"גיוון אנושי בצוותי הפיתוח מביא למוצרי אבטחה טובים יותר"

"אם אתה רוצה אבטחה משופרת, התמקד בגיוון של המפתחים", אמרה דיאנה קלי, מנהלת הטכנולוגיות הראשית וארכיטקטית ראשית לתחום הגנת הסייבר במיקרוסופט העולמית

דיאנה קלי, מנהלת הטכנולוגיות הראשית וארכיטקטית ראשית לתחום הגנת הסייבר במיקרוסופט העולמית. צילום: יח"צ

"לפני זמן מה החלטתי לבחון נושא בלתי טכנולוגי בעליל – גיוון תעסוקתי. בניתי צוותי פיתוח, שהורכבו מתמהיל לא אופייני, מאנשים בעלי רקע סוציו-אקונומי, מיגדר, דת וארץ מוצא שונים. לשמחתי, התזה שנבנתה, הוכיחה את עצמה: מוצרי אבטחת המידע שפותחו היו ברמת הגנה גבוהה יותר מאשר אלה שפותחו על ידי עמיתיהם, בעלי רקע הומוגני", כך אמרה דיאנה קלי, מנהלת הטכנולוגיות הראשית וארכיטקטית ראשית לתחום הגנת הסייבר במיקרוסופט העולמית.

בראיון לאנשים ומחשבים הסבירה קלי כי "אם אתה רוצה אבטחה משופרת, התמקד בגיוון של המפתחים. תפיסת ה'הגנה לעומק' מצליחה, בגלל שיש בה סוגים שונים של בקרה על המערכות. מי שבונה את האלגוריתמים ללימוד מכונה הם אנשים. הגיוון מונע הטיות מובנות. קולות מרובים יוצרים מגוון של פתרונות, שעובדים טוב יותר בצורה מוכללת. יש לנו מוחות שונים, ובהתאם, אנו רואים בעיות באופן שונה, אז בהכרח הפתרונות שמורכבים מאנשים בעלי רקע מגוון – יהיו עשירים וטובים יותר, כי הם יחשבו על דרכי התקיפה של התוקפים ובהתאמה, על ההגנות – באופן שונה. מיקרוסופט היא חברה ששמה דגש על הגיוון, לא רק כי זה חשוב תרבותית ופוליטית, וזה חשוב – אלא כי הגיוון מייצר פתרונות משופרים. אנו מעודדים תרבות התומכת ומצמיחה את הגיוון הזה".

מתכנתת מגיל תשע

קלי עונה להגדרה המסורתית של גיקית. לדבריה, "כשהייתי בת תשע אבי הביא מחשב של טקסס אינסטרומנטס. התאהבתי בו ומצאתי את עצמי מתכנתת. בגיל 12 כבר נכנסתי לרשת ארפאנט שהקימה הסוכנות למחקר פרויקטי ביטחון מתקדמים שבמשרד ההגנה, DARPA – שקדמה לאינטרנט. בסוף שנות ה-70' כבר שיחקתי במשחקי מחשב, ביניהם ZORK וכתבתי בעצמי משחקים". בבגרותה עבדה כמנהלת רשתות, "עד שפגשתי את ההאקר הראשון שחדר לרשת שלי, נלחמתי בו, ועזבתי את הרשתות והפכתי למומחית אבטחה".

לצד עבודתה זה רבע מאה בתחום אבטחת המידע, קלי מסייעת למנהלי אבטחת מידע במיקרוסופט ולמנכ"לים ומנהלי אבטחה של החברות הגדולות בעולם בייעוץ והדרכה ותורמת לדו"ח מודיעין האיומים הגלובלי (SIR) של הענקית מרדמונד. בעברה שימשה כיועצת בכירה ב-IBM Security, ועבדה בסימנטק, CA, Burton Group ו-KPMG. היא מנטורית ומרצה לסייבר באקדמיה, וחברה בוועדות ה-RSA-ארצות הברית ל-2018 ו-2019. היא הוכתרה כ"רוק סטארית" של IEEE, נאמה בכנסי אבטחה בינלאומיים רבים והופיעה עשרות פעמים בטלוויזיה. בנוסף, כתבה ספרים למפתחים על הצפנה.

