"בישראל ארגונים מתמודדים עם טרור של ממש, ובאירופה פגיעה בתשתית היא סיכון חיי אדם"

ארן אראל, מנהל פעילות F5 בישראל, ספרד, פורטוגל, יוון וקפריסין. צילום: גבריאל בהרליה

תפקיד מנהל אבטחת המידע הפך בשנים האחרונות לאחד התפקידים הקריטיים בכל ארגון, לא רק בעולמות הטכנולוגיה, אלא גם בקבלת החלטות אסטרטגיות, בניהול סיכונים ובהישרדות עסקית. בישראל, נוסף על כל אלה, תפקיד ה־CISO מקבל משמעות שונה.

ארן אראל חי את השינוי הזה מדי יום. כדירקטור אזורי בכיר ב-F5, הוא אחראי על פעילות החברה בישראל, ספרד, פורטוגל, יוון וקפריסין, אזורים שבהם תפקיד ה־CISO מתעצב אחרת לגמרי. את ההבנה הזו הוא מביא אחרי מסלול ארוך שעבר דרך שירות צבאי בממר"ם ותפקידי ניהול טכנולוגיים בכירים בסיסקו, בה הגיע עד לתפקיד סמנכ"ל הטכנולוגיות וסמנכ"ל המגזר העסקי בישראל.

בראיון בלעדי ל־ITtime הוא מביא תמונה מפורטת של המציאות בשטח, מה קורה כשאין רגולציה אבל יש מתקפות, איך תפקיד שנחשב טכני עד לא מזמן הפך לפונקציה אסטרטגית ואיך כל זה מעצב את הפרופיל החדש של מי שמחזיק במפתחות ההגנה הדיגיטלית של הארגון.

לפני שמשווים את ישראל לשאר העולם, צריך להבין דבר אחד בסיסי: גם בתוך ישראל תפקיד ה־CISO לא זהה בכל מקום. "CISO ממשלתי לא דומה ל-CISO פיננסי או CISO בארגון מסחרי", מסביר ארן כבר בפתח דבריו, "מדובר בארגונים שונים הממוקדים בתחומים שונים ודורשים מעורבות שונה של רגולציה ועמידה בתקנים המותאמים אליהם. בנוסף, יש כאן הבנה עמוקה שאבטחה פיזית היא חלק בלתי נפרד מהנכסים הדיגיטליים – במיוחד בעולם של היום, שבו גבולות הארגון היטשטשו".

לפני שמשווים את ישראל לשאר העולם, צריך להבין דבר אחד בסיסי: גם בתוך ישראל תפקיד ה־CISO לא זהה בכל מקום. "CISO ממשלתי לא דומה ל-CISO פיננסי או CISO בארגון מסחרי

מהו ההבדל המרכזי בין ישראל לאירופה בתפיסת איומי הסייבר?
"ישראל היא המדינה השנייה הכי מותקפת בעולם אחרי ארה"ב", הוא אומר, "כתוצאה מכך מערכי ההגנה הם נרחבים ורובסטיים. בשנתיים האחרונות אנו רואים עלייה מדאיגה בכמות המתקפות, בעיקר על ארגונים ממשלתיים, פיננסיים וארגוני תשתית קריטיים, זאת כתוצאה משינויים גיאופוליטיים באירופה".

הגישה הזו מעצבת גם את צורת המחשבה של מנהלי האבטחה: "ארגונים בישראל מתמודדים עם איומים ומתקפות קיומיים – ממש טרור, נוסף על איומים פיננסיים ומסחריים. ארגונים אירופאים מתמודדים לרוב עם איומים שמקורם פיננסיים ועסקיים ואינם כרוכים בסכנות של חיים ומוות. אך גם כאן יש יוצאים מן הכלל – פגיעה בתשתיות קריטיות במדינות אירופיות יכולה לסכן חיי אדם".

