מנמ"רית הבית הלבן לשעבר: "כולם מדברים על הממשלה, אבל לעסקים פרטיים יש הרבה יותר מידע עליכם"

"בניגוד לדעה הרווחת, דווקא עסקים פרטיים הם אספני המידע הגדולים ביותר היום. כולם מדברים על הממשלה ונוטים לחשוב שהיא זו ששומרת הכי הרבה מידע לגביהם, אבל האמת היא שדווקא לעסקים פרטיים יש היום הרבה יותר מידע עליכם", כך אומרת תרזה פייטון, מנמ"רית הבית הלבן לשעבר, יועצת אבטחת מידע בהווה ומומחית מוכרת בשוק האבטחה האמריקני. "תחשבו על זה", היא מוסיפה: "בתי עסק שומרים היקפי מידע עצומים לגביכם – ההרגלים שלכם, העדפות הקניה שלכם, המיקום שלכם ועוד. מדובר בכמויות מידע גדולות פי כמה מאלה שיש לממשלה".

פייטון, שעמדה בראש מערך ה-IT של הבית הלבן בין 2006 ל-2008 והייתה האישה הראשונה שמונתה לתפקיד, אמרה את הדברים בראיון מיוחד לאנשים ומחשבים. לדבריה, "ארגונים פיתחו תאבון בלתי נשלט למידע. כולם רוצים לדעת יותר על הלקוחות שלהם, ולמצוא עוד ועוד דרכים לאסוף את המידע הזה. עם זאת, הם לא תמיד לוקחים בחשבון שהמידע הזה חשוף. לכן, עסקים חייבים לשאול את השאלות המתבקשות: האם כל המידע הזה שנאסף באמת עוזר לארגון להכיר את הלקוח שלו טוב יותר? האם המידע הזה באמת מגדיל באופן משמעותי את השורה התחתונה? ובהנחה שכן – האם זה מצדיק את המחיר?".

"כל חברה באשר היא, תחווה פריצה למערכות המידע שלה. זו עובדה", קובעת פייטון. "כמובן שחייבים לעשות את כל מה שניתן כדי להגן על נכסי המידע של הארגון ולהקים מערך אבטחה חזק שיקשה על הפורצים – אבל הפריצה הזו היא בלתי נמנעת. לא קיימת היום מערכת שהיא בלתי ניתנת חדירה. אם יש לכם את המידע, מישהו בסופו של דבר יצליח להגיע אליו. לכן, אני רוצה לשנות השיח של המנכ"לים לגבי איסוף מידע על הלקוחות שלהם. לדעתי, עליהם לשאול את עצמם שתי שאלות לפני שהם מקבלים החלטות לגבי איסוף מידע: האם הם באמת צריכים את המידע הזה ומה יקרה ביום שבו המידע הזה ייגנב? אני מאמינה שזה יכול להוביל לשינוי גדול מאוד באופן שבו חברות מתנהלות היום".

"הייתי רוצה שכל אדם באשר הוא יכיר בעובדה שמידע אודותיו נאסף בקצב מהיר יותר ממה שהוא מסוגל לתאר". תרזה פייטון. צילום ועריכת וידיאו: אור יעקב

היא מסבירה, כי "כשחברות וארגונים מדברים היום על איסוף מידע, הם בדרך כלל מדברים במונחים של שיווק וכסף. אין לי ספק שנושא אבטחת המידע עולה, אבל זה לא קורה בשלבים הראשונים ובטח שלא מתברג לראש סדר העדיפויות. חברות רבות מגלות חדשנות מדהימה באופן שבו הן אוספות מידע ומשתמשות בו, אבל לא מגלות את אותה החדשנות כשמגיע הרגע להגן על המידע הזה. האחריות כולה מוטלת על אותם העסקים: הם אלה שאוספים את המידע. אולם, עליהם לזכור שחוקי המשחק פועלים לרעתם: הם צריכים להגן על מערכות המיחשוב שלהם תמיד, אבל הגנבים צריכים לחדור אליהן רק פעם אחת".

"חברות האבטחה יכולות לעשות עבודה טובה יותר"
לפני שמונתה למנמ"רית הבית הלבן, שימשה פייטון בתפקידים טכנולוגיים בכירים בענף הבנקאות, בין היתר בבנק אוף אמריקה (Bank Of America) וב-וולס פרגו (Wells Fargo). היא בעלת תואר ראשון בכלכלה ומנהל עסקים עם התמחות במיחשוב, ותואר שני בניהול מערכות מידע. היא נשואה, אם לשלושה ילדים ומתגוררת בעיר שרלוט שבצפון קרוליינה. הראיון עמה נערך בסן פרנסיסקו, לשם הגיעה כדי להשתתף בכנס אבטחת המידע RSA Conference 2014.

