"מתכוננים למתקפת זומבים ובסוף מתים מהתקף לב": מאחורי הקלעים של תפקיד ה-CISO
מהדסה שהוקמה לפני כמעט מאה שנים, דרך איילון ביטוח שנולדה עם עידן המחשוב הישן ועד Rapyd שהגיעה כשלכל אחד יש סמארטפון בכיס - שלושה CISO מדברים על האיזון בין לגאסי ל-AI, ועל האחריות שבהגנה על חיים, כסף ונתונים
מתכוננים לתקיפת זומבים. אילוסטרציה (אובייסלי, כי אין זומבים במציאות): cottonbro studio, Pexels
תפקיד ה-CISO – Chief Information Security Officer אף פעם לא היה פשוט, אבל כש-AI כבר בכל פינה, מתקפות סייבר הופכות מתוחכמות יותר ורגולציות מתהדקות – מדובר באחד התפקידים הקריטיים והלחוצים ביותר בארגון, וזה נכון לסטארטאפ צעיר שפועל מחלל עבודה משותף ולתאגיד חוצה יבשות: כל CISO נדרש לנווט במציאות משתנה, במהירות ולהיות צעד אחד קדימה.
למרות האתגרים המשותפים, אופי התפקיד ומידת האחריות משתנים באופן דרמטי בין חברה לחברה, בין הסקטורים השונים ומושפעים אפילו משנת ההקמה. מה באמת עובר על מי שמחזיקים במושכות האבטחה של הארגונים היום? דיברנו עם שלושה CISO – כל אחד מהם מגיע מחברה אחרת לגמרי – כדי להבין איך נראה היומיום שלהם, מה הכי מטריד אותם, ומהם הכלים שהם בוחרים כדי לשרוד, להוביל – ולהישאר רלוונטיים.
איילת אהרון היא סמנכ"לית מערכות מידע היוצאת של בית החולים הדסה, שהוקם ב-1930 – עשרים וחמש שנים לפני שפעל המחשב בראשון בישראל; יערה לבון, CISO בחברת איילון ביטוח שהוקמה ב-1976 – כשמחשבים לאט לאט נכנסו לחברות; וניר רוטנברג הוא ה-CISO בחברת Rapyd שנולדה ב-2015, עמוק לתוך עידן המידע – כשלכל אחד כבר יש ביד מחשב עוצמתי שהיינו יכולים רק לחלום עליו במאה הקודמת, ומשמש אנשים בעיקר לכתוב "בדרל", ואז לתקן ל"בדרך".
"פשוט ממציאים תחומים?"
הקריירה לתפקיד CISO יכולה לעבור במסלול קלאסי טכנולוגי, כמו אצל לבון ואהרון. לבון הייתה בעתודה הנדסית ושירתה כקצינת תקשוב בצבא. "לאחר השחרור", היא מספרת, "די מהר צללתי לעולם המדהים של הסייבר. התחום מאוד סיקרן אותי". לבון עבדה במחלקת אבטחת מידע בחברה פיננסית והתקדמה לתפקיד CISO.
איילת אהרון. צילום: פרטי
אהרון הגיעה לתפקיד דרך חברת אינטגרציה, שם נחשפה למגוון רחב של מגזרים והובילה פרויקטים בתעשיות שונות, ובהם מערכת בילינג בבית חולים. "הבנתי את האתגרים הייחודים של כל מגזר ואת הדרכים הטובות ביותר לתת מענה ולהתאים את הפתרון הטכנולוגי הנכון".
לעומתן, רוטנברג עבר במסלול אחר לחלוטין: "הגעתי לתחום מסקרנות ותמימות", הוא מספר, "למדתי בכלל כימיה ולא הייתי ביחידה טכנולוגית בצבא. כשאני התחלתי את הקריירה בכלל לא קראו לזה סייבר. אני זוכר את היום שהמנהל שלי אמר לי שאנחנו בעצם עובדים בסייבר – הגבתי כמו שאיזה סבא היה מגיב וחשבתי שהוא עובד עלי: 'סייבורג?! פשוט ממציאים תחומים?'". הוא מוסיף "רכבתי על הגל עם התפוצצות התחום".
