סיכום הועידה ה-9 לאבטחת מידע

טוב, אז בסוף הצלחתי להשתתף בוועידה, ואפילו עד הסוף. להלן סיכום ההתרשמות שלי.

דף סיכום הכנס, כולל המצגות שהיו בו נמצא בקישור http://www.rfigo.co.il/pcsec2008/ .

הערות כלליות
– בפוסט שסיפרתי לכם על הועידה, ניב, קולגה אהוב, כתב בתגובות שהכנסים האלו הם בזבוז זמן ולא לומדים מהם שום דבר חדש. אתם יודעים מה? הוא לא טועה לחלוטין. אבל מצד שני, זה לא חסר ערך לגמרי. בכל אופן, ועידה/כנס זה לא קורס, לא POC ולא פיילוט. זה סוג של "תקציר מנהלים" בעל גוון בהחלט מסחרי. וגם לזה יש מקום במינון מועט. ולפעמים, הפתעה, יש משהו, אפילו קטן, שהוא חדש, אפילו לא מוצר, אלא סתם זווית ראיה מקורית ושיתוף בניסיון אישי – דברים שאפשר לקחת איתכם ולהשתמש בהם.
פוגשים חברות ומוצרים חדשים ומוכרים, יש מגע אנושי עם קולגות ומתחרים (ואולי גם יריבים…), לומדים מי נשאר, מי עזב, לאן עזב, למה עזב, מי רוצה לעזוב, מי נהיה עצמאי, מי חזר להיות שכיר. מתעדכנים בשילוב החברתי-מקצועי של שוק העבודה הרלוונטי, וזה לא מעט.

– גדי עברון הנחה באלגנטיות. אני זוכר אותו מוביל את TauSec בבטחה, אבל זו היתה קבוצה מקצועית פרופר, והפעם זה היה כנס מכובד ורשמי יותר (לא ש-TauSec לא היתה מכובדת, אבל אתם מבינים אותי. אני מקווה…). בכל מקרה, זה נראה הרבה יותר טוב שאת הכנס מנחה אדם שאולי אינו מנחה מקצועי ומלא שארם אבל מצד שני הוא איש מקצוע ותיק, שמכיר את הקהל ואת המרצים, ויודע לשאול את השאלות הנכונות, אלו שיוציאו מהמרצים ומהקהל את התשובות שיתנו ערך אמיתי למפגש.
לזכותו של גדי ושל המרצים ייאמר שקצב ההרצאות היה טוב, ולהפתעתי, בפעם הראשונה שלי בכנס בישראל (כך נדמה לי) – לא היו חריגות מזמני ההרצאות! הכל רץ חלק (אולי בכל אופן גדי צריך להפוך למנחה אירועים מקצועי. בר מצוות וכאלו…).

– ישראלים, וסליחה על ההכללה, לא יודעים לתת הצגה. לא יודעים ליצור ולהעביר מצגת מעניינת, מושכת, מלמדת, מקצועית. אין לנו כנראה את יכולת ה-Show השיווקית של הגויים. רואים את ההבדל בין הרצאות של אורחים מחו"ל לבין הרצאות של ישראלים, וזה עוד יותר מודגש כאשר ישראלים מעבירים מצגות שנבנו בחו"ל, כי אז רואים את הפער בין הכתוב לבין המוצג, וזה פשוט כואב. וזה כמובן נכון לא רק לאבט"מ.

– מתי אולמות אירועים ומלונות ידאגו לבידוד רעשים נורמלי בין אולם ההרצאות לשאר חלקי הבניין, בייחוד המטבח?!
זה מדהים, אין כנס שאין בו מדי פעם במהלך ההרצאות – רעשים איומים של קרקושי סירים, שבירת צלחות או סתם עבודות שיפוץ – רעשים שמאוד מפריעים הן לקהל והן למרצה.
תסדרו את זה, בחייכם.

– לשמחתי האולם היה כמעט מלא, להערכתי היו בערך 400 איש, אולי יותר.