"האמת היא שממשלות וארגונים לא יכולים להתמודד היום עם כמויות המידע האדירות שהם מאחסנים בבסיסי הנתונים שלהם", אומרת פייטון. "התיאבון הבלתי נגמר הזה לפרטים והרצון העז ללמוד להכיר אותנו טוב יותר כלקוחות, יוצרים בסיסי נתונים ענקיים. למרות שהכוונה של אותם ארגונים היא חיובית בעיקרה, התוצאה עלולה להיות הרסנית – ויש אינספור דוגמאות לכך. השורה התחתונה היא, שאותם בסיסי נתונים אינם מוגנים כפי שהם אמורים להיות".

פייטון סבורה שחברות אבטחת המידע עושות עבודה מצוינת היום, אבל חושבת שיש גם מקום לשיפור. "לדעתי, חברות האבטחה יכולות לעשות עבודה טובה יותר, אם הן ינהלו דיאלוג עם הלקוחות שלהם ויסבירו להם שהמוצר שהם מקבלים הוא מעולה, אבל אף מוצר כשלעצמו לא יכול למנוע חדירה למערכות הארגון. מאחר וזה ברור שבשלב מסוים תהיה חדירה לארגון, אני חושבת שחברות האבטחה צריכות לייעץ ללקוחות איך להטמיע ולהתאים את המוצר, כך שהוא יגן על הנכסים הרגישים ביותר של הארגון. הדיאלוג הזה יהווה זינוק משמעותי בתחום אבטחת המידע".

במקביל, היא אומרת, "על ארגונים לתת יותר מידע לספקי האבטחה שלהם ולהיות מיודעים יותר למה בדיוק הם מתקינים – מה יש להם ומה חסר להם. הדיאלוג הזה הוא קריטי, כי לפעמים מוצר אחד או אפילו שינוי קטן במערכת, יכולים להיות ההבדל בין ניסיון פריצה מוצלח, לניסיון פריצה כושל. אני חושבת שעבודה צמודה יותר עם החברות שמפתחות את המוצרים הללו, יועילו רבות לשני הצדדים. חשוב לזכור שמדובר באנשים שלא רק מכירים את המוצר שלהם טוב יותר מכל אחד אחר, אלא גם חיים את התחום. הידע והניסיון שלהם זמין לכם, כלקוחות, והגיע הזמן שיותר ארגונים ינצלו את זה".

"אף אחד לא יגן על הפרטיות שלכם עבורכם"
פייטון פרסמה באחרונה את ספרה השני, "פרטיות בעידן ה-Big Data: זיהוי האיומים, הגנה על זכויותיכם ושמירה על ביטחון משפחותיכם" (Privacy in the Age of Big Data: Recognizing Threats, Defending Your Rights, and Protecting Your Family). את הספר כתבה פייטון יחד עם טד קלייפול – עו"ד המתמחה בדיני אינטרנט וקניין רוחני, והוא עוסק בתיאור אורח החיים המקושר שכולנו מנהלים, והשפעתו על הפרטיות שלנו. בספר סוקרים פייטון וקלייפול דוגמאות עדכניות לאופן שבו ממשלות וארגונים אוספים מידע על כולנו ובודקים את האפשרויות שעומדות בפנינו, כמשתמשים, לשמירה על הפרטיות שלנו.

"הדרך הכי טובה לאזן בין הצורך להיות מחוברים ובין הרצון לשמור על הפרטיות, היא להיות צרכנים שיודעים, מכירים ומבינים את השירותים השונים שהם משתמשים בהם", מסבירה פייטון. "אותו הדבר תקף גם לגבי עסקים. אחרי שלמדתם את הנושא והבנתם את המוצר או השירות שאותו אתם צורכים, תשאלו את עצמכם כמה פרטיות בדיוק אתם רוצים שתהיה לכם. בנוסף, חשוב מאוד לבדוק עם עצמכם איך ניתן להגן על המידע שלכם, כמה זמן שומרים את המידע שלכם וכו'. אתם חייבים לדאוג לעצמכם – אף אחד לא יגן על הפרטיות שלכם עבורכם".