"חייבים עיניים בכל מקום"
התפקיד כמובן מגוון ודינמי בשלושת הארגונים, אך כל אחד מביא את האתגרים הייחודיים שלו, ומצביע על אופי ארגוני אחר. "אם צריך להסביר את היומיום בעבודה במונח הכי מזוקק – הייתי בוחרת ב'תיעדוף' וניהול סיכונים קלאסי", מסבירה לבון. "התחושה היא שחייבים עיניים בכל מקום. אני מעורבת בכל פרויקט חדש, משלב האפיון ובניית הארכיטקטורה הנכונה מבחינת security, ולאחר מכן בבדיקות ובסקרים שאנחנו מבצעים לכל מערכת טרם הטמעתה ברשת". לדבריה, חשיבות התפקיד שלה מוטמעת עמוק בחברה, כך שקורה שפונים אליה לפני שפונים למחלקה הרלוונטית באגף הטכנולוגי, רק כדי לוודא שיש בכלל היתכנות לפרויקט.
ניר רוטנברג. באדיבות המצולם
אצל רוטנברג ב-Rapyd הקצב מסחרר: "כל יום יש משהו חדש. יום אחד זה ללוות רכישה ולבצע בדיקת נאותות של חברה ששוקלים לקנות, יום אחר זה לנהל אינטגרציה של הטכנולוגיה של חברה אחרת שרכשנו". הוא מוסיף כי "אני זוכר שבשבוע הראשון שלי בתפקיד שאלתי את המנכ"ל אם אולי הוא עשה טעות ועוד לא צריך סיסו. הוא פשוט צחק ואמר לי 'חכה ותראה'". רוטנברג מוסיף תובנה חשובה על העבודה היום יומית בחברה "אם אתה רוצה ללכת מהר, לך לבד. אם אתה רוצה להגיע רחוק, לך עם צוות".
מתקפת השבעה באוקטובר לפני שנה וחצי הביאה לשינויים גם בתחום הסייבר. ישראל מאז ומתמיד הייתה יעד להאקרים, ומספיק לחפש ידיעות חדשותיות על מתקפת סייבר ב-ChatGPT או בגוגל ניוז – למי שאוהב להיזכר איך סבא וסבתא חיפשו מידע.
רוטנברג: אני זוכר שבשבוע הראשון שלי בתפקיד שאלתי את המנכ"ל אם אולי הוא עשה טעות ועוד לא צריך סיסו. הוא פשוט צחק ואמר לי 'חכה ותראה'
אך מאז המלחמה, לפי אהרון, כמות המתקפות עלתה מאוד. לדבריה, הסיכון הוא כפול: "חוסר תפקוד של בית החולים ומניעת מתן טיפול, ודליפת מידע על מטופלים". היא מספרת כי נדרשות בדיקות של כל תוכנה שנכנסת לארגון, וכי אם עבור אפליקציות או יישומים עננים יש בדיקה קפדנית ורגולציה של אישור האפליקציות".
עורכים תרגילי סייבר וסימולציות
חוסר התפקוד שאהרון מזכירה היה המציאות בבריטניה ב-2017, כשתוכנת הכופר WannaCry פגעה במערכת הבריאות הבריטית (NHS) עם מחשבים רבים ב-16 בתי חולים ובמרפאות בקהילה, שננעלו והציגו בפני הצוות הרפואי את דרישת הכופר.
אז מה עושים? "מנסים לקבל כמה שיותר פרטים איך זה קרה, מה הייתה החולשה בארגון שניצלו התוקפים ולומדים מכל אירוע כזה כדי להכין ולהגן על הארגון שלך בצורה הטובה ביותר" מסבירה אהרון, "בנוסף עורכים תרגילי סייבר כדי להכין את הצוותים להתמודדות עם תרחיש כזה".
