מנהלת האבטחה של יבמ: "אין הבדל בין סייבר לאבטחת מידע – סייבר פשוט יותר סקסי"

"אין כל הבדל בין המושגים 'אבטחת מידע' ו-'הגנת הסייבר'. הכול טמון במידת הסקס אפיל של כל אחד מהם. כשהתחילו לדבר על אבטחה לפני 20 שנה, דיברו על סייבר. אחר כך הדגש היה על 'מידע' במינוח 'אבטחת מידע'. כיום, המילה 'סייבר' פשוט גורמת לכך שמנהלי האבטחה יכולים לקבל יותר תקציבים מההנהלות. הסייבר פותח ארנקים", כך אמרה כריס לאבג'וי, מנהלת אבטחת המידע העולמית של יבמ (IBM), בראיון בלעדי לאנשים ומחשבים.

לאבג'וי מונתה לתפקידה הנוכחי באחרונה ולפני כן שימשה כמנכ"לית חטיבת שירותי האבטחה בחברה. לפני שהצטרפה ליבמ היא כיהנה כמנמ"רית וכ-CTO של Consul, אותה רכש הענק הכחול ב-2007. היא נמנית בדירוגי המגזינים הנחשבים בין 25 הראשונים ברשימות כמו "מקצועני האבטחה החשובים בעולם" ו-"הנשים המשפיעות על עולם אבטחת המידע". במסגרת תפקידה אחראית לאבג'וי לכלל היבטי אבטחת המידע בתאגיד ה-IT הענק, לתפקוד ולעמידות הארגון, והיא אף לוקחת חלק בוועדות של החברה לתחומי ניהול הסיכונים והגנת המידע.

מהן הבעיות בפניהן ניצב כיום מנהל האבטחה הארגוני?
"עליו לתקשר עם ההנהלה. זו רוצה לדעת את הערך של האבטחה וכמה נדרש להשקיע. התשובה היא שאף פעם זה לא מספיק. קשה מאוד לכמת ערך של אבטחה. רוב ההנהלות אומרות: 'לא הותקפנו בעבר – אז איננו מטרה', וזו כמובן שגיאה.

ככלל, ארגונים ניצבים מול מגפת אירועי אבטחת מידע, מעין אבולה של האבטחה. הם מאפשרים לעובדים ולגורמים חיצוניים לגשת למידע, ולא מבינים שבלי בקרה וניטור – זה הליך חמור.

בעיות נוספות נובעות מהמדיה החברתית ומהגישה למובייל. הליכי הבקרה והניטור אינם פשוטים והריפוי, במקרה של אירוע אבטחה, גם קשה וגם לא בהכרח מהיר. לעתים לא מתגלית פרצה משך חודשים ותיקונה יארך שבועות רבים.

היבט נוסף הוא הפיתוח. המפתחים עברו מפיתוח בתצורת 'מפל מים' לפיתוח אג'ילי, וכך נולדו להם איומי אבטחה רבים וחדשים. זריזות הפיתוח והגישה לקוד פתוח ברשת טומנות בחובן איומים רבים, ואת זה ההאקרים כבר גילו מזמן. כך יש המון אפליקציות תמימות שלמשתמשים אין מושג שבתהליך הפיתוח הן הודבקו 'על הדרך' בנוזקות רבות. זה יתגלה כמובן בדרך הקשה – בהרס המכשיר הנייד, בגניבת מידע או בדרישת כופר בשל השבתה. מדובר בנושא מדאיג, שילך ויחמיר. הוא עוד לא מספיק 'אישיו' כיום".

אנשים, אנשים, אנשים

"95% מבעיות אבטחת המידע בארגונים נובעות מהגורם האנושי", אמרה לאבג'וי. "כבכל העולם, גם כאן אנשים עושים טעויות. הם משתמשים בסיסמאות חלשות, כגון 123456 או ZXCVBNM בשורה התחתונה במקלדת. הם גם לא נוהגים להחליף סיסמאות בין המחשבים בבית ובעבודה. בארגונים, העובדים דוחים או שוכחים לעדכן ולשדרג את המחשבים שלהם. 'מחלה' נוספת שייכת לאנשי ה-IT, ששומרים הכול לעצמם, וצוברים הררי חומרה ותוכנה. בטבע האנושי טמון 'גן' שאומר 'דאבל קליק' ולכן, לא פעם הרעים מנצחים. האנשים הם החוליה החלשה".

מה המענה לאיומים?
"ניהול אבטחת מידע בארגון גדול זה לא אנשים ולא הטמעת טכנולוגיה, אלא רק מימוש של תהליכים. נדרשים כמה דברים: זיהוי הסיכונים לעסק; מענה לסיכונים; הטמעת מדיניות אבטחה, עם דגש על חינוך העובדים; מדידת האפקטיביות של האבטחה; יציאה מנקודת הנחה שהרעים כבר בפנים; עריכת מבדקים לעובדים; יצירת יכולת תגובה מהירה; והגנה על תחנות הקצה, עם הצפנה ומניעת חדירה. יש להבין שלא כל האנשים שווים במעמדם בארגון. מי שיש לו הרשאות רבות מאחר שהוא בכיר הוא בהכרח הכי מסוכן – עיין ערך אדוארד סנואודן. נדרש ליצור סביבת עבודה מחשובית לא 'מזוהמת'. את רוב הטעויות ניתן למנוע על ידי אוטומציה של תהליכים".

ענן דורש אבטחה אחרת

היא ציינה בנוסף כי "נדרש להבין שהענן לסוגיו דורש אבטחה שונה". לאבג'וי אמרה כי "יש להבטיח הגנה כוללת על המידע, מידע מובנה ולא מובנה, עם הצפנה, ניטור ובקרה וערבול". לבסוף, ציינה, "יש לנהל את מחזור החיים של הישות הדיגיטלית (העובד). יש לוודא מי ניגש לאיזה סוג נתונים, ולמנוע זאת ממנו כשהדבר אסור".

לאבג'וי מכירה לדבריה את שוק אבטחת המידע הישראלי היטב, והייתה מעורבת ברכישות של חברות אבטחת מידע ישראליות שיבמ ביצעה בעבר. "מדובר בשוק שמשמש כאינקובציה הגדולה והטובה בעולם לאבטחת מידע ולהגנת הסייבר. יש פה חדשנות טכנולוגית, עם כישרונות אנושיים איכותיים". עם זאת, היא ציינה כי "לא אשיב לשאלה מי תהיה או איזה סוג של חברה ישראלית בעולם האבטחה תרכוש יבמ".