עמית יורן, נשיא RSA: "על כשרונות באבטחת המידע לפעול כציידים היוצאים לרדוף"

הכנס השנתי ה-25 של חברת אבטחת המידע RSA נפתח אתמול (ג') בסן פרנסיסקו בהשתתפות שיא של מעל ל-40 אלף מקצועני אבטחה מרחבי העולם.

מה שהתחיל ככנס קטן של עשרות אנשים בראשותם של מייסדי החברה – רון ריווסט, עדי שמיר ולן אלדמן (שפיתחו אלגוריתם לקוד ההצפנה הנושא את שמם ואת שם החברה שהקימו) – הפך לכנס הגלובלי של כל תעשיית אבטחת המידע והסייבר הגדול בעולם, הנערך גם בסינגפור ובאבו-דאבי.

את הכנס פתח בהרצאת המליאה, עמית יורן, שהתמנה לפני כשנה וחצי לנשיאה של RSA, והחליף את ארט קוביילו, שעמד בראשה שנים רבות ופרש ממנה מסיבות בריאותיות. יורן הצטרף ל-RSA בעקבות רכישתה ב-2011 של NetWitness, החברה שייסד, על ידי EMC, שקנתה את RSA לפני כעשור, תמורת 2.1 מיליארד דולר.

הכנס השנתי ה-25 של חברת אבטחת המידע RSA. צילום: פלי הנמר

את מליאת הכנס בשנה שעברה, בה כבר כיהן כנשיא החברה, פתח יורן בהפניית אצבע מאשימה לכיוון חברות אבטחת המידע עצמן, שאינן מציעות את הפתרון הנכון למניעת התקפות זדוניות על חברות עסקיות וכך נגנבות זהויות של אנשים בעולם המסחר האלקטרוני ומותקפים ארגונים ממשלתיים על ידי גופים עוינים. השנה הוא המשיך בהתקפתו על הכיוונים הלא נכונים לדעתו בהם צועדת תעשיית אבטחת המידע.

ממכלול דבריו מתקבלת התפיסה הבאה: מודיעין אקטיבי ואנליטיקס יעמדו במרכז המוצרים שיחליפו את חומות האש שעבר זמנן. ואכן RSA הכריזה על פתרון האנליטיקס שלה לשליטה באבטחת המידע. גם גילוי ופעולה אקטיבית יחליפו את המניעה הפסיבית דוגמת אנטי-וירוס, ארגזי-חול לקוד זדוני, חומות אש וגם אלה של הדור החדש – כל אלה לא יספיקו לעצור את התוקפים למיניהם.

עוד טוען יורן שמערכות בינה מלאכותית אינן יכולות לזהות ולעצור את התוקפים, וגם רצון הממשלות להחליש את פרוטוקולי ההצפנה רק יחליש את ההגנה על המסחר האלקטרוני מחד ואת עצירת התוקפים מאידך. הוא הביא כדוגמה את הפתרון שהציגה גוגל (Google) – אלגוריתם בשם AlphaGO שניצח את אלופי העולם במשחק הסיני GO בו (כמעט) אינספור אפשרויות להזיז את אבני המשחק הרבות. יורן טען שהתוכנה מצליחה במערכת סגורה הפועלת בכללי משחק מוגדרים מראש וכל השחקנים מחויבים להם, ואילו בעולם אבטחת המידע אין כללים מוגדרים כלל והשחקנים ה"רעים" אינם מחויבים לשום כלל. להיפך, הם מחפשים כל פרצה יצירתית לשבור את הכללים, כדי לתקוף, לחדור, לגנוב ולהרוס. לכן על כשרונות באבטחת המידע לפעול כציידים היוצאים לרדוף, אקטיבית ובדרכים לא מוכרות וידועות, אחר התוקפים, במקום להתגונן פסיבית, להמתין לתקיפה ולמזער נזקים, לאחר שנערכה.

המשחק הסיני GO – אינספור אפשרויות. צילום: פלי הנמר

כך לדבריו, הענף סובל מכישלון מתמשך של שנים, והוא מציע למנהלי אבטחת המידע הראשיים, CISO, בארגונים שיהפכו את אנשי האבטחה שלהם לציידים במקום למתגוננים בלבד.

