"בעולם הסייבר המצב פשוט נורא – כל אחד עושה מה שהוא רוצה"

"מה קרה לטכנולוגיה? יש לנו כיום מלא טכנולוגיה בכל התחומים של סייבר ואבטחת מידע. אבל אפשר לומר שאנחנו, כולנו, מוצפים. להבדיל מעולם מערכות ההפעלה, בעולם התקשורת אין גורם דומיננטי – וזו לדעתי בעיה רצינית. במערכות הפעלה יש כאלה שתומכים ב-Windows ויש כאלה ב-Linux. בעולם של הסייבר המצב פשוט נורא. כל אחד עושה מה שהוא רוצה, וכשאני אומר כל אחד אני אומר אלפי יצרנים ברחבי העולם. יש לנו בעיה רצינית כי אין ידע מקצועי שמאפשר ללמוד את כל הכלים והטכנולוגיות הללו. אני חושב שאנחנו לכל היותר משתמשים בכ-20% מהיכולות", אמר אבי וייסמן, מנכ"ל מכללת See Security & Cyber בכנס InfoSec 18 שנערך באחרונה.

הכנס בהפקת אנשים ומחשבים, שנערך מזה הפעם ה-19 ונוהל בהנחיית יהודה קונפורטס העורך הראשי של אנשים ומחשבים, משך לאולם האירועים LAGO שבראשון לציון מאות רבות של מקצוענים בתחום, וייסמן טען באוזניהם כי חוקי הגנת הפרטיות החדשים הם הוכחה לכך שהמיקוד עובר מטכנולוגיה נקייה לכיוון של מתודולוגיה ואנשים.

"יש כמה סיבות, ואחת מהן היא ידע. זו צרה צרורה. יש ידע, אבל אנחנו אפילו לא מסוגלים לחבר אלפי טכנולוגיות. רוב האנשים כאן אנשי טכנולוגיות, ואנחנו אוהבים לעשות דברים אחרים, במיוחד שאנחנו ישראלים. לטוב ולרע. אנחנו מבינים ומסתדרים מצוין בכאוס, ואנחנו היינו הראשונים. אלוהים הרי ברא את העולם מתוהו ובוהו. אנשים שאוהבים טכנולוגיה לא סובלים מתודולוגיה ולכן יש לנו בעיה. סייבר זה לא עניין לטכנולוגים, בדיוק כמו שנאמר שמלחמות זה מורכב מדי מכדי להשאיר אותם לגנרלים", הוא המשיך.

לדעתו חוקי הגנת הפרטיות החדשים מניעים בדיוק את המהלך הזה. "הגנת הפרטיות היא הגנה מצוינת. עורכי הדין הם אלו שיצרו את הכאוס וכך הם גם אלה שמוציאים אותנו ממנו. לזכות הטכנולוגים עומד עכשיו חוק הגנת הפרטיות שבעזרתו אפשר לאיים על המנכ"ל, ואני אומר לכם עכשיו – השתמשו בזה כי זה מאיים עליו. הוא גם כן יודע על המשמעויות כי גם לו יש עורך דין. במילים פשוטות: חוקי הגנת הפרטיות משמשים קודם כל את אנשי הסייבר, אז תשתמשו בזה", הוא סיכם.

תומר גרשוני, מנהל ואחראי אבטחת מוצרים במיקרו פוקוס. צילום: ניב קנטור

תומר גרשוני, מנהל ואחראי אבטחת מוצרים במיקרו פוקוס (Micro Focus), סיפר כיצד החברה כבר התחילה להתייחס אל תקנות ה-GDPR וכיצד היא משלבת אותם כבר בשלב התכנוני של המוצרים.

"פתחנו מתודולוגיה בת שבעה צעדים לשילוב השמירה על הפרטיות בתוך הארוגן ובתוך תהליך הפיתוח. התחלנו להדריך ולעשות כנסים לעובדים, גם מחוץ לפורום הפנימי, כדי לדחוף את נושא האבטחה והפרטיות לתוך הפעילות היומיומיות של הארגון", הוא אמר.

