אמנון בר לב: ארגון חייב להגדיר מדיניות אבטחה; גם הצבא הטוב ביותר לא יהיה אפקטיבי בלי מטרות

"ארגון חייב להגדיר לעצמו מדיניות אבטחה. גם הצבא הטוב ביותר לא יהיה אפקטיבי בלי הגדרת מטרות ומדיניות", קובע אמנון בר לב, נשיא ענקית אבטחת המידע הישראלית צ'ק-פוינט (Check Point), בראיון לאנשים ומחשבים לקראת כנס "חזון או חלום" של איגוד תעשיות האלקטרוניקה והתוכנה. לדברי בר לב, "הארגון צריך להגדיר מהם הנכסים החשובים שעליהם הוא רוצה להגן ואיך הוא רוצה שהעובדים שלו ינהגו: האם יעבדו מרחוק או רק במשרדי החברה, איזה מידע הוא רוצה להוציא החוצה וכדומה. בשלב השני, יש להגדיר את מדיניות האבטחה עצמה ולדאוג שתהיה מובנת לכל עובד בארגון. ולבסוף, יש להחליט אילו טכנולוגיות רוצים ליישם והיכן".

"המאבק על אבטחת המידע מתנהל על פי אותם כללים שקיימים בכל מלחמה אחרת, בין אם בתחום הביטחון הלאומי או האישי", מסביר נשיא צ'ק-פוינט. "הנקודה החשובה היא איך להגביר את רמת האבטחה, כך שנוכל להמשיך לגלוש באינטרנט ולבצע מסחר מקוון ללא חשש, בלי שנצטרך להגביל את עצמנו, ובעלויות סבירות שארגונים יוכלו לעמוד בהן. השיקולים כאן דומים מאוד לשיקולים של מדינה לגבי צבא".

בנוגע להתגוננות של ארגונים המשמשים מטרה להתקפות, הוא אומר, כי "אנחנו ממליצים לשלב כמה שכבות של אבטחת מידע. כמו שבאבטחה הפיזית של הארגון יש שומר בדלת הראשית, מפתחות לדלת של כל משרד, תגי כניסה וכו' – כך גם באבטחת מידע חייבות להיות כמה שכבות, בעיקר משום שההתקפות הופכות יותר ויותר מתוחכמות".

"עקרון אבטחה נוסף שחשוב לאמץ הוא בתחום ה-Social Engineering", מציין בר לב. "כיום, כל תוקף פוטנציאלי יכול לדלות הרבה מאוד מידע על עובדים בארגון מהרשתות החברתיות ולהשתמש בו כדי לחדור למערכות ארגון. לרוב האנשים יש כיום דף בפייסבוק (Facebook), בלינקדאין (Linkedin), בטוויטר (Twitter) וכו'. ברגע שעובד מפרסם, לדוגמה, שהוא שהה בחופשה במלון מסוים במקום מסוים, התוקף יכול לשלוח לו אימייל המתחזה לאימייל מהמלון, עם קטלוג שבתוכו ניתן לשתול תוכנות זדוניות. לכן, אחד הצעדים החשובים בנושא אבטחה הוא חינוך למודעות".

לדבריו, "בשנים האחרונות עבר תחום אבטחת המידע שינויים מהותיים וכיום ניתן לחלק את האיומים לשני סוגים מרכזיים: התקפות ממוקדות מטרה – כלומר התקפות על ארגונים ספציפיים או על מערכות מסוימות, והתקפות רחבות מימדים – שמטרתן לגרום להרבה מאוד נפגעים".

"ההתקפות רחבות ההיקף מיועדת בדרך כלל לתשתיות קריטיות, כמו חשמל, כבישים, רמזורים, נמלי תעופה, מערכות מיחשוב גדולות ועוד", מציין בר לב. "התולעת סטוקסנט (Stuxnet), למשל, היא דוגמה מפורסמת לאפשרות להשמיד מתקני תשתית באמצעות תוכנה קטנה – במקום על ידי מטוס קרב או טילים. לכן, יותר ויותר מערכות של תשתיות קריטיות מפוקחות כיום על ידי מדינות. המודעות לנושא הסייבר גדלה כל הזמן – גם בארץ".

בנוגע למצבו של ענף ההיי-טק בישראל, אומר בר לב, כי "צ'ק-פוינט מגדילה כל הזמן את מספר המהנדסים בארץ. אנחנו מחפשים מהנדסים נוספים ולא מוציאים עבודות לחו"ל". לדבריו, "נראה לי שצוואר הבקבוק המשמעותי ביותר בנושא ההיי-טק הוא החינוך, ובו חשוב להשקיע. כלומר, יש לעודד יותר ויותר את החינוך הטכנולוגי".

"הטכנולוגיה משתנה כל הזמן ולא הייתי ממליץ להתמקד רק באופנות", מסכם בר לב. "חשוב להשקיע בכל התחומים – החל באחסון, דרך אבטחת מידע וגם תקשורת וביישומים. כל עוד משקיעים במוצרים הדורשים עומק טכנולוגי וחדשנות, וכאלה שעונים על צרכי השוק, למוצרים הללו יהיה עתיד. אני מאמין שלהיי-טק הישראלי עוד יש הרבה לאן לצמוח".

הכנס השנתי של איגוד תעשיות האלקטרוניקה והתוכנה ייערך ביום ג', ה-7 בפברואר, במלון דיוויד אינטרקונטיננטל בתל אביב