"CISO צריך לאפשר פעילות – ככל שתצליחו להבין איפה אפשר להתפשר ואיפה לא, כך תביאו יותר תועלת"
יעקב אבידר, CISO וסמנכ"ל מחקר ופיתוח ב-PlaxidityX, החל את דרכו בחיל האוויר, גאה במיוחד בהובלת שילוב תהליכי CI/CD בתעשיית הרכב שבה כל תקלה עלולה להיות קריטית, ומשתף בפרומפט יעיל לקבלת החלטות
במדור מנמ"ר על הבר אנחנו משוחחים בכל פעם עם CIO או CISO שיספרו לנו קצת על עצמם, על הדרך שעשו כדי להגיע לתפקיד ועל שיטות העבודה והניהול שלהם; נדבר על השינויים בתעשייה ובתפקיד ונכיר גם צדדים פחות מקצועיים. והשבוע מתארח יעקב אבידר, CISO וסמנכ"ל מחקר ופיתוח ב-PlaxidityX. שנתחיל?
היי יעקב, נשמח לשמוע על המסלול האישי שעשית בקריירה עד לתפקיד הנוכחי.
התחלתי את דרכי בעולם התוכנה בחיל האוויר, ביחידת ממד"ס (כיום אופק), שם פיתחתי תוכנה למטוסי קרב. העבודה על מערכות קריטיות עם כמויות עצומות של קוד ריתקה אותי וחשפה אותי לחשיבות של עמידה בסטנדרטים גבוהים בתעשיות הביטחוניות ובמערכות הנוגעות בחיי אדם.
בהמשך, מילאתי מגוון תפקידי פיתוח – מתכנת, ראש צוות, מהנדס מערכת וראש קבוצה, כולם אפשרו לי להעמיק את ההבנה שלי בכל מחזור חיי המוצר. לאורך יותר מ-20 שנות קריירה, התמחיתי בפיתוח מוצרי תקשורת, בסיסי נתונים והגנת סייבר.
יעקב אבידר, CISO וסמנכ"ל מחקר ופיתוח ב-PlaxidityX. תמונה: יח"צ
ספר לנו קצת על PlaxidityX והתחום שבו היא פועלת.
כיום אני משמש כסמנכ"ל מחקר ופיתוח ומנהל אבטחת המידע (CISO) ב-PlaxidityX (לשעבר ארגוס סייבר סקיוריטי), חברה המתמקדת במתן פתרונות סייבר לתעשיית הרכב. מוצרי החברה שלנו מגנים על חיי הנהגים והנוסעים על ידי הגנת אבטחת המידע של המערכות מבוססות תוכנה ברכב ומניעת תקיפות סייבר על הרכב
התפקיד שלי מחייב איזון בין חדשנות טכנולוגית להגנה על מערכות קריטיות, תוך עבודה בסביבה דינמית המשלבת טכנולוגיות ענן ופתרונות מקומיים (on-prem). אני מוביל את אסטרטגיית הפיתוח והאבטחה של החברה, תוך הקפדה על עמידה בסטנדרטים המחמירים ביותר של תעשיית הרכב.
כל העדכונים של ITtime עכשיו גם בערוץ הטלגרם שלנו
מה האתגר הכי קשה שאיתו אתה מתמודד בתפקיד שלך כיום?
השילוב בין אבטחת מידע לפיתוח מהיר של מוצרים חדשניים. בעולם הרכב מערכות חייבות להיות מאובטחות ברמה הגבוהה ביותר ולשמור על תקנים מחמירים ויכולת הסתגלות לשינויים מהירים בטכנולוגיה. בנוסף, הבינה המלאכותית משנה את חוקי המשחק – מצד אחד, היא מאפשרת איתור מהיר יותר של חולשות; מצד שני היא יוצרת איומים חדשים ודרכי תקיפה מתוחכמות יותר. היכולת להגן על תוכנה שנוצרה באמצעות AI ולהבין את הסיכונים הכרוכים בכך היא אתגר משמעותי שנמצא במרכז תשומת הלב שלנו.
