"איש לא יעלה על מטוס נוסעים חד-מנועי – רק בסייבר אין יתירות"

"כיום, כל עולם הסייבר מתמקד בתחום גניבת המידע – כי זה יותר קל. אבל הבעיה החמורה יותר היא שיבוש מידע, למטרות גניבת כסף, או הרס תשתיות הבנקאות. שם נדרש לרכז את מאמצי ההגנה וההיערכות, כי זהו תחום אסטרטגי הרבה יותר – לבנקים ולמדינות", אמר בראיון בלעדי לאנשים ומחשבים אלון כהן, מייסד, יו"ר ומנכ"ל nsKnox, אותה הקים ב-2015.

לכהן, בן 48, יש יומרה לשנות את האופן בו בנקים מגנים על עצמם, ולשנות לחלוטין את תפיסת ההגנה של ארגונים מפני מתקפות סייבר.

הוא חושב בגדול, והיה ניתן לפטור את דבריו בקלות ולקבוע שמדובר בפנטזיונר, אילולא העובדה שמאחוריו קבלות: הוא ייסד את סייברארק (CyberArk), מובילה עולמית בתחום שיתוף מידע מאובטח בין ארגונים, ושליטה ובקרה על פעילות המשתמשים הרגישים.

כהן הקים אותה עם אודי מוקדי, המנכ"ל הנוכחי, חבר ילדות שלו. "את סייברארק הקמתי במרתף ביתי. במשך שנתיים עבדתי על הפטנט המרכזי שלה, חדר כספות לרשת תקשורת (Network Vault)".

בראש השנה 2014, סייברארק ערכה את אחת ההנפקות המוצלחות של חברת IT ישראלית בבורסת נאסד"ק, שביום המסחר הראשון, המניה זינקה ב-87%. כיום היא נסחרת לפי שווי של 1.6 מיליארד דולר.

כהן היה מנכ"ל ואח"כ יו"ר סייברארק, עד שפרש ב-2012. ב-2004, תוך כדי עבודתו בסייברארק, הקים את FilesX, שסיפקה פתרון לשחזור נתונים, עם מערכת להתאוששות מהירה של יישומים עסקיים קריטיים. זו נרכשה ב-2008 על ידי יבמ (IBM) ב-80 מיליון דולר.

"ארגונים מתחילים להבין", אמר כהן, "שלא משנה כמה אתה גדול וכמה כסף הוצאת להגנת הסייבר, אינך מסוגל להגן על עצמך ב-100% לבדך. ג'יי. פי. מורגן (JPMorgan Chase) משקיע בתחום מאות מיליוני דולרים בשנה, ועדיין נפרץ ונגנבו ממנו 80 מיליון רשומות. המתקפות והפריצות מתחוללות לכל רוחב היריעה".

לייצר אבטחת מידע שיתופית בסייבר

"אחרי שנים בתחום סייבר", אמר כהן, "הבנתי שהפתרון היחיד הוא לייצר אבטחת מידע שיתופית בסייבר: מי שירצה לפרוץ לארגון, ייאלץ לפרוץ לכמה ארגונים בו זמנית. כדי להגיע לבנק אוף סקוטלנד (RBS), אצטרך לפרוץ בנוסף גם לבנק אוף אינגלנד (Bank of England) ולמיקרוסופט (Microsoft), למשל".

כהן, מתמטיקאי בהשכלתו, מסביר: "אנו עושים לכאורה פיצול מתמטי של המידע. לצורך הפשטה, אם עלי לשמור את המספר 4, למשל, אז בארגון א' אבחר אקראית לשמור את המספר 1 ובארגון ב' את המספר 3. המספר 4 לא יימצא בפועל בשום מקום – האקרים יהיו חייבים להגיע לשני הארגונים אשר יחדיו מרכיבים את הסכום 4. כל אחד משני הארגונים מכיל רק חלק מהנתון הנשמר, מה שהופך כל אחד מן הארגונים לעיוורים לגביו".