– מגמה חדשה ומשמחת שהבחנתי בה היתה שהיו בקהל הרבה יותר נשים. באופן מובהק. תחום המחשוב האינסטלטורי (כלומר, לא תכנות. סיסטם ואבט"מ) ידוע ככזה שמעטות בו הנשים, והנה – הן כאן. זה משמח לא רק כי יש יותר נשים במובן הסקסיסטי (שזה תמיד משמח. ואני עוד אחטוף על זה מאשתי), אלא כי נשים יכולות להכניס לתחום זוויות ראיה וגישה שונות מאלו של הגברים, ופלורליזם תמיד עוזר.

וכעת, להערות קצרות או פחות על ההרצאות השונות, לפי סדר הופעתן. קבצי המצגות, כאמור לעיל, נמצאים בדף הסיכום:

1. שחר גיגר מאור, אנליסט, STKI – "מגמות באבטחת מידע בישראל ובעולם" – הרצאת יועצים קלאסית המנתחת את מצב השוק, איומים, פתרונות וכן הלאה. חביב.
   .
2. Adrian Harrington, Channel Sales Manager – Emerging Markets, GFI Israel –
   "‏GFI – The best kept secret in IT" – הרצאת מכירות טהורה. החברה מתרכזת במכירות לשוק ה-SMB בדגש על מחיר נמוך. החברה מפתחת גם מוצרי סיסטם ולא רק אבט"מ.
   .
3. טל קנדל, מהנדס מערכות בכיר, סימנטק ישראל – "Endpoint Security incidents – אז מה היה לנו שם?" – את טל אני מכיר מהטמעה שהוא מסייע לה במקום עבודתי. כראוי לאיש פרה-סייל טוב, הוא היה מקצועי, רהוט וקצבי. נתן דוגמאות לבעיות והפתרונות שסימנטק מייצרת. שוב, הרצאת מכירה, אבל לפחות טובה.
   .
4. יהודה פיינזילבר, מנכ"ל, Panda Security Israel –
   ""‏From traditional Antivirus to Collective Intelligence – Security "From the Cloud" – שם קצר ובומבסטי להרצאת מכירות מאוד סטנדרטית שניתנה בטון דידקטי ומרדים.
   .
5. אבנר הרשקוביץ, סמנכ"ל טכנולוגיה, Jetro Platforms – "‏Jetro COCKPIT2i לגלישה וירטואלית בטוחה באינטרנט" – הרצאה רגילה של הצגת מוצר, אבל זה מוצר שמציג קונספט מעניין.
   הרי האינטרנט הוא אבי כל חטאת (וחרטאת…) ואנו רוצים להרחיק את הרשת מאיתנו כמה שיותר. אז כן, יש פרוקסי ומסננים בדרך, אבל בסוף – ביטים מגיעים מהאינטרנט למחשב הארגוני, דו-כיוונית, וזה לא משהו. החברה לקחה את הקונספט של שרתי טרמינל (ע"ש Citrix), בהם המשתמשים מקבלים סביבת עבודה על גבי שרת, והעבירה אותה ל-DMZ ובאופן ייעודי לגלישה. כך שהגלישה למעשה מבוצעת מה-DMZ ולא מהמחשב אישי ב-LAN. יש עם זה גם לא מעט בעיות תפעוליות שהם מנסים לענות עליהן, אבל הכיוון נכון. עוד לא יצא לי לבדוק את הפתרון, אבל אני מקווה שזה יקרה בעתיד הקרוב.
   .
6. שוקי פרייס, אחראי לנושא אבטחת מידע, מכון התקנים הישראלי – "תרומתו של תקן 27001 לעולם העסקים: ראיות מהשטח" – שוב, הרצאת מכירה. וכמו שגדי אמר בהערה בסיום הרצאה זו – קל מאוד לזייף ולתחמן את התנאים הנדרשים לעמידה בתקן או לשמירת הרצף שלו, כך שהסיכוי לאוויר חם מאחורי ביצוע התקן הוא לא קטן, אבל לאף אחד אין אינטרס להרוס את זה – החברות רוצות טייטל תקן ומכון התקנים רוצה למכור את תהליך התקינה.