באיזה תהליך שהובלת את הכי גאה?
אחד ההישגים שאני גאה בהם במיוחד הוא שילוב תהליכי CI/CD בארגון. זה מהלך שלא רק שיפר את זמני הפיתוח וההפצה של המוצרים שלנו, אלא גם שדרג את תשתיות האוטומציה והביא לרמת אבטחה גבוהה יותר ואיכות מוצרים משופרת. בתעשיית הרכב, שבה כל תקלה עלולה להיות קריטית, זהו מרכיב חיוני להצלחה.
תהליך חשוב נוסף שאני גאה בו הוא שילוב מוצר ההגנה מפני גניבת רכבים V-Dome, המבוסס על תוכנה בלבד. תהליך הפיתוח שלו היה חדשני ושילב צוות מחקר ייעודי שבחן דרכי פריצה טכנולוגיות לרכבים, שאותן הצלחנו למנוע באמצעות המוצר החדש. הגישה החדשנית אפשרה לנו לפתח פתרון אפקטיבי וגמיש, שמתמודד עם שיטות גניבה מתקדמות מבוססות תוכנה מבלי הצורך בהתקני חומרה ייעודיים.
היה לי עובד שקידמתי לתפקיד ארכיטקט ראשי, כי חשבתי שהוא מתאים. אחרי מספר שבועות הוא ביקש להיפגש איתי ואמר שנעלם לו החיוך, שהוא לא נהנה מהתפקיד החדש ורוצה לחזור להיות מתכנת. מה עשיתי? כמובן שהסכמתי
אילו שינויים יעבור לדעתך שוק ה-security בשנים הקרובות?
אני צופה שתחום אבטחת המידע יתמקד יותר ויותר בזיהוי ונטרול איומים מבוססי בינה מלאכותית. אנחנו נראה מתקפות חכמות ומתוחכמות יותר שידרשו רמות חדשות של הגנה והבנה מעמיקה של תהליכי הפיתוח.
כמו כן, הענן ממשיך להיות גורם מרכזי, וארגונים יצטרכו לדעת כיצד לשלב בצורה חכמה פתרונות היברידיים כדי להבטיח אבטחה מירבית. בנוסף, אני מאמין שמומחיות ומקצועיות של אנשי תוכנה יהיו קריטיות יותר מאי פעם, וחברות שלא ישכילו לשמר את החוקרים והמפתחים הטובים ביותר, לא ישרדו את האתגרים העתידיים.
אם מנמ”ר אחר שואל אותך: ענן ציבורי, פרטי או היברידי ולמה. מה תענה?
תלוי בגודל הארגון כמובן. עבור סטארטאפים ללא ספק כדאי ללכת על public cloud – כל השירותים מנוהלים, עלויות יחסית נמוכות בגלל גודל הארגון וכל צורכי האבטחה מטופלים.
עבור חברות בינוניות וגדולות אני ממליץ ללכת על מודל היברידי. הענן הפרטי מאפשר להוריד עלויות שוטפות (אחרי עלות הקמה ראשונית יקרה), לבנות סביבות ייחודיות מותאמות ולהקשיח את האבטחה במקומות קריטיים. חשוב לזכור רק שלשם כך דרושים צוותי IT ו-DevOps מיומנים וברמה גבוהה.
השימוש בענן הציבורי לצידו מאפשר לארגון גדול עדיין את ה-Scalability הגבוה הנדרש בארגון כזה, לצד זמינות של שירותים מנוהלים שונים ותחזוקה שוטפת קלה יותר.
בעולם מקביל אם לא היית CISO, במה היית עוסק?
הייתי הולך ללמוד אסטרופיזיקה. מגיל צעיר אהבתי מאוד את הספר "קיצור תולדות הזמן" של סטיבן הוקינג ועד היום אני אוהב להתעמק בתיאוריות המדעיות המנתחות את התפשטות היקום כחלק מתורת היחסות הכללית, והקשר בין התיאוריות הפיזיקליות השונות השולטות במיקרו (תורת הקוונטים) ובמאקרו (כבידה).
