(כן, עכשיו שמתי לב שהיום הראשון לאפריל… התכנון של הפוסט היה למרץ ובינתיים הזמן עבר. תזרמו אתי…)
– תערוכת InfoSec 2014 של "אנשים ומחשבים" מנסה הפעם להיות מקורית (ביחס לישראל לפחות) ושההרצאות הפעם יהיו (רק? גם?) מטעם הקהל הרחב ולא מטעם החברות המציגות ומגופים ציבוריים/ממשלתיים. התערוכה תהיה ביום חמישי, 15/5/14, באולם הכנסים "אווניו" שליד שדה-התעופה "בן גוריון". כנראה שגם הפעם ההשתתפות היא בחינם ורק נדרשת הרשמה מראש. אתם כמובן מוזמנים להציע הרצאה.
אירוע זה יהיה מבחן (כנראה ראשון) לגישה המרעננת הזו, שגם כוללת סיכון כלכלי למארגנים מאחר וכנראה החברות המשתתפות (כולם או חלקן) לא יקבלו אפשרות להציג את מרכולתן בהרצאה. אני ממתין בכיליון עיניים לרשימת ההרצאות. זו ההזדמנות שלכם לסנוור אותנו בידע ובכישרון שלכם – לכו על זה.
אה, ויש גם את Cyber Day, בטכניון, חיפה, ב-7 לאפריל. בחינם. נא להירשם מראש.
– בשבוע שעבר הוזמנתי ונכחתי באירוע שלא ממש פורסם פומבית, וכעת מצאתי ברשת רק אזכור אחד שלו עם רשימת ההרצאות, שנקרא "The Cyber World after RSA Conference 2014" מטעם גוף שנקרא Cyber Together. ניסיתי לברר בעת ההזמנה, במייל, במי מדובר ולא הצלחתי לקבל תשובה ברורה. מבירור רשתי שעשיתי רק מצאתי שמאחורי הגוף עומדים אלון רפאלי, יזם בתחום אבטחת המידע, ויסער זק, שאין עליו מידע רב. כעת, לקראת פרסום פוסט זה חיפשתי עוד קצת ומצאתי קצת יותר מידע אודות גוף מעניין זה.
בכל מקרה, הדגש של המפגש היה על יזמות ועסקים בתחום אבטחת המידע. יסער הציג את Cyber Together באופן כללי ואמר שהם מתכוונים לקיים עוד אירועים דומים בזמן הקרוב, כך שצפוי להיות מעניין.
ההרצאה המצטיינת היתה ללא ספק של מר אלי אירים, מנהל מרכז בקרת אבטחת מידע בבנק לאומי (שכנראה בקיצור זה מנהל ה-SOC של הבנק). מה-זה נהניתי! הבחור מבין עניין וחי את הביזנס שלו. הוא העביר הרצאה מרתקת וצבעונית אודות מלחמתו של הבנק בפושעים הפיננסים, מכל הכיוונים – מהכספומט ועד אתר האינטרנט. לצערו של הקהל הוא הספיק להעביר לנו רק בערך שני שליש מההרצאה שלו, שכללה לא מעט תמונות וגם וידיאו ממעצר חשודים. לדעתי מר אירים יכול להיות פרזנטור של הבנק, לחשוף ללקוחות הבנק כמה מאמצים ומחשבה מושקעים בכדי להגן על נכסי הבנק ולקוחותיו – ההרצאה שלו היתה המחשה מדויקת של אבטחת מידע כ-Business Enabler, כמו שאוהבים להגיד. שווה למארגני התערוכה הנ"ל לגרור אותו באוזן להציג את "המופע" שלו בתערוכה. הנאה מובטחת.
– במסגרת ישיבה טובה שהיתה לי היום (ישיבה טובה = ישיבה שמדברים לעניין, בכנות ואתה מוכן לעכב עבורה את היציאה שלך הביתה ביום חמישי אחה"צ), עומר טרן (שמזמן לא כתב בבלוג אבטחת המידע שלו, וזה פשע בפני עצמו), אמר דבר שאני חושב כבר מזה זמן מה (ואני ארחיב כאן מעבר למה שעומר אמר), בעקבות בועת הסייבר הנוכחית : עולם אבטחת המידע לא ממש צריך כרגע עוד מוצרים. הבעיה האמיתית של עולם זה כרגע היא יכולת הביצוע. הן כמותית והן איכותית.
עוד מוצרים לרוב רק מחמירים את המצב כי הם מוסיפים "רעש" ועומס על העובדים שמתקשים לבצע אבטחת מידע כהלכתה עם הכלים שכבר יש להם. ולא, אני לא מדבר על גופים שחיים אבטחת מידע ומשופעים בתקציבים וכוח-אדם בכמות ואיכות ראויים, אלא על מה שהוא עיקר השוק, ככל שאני מכיר.
