"ניהול זהויות חשוב לא רק להגנת סייבר – אלא גם תורם כלכלית"

"תחום ניהול הזהויות, כחלק מפעילות הגנת הסייבר, חשוב לא רק בהיבט אבטחת המידע אלא הוא מהווה גורם ישיר, התורם ערך כלכלי לארגונים ולממשלות", כך אמר רועי פרידמן, ראש היחידה להזדהות ויישומים ביומטריים במערך הסייבר הלאומי.

פרידמן דיבר בכנס שערכו NessPRO, קבוצת מוצרי התוכנה של נס, ומיקרופוקוס. הכנס, בהפקת אנשים ומחשבים, דן בנושאי ניהול זהויות במגזר הציבורי, ונערך ביום ה' האחרון במלון ממילא, ירושלים, בהשתתפות יותר ממאה אנשי ממשלה ומגזר ציבורי. את הכנס הנחה עמית ארמוזה, מנהל חטיבת פתרונות ניהול ב-NessPRO, המייצגת את מיקרופוקוס בארץ.

היחידה בראשותו, אמר פרידמן, "היא חלק ממערך הסייבר הלאומי, כי גם להזדהות ולמימד הביומטרי יש חלק בהקטנת משטח התקיפה". לדבריו, "התחלנו לעבוד בקרב משרדי הממשלה בצורה רוחבית על תחום ההזדהות, והפעילות שלנו בתחום הולכת וגדלה. מערך הסייבר הלאומי, בשיתוף גורמי ממשל ואכיפה נוספים, גיבש תפיסה לאומית להזדהות בטוחה. סיימנו את שלב גיבוש התפיסה, ואנו בשלב המימוש שלה בשטח".

"לישראל, ככל מדינה מודרנית", אמר פרידמן, "נדרשות תשתיות חזקות ומאובטחות שעל בסיסן המדינה תעבוד, עם יכולות להזדהות בטוחה, כדי שהיא תוכל לשרת את כלל המגזרים – הממשלתי, הציבורי והפרטי. נקודת המוצא היא שהכל מקוון, יש לטפל בהכל גם במובייל, וגם בקיוסקי המידע". לדבריו, "היחידה אותה אני מוביל, עוסקת בפיקוח על פרויקט תיעוד לאומי חכם, יישומים ביומטריים, הזדהות בטוחה. אנו פועלים ליישום תפיסה ביומטרית לביקורת גבולות, מקימים מעבדה ביומטרית, מקדמים מו"פ ותקינה בתחום".

להרוג את הסיסמאות

"ישנן כמה סיבות לחשיבות של הזדהות דיגיטלית בטוחה", ציין פרידמן, "בראשן, הצורך באבטחת מידע ברמה גבוהה יותר. אם נוכל לזהות את המשתמשים במערכות הדיגיטליות הממשלתיות, הן תהיינה בטוחות יותר. לשם כך נדרשת השקעה בתחום".

פרידמן ציטט מחקרים, מהם עולה כי "80% מהפריצות מתחילות בגניבה או פריצה של אמצעי זיהוי, כי הם חלשים. האמצעי הנפוץ הוא פריצה להרשאות". לדבריו, "שנים רבות מדברים על כך שתחום הסיסמאות הוא חלש ולא מאובטח, ולכן יש 'להרוג' את הסיסמאות. סיסמה ואבטחת מידע לא הולכות ביחד. יותר מדי אנשים, יותר מדי זמן, נוטים שוב ושוב להשתמש בסיסמאות חלשות וקלות לגילוי, דוגמת 123456, Letmein, או Iloveyou. כרבע מאוכלוסייה עושה שימוש באחת מ-25 הסיסמאות הנפוצות בעולם, שהן, כמובן, הכי קלות לגילוי. 60% מהם עושה שימוש חוזר באותה סיסמה שחוקה".

היתרון הכלכלי שבהזדהות

"לצד העלאת רמת האבטחה", ציין פרידמן, "להזדהות בטוחה יש גם שווי וערך כלכלי. הוא נובע מחיסכון בהוצאות וגידול בהכנסות. כך, מחקר של ג'אבלין, שבאחרונה נרכשה על ידי סימנטק, העלה כי כמות הקורבנות של גניבת זהויות והונאת זהויות ב-2017 גדלה ב-8% ועמדה על 16.7 מיליון קורבנות בארה"ב, ובדרכים אלו נגנבו 16.8 מיליארד דולרים. כך, מכל קורבן נגנבו יותר מאלף דולרים בממוצע. מחקר אחר העלה כי מניעת יצירת זהויות ותשתיות כפולות בבריטניה, הניבה למשק חיסכון של 3.3 מיליארד ליש"ט. מחקר נוסף קבע כי הזדהות בטוחה תיצור ערך כלכלי בהיקף של 1 טריליון דולרים למדינות אירופה ב-2020".

פרידמן ציטט את ראש ממשלת אסטוניה, לפיו ההזדהות הדיגיטלית החכמה במדינה תורמת להגדלה של 2% בתמ"ג. "נדרשת מדיניות ותוכנית לאומית להזדהות חכמה", אמר, "להיעדר תכנית לאומית שכזו יש השלכות: ריבוי אופני זיהוי על ידי גורמים שונים; ריבוי סיסמאות; הימנעות ממתן שירותים דיגיטליים; ריבוי תשתיות; ביורוקרטיה בקבלת שירותים; וכן גידול בהיקף ההונאות והזיופים".

פרידמן תיאר את תהליך ההזדהות החכמה, שנוצר בעקבות גיבוש המדיניות בנושא, על ידי צוות בין-משרדי, ואשר אושרה בממשלה: "הרשמה והזדהות להוכחה שהאיש הוא אכן האיש; פירוט קווים מנחים; פירוט רמות הבטחת אימות, תוך התבססות על תקן ;ISO 29115 הגדרה של ארבע רמות הבטחת אימות, כאשר בכל רמה יש רמת ביטחון לזהות של הישות המבצעת את האימות". כך, אמר, "בנינו את הרמות באופן מדורג: רמה אחת – בלא מסמך זיהוי. רמה שניה, עם מסמך זיהוי אחד. רמת שלישית, עם שני מסמכי זיהוי, ורמה רביעית: שני מסמכי זיהוי ועוד הופעה פיסית בשלב ההרשמה". לדבריו, "בשלב האותנטיקציה, הנחינו את משרדי הממשלה איך נכון לבצע את ההזדהות, ועשינו זאת בהתייחס למגמות גניבת זהויות בעולם".

פרידמן סיכם את דבריו בפירוט העקרונות שהנחו את גיבוש תפיסת ההזדהות המאובטחת במשרדי הממשלה, בבואם לספק שירותים מקוונים: "שימושיות ופשטות, אבטחת מידע והגנת הפרטיות, תאימות טכנולוגית עם מערכות פתוחות, שימוש באמצעי הזדהות, סיווג שירותים, שקיפות – והיעדר מעבר למאגר הביומטרי".