לדבריה, "פרטיות היא תוצאה של בחירה אישית – קו שכל אחד מותח לעצמו. הסטנדרט שלי לפרטיות לא בהכרח יהיה הסטנדרט של אדם אחר. בנוסף, יש לכל אחד תחומים ונושאים שהוא מעדיף לשמור לעצמו, ותחומים ונושאים אחרים שהוא מסכים לשתף עם אחרים. לכן, אני חושבת שצריך להפסיק להתייחס לפרטיות כאל משהו קונקרטי – רעיון שמתאים לכולם באותה מידה ואופן. לכן, אני ממליצה לכולם ללמוד, לחקור, לבדוק ולשאול. אתם לא צריכים דוקטורט במדעי המחשב בשביל להגביל את המידע שאתם ומשפחתכם משתפים באינטרנט או לסמן 'וי' בטופס. נכון, אתם לא יכולים לשלוט על כל המידע שנאסף עליכם, אבל אתם בהחלט יכולים לשנות את ההתנהלות שלכם ולהיות מעורבים יותר בעקבות הדיגיטליים שאתם משאירים מאחוריכם".

"הייתי רוצה לראות כל מדינה מנהלת דיון ציבורי לגבי פרטיות ואבטחת מידע", אומרת פייטון. "הדיון הזה, לדעתי, צריך להתחיל באופן שבו בתי עסק אוספים מידע – עד כמה עמוק מותר להם לרדת לחיי הלקוחות שלהם, כמה זמן יותר להם לשמור את המידע הזה ועד כמה המידע הזה יתקשר ישירות לצרכן. הנושא השני שצריך לעלות בדיון הציבורי הזה הוא, עד כמה רחוק יכולות הממשלות ללכת עם איסוף המידע ועד כמה מותר להן לדרוש מבתי עסק מידע – גם אם זה בשם האבטחה ושמירה על בטחון האזרחים. לדעתי, הדרך הטובה ביותר להגיע לשם היא שכל מדינה תנהל דיון ציבורי, בריא ומעמיק בנושא, כי לכל מדינה יש ערכים תרבותיים משלה".

"הממשל מפספס כישרונות בתחום ה-IT"
פייטון מכירה היטב את מערך המיחשוב של הממשל הפדרלי. כדרכן של ממשלות, מדובר במערך מורכב, מסועף ומבוזר, עם אינספור חוקים, כללים ותקנות. לדבריה, מנמ"רים בשירות הציבורי נאלצים להתמודד מדי יום עם הרצון להיות חדשניים ולאמץ היום את הטכנולוגיות של מחר, אך הסביבה שבה הם פועלים עלולה לפעמים להגביל אותם. "כל מנמ"ר ממשלתי צריך להשתמש בכספי משלם המיסים כדי לפעול. זה אומר שיש מקרים שבהם מגיע המנמ"ר לצומת, שבו הוא צריך לבחור האם האלמנט החדשני הזה שהוא רוצה ליישם, באמת מצדיק את השימוש בקופה הציבורית".

בעיה נוספת שמעלה פייטון, היא תקנות וסטנדרטים לגבי גיוס עובדי מדינה, שעלולים להקשות על גיוס כישרונות איכותיים בתחום ה-IT. "יש הרבה מאוד אנשי מיחשוב מצוינים שהיו שמחים לעבוד בממשלה, אבל המסגרת לא בנויה כדי להכיל אותם", היא מסבירה. "למשל, במגזר הפרטי מקובל מאוד לעבוד בשעות עבודה לא קונבנציונליות. במגזר הציבורי זה לרוב לא קורה. במגזר הפרטי מקובל מאוד לעבוד מהבית – בין אם באופן חלקי ובין אם באופן מלא. במגזר הציבורי זה לרוב לא קורה. במגזר הפרטי – ובטח שבחברות סטארט-אפ, אין בהכרח הקפדה על קוד לבוש. במגזר הציבורי זה לא המצב, ואנשים שנראים אחרת או מתלבשים אחרת, עלולים למצוא את עצמם חשים לא בנוח, בהנחה והם בכלל הצליחו בכלל לעבור את שלבי המיון".

