"האתגר: לא להגיד שמשלבים AI, אלא להבין מה עושים איתה"

"האתגר האמיתי של הארגונים, ובכלל זה הרשויות המקומיות, בנוגע להטמעת בינה מלאכותית הוא לא להגיד: 'אני משלב AI', אלא להבין מלכתחילה מה עושים איתה בארגון. לדוגמה, אם בוחרים להשתמש בכלים סטנדרטיים ומעלים מסמך של הרשות לענן, מדובר באירוע שיכול להתפתח, וצריך לדעת מראש איך מתמודדים עם אתגר כזה. עוד אתגרים כאלה עלולים לנבוע מתקיפות פישינג מתקדמות וחכמות, מחברות שמציעות פתרונות AI שמבוססים על פתרונות של צד ג' שלא מודעים אליהם ועוד", כך אמר רון ברזני, סמנכ"ל מערכות מידע במשכ"ל – החברה למשק וכלכלה של השלטון המקומי.

ברזני דיבר בכנס Smart Cities 3.0 של אנשים ומחשבים, שנערך לפני ימים אחדים במרכז האירועים והכנסים לאגו שבראשון לציון. הוא היה אחד המשתתפים בפאנל שעסק באתגרי הסייבר ומעמד מנהל האבטחה ברשויות המקומיות. את הפאנל הנחה ירון ריבו, מנמ"ר עיריית נתניה.

ירון ריבו, מנמ"ר עיריית נתניה. צילום: ניב קנטור

לדברי ברזני, "האתגרים שציינתי משפיעים ישירות על אבטחת המידע. יש, כמובן, דברים טובים ב-AI, אבל נדרשת קודם כל מודעות לתחום, שארגונים, ורשויות מקומיות בכלל זה, יבינו מה המוצרים הללו נותנים. המודעות היא הדבר הכי חשוב ואנחנו עושים המון כדי שהעובדים הרלוונטיים ברשויות המקומיות יבינו את התחום. בנוסף, אם רוצים לשלב ברשות פתרונות מבוססי AI, צריך להתחבר למומחים ולוודא שזה מלווה באבטחה".

"הרשויות המקומיות הן הלקוחות היחידים שלנו, במשכ"ל, כך שיש לנו פריבילגיה לפגוש את ההנהלות שלהן ואנחנו שמים מולן את כל הדברים על השולחן, משום שלעתים קרובות, חבריהן לא יודעים מה בדיוק צריכים לעשות. לשמחתי, הם מתייעצים איתנו על כך הרבה פעמים", סיכם ברזני.

קובי מנשה, ראש מחלקת הנחייה והגנה בספקטרום במערך הסייבר הלאומי. צילום: ניב קנטור

קובי מנשה, ראש מחלקת הנחייה והגנה בספקטרום במערך הסייבר הלאומי, התבקש לענות על השאלה כיצד מערך הסייבר נערך לקראת השילוב של ה-AI ואילו הנחיות המערך מעביר למנמ"רים של הרשויות המקומיות. הוא השיב ש-"אנחנו מלווים את מגזר השלטון המקומי בשנתיים האחרונות ועומדים מקרוב על האתגרים העיקריים. אנחנו ערים לסיכוני ה-AI ולתקיפות, כולל על מערכות בינה מלאכותית, וכיצד מבצעים הגנה עם AI. אנחנו עושים כמה דברים, כולל מתן הנחיות כיצד להגן בתחום. לפני שלושה חודשים הפצנו אסטרטגיה מקיפה, עם פרק שהוקדש לבינה מלאכותית. בנוסף, הקמנו מעבדת בינה מלאכותית עם אוניברסיטת בן גוריון, שהייעוד שלה לבחון וקטורי תקיפה על מערכות AI, ואנחנו מוציאים מסמכים רלוונטיים, כולל לרשויות המקומיות, ורוב המנמ"רים מקבלים אותם. בפרקטיקה, עדכנו גם את מצגות הגברת המודעות, ועשינו פעולות נוספות".

קובי נוח, מנמ"ר עיריית רמת גן. צילום: ניב קנטור

קובי נוח, מנמ"ר עיריית רמת גן, התבקש, בין השאר, לדבר על מעמדו של מנהל האבטחה בעירייה, ואמר על כך כי "כמות האתגרים רבה, כך שהמעמד של כל אחד בהיררכיה חשוב. בעבודה מול המנמ"ר בענייני אבטחה יש את החזון, הפרקטיקה ואת הממונה על הגנת הפרטיות בעירייה, שבא ואומר מה מותר ומה אסור. אי אפשר בלי כל הצלעות הללו ונדרשת בסינרגיה, כי אם כולם 'יבעטו' אחד בשני – זה לא יעבוד".