המלצה לאירופה – דרישת קיום בישראל

האיומים בין ישראל לאירופה שונים בינתיים, אבל בולט אולי יותר השינוי המהותי בכל הקשור לרגולציה וחקיקה. "באירופה תפקיד ה-CISO הוא יותר משפטי-רגולטורי, והחיבור שלו הוא בעיקר לסיכונים העסקיים", משתף אראל, "בישראל ניתן למצוא CISO שעוסקים בצד המשפטי-רגולטורי, אבל עיקר המיקוד הוא באספקטים הקשורים לאבטחת מידע ארגונית".

תמונה: Pixabay

עם זאת, החובות הפורמליות נותרות שונות בתכלית: "באירופה יש חובת דיווח על פריצות – שלא קיימת בישראל. ארגונים אירופיים חשופים לענישה משמעותית על פריצות ומושתים עליהם קנסות כבדים. האחריות על אירועי סייבר הופכת גם לאישית, ומנכ"ל הארגון עלול לשאת באחריות זו. מנכ"לים של בנקים פוטרו בשל אירועי סייבר או הלבנות הון. בישראל אין רגולציה המחייבת דיווח על אירועי סייבר, ורמת האחריות האישית נקבעת בכל ארגון לגופו".

האם ייתכן שדווקא בישראל, שבה אין רגולציה מחייבת, רמת המוכנות גבוהה יותר?
"כן. כל החלטה של CISO מביאה בחשבון את נכסי הארגון שצריך להגן עליהם ואת רמת הסיכון. הוא צריך להתוות את מדיניות אבטחת המידע, לבנות את האסטרטגיה הטכנולוגית הטובה ביותר כדי להגן על הנכסים, להתמודד עם דרישות רגולציה ולבנות תגובות לתרחישי תקיפה עתידיים, כולל תרגול למצבים קיצוניים".

כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime

ה-CISO החדש: אסטרטג, מתווך ומבקר פנימי

לצד ההיבטים המקצועיים, עולה גם שאלת הזהות של ה־CISO. מיהו בעצם האדם שנושא בתפקיד הזה ומה מצופה ממנו?
"באירופה קיימת ציפייה רגולטורית שה-CISO ידווח ישירות למנכ"ל", הוא מסביר ומוסיף כי "בישראל הציפייה הזו קיימת בעיקר בארגונים פיננסיים או ממשלתיים. בשאר הארגונים ה-CISO לרוב מדווח למנהל האופרציה המחשובית. עם זאת, יש הבנה גוברת בחשיבות של התפקיד, והיא מתבטאת בסמכויות נרחבות ובדיווח ישיר להנהלה". לדבריו, למי שנכנס לתפקיד בישראל לא מספיק רק לדעת סייבר. צריך לדעת לחשוב כמו יועץ, לבנות תרבות ארגונית, להבין כלים עסקיים ולהיות צעד לפני כולם.

"באירופה יש חובת דיווח על פריצות – שלא קיימת בישראל. ארגונים אירופיים חשופים לענישה משמעותית על פריצות ומושתים עליהם קנסות כבדים

חוץ מידע מקצועי, מה חשוב ל-CISO לדעת כי להצליח?
"להגדיל ראש, ללמוד את הרגולציות, גם את אלו שה-CISO לא כפוף אליהן, לקחת אחריות מקיפה ולא להתרכז רק באספקטים הטכנולוגיים. חשוב מאוד להבין את גבולות הארגון (פיזיים ודיגיטליים) ולוודא שכל הנכסים והפגיעויות מוכרים. חייבים להתעדכן במה שקורה בעולם, להבין את הסיכונים שכל טכנולוגיה חדשה מביאה, ולא לתת לעובדים לקבוע עובדות בשטח או להשתמש בכלי AI חדשים ללא בקרה".

איך אתה מוודא את זה אצלך, ב-F5?
"ב-F5 השיקו כלי AI פנימי בשם F5 GPT", הוא מספר. "הוא מאפשר שימוש בטכנולוגיה המתקדמת ביותר ומשלב את מאגרי המידע הייחודיים של הארגון. כך אפשרנו שימוש בטוח ב-AI ומנענו חשיפה אפשרית לארגון".