רוטנברג מדגיש: "זה מתחיל בתפיסה – לא 'אם' תהיה מתקפה, אלא 'מתי' וכמה מוכנים נהיה. משם בונים אסטרטגיה שמבוססת על שיטת הבצל: הגנות צולבות וחופפות". הוא מוסיף כי לתוקפים יש הרבה יתרונות בסייבר. "מגנים חייבים להתמודד עם תוקפים, אבל גם עם טעויות תמימות של עובדים וב'חוב הטכנולוגי' שכל הזמן תופח (בכמעט כל חברה) ועלול להיות מתורגם לפריצה בכל רגע. מה הסוד? "להתמקד!", הוא מסביר, "להפריד בין עיקר לטפל, לא לבזבז את הזמן על דברים לא סבירים".
יערה לבון. צילום: יח"צ
רוטנברג מסכם את דבריו על הסייבר עם טיפ חשוב "המון אנשים מתכוננים למתקפת זומבים ומזניחים את הדברים הבסיסיים ולכן בסוף מתים מהתקף לב" – עצה ששווה לתת לאמזון שב-2016, כנראה כדאחקה, הוסיפה מתקפת זומבים לתנאי השימוש שלה.
וחזרה למציאות – גם איילון ביטוח צריכה להתמודד עם אתגרי סייבר, וגם הם לא תיאורטיים. מה שחוותה את זה על בשרה היא שירביט, שפרטים על המבוטחים שלה דלפו לרשת ב-2020, ובעקבות כך היא קיבלה קנס של 11 מיליון שקלים.
"שירביט בעיניי היה מקרה חריג וקיצוני", אומרת לבון, "האירוע הזה גרם לשוק כולו להתחזק – והתפיסה של החברות השתנתה. הנהלות הבינו שהן חייבות לגבות את ה-CISO הרבה יותר, ולתת תקציבים ומשאבים". היא מספרת כי "באיילון אנחנו מקפידים להיערך לתקיפות סייבר: מבצעים סימולציות סייבר ותרגילים – גם בפן הטכני וגם בפן המנהלי, הכנה מראש ותיקוף תקופתי של Playbooks, תכניות חירום, וכן התקשרויות עם צוותי חירום של מומחים הזמינים 24/7.
לחבור לדוברי קובול כשפת אם
על פניו, אחד האתגרים המרכזיים של לפחות שניים מהארגונים הוא ניהול מערכות ישנות לצד חדשות. "בארגונים ותיקים קיימות מערכות שונות שפותחו בשפות שונות עם ארכיטקטורה ויכולות שונות," מסבירה אהרון על המרכז הרפואי בן ה-95, "האינטגרציה הופכת למורכבת מאוד, מה גם שהרגולציה מחייבת שמירת מידע לשנים רבות". בשביל להתמודד עם זה, היא אומרת "ישנו שימוש נרחב בכלים לניהול האינטגרציה בין המערכות וצוות ייעודי שזה תפקידו לוודא שהמידע זורם באופן רציף ותקין".
לבון שהמעסיק שלה יציין תיכף 50 שנה להיווסדו, מוסיפה: "מצד אחד, כל מי שנמצא בשוק הטכנולוגי מכיר את המרדף הבלתי פוסק אחרי עדכונים וטכנולוגיות חדשות. מצד שני, בחברות גדולות כמעט בלתי אפשרי להיפטר לגמרי ממערכות ותיקות". היא מספרת כי מבחינתה "הדבר הכי חשוב הוא למפות ולהבין את אזורי הסיכון". כך, היא אומרת "אפשר להגדיר בקרות מסודרות, תוך הקפדה מלאה על תקינות התהליכים העסקיים".
