מומחי אבטחת מידע: "יש PRISM גם בישראל; כל מה שהציבור עושה ברשת חשוף לזרועות הביטחון"

"יש PRISM גם בישראל", כך אמרו מומחי אבטחת מידע שהשתתפו ברב שיח שנערך לא מכבר בבית אנשים ומחשבים, ועסק בהיבטים שונים של אבטחת מידע, במגזרים הממשלתי-צבאי והפרטי כאחד. לדבריהם, נאיבי להניח שאין בארץ מעקב ואיסוף מידע מאזרחים, אם כי באופן שונה מהתוכנית השנויה במחלוקת שקיימת בארצות הברית.

מנחה רב השיח היה אבי ויסמן, מנכ"ל שיא סקיוריטי, והשתתפו בו איילת סאחתי, מומחית לסיסטם ואבטחת מידע באנג'יקור, נאור פנסו, מנהל אבטחת מידע ב-א.מ.ת מיחשוב ונמרוד קרביקס, מהנדס מערכות בכיר באזור EMEA (ר"ת אירופה, המזרח התיכון ואפריקה) באיקסיה (Ixia).

לדברי סאחתי, "קיימים בישראל דברים דומים ל-PRISM, אבל אין אליהם מודעות ואין מי שיעביר עליהם ביקורת. אני חושבת שלא מדובר במשהו ברמה של מה שקיים בארצות הברית, אבל אפשר להתווכח על זה".

פנסו אמר, כי "נאיבי להניח שאין PRISM בארץ. יש יחידות בצבא שהעבודה שלהן היא חקר מודיעין פתוח ואין סיבה שהן לא יבצעו תוכנית דומה. עם זאת, אף אחד לא יכול לעבור על המידע של כל אזרחי ישראל ולכן, המודיעין מבוצע בהתאם להערכות מצב ומילות מפתח, לא מידע פרטי. הפרטיות בעבודה, הדאגה שהמעסיק ייכנס למידע של העובד, צריכה להיות רבה יותר". בקשר ל-PRISM האמריקני הוא אמר, כי "פרויקט כמו זה צריך להיות חשוף ולא חסוי, כדי שתהיה כמה שיותר ביקורת ציבורית".

"כל מה שהציבור עושה באינטרנט חשוף לזרועות הביטחון"
"נקודת המוצא צריכה להיות שאי אפשר להימנע מפגיעה בפרטיות", אמר פנסו. "אנחנו חשופים כך או כך ומהווים חלק מזה, מבחירה או לא". לדבריו, "יש למדינה את היכולת והרצון לבחון תכתובות באופן ממוקד. כל מה שהציבור עושה ברשת חשוף לזרועות הביטחון. במידה מסוימת, זאת זכותה של המדינה, אם כך היא רואה את מענה ההגנה על אזרחי ישראל".

הדוברים ציינו את האמון של אזרחי ישראל במערכות הביטחון. "מאחר שישראל היא מעצמה ביטחונית, אנחנו נותנים מלכתחילה את הפרטיות שלנו לממשלה ולא מפקפקים בה", אמרה סאחתי. "אנחנו כל כך בטוחים בשירותי הממשל והביטחון שלנו, ובמלחמתם בטרור. דווקא בגלל זה יכולה להיווצר פרצה שעלולה להוביל לניצול האזרח והחברות, וזה לא פחות מטרור בפני עצמו".

היא ציינה, כי "מטרידה אותי הרמה הטכנולוגית בזרועות הביטחון. לוקח לגופים צבאיים וממשלתיים הרבה זמן לתפוס את הדברים. חלק מהמערכות שלהם טובות פחות ממערכות שזמינות ברשת וניתן לנצל אותן לרעה – השאלה היא כמה, בשביל מה ועל ידי מי. עוד שאלה היא האם מצליחים לתחזק אותן נכון. בשביל זה צריך שקיפות וכשזו תהיה, אני מקווה שיהיה גם יותר תקציב לתחזוק שלהן".

פנסו אמר בהקשר זה, כי "הצבא מוגבל, גופי אבטחת המידע הצבאיים עדיין לא מספיק גדולים להכיל את כל המידע. עם זאת, הם לאט לאט תופסים את הדברים. במגזר הממשלתי אנחנו מתקדמים יחסית לשאר העולם, אבל זה עדיין לא סותר שיהיה דלף מידע גם שם".

שאלות נוספות שעלו ברב השיח הן האם נגנב מידע המאוחסן באמצעי המיחשוב של כוחות הביטחון על מערכות כמו כיפת ברזל, החץ או צוללות שישראל קנתה מגרמניה, והאם נגנב מידע ממערכות של חברות בארץ. לדברי פנסו, "זה קרה, קורה וימשיך לקרות. תחום ההתמחות שלי הוא מניעת דלף מידע ובתוך 48 שעות הוכחתי החלטות אסטרטגיות ודו"חות כספיים, לפני שפורסמו".

עם זאת, הוא אמר, כי "רוב הארגונים חושבים שגונבים להם מידע – וזה לא נכון. מקורן של 87% מדליפות המידע הוא מטעויות אנוש. אולם, גניבות מידע קורות, כי גם אם אנחנו חושבים שאנחנו חוסמים את כל הדלתות, תמיד יש עוד דלת שלא חסמנו". פנסו ציין, כי "פריצות יכולות להיות פגיעה אנושה במוניטין של חברות, בשם שלהן. לצה"ל יש פחות בעיה בהקשר זה, כי הוא לא יאבד מוניטין בעקבות כך".

"מנהלי אבטחת מידע צריכים לקבל מקום בשולחן ההנהלה"
בהמשך עסקו המשתתפים בסוגיה האם אבטחת המידע של המשק האזרחי הישראלי טובה יותר מזו של האירופי. לדברי סאחתי, התשובה לכך שלילית. "אצל האירופים המצב יותר טוב", אמרה. "הם אוהבים לעבוד לפי הספר, לא לעגל פינות כמו הישראלים, ובגלל זה הם מאוד משקיעים באבטחת מידע – כסף וכוח אדם, גם אם זה לא מניב להם הכנסות כספיות. יש חברות בישראל שלא רוצות להשקיע באבטחת מידע, לכמה מהן אף הראו סיכוני אבטחת מידע שיש להן והן עדיין סירבו להשקיע. באירופה לא תראה את זה".

"כמו כן", ציינה, "יש פערים גדולים באבטחת מידע בין חברות בינלאומיות שעובדות בארץ לחברות ישראליות באותם סדרי גודל, מבחינות של סדנאות, מודעות והשקעה כספית בתחום. למשל, ההשקעות של בנקים בישראל באבטחת מידע היא כדי לעמוד בסטנדרט שדורש התקן ותו לא. הם יעשו את המינימום של המינימום שייראה בסדר ואף יעגלו פינות. בנקים באירופה ישקיעו מיליוני יורו ולו בשביל הספק".

פנסו ציין, כי "לא כל הארגונים הישראליים הם כאלה, יש ארגונים שהם בסדר". לדבריו, "שני הדברים הכי קריטיים הם חוסר ההבנה בהנהלה לצורך במימון אבטחת מידע והקושי של מנהלי אבטחת המידע בהצגת נחיצות המימוש". סאחתי ציינה, כי "מנהלי אבטחת מידע צריכים לקבל מקום בשולחן ההנהלה וברגע שחברות ישראליות יבינו שיש לזה מקום קריטי, המודעות וההשקעה הכלכלית בתחום ייראו אחרת".