנליזה רק את המידע הרלוונטי ולקבל החלטות רלוונטיות".

פאנל חור באבטחה

ד"ר נמרוד קוזלובסקי, שותף, JVP Labs, HFN

מוטי בנמוחא, ראש אגף הסייבר והביטחון, בנק לאומי

נדב צפריר, מנכ"ל Team8 ומפקד יחידה 8200 לשעבר

פרופ' יצחק בן ישראל, ראש סדנת יובל נאמן למדע, אונ' תל-אביב

מיכל ברוורמן בלומנשטיק, מנהלת כללית סייבר סקיורטי באז'ור, מיקרוסופט

מנחה: עו"ד אלון סהר, שותף, מיתר ליקוורניק גבע לשם טל