"המסמך להגנה מסייבר חיוני באומה חסרת משמעת כמו ישראל"

הרשות הלאומית להגנת הסייבר פרסמה טיוטה לתורת ההגנה הארגונית לחברות פרטיות. למה רשות ממשלתית צריכה להתערב בעניינים של חברות פרטיות? האם זה לא יקשה עליהן?
"רגולציה היא דבר שיוצר ביורוקרטיה ויש לו חסרונות נוספים, אבל במצבים מסוימים היא מחויבת המציאות. איומי הסייבר הם עניין של 10-15 השנים האחרונות, ובמציאות שבה תורת ההגנה מפניהם והלחימה נגדם נמצאת בהתגבשות, וקיימים חוסר ניסיון וחוסר מסורת מקצועית, צריכים קווים מנחים ורגולציה מחייבת.

יש בישראל לא מעט אנשי הגנת סייבר טובים מאוד, ומה שחסר אצלנו הוא משמעת. גם עם אחר, שיש לו יותר משמעת משלנו, זקוק לקווים מנחים, כל שכן העם שלנו, שהוא ברוך כישרונות, אך גם זה שהמציא את המונח לעגל פינות".

מה דעתך על המסמך?
"המסמך, שעבר הרבה מאוד עיניים לפני פרסומו, הוא מרשים, מאוד מעמיק ומתאים את עצמו לארגונים בגדלים שונים. הוא כולל קווים מנחים ויעילים, שקל לארגון שעסוק בצרותיו העסקיות לעכל וליישם".

האם המסמך מכסה גם אפשרות של מתקפה ייעודית על ארגון מסוים?
"הוא לא מתיימר לייצר הגנה נגד מתקפות בעלות השקעה משמעותית מבחינה טכנולוגית ומבחינת היקף, ולא יכול למנוע מארגון ביון או מארגון טרור לפרוץ למחשבי הארגון. אבל 99% מהארגונים בישראל ממילא לא מצליחים להתמודד גם עם מתקפות רגילות, וארגונים אשר זקוקים להגנה מפני מתקפות של גופי ביון נסמכים יותר על מתודולוגיה אחרת, שנכתבה על ידי רא"ם (ר"ת הרשות הממלכתית לאבטחת מידע)".

איך משפרים את החוסן הארגוני?
"יש במסמך שילוב של שיטתיות, טכנולוגיה וידע. כל ניסיון לייצר חוסן בהעדרו של אחד משלושת המרכיבים הללו נדון לכישלון. לדוגמה, נניח שאחת הבקרות מתריעה שיש ניסיון להעביר מסמכים. אם אחרון העובדים לא יודע בבירור מה מותר ומה אסור לו לאשר, שום אמצעי בקרה, יהיה מתקדם טכנולוגית ככל שיהיה, לא יוכל למנוע את כניסת הקובץ. באנלוגיה, זה כמו ש-ש"ג בבסיס צבאי מזהה מישהו מרחוק והוא לא יודע האם מותר לו להכניס אותו לבסיס או לא, כי המפקדים לא הגדירו כללים ברורים".

מי אמור לקרוא אותו, על כל 160 העמודים שלו?
"כל איש אבטחת מידע וכל איש IT שהוא בעל אחריות ניהולית כלשהי בארגון. מדובר במסמך שכתוב בצורה מלמדת. הוא מצליח, ביחסית מעט עמודים, ללמד את עיקרי תורת אבטחת המידע, ואת הבעיות ופתרונן – על פי הקווים המנחים".

האם עצם פרסומו לא חושף לתוקפים את דרכי ההתגוננות של ארגונים?
"אין לכך שום משמעות, זה לא עושה שום דבר רע מול כוונות התוקפים ולא מייצר חסרון. המסמך לא כולל מידע כלשהו שחושף לסיכון. בנוסף, לא מדובר בפתרון לטריקים – ויש רבים כאלה ועוד יהיו. בכל חודש יש טריקים חדשים של מתקפה. היכולת לייצר מסמך שלא קשור לטריק כזה או אחר היא הגדולה של המסמך. הוא לא מלמד איך לאכול לוקוס אלא איך לדוג".

האם יש למסמך כזה מקבילה בעולם?
"למסמך בהיקף כזה לא. יש במדינות אחרות מסמכים עבור תשתיות קריטיות, אבל לא עבור הציבור כולו. מבחינה זו, כמו גם במסמך הסדרת מקצועות הסייבר, ישראל פורצת דרך".