לבון: שירביט היה מקרה חריג וקיצוני והוא גרם לשוק להתחזק. הנהלות הבינו שהן חייבות לגבות את ה-CISO ולתת תקציבים ומשאבים
בעוד Rapyd נמצאת רק בשנה העשירית שלה, והוקמה כחברה טכנולוגית עדכנית מהמסד ועד הטפחות, היא עדיין חברת Fintech, והחצי הראשון, ה-Fin מעיד על עולם הבנקאי שבו עדיין נשענים על מערכות לגאסי. המומחים שמתפעלים ומתחזקים אותן הם לרוב מתכנתים ותיקים ששפת האם שלהם היא קובול – שפה שנכנסה לשימוש בשנות ה-60 ועדיין מחזיקה תשתיות בנקאיות רבות.
רוצים לקבל את הניולזטר השבועי של ITtime? הירשמו כאן
"ראפיד אכן מתחברת להמון מערכות ישנות ואפילו ישנות מאוד", אומר רוטנברג, אבל מציג גם יתרון "דווקא במערכות הללו קל יחסית להיות מובנים ומוקשחים כי האתגר הזה משותף לרוב החברות שמתחברות למערכות הללו כבר שנים רבות. ישנם דרכים ידועות כיצד לעבוד בצורה בטוחה ואמינה". בנוסף, הוא אומר, ראפיד בנתה שכבה מוקשחת של ממשקי חיבור ובקרה למערכות צד ג׳, שמאפשרת להתחבר מאוד מהר לכמעט כל ממשק פיננסי שקיים".
רוטנברג מודה שעדיין יש אתגרים. "ראפיד פועלת בהרבה מדינות וחולשת על המון המון טכנולוגיות וסביבות IT. בנוסף, אנחנו חברת פינטק שחייבת לרוץ מהר ולהתחרות חזק. על כן, באופן יחסי לרוב החברות בעולם הפיננסי, החיים בכלל לא יותר קלים. מצד שני, מי רוצה קל?".
לסמוך על AI עם הכסף והבריאות
הכל טוב ויפה, אבל מה עם AI. לא תשאלו כלום על AI? ברור שנשאל. בשלושת העולמות האלה, AI יכול לקדם משמעותית את הארגונים ולתת שירות טוב ללקוחות שלהם. מצד שני, מדובר פה בכסף שלנו, בביטוח שלנו ובאופן הכי פשוט – בחיי אדם. האחריות לשלב AI בחכמה יושבת, בין השאר, על כתפיהם, הגם ככה עמוסות, כפי שהמרואיינים כבר הראו עד עכשיו, של ה-CISO.
אהרון: עולם הרפואה יכול להיתרם הרבה מאפליקציות AI,, אבל נדרשת זהירות מרבית כיוון שמדובר בחיי אדם
"עולם הרפואה יכול להיתרם הרבה מאפליקציות AI," אומרת אהרון, "אבל נדרשת זהירות מרבית כיוון שמדובר בחיי אדם. האפליקציות הן בגדר המלצה ותמיד יעברו חוות דעת נוספת של איש צוות ולא ישוקפו למטופלים ללא מבט של איש צוות קליני".
בעולם הביטוח, מעבר לרגולציה, יש כבר דוגמה ממשית למקרה ש-AI יכול להיות בעייתי. בקצרה מאוד, בית משפט שלום בחיפה פסל חוות דעת רפואית שהוזמנה על ידי חברת כלל על מבוטחת שעברה תאונת דרכים, והופקה בין השאר בסיוע AI. זה מקרה מאוד נקודתי ולא כזה שבהכרח ישפיע על כל הענף, אבל הוא כן בהחלט מעלה את השאלה על השימוש הזהיר בטכנולוגיה הזאת בתחום הביטוח.