כדי לעשות זאת יצרה החברה, מספר גרשוני, מעין מפת סיכונים המתייחסת לכל אחד מהנכסים/מוצרים של החברה. "בדקנו מהי כמות עיבוד המידע שנעשית בהם, ועד כמה הם משיקים לבעיות פרטיות. התוצאה הייתה מפה ארגונית עם קביעת סדר דחיפות לנקודות מהן יכולה לבוא סכנה רגולטורית ובסופו של דבר אפילו לפגיעה בעסק".

"בדקנו בשלב השני את כל התהליכים של המוצרים, ונגענו במגוון שכבות, ובדקנו מה קורה אם זה יוצא לענן, אם זה תהליך SaaS או אולי מקומי, ובסופו של דבר בנינו מחשבון שמאפשר לנקד כל אחד מהסיכונים, כזה שמאפשר לקבוע בדיוק כמה הם חמורים וגם מספק את הבסיס לפנות לקבוצות המוצר לטיפול".

"הדברים השתנו. התעשייה צריכה לשמור יותר על פרטיות של המשתמשים ואנחנו פה כדי לקדם את האלמנטים הללו בתוך מחזור הפיתוח", הוא סיפר.

גיא בבלי, מנכ"ל ויזם ב-ActiFile. צילום: ניב קנטור

גיא בבלי, מנכ"ל ויזם ב-ActiFile, סיפר על שימוש מאובטח במקורות מידע ארגוניים בעזרת הצפנה אוטומטית, התחום בו החברה מפתחת.

"GDPR הוא לא הרזולוציה היחידה שעוסקת בפרטיות. בכל מדינה בעולם כמעט יש חוקי רגולציה מתאימים. זו הזדמנות מצוינת לנו כאנשי טכנולוגיה לשלב כלים ולשדרג את אבטחת המידע בארגונים שלהם עם ציות עסקי ועם יכולת למנף את זה".

"הרבה מדברים על אבטחת מידע כמו חיפוש מחט בערימת שחת, בתוך הארגון וכלפי חוץ. זה מחייב מוצרים ושיטות כדי לבדוק מה קורה בארגון, תוך התייחסות לכך שהאנשים ממשיכים להיות החוליה החלשה, ולכן יש לנטר את הפעולות שלהם בזמן אמת, גם אם באופן שלא מטריד", הוא אמר.

יוסי קורן, מנכ"ל ומייסד של Privacy Rating. צילום: ניב קנטור

יוסי קורן, מנכ"ל ומייסד של Privacy Rating, אמר כי המטרה של החברה היא להגן על לקוחות ולאפשר לעסקים להגן על הלקוחות שלנם מבחינת בקרת מידע.

"האתגר שאנחנו מתמודדים עמו הוא שבכל אתר באינטרנט יש איסוף מידע בידי גורמים שהם אינם האתר עצמו. זה גורם לסיכונים לא מעטים לארגון. אם נחשוב למשל על בנקים או מוסדות רפואה, זה יכול להיות אפילו ברמה קריטית. במקרה כזה אין בעצם שום הגנה על הלקוחות, ולכן חשוב לבדוק שמה שסוכם עם הגופים הללו נאכף ואכן עומד בהסכמות", הוא אמר.

לטענתו כלי האבחה הנוכחיים לא יכולים לפתור את בעיית הפרטיות. "זה לא עולם שחור ולבן ולכן האנליזה שלנו מתבססת על תוכן, אבל גם על ההקשר של התוכן. המדיניות נקבעת במקום אחד, אבל ההגנה מתבצעת על הלקוחות במכשירים שלהם".

"בנוסף, מדובר בפתרונות שחייבים לדעת לנתח את המידע אבל בלי יכולת לשמור אותו – זה אומר שהגנה על פרטיות משיגים באמצעות כלי פרטיות ולא אבטחה", הוא סיכם.