טים גריבסון, בכיר ב-HP: "יש צונאמי של מתקפות – הרעים נהיים טובים יותר ומקדימים אותנו בצעד"

"השנה-שנתיים האחרונות מתאפיינות בצונאמי של מתקפות. הרעים נהיים טובים יותר בתחומם, משתכללים ומתוחכמים יותר ויותר, ולא משנה מה נעשה וכמה נשקיע – הם עדיין יקדימו אותנו בצעד אחד לפחות", כך אמר בראיון בלעדי לאנשים ומחשבים, טים גריבסון, מנהל ואסטרטג הגנת סייבר בחטיבת מוצרי אבטחת מידע לארגונים,  HP לאזור EMEA (ר"ת אירופה, המזה"ת ואפריקה).

"אני מחלק את כלל הארגונים בעולם לשני סוגים", אמר גריבסון, "ארגונים שהותקפו ויודעים שהותקפו, וארגונים שהותקפו ושפשוט אינם יודעים על כך. הדבר הראשון שהמנמ"ר ומנהל האבטחה שלו צריכים לעשות זה לשנות את התפיסה בה הם אוחזים, לפיהם הארגון שלהם לא הותקף. הייתי מנמ"ר ומנהל אבטחה בארגון אחד או שניים בחיי, ואני יודע כמה קשה לערוך שינוי תפיסתי שכזה".

גריבסון הצטרף ל-HP לפני פחות משנה. הוא שימש בתפקידי סמנכ"ל ("C") כמנמ"ר וכמנהל אבטחה בארגונים זה שני עשורים. בין השאר, היה מנמ"ר ומנהל אבטחה בזרוע הסיכונים של G4S, חברת השמת כוח אדם מהגדולות בעולם, ומנמ"ר BTGS, זרוע השירותים הגלובלית של בריטיש טלקום (BT Group). ב-2013 זכה בתואר מנמ"ר השנה על ידי EC Council, המועצה הבינלאומית של יועצי מסחר אלקטרוני, וב-2014 הוא נמנה על "100 המנמ"רים החברתיים" בטוויטר (Twitter) בדירוג של אתר האפינגטון פוסט (Huffington Post).

לא רק להגן על הגדר

תפיסה נוספת הנגזרת מהתפיסה הזו, אמר, "היא שיש להגן על הגדר ההיקפית. זה היה נכון פעם, אך כבר לא. אסור להתמקד רק על הגדר, צריך לשנות את התרבות הזאת ולהתמקד בכל מעגלי ההתקפות. על מנת לסכל ולשבש את פעילות התוקפים, יש להטמיע טכנולוגיות שמאפשרות ניטור, לצד כאלה העוסקות בתיקון, 'ריפוי', כמה שיותר מהר".

לדבריו, "סקר שערכנו העלה כי הממוצע שארגונים מזהים שהרעים כבר בפנים עומד על 243 ימים, ולאחר מכן לוקח עוד 45-50  ימים לתקן. הדרך לשנות מצב זה היא על ידי השינוי התרבותי: לא להטמיע רק טכנולוגיות, שהן חשובות לכשעצמן, אלא גם לשים אותן בתוך הקשר (קונטקסט), לעשות שיתופיות בין טכנולוגיות אבטחה, תהליכים ואנשים. יש למפות את הארגון עסקית, להבין מהם נכסיו ולתעדף אותם. יש לשנות את המצב כיום בו מנהלי האבטחה לא יודעים על מה להגן, ולהדק את הקשר בין הבעיות ובין הפתרונות. על כל זה יש לעשות כמה שיותר מיכון".

"מנהלי האבטחה טובעים במידע אודות המתקפות והמותקפים"

לדבריו, "הלא ידוע שהוא אינו ידוע – הוא הבעייתי. מנהלי האבטחה טובעים במידע אודות המתקפות והמותקפים, ובזמן הזה הם עצמם הותקפו. יש יותר מדי רעש – אז הרעים ניצלו את הרעש הזה".

"אבטחת מידע הייתה תמיד בעיה", אמר גריבסון, "אלא שכעת רעים הופכים להיות טובים יותר במובן שהם משתכללים. במקום לדבר על טכנולוגיה, יש להביט על האבטחה בהיבט העסקי – ומשם לתפור את האבטחה, וככה יתאפשר להתגבר על הרעים ולו באופן חלקי, אבל טוב יותר". לדבריו, "הדבר נכון עוד יותר בשל הופעת המגמות הטכנולוגיות החדשות בעולם ה-IT, ובראשן מחשוב ענן וניידות. למעשה הדבר החשוב הוא להגן על הנכסים, להבין מהי הליבה העסקית. זהו תהליך בלתי נגמר, כאשר רק שילוב של ה-IT והאבטחה בו יניבו אבטחת מידע והגנת סייבר טובות יותר".

אל תבלבלו את המוח

בהיבט הארגוני-אישי, אמר גריבסון, "המסר שלי למנמ"ר ולמנהל האבטחה הוא אל 'תבלבל את המוח' לסמנכ"לים ולמנכ"ל על האיומים בהיבט הטכנולוגי. נסה לכמת אותם באופן אחר. העסק לא מבין בטכנולוגיה ואינו צריך להבין בה. אבטחה היא הדאגה של כולם בעסק. הצג את אבטחת המידע בהיבט של התרומה העסקית, ולא בהיבט העלות שלה. אז השיחה שלך עם סמנכ"ל הכספים, או התפעול, תהיה נוחה יותר ותניב לך יותר תקציבים". הוא הוסיף כי "שים את מירב המאמצים בליצור אמון עם דרג ההנהלה".

גריבסון סיים באומרו כי "אנשים מרבים לדבר על 'נוף האיומים'. אני דווקא מדבר על 'שדה הקרב' של האיומים, או 'שדה המוקשים' של האיומים. בסופו של יום, כל הסיפור הוא על הבחור הטוב אשר מנסה לנווט בין וסביב הבחורים הרעים. זה כל העניין של לנסות לנווט ולהתוות מעבר בטוח. וזה כל מה שאנחנו מנסים לעשות בתחום אבטחת המידע".