הוא הוסיף תובנות משלו לגבי הבחירה במוצר AI, בהיבטי הדאטה והאבטחה ביחד. "בסוף", אמר נוח, "הדאטה היא הבסיס בכל יישום של AI. צריך להכין את הנתונים בצורה טובה וברמה הזו של האסטרטגיה, עם התייחסות מראש לאבטחה. אני רואה בכל יום כמה מוצרים ובסופו של דבר אנחנו, כעירייה, צריכים לדעת לתת יכולת שמאפשרת, אבל, בצד השני של הסקאלה, גם מאוד שומרת. לפעמים האיזון הזה הוא קשוח", אמר.

יובב יהב, יו"ר איגוד המנמ"רים בשלטון המקומי ומנמ"ר עיריית ראש העין. צילום: ניב קנטור

דובר נוסף בפאנל היה יובב יהב, יו"ר איגוד המנמ"רים בשלטון המקומי ומנמ"ר עיריית ראש העין. לבקשת המנחה, הוא דיבר על פוטנציאל האימוץ של הבינה המלאכותית ברשויות המוניציפליות – בין אם יש להן מנמ"ר ובין אם לאו. "קיומו של מנמ"ר ברשות מוסיף הרבה, גם בהקשר זה", אמר יהב. "הם עוזרים לקבוע אילו כלים להטמיע, ולגייס תקנים ותקציבים – ותקציבים הם הבעיה הכי קשה כיום. ברשויות בלי מנמ"ר אין בכלל רעיונות, אין תקציבים והן נמצאות בבעיה בהיבט זה. כלומר, כדי להזיז את נושא הבינה המלאכותית ברשות המקומיות חייבים שיהיה בה מנמ"ר. ברשויות שאין מנמ"רים זה הרבה יותר מסוכן, כי כמעט בכל מקום כבר יש מישהו שמושפע מה-AI ודוחף אותה בלי אבחנה".

הוא דיבר גם על התפקיד של מנהל האבטחה ברשויות. "זה הפך לתפקיד אסטרטגי, עמוד תווך, אבל זה לא מספיק. קשה לגייס אנשים לתפקיד הזה. אני לא מבין רשויות שעובדות עם מנמ"ר או מנהל אבטחה שעוסק בכך כמה שעות בחודש או בשבוע בלבד. מנהל אבטחת מידע הוא תפקיד שחייב להיות מאויש במשרה מלאה, כולל ברשויות קטנות. אסור להזניח את זה, אם כי אני מבין את הבעיה – אין כסף", ציין יהב.

רועי בילר, מנהל סייבר ותשתיות לשלטון המקומי במערך הדיגיטל הלאומי. צילום: ניב קנטור

רועי בילר, מנהל סייבר ותשתיות לשלטון המקומי במערך הדיגיטל הלאומי, אמר כי "מנהלי אבטחת המידע והמנמ"רים צריכים לפעול יחדיו בעידן הנוכחי, שבו החדשנות מציפה אותנו בכלי AI – בעיקר כאשר רבים מהם מגיעים מעובדים. הם צריכים להוות גורם שקובע את גבולות הגזרה במקרים כאלה, כדי למנוע דלף של מידע ולהגן על הפרטיות. אבל, זה מרגיש כמו להחליף גלגל תוך כדי נסיעה. מה עושים? אנחנו עושים סדרה של וובינרים על המפגש בין ה-AI לסייבר. בנוסף, נפרסם בשבועות הקרובים את עשרת הדברות, עשה ואל תעשה לגבי כלי AI, וכן נעזור ללמוד על תרחישי שימוש, שכבר קורים ברשויות, כדי להביא מקרי בוחן ולהציג אותם אצלנו".

הוא התייחס להבדל בין רשויות גדולות לקטנות וטען כי "ברשויות קטנות, השמיכה קצרה. לכן, בכל מקרה שיש בו צורך ברזולוציה רחבה יש בעיות תעדוף ובעיות לתכנן את היקף העבודה – וזה הופך לאירוע בפני עצמו".