לצאת מאובטח למסע הדיגיטלי ולענן

"מנהלי האבטחה", אמרה קלי, "מתמודדים בכמה שדות. עליהם לסייע לארגונים שלהם לצלוח את המסע הדיגיטלי, שכולל הפיכת תהליכים ידניים – לממוכנים, וזה נוגע בהיבטי הגנה רבים. גם המעבר לענן דורש טיפול בממד האבטחה. עולם האינטרנט של הדברים טומן בחובו סיכונים רבים, כי רכיבי ה-IoT אינם מאובטחים כלל. צריך לטפל בחומרה ובתוכנה מאובטחות, וגם בניהול בענן – ואנו עושים זאת עם Azure Sphere".

ניתוח יומי של 6.5 טריליון אותות

"כל ארגון צריך לחשוב על עצמו כיעד, שהותקף או יותקף", אמרה רלי, "ההגנה נדרשת בכל מקום. הכנסת בינה מלאכותית לאבטחה היא קריטית. מרכז מודיעין האיומים שלנו אוסף 6.5 טריליון אותות מדי יום, מנתח אותם ומהם מסנן את אירועי האבטחה. אנו נעזרים בלימוד מכונה ובענן כדי להבין ולהעריך את האותות ולזהות נוזקות ופעילות זדונית".

"כמו חברות אחרות הבנו שאף חברה לא תצליח לבדה לפתור את כל בעיות אבטחת המידע. לכן, בנינו מערך לשיתוף מידע, בין השאר עם סיסקו, פאלו אלטו, יבמ ו-SentinelOne. חייבים לשתף מידע לטובת הלקוחות הארגוניים. כשזה מגיע לפשעי סייבר – כולנו באותה סירה", אמרה.

"אבטחת מידע הולכת שלובת זרוע עם הבטחת והגנת הפרטיות", ציינה קלי, "ארגונים צריכים לנצל כלים המדרגים את רמת ההלימה שלהם להגנת הפרטיות. אנו מאמינים שהזכות לפרטיות היא חלק מזכויות האדם, ולכן חשוב להגן עליה. למדנו רבות על הגנת הפרטיות דרך המסע שעברנו במיקרוסופט לטיפול בתחום – וכעת אנו חולקים את התובנות שלנו עם הלקוחות".

"הייתי בישראל תשע פעמים", אמרה קלי, "אני אוהבת אותה כי השוק ממוקד בהגנת הסייבר ו'מפוצץ' מרוב רעיונות חדשניים. זו אחת הסיבות שיש לנו פה מרכז מו"פ חזק, הפועל בשיתוף פעולה רחב היקף עם צוות הגנת הסייבר של החברה בארה"ב".

קלי סיימה בסדרת טיפים קצרים לעמיתיה, מנהלי אבטחת המידע בישראל: "אל תפחדו מהענן, תהיו יותר מאובטחים שם – אבל הקפידו לבחור את השותפים שלכם. בנו את אסטרטגית ההגנה שלכם בצורה חכמה. דאגו לשלב רכיבי לימוד מכונה ובינה מלאכותית במערך האבטחה שלכם. שימו דגש על ניטור התפעול של האבטחה. ועם כל הכבוד לטכנולוגיות האבטחה החדשות, לעולם אל תשכחו את הבסיס: הגיינת אבטחה, מודעות של המשתמשים, תרגול ובניית תרבות אבטחה חוצת-ארגון. הטליאו ועדכנו את המערכות על בסיס יומיומי".

"עלינו, מנהלי האבטחה בארגונים", סיכמה קלי, "להיות 'רגל פה רגל שם': רגל אחת עם הרגליים על הקרקע, עם הדברים הבסיסיים – לצד מבט צופה לטווח ארוך, קדימה, לעבר האיומים העתידיים. הם יגיעו, בוודאות".

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר.

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים