כרמי גילון: "מתקפת סייבר – דרגה אחת מתחת למלחמה אטומית"

"מתקפת סייבר היא אירוע אסטרטגי ורב משמעות מהמעלה הראשונה, שחומרתו נמצאת רק בדרגה אחת פחות ממלחמה אטומית, ולכן נדרש להיערך למתקפות הללו בהתאם", כך אמר כרמי גילון, יו"ר Cytegic ולשעבר ראש השב"כ.

גילון דיבר בכנס שערכה היום (ה') Cytegic, בהפקת אנשים ומחשבים, בבית הבורסה בתל אביב. הכנס נשא את הכותרת "אתגרים בהתמודדות עם הנחיה 361", השתתפו בו עשרות מקצועני אבטחת מידע והגנת סייבר בעולם הבנקאות ומחוצה לו, והנחה אותו שי זנדני, מנכ"ל החברה.

"אין ספק שהטרור העתידי יסתייע יותר ויותר בעולם הסייבר למימוש פעילויותיו", על פי גילון. הוא התייחס גם להשפעת הסייבר על עולם הפשע המאורגן: "המאפיה המודרנית תהיה 'סייברית'", אמר. "הכוונה היא מעבר לתקיפות המוכרות של האקרים. העתיד של התחום בעייתי – ונדרש להיערך לו".

לדברי גילון, "אחת הדרכים להיערכות היא רגולציה, שתגן על אזרחי ישראל, ועל כן אני מברך את בנק ישראל, שפרסם את הנחיה 361. המפקח על הבנקים, הוא הרגולטור הישראלי בתחום הבנקאות, הפך לחלוץ עולמי כשפרסם את ההנחיה, שמטילה על הדירקטוריון וההנהלה הבכירה את האחריות למדיניות הגנת סייבר בבנקים, מחייבת אותם למנות מנהל בכיר לתחום, לשלב מידע מודיעיני בהערכות הסיכון התקופתיות ולבצע מדידה איכותית של הגנות הסייבר של הארגון".

ראש השב"כ לשעבר ציין כי "בעת יישום היערכות לסייבר יש לטפל בארבעה מימדים: גישה פרו-אקטיבית: לא לחכות לתקיפה, אלא לנהל את סיכון הסייבר; נדרשת מערכת אוטומטית מקוונת – כך תתקבל תמונת מצב של הסיכונים בזמן אמת. המיכון הוא קריטי; יש צורך במערכת שיכולה לדבר בשפה ידידותית, של הדיוטות כמוני. אינני טכנולוג ואני לא מבין מה עושים עובדי החברה; ועל המערכת לשרת את ההנהלה. סיכון הסייבר הוא תפעולי, אך לא רק. ניהול הגנת סייבר הוא חוצה ארגון. נדרשת מעורבות הנהלה עמוקה, לטובת ניהול הסיכונים. סייבר הוא איום אסטרטגי – החל מפגיעה במוניטין וכלה בנזק ישיר. על ההנהלה והדירקטוריון להיות מעורבים, כי הם בסופו של דבר נושאים באחריות".

שי זנדני, מנכ"ל Cytegic. צילום: קובי קנטור

לדברי גילון, "לפני כחודש הוזמנתי לפורום FSSCC (ר"ת Financial Services Sector Coordinating Council), שייסד ב-2006 ג'ורג' בוש, אז נשיא ארצות הברית. הפורום מאגד יותר מ-100 חברים, שליש מהם רגולטורים והשאר ראשי מערכת הבנקאות והפיננסים האמריקנית, ואנשיו ביקשו ממני לדבר על איומי סייבר. סיפרתי להם על הנחיה 361 והם היו מלאי התפעלות: האמריקנים, מסתבר, נמצאים מרחק שנות אור מהתקנות שלנו. כך, רק לפני זמן מה הוציא נשיא ארצות הברית, ברק אובמה, תקנה שמחייבת גופים פיננסיים לדווח לממשל על כל מתקפת סייבר – מידע שגופים לא רוצים לחלוק".

"המתקפות נגד הבנקים – גם ממניעים אידיאולוגיים"

זנדני אמר כי "בנקים היו מאז ומתמיד מטרה של האקרים ופושעי רשת. הבנקים הישראלים סופגים גלים של התקפות ללא כל קשר לגודלם, לא רק בניסיון לגנוב כספים או פרטי מידע – אלא גם ממניעים אידיאולוגיים, בניסיון לפגוע בסמלים של מדינת ישראל ובכלכלה שלה".

לדבריו, "הנחיה 361 מחייבת את הבנקים לבצע שורה של צעדים כדי להתכונן למתקפות סייבר מסוגים שונים. מדובר בהנחיה ראשונה מסוגה בעולם, ולמעשה בשינוי מדיניות משמעותי באופן שבו הבנקים מתייחסים לתקיפות סייבר. המפקח על הבנקים מתווה כאן קו שאומר: איומי סייבר, כמו כל סיכון פיננסי, מחייבים התייחסות רצינית. פגיעה בבנק יכולה להיות הרסנית מבחינת יציבות המשק כולו ואורח החיים האזרחי".

הוא סיכם באמרו כי "איומי הסייבר נמצאים כל הזמן במגמת עלייה – הן מבחינת התדירות והן מבחינת התחכום. הגרוע ביותר עוד לפנינו והבנקים, כמו כל חברה, צריכים להיות מוכנים. האיום כאן והוא מוחשי".