יתירות של המידע

לב העניין, מסביר כהן, "הוא לייצר יתירות של המידע ושל המערכות המגינות עליו. נפילת מערכת אבטחה בארגון א' או ב' לא תוביל להצלחת ההאקרים – נדרש כישלון של כמה מערכות בו זמנית. יתירות היא המפתח: איש לא יעלה 200 איש על מטוס חד-מנועי. בכל תחום יש לנו יתירות – רק לא בסייבר".

nsKnox, ציין כהן, "מאפשרת לארגונים, לקחת למשל, את הנתונים האישיים של הלקוחות, ולפצל אותם מתמטית בין כמה ארגונים. פה נכנס מימד השיתופיות. יצרנו מנגנון ניהול, המאפשר לגורם חיצוני – שאינו הארגון עצמו – להגן על הנתונים ללא חשיפה אליהם".

"בנוסף, יש פה לבנקים אפשרות ליצור מקור הכנסה נוסף. הם יכולים לשרת בתשלום ארגונים אחרים על גבי תשתית הסייבר המתקדמת שלהם".

"נוטריון" דיגיטלי המסייע לאמת עסקאות

"פיתחנו תשתית טכנולוגית למימוש התפיסה", הסביר כהן, "ועל גבי התשתית פיתחנו כמה מוצרים. האחד, מוצר לשמירת נתונים מפוצלת. השני, Transaction Authority, הוא מעין 'נוטריון' לעסקאות. כיום, אם האקר הפורץ לבנק יגנוב כסף, זו הבעיה הקטנה של הבנק. החשש הוא מהרס ושיבוש הנתונים".

"הבנקאות מתבססת לא על כסף – אלא על מידע דיגיטלי. שיבוש המידע הוא סיוט של עולם הבנקאות, כי הוא יביא להרס התשתיות שלו. אנו מביאים גוף חיצוני, מפוצל, המאפשר לבנק לבדוק את נכונות הנתונים, כי יש עותק בלתי תלוי שניתן להשוות אליו, צד ג', המשמש כמעין נוטריון בעולם הפיזי. זה מאשר שהעסקה אמיתית ולא פיקטיבית ושהיא מתאימה לספרי הבנק".

"ה'נוטריון' הוא בפועל כמה גופים, כל אחד מהם עיוור, ועל כן אינו חשוף לפעילות הבנק – אבל כולם יחד נותנים תמונה שלמה, המאפשרת לבנק לבדוק את עצמו".

מי אמר "סייבר" לראשונה

לכהן קילומטרז' של 25 שנה בעולם הסייבר. הוא החל אותו בצבא, כשהקים בממר"ם ב-1993 מדור אבטחה. כהן הוא אחד מהוגי המושג סייבר, עליו חשב ב-1999: "טבעתי בראשונה את המושג הגנת הסייבר כשהקמתי את סייברארק, צירוף המילים סייבר ותיבה, תיבת נוח המגנה מפני הים הסוער, הסייבר".

השם nsKnox הוא משחק מילים על Fort Knox, בסיס של צבא ארצות הברית השומר על יתרות הזהב של המדינה, הנחשב כמקום הבטוח בעולם. "ב-nsKnox אנחנו בונים משהו דומה, רק בעולם הדיגיטלי". החברה יושבת בפתח תקווה ומונה 15 עובדים, רובם מהנדסים. "אני לא מעוניין באקזיט", כהן אומר, "אני רוצה לבנות חברה גדולה, ציבורית".

לצד חברה זו, כהן הקים חברת סייבר נוספת, Intezer – המקשה על ההאקרים להטעות את מערכת האבטחה בארגונים, על ידי מימוש עקרונות מערכת החיסון הביולוגית לאבטחת הסייבר. חברה נוספת שהקים – Muvix, אינה קשורה לסייבר: "פיתחנו טכנולוגיית On-Demand לקולנוע: הצופה הולך לקולנוע והוא זה שבוחר איזה סרט לראות".

"התחלנו בפיילוטים בקרב כמה מוסדות פיננסיים", סיכם כהן. "אחרי שבניתי חברה מובילה עולמית, הרגשתי צורך לעשות משהו גדול, אסטרטגי, שמאוד חשוב לעשותו בעידן בו אנו נמצאים".

"ארגונים נמצאים במלחמה, גם אם לא תמיד הם יודעים זאת. הבנקים נדרשים להגן על עצמם – לא רק מפני האקרים – אלא מפני מדינות, ארגונים שלוחי מדינות, או נגד ארגוני פשע מקוון שיש להם לעיתים הרבה יותר משאבים וכסף מהארגונים המותקפים – גדולים ככל שיהיו".

כהן ישתתף בכנס FinTech Junction.