"זו שאלה שכרגע גדולי המוחות והרגולטורים בעולם מתעסקים איתה. אילון מאסק התריע כבר מזמן שצריך רגולציה בתחום ה-AI. אני גם חושבת שייקח עוד זמן לעצב פתרון שייתן מענה אמיתי לנושא", מודה לבון, "אבל לפני שאנחנו בכלל מדברים על חוות דעת ביטוחית שנכתבה על ידי AI, חשוב להבין שהשיח בארה"ב מתעסק בסוגיות הרבה יותר קריטיות, כמו השתלטות של כלי AI על תשתיות קריטיות – סדר גודל אחר לגמרי. ולכן, ככל שהשנים יעברו, ה-AI בהחלט נראה כמו איום ממשי שהרגולטור חייב לטפל בו – ממש לייצר מדיניות שתאפשר שימוש אחראי, תחת מגבלות שיבטיחו שהקדמה הזאת תשרת את האנושות ולא תפגע בה".
כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime
מבחינת רוטנברג החיבור ל-AI הוא טבעי. "בתהליכים כמו זיהוי הונאות וניתוח עסקאות נדרשת קצת יותר יצירתיות, אבל הערך המתקבל הוא גבוה מאוד". לדבריו בעולם הפיננסים נדרשת זהירות בכל גישה למידע, "לא משנה אם זה הזייה של מכונה או אדם הזוי". לכן, הוא אומר,חשוב להקפיד על עקרונות ניהול סיכונים ותיקים תוך התאמה למציאות החדשה".
עשייה שמלווה בהרבה בדיקות
מנהלי ומנהלות CISO מתעסקים הרבה עם מחשבים, אבל הם בני אדם, עם לב פועם. שאלת הסיכום לשלושתם עסקה בכובד האחריות ובהתמודדות הרגשית עם כל הנושאים שעלו פה. "העשייה מלווה בהרבה בדיקות של כל צעד. מה המשמעות לארגון, בדיקת סיכונים, הקטנת הסיכונים למינימום, והערכות לכל תרחיש", אומרת אהרון שמסיימת בימים אלה את תפקידה בהדסה ומתכוננת לאתגר הבא, "ועם כל האחריות הכבדה יש גם תחושת שליחות גדולה מאוד".
"הדרך להתמודד עם האחריות הזו היא קודם כל להבין שהיא חלק בלתי נפרד מהתפקיד", משתפת לבון, "ההכנה היא מקצועית, אבל גם מנטלית – בניית תשתית של ידע, נהלים ברורים, צוות מיומן, תהליכים מסודרים וניהול סיכונים שמבוסס על עקרונות". היא מוסיפה שכאשר יש שותפות ותהליכי עבודה מסודרים, "קל יותר לשאת באחריות באופן נכון. התמיכה של ההנהלה, שיתוף הפעולה הבין-מחלקתי, ושיח פתוח על סיכונים – הם כולם חלק מהיכולת של CISO לתפקד לאורך זמן ולשמור על יציבות, גם מול מצבים מורכבים".
רוטנברג אומר כי התמודדות רגשית בסייבר לא שונה מכל התמודדות רגשית אחרת בתפקידים מלאי לחץ ואחריות. "קודם כל, יהיו רגעים שנכנעים ללחץ, זה טבעי. אפשר להתגבר על הרגעים הללו ולהמשיך הלאה", הוא מספר ומוסיף כי הכי חשוב זה צוות מוכשר שעוזר בהתמודדות הזאת "התברכתי בכך שאני מוקף בקולגות וגם ביועצים שהם הרבה יותר חכמים ומבינים ממני", הוא אומר, "וברגעים הקריטיים הם מוכנים לעשות הכל כדי לעזור לי להתמודד עם הבעיה".
ישנו, לדבריו, מעגל נוסף של תמיכה. "בסייבר בארץ יש ממש תחושה של קהילה, עם מנהלי אבטחת מידע אחרים, אבל גם עם כל היזמים המדהימים שעובדים קשה כדי להרים מיזם סייבר מצליח. כמעט כולם יעזבו הכל ויעזרו כמה שניתן. הקהילה מאוד חזקה, עם קבוצות וואטסאפ שבהן המנהלים הכי מנוסים בארץ וכמעט כולם שמחים לעזור ולייעץ".