נהוג להגיד, באופן כללי, גורף, שב"מלחמת" אבטחת המידע – המתקיפים מנצחים את המגינים. אני לא נכנס כרגע לשאלה אם זה נכון או לא. לדעתי שוק מוצרי אבטחת המידע הוא מספיק בוגר, מזה מספר לא מועט של שנים, בכדי להתמודד היטב עם לפחות 90%, אם לא יותר, מסיכוני אבטחת המידע המוכרים. ולא, APT, לא נחשב. זה בד"כ לא כוחות ולא באמת סיכון שלמרבית הארגונים כדאי להשקיע את ההשקעות המטורפות כדי למנוע אותו. אני מדבר על אבטחת מידע סבירה פלוס.
הבעיה היא שאין מספיק כוח-אדם מקצועי ומיומן להשתמש במוצרים אלו ולנצל אותם באופן מיטבי. דוגמה פשוטה? בבקשה – IPS. הטכנולוגיה קיימת שנים. יעילה ביותר. כמה גופים משתמשים בה? כמה מגופים אלו גם מבצעים בעזרתה חסימות ולא רק ניטור שאינו חוסם?
כמובן שהסיבות למצב זה הן מרובות – לא היה את הייפ ה"סייבר" עד היום בכדי להפנות לתחום אנשים מוכשרים, הצורך בהשקעה של לימוד רב ובלתי-פוסק, הצורך הכמעט תמידי והמאוד-לא-נעים "להיאבק" בארגון בכדי לקיים הגבלות, התקציבים המוגבלים, הנחת העבודה הלא נעימה שכנראה בכל רגע יכול להיות שאתה "מפסיד את הקרב" במקום כלשהו במערכות שאתה אמור להגן עליהן וכן הלאה.
אם כבר מישהו רוצה להקים שירות/מוצר חדש – תעשו זאת בכיוון של פישוט (Simplification) של מלאכת אבטחת המידע. של אוטומציה המסייעת להחלטות ולביצוען. של שילוב בין המוצרים שכבר מותקנים בארגון.
תחום אבטחת המידע הוא תחום שבו המוצרים נבנים בדמותם של אנשיו, הרבה "זאבים בודדים" וחשדנים שלא אוהבים לשתף פעולה. המוצרים הם לרוב מכוונים למטרות ספציפיות ולא בנויים לשילוב עם אחרים. עבודה ב-Silos כמו שאומרים האמריקאים,
דוגמה כללית?- כמה פרוטוקולים (שהם תהליכים שנובעים משיתוף והסכמה) של אבטחת מידע אתם מכירים? בני כמה הם?- SSL? IPsec? PGP? MD5? RSA? ICAP? וכן הלאה.
זו גם הסיבה שלדעתי שירותי אבטחת מידע מנוהלים (Managed Security Service Providers, MSSP) יכולים להצליח, אם יעברו את משוכת האמון של הארגונים. כי הם מאוד מתאימים לארגונים קטנים ובינוניים שאין להם את המשאבים להחזיק אנשי אבטחת מידע בכמות ואיכות מתאימים. מעניין שבארץ התחום לא ממש התפתח, ולדעתי יש כאן הזדמנות עסקית מעניינת.
– ולסיום, נושא הבועה. קובי סמבורסקי, ממייסדי קרן ההון סיכון "גלילות", המתמחה באבטחת מידע, התייחס לנושא בהרצאה שלו באירוע Cyber Together, בעקבות שאלה מהקהל, ואמר שלדעתו קיימת בועה מסוימת כיום בנושא הסטראט-אפים של סייבר/אבטחת מידע. אני גם חושב כך, אבל בגלל האינדיקטורים שאני רואה "מלמטה", של קולגות שמעולם לא הקימו חברה לפיתוח מוצר ורק עסקו באבטחת מידע מהצד של השירותים – פונים להקים סטארט-אפ בתחום, בין אם בזמנם הפנוי לאחר שעות העבודה או ב"קפיצת ראש" שכוללת את עזיבת מקום העבודה הנוכחי ופעילות במשרה מלאה בפעילות הזו. אני משער שהגישה שלהם היא שבמקרה הטוב הם עשו אקזיט מעשיר ובמקרה הרע הם עבדו כמה שנים בחברה משלהם עם מימון של אחרים ובסוף חזרו לתפקיד שכבר עשו בעבר בתחום, כשכירים או עצמאים.
צד נוסף של ההייפ הוא שפונים אלי אנשים שונים ומנסים לברר במה זה כרוך להיכנס לעולם הסייבר, כלשונם. ואלו אנשים שהקשר שלהם לנושא קלוש למדי, ואני "מריח" שהם חשים את ההתרגשות והכספים שמסתובבים בתחום והם מנסים לבדוק כיצד הם יכולים "לעלות על הגל". דוגמה קיצונית לכך היא הגברת ע.ג.ג., למי שמכיר, שהחלה להרצות בנושא בלי שיש לה ממש רקע בתחום.
פוסט מצויין ומעניין!