איזה גאדג’ט אתה הכי רוצה לקנות עכשיו?
באופן לא מפתיע, אני מתלהב גאדג'טים הקשורים לתחום הרכב. אחד האחרונים שהסתכלתי עליו היה CarLock, שמאפשר לכל נהג לעקוב באמצעות אפליקציה אחרי הרכב שלו, כחלק מפתרונות AfterMarket בתעשיית האוטומוטיב.
carlock. תמונה: אתר החברה
לאיזה פודקאסט אתה מאזין וכולם חייבים להכיר?
אני ממליץ מאוד על הפודקאסטים של חיים שפירא, במיוחד הסדרות שבהן הוא מדבר על קבלת החלטות ותורת המשחקים. יש לו דרך ייחודית, רהוטה ומלאת הומור להסביר תיאוריות מורכבות בצורה נגישה ומרתקת. אני מוצא את עצמי חוזר לפרקים שלו שוב ושוב – גם כדי ללמוד, וגם פשוט כי כיף להאזין לו.
איזה כלי בינה מלאכותית אתה מעדיף?
הכלי האהוב עליי הוא Claude – מודל שפה מתקדם מבית Anthropic. הוא מצטיין בניתוח טקסטים ארוכים, שומר על הקשר טוב לאורך שיחות מורכבות וגם מצליח לנסח תשובות בצורה רהוטה, אנושית ואלגנטית במיוחד. אני משתמש בו בעיקר לכתיבה, ניסוח רעיונות, ולפעמים גם כדי להבין בצורה מהירה תכנים טכניים מורכבים.
פרומפט ניתוח קבלת החלטות שאני אוהב: "ספק ניתוח של קונפליקט ניהולי לפי תורת המשחקים – לדוגמה, האם נכון להשקיע בפיתוח פתרון פנימי או לרכוש מוצר מדף?".
לאיזו חברה או מנמ”ר אחרים אתה רוצה לפרגן על עבודה טובה?
אמיר טיטו, ה-CISO של K Health. אמיר הוא קולגה מהעבר שהכרתי כמנהל IT ויצא לי לייעץ ולהתייעץ איתו מספר פעמים לאורך הקריירה.הוא מקצוען, מבין היטב את עולם אבטחת המידע וכיף לשוחח איתו.
יש לך סיפור על מקרה מעניין שקרה במהלך הקריירה?
כן. היה לי עובד שקידמתי לתפקיד ארכיטקט ראשי, כי חשבתי שהוא מתאים. אחרי מספר שבועות הוא ביקש להיפגש איתי ואמר שנעלם לו החיוך, שהוא לא נהנה מהתפקיד החדש ורוצה לחזור להיות מתכנת. באותה תקופה הוקפאו גיוסים, מה שאמר לוותר לחלוטין על הפוזיציה של ארכיטקט ראשי. מה עשיתי? כמובן שהסכמתי. הוא חזר לתכנת, תרם רבות לארגון וחזר לחייך. המסר שלי למנהלים: תהיו קשובים לעובדים שלכם. הם הנכס הכי גדול שלכם.
ואחת לסיום: איזה טיפ תיתן למנהלי אבטחת מידע שרוצים להיות CISO?
הסוד הוא בניתוח ריסקים ולקיחת אחריות. הדרך הקלה (והיקרה) ל-CISO היא תמיד להגיד "לא", או לדרוש עוד ועוד תוכנות מעקב, אבל זו לא תמיד הבחירה הנכונה.
בעיניי, התפקיד המרכזי של CISO בארגון הוא לאפשר פעילות – ככל שתצליחו לנתח טוב יותר את הסיכונים ולהבין איפה אפשר להתפשר ואיפה לא, כך תביאו יותר תועלת לארגון ותאפשרו לו לעבוד בצורה יעילה, מבלי לייצר מגבלות קשות מדי על העובדים והלקוחות.