"יש חוקים נוספים שמגבילים את האפשרויות בגיוס מומחי מיחשוב", מפרטת פייטון. "למשל: אנשים בעלי עבר פלילי. אני לא אומרת שהממשל הפדרלי צריך להתחיל לגייס רוצחים ואנסים לשורותיו, אבל יש לא מעט אנשים נפלאים שעשו טעויות בצעירותם או נתקלו בבעיות לפני עשר, עשרים או אפילו שלושים שנה – ולכן מנועים במידה רבה מלהיות עובדי מדינה. ההפסד הוא כולו שלנו, האזרחים. יש מגזרים שלמים שיכולים לתרום תרומה גדולה מאוד למערך המיחשוב הממשלתי, שלצערי מנועים מלעשות את זה – וחבל".

מנמ"רית הבית הלבן לשעבר מציעה למנמ"רים מהמגזר הציבורי להקים מרכזי מצוינות וחדשנות, שיסייעו להם להיעזר גם בכח עבודה מסורתי פחות. "אני חושבת שהממשל הפדרלי צריך להיות פתוח יותר באופן כללי לגבי הסטנדרטים שהוא קובע לעובדי מדינה. אני לא חושבת שכל אחד יכול וצריך לעבוד עבור המדינה, אבל לא יכול להיות שהממשל, שמייצג את כולנו, יאפשר רק לחלקנו לתרום – בין אם ברמה המקומית ובין אם ברמה הפדרלית. אחד הדברים היפים שממשלת ארצות הברית עשתה באחרונה, הוא הקמת פורומים פתוחים, שבהם הסקטור הפרטי יכול להביע את דעתו על תקנות חדשות, רעיונות חדשים ועוד. אני מעודדת את הממשלה להמשיך ולנקוט בפעולות מהסוג הזה ולפתוח את שעריה לאוכלוסיות נוספות".

עצה נוספת שיש לפייטון עבור מנמ"רים – מהמגזר הממשלתי והפרטי כאחד, הוא לקיים דיאלוג קבוע וכנה עם דרג מקבלי ההחלטות. "קודם כל, דברו עם אנשי הביזנס. תוודאו שאתם יודעים מהן חמש המטרות העיקריות שלהם לשנה הקרובה והתאימו את אסטרטגיית הטכנולוגיה שלכם למטרות הללו. בנוסף, עליכם לאזור את האומץ לנהל איתם שיחות קשות ולהבהיר להם שלא משנה מה תעשו, בשלב כלשהו מישהו יצליח לחדור למערכות של הארגון. אי אפשר לדעת איך זה יקרה או מתי זה יקרה, אבל עליכם להסביר להם את זה ולוודא שעשיתם את כל מה שאפשר לעשות כדי להגן על המותג, הקניין הרוחני והמידע על הלקוחות".

"כל פיסת מידע תהיה זמינה במהירות האור"
לסיכום, אומרת פייטון, כי נושאים כמו פרטיות וטכנולוגיה לא שמורים היום כבר רק לאנשי IT, אלא לכל אחד, בכל גיל. "הייתי רוצה שכל אדם באשר הוא יכיר בעובדה שמידע אודותיו נאסף בקצב מהיר יותר ממה שהוא מסוגל לתאר. הצורך למידע הזה הולך וגדל באופן אקספוננציאלי – בין אם מצד ממשלות ובין אם מצד בתי עסק. אני לא רוצה שזה יפחיד אנשים ויגרום להם לרצות להתנתק מהרשת, אלא יעשיר אותם ויגרום להם להיות מעורבים ומיודעים יותר, כדי שיוכלו לשאול את השאלות הנכונות ולבחור את סטנדרט הפרטיות שמתאים להם ולמשפחתם".

"אנשים אומרים שאנחנו חיים בעידן המידע, אבל אני לא מסכימה איתם. אנחנו חיים בעידן הנתונים. טכנולוגיות Big Data וניתוח (Analytics) נמצאות עדיין בחיתולים. היכולת לאחסן כמויות אדירות של מידע ולהפיק ממנו תובנות בזמן אמת, רק תלך ותשתכלל. המחירים יירדו, האיכות תעלה והתפוצה תגדל באופן שקשה לדמיין. תדמיינו עולם שבו אפשר לקבל כל פיסת מידע שאתם חולמים עליה במהירות האור – לשם בדיוק אנחנו הולכים. להערכתי, הגידול ייעשה בצורת פטריה ויגיע לשיאו בחמש השנים הקרובות. לכן, אני חוזרת וממליצה לכל אדם באשר הוא לקבוע את גבולות הפרטיות שלו, כדי שנוכל כולנו ליהנות מהעולם החדש הזה שנוצר לנגד עינינו".

הכותב הוא שליח אנשים ומחשבים לארצות הברית