למעשה, יורן הציע למומחי אבטחת המידע שצפו בו – לעצור ולתכנן דרכם מחדש, כדי לבחון את האתגר המרכזי של התעשייה מנקודת מבט שונה. יורן הדגיש שעל הארגונים למקד את ההשקעות הטכנולוגיות בהשלמה ובחיזוק של יכולות צוותי האבטחה שלהם, כדי להפכם ל"ציידים" חכמים, היודעים ל"צוד" את טרפם, ולא להסתפק בהתגוננות פסיבית.

בנוסף הזכיר יורן את הכישלון המתמשך בתעשייה כולה, כולל אחדות מפרצות האבטחה הקשות ביותר שקרו בשנה שעברה, כולל מה שהביא לדבריו את הדיון באתגרי אבטחת המידע, לבתים רבים בעולם, והוא הפריצה לאתר ההיכרויות המפורסם, אשלי מדיסון (Ashley Madison).

יורן ייחס את הכישלון בתפיסה, בגישות מיושנות ובחוסר יישור קו בין הפתרונות הטכנולוגיים לבין הבעיה האנושית שאותה נועדו לפתור. הוא הצהיר שהוא מאמין שלארגונים לעולם לא יהיו די אנשי מקצוע המתמחים באבטחת מידע וסייבר, ופירט את סדרי העדיפויות שיעצימו את צוותי האבטחה הקיימים ויאפשרו להם להגן מפני איומים מתקדמים וחדשים. נושא המחסור באנשי אבטחת מידע ובעיקר כישרונות (talents) הוזכר גם על ידי דוברים אחרים במליאה, כשכריס יאנג, מנכ"ל חטיבת האבטחה של אינטל (Intel), מק'אפי (McAfee), הכריז שבעולם כולו יחסרו לא פחות מ-20 מיליון אנשי אבטחת מידע עד שנת 2020.

בהמשך הרצאתו אמר יורן כי "ארגונים יצטרכו ליצור תרבות שמקדמת את העובד היצירתי והחכם, בעל המחשבה החופשית והסקרן. אם תוכנית האבטחה שלכם מתמקדת בראש ובראשונה בתאימות וציות לתקנים, זו שגיאה. עודדו את החופש לצוד באופן פעיל את היריבים, ועל-ידי כך תמשכו את הצוות הנכון ותטפחו את התרבות הנכונה".

עמית יורן, נשיא RSA. צילום: פלי הנמר

יורן גם קרא לארגונים למקד את ההשקעות שלהם בטכנולוגיות שתומכות ביצירתיות וביכולת פתרון הבעיות של בני האדם, במקום בטכנולוגיות שמיועדות להחליף אותם. "אנחנו זקוקים לכלים שיעניקו לנו נראות מקיפה ופרספקטיבה".

בנוסף ציין יורן כי למגזר הציבורי הבינלאומי יש תפקיד חשוב ביצירת קווי מדיניות שיעזרו במאמצי האבטחה במקום לפגוע בהם. הוא קרא להתאמה טובה יותר בין תוכניות אבטחת סייבר במגזר הציבורי לבין המגזר הפרטי במונחים של מנהיגות, שקיפות וגיבוש מדיניות. יורן הביע ביקורת חריפה כלפי כל ההצעות המגיעות בעיקר מצד גופים ממשלתיים, להחליש הצפנות וטען כי מדיניות שזו מטרתה – היא בגדר טעות.

יורן סיכם את הרצאת המליאה שלו בטענה שענף האבטחה חייב להתעורר ולחשוב בצורה יצירתית כפי שעשו מייסדי  הענף, מפתחי הקריפטוגרפיה. "התעשייה שלנו נוסדה ונבנתה על-ידי 'פורעי חוק' חלוציים, יצירתיים באופן מרדני, וכמעט אקסנטריים'". הוא אתגר את הקהל בשאלת הסיכום: "אז מה אתם מתכוונים לעשות אחרת השנה"? וזה המוטו שלו ושל הכנס השנה "אתה הינך כפי שאתה מתנהג – You are how you behave".