   לדעתי הנושא, בייחוד במדינה חפיפניקית כמו שלנו, הוא חשוב, כי הוא נותן שלד להיצמד אליו במקום לקפוץ מדבר לדבר ולכבות שריפות. עד כמה זה מיושם במקומות שזכו בתקן? אלוהים יודע.
   .
7. דייויד ממן, CTO, חברת Moksai – "אתגרי אבטחת מידע ללא מענה, שנידרש לתת עליהם את הדעת" – טיפוס אמיתי. צעיר, מתלהב, בקול רם, כמעט צורם, רץ במילים, לא נינוח. לא מה שהייתי מצפה מחברת ייעוץ – להראות ניסיון, ביטחון, חוכמה, ללמד אותי משהו חדש. המון באזים שחוזרים על עצמם. בעיקר FUD בדגש על בעיות שעדיין פתוחות ובלי מענים מספיקים באבט"מ. דווקא בסוף, לאחר שאלה של גדי, הוא אמר משהו חכם שמצא חן-בעיני ואני מסכים איתו: הרבה מנהלים ב-IT לא מכירים מה יש להם. מה המערכות, היכן הן יושבות, באיזה סדרי גודל. הוא אמר שלפני הכל צריך לבצע מיפוי ורק עד להמשיך. אין מה להגיד – צודק לחלוטין, הן בבעיה והן בפתרון.
   .
8. נדב אריכא, יועץ אבטחת מידע וידע – "אבטחת מידע כתרבות ארגונית" – הרצאה רכה יותר, בדגש על הקישור בין תרבות וחינוך לאבטחת מידע. התכנים היו כאילו זה מבוא לאבט"מ, שזו לדעתי היתה בחירת תוכן שגויה עבור קהל שמן הסתם כבר מנוסה למדי ומחפש ללמוד משהו חדש, לעלות דרגה.
   .
9. אלי בקר, מנהל אבטחת מידע, קומברס – "טרור קיברנטי והאם יש דבר כזה בכלל?" – לא התייחס לעבודתו הספציפית, אלא נתן סקירה כללית של תחום התעניינות שלו, הטרור הדיגיטלי ברשת בתוספת הגנת תשתיות קריטיות. היתה הרצאה נחמדה שלקחה את הועידה קצת הצידה, להיבטים אחרים, רחבים יותר, של אבט"מ.
   .
10. פאנל – יוסי גביש (סמנכ"ל סיכונים תפעוליים ואבטחת מידע בקבוצת "מגדל". גילוי נאות: היה מנהל ישיר שלי), ירון גיל (מנהל אבטחת מידע, מירס תקשורת), גידי גואל (סגן סמנכ"ל מערכות מידע, דואר ישראל), שוקי פרייס (אחראי לנושא אבטחת מידע, מכון התקנים הישראלי) – נושא הפאנל: "ההשקעה הכספית  באבטחת מידע".- הפאנל פחות נסב סביב חישובים כספיים מעשיים אלא יותר בטכניקות תקשורת ו"מכירה" (אפשר גם בלי מירכאות) של אבטחת המידע והתקציבים שהמחלקה מבקשת מהנהלת החברה.
    הדגשים היו לא להפחיד, להיות חיוביים, להבין שההנהלה לא מבינה בנושא וגם לא את השפה הטכנית ולכן צריך לבצע הסבה של הדברים לשפה שההנהלה מבינה (איפשור התהליך העסקי, אבט"מ כ-Business Enabler, הגנה על מוניטין, רגולציה מחייבת הכרוכה באחריות של ההנהלה, מנוף למכירות (בין השאר על ידי הסמכות ותקנים) המעניק ביטחון ללקוחות ולספקים).
    ה-CISO נאלץ להפוך במפגשי התקציב עם ההנהלה להפוך לאיש מכירות. זה לא טבעי אבל זה חלק הכרחי מהעבודה.- נושא נוסף שנדון הוא מיקום ה-CISO במבנה הארגוני. נושא שהוא עדיין בעייתי ומורכב ואין לו אמת אחת. מגיע לו פוסט נפרד בעתיד. מיקום ה-CISO מתחת למנכ"ל נותן לו אפשרות לקבל כוח והשפעה מול הארגון אבל רוב הזמן הוא לבד *מול* ולא *עם* הארגון (למעשה, בעיקר מחלקת מערכות מידע) וגם כאמור, לרוב המנכ"ל לא מבין את הנושא. אם המיקום הוא בתוך מערכות מידע, מתחת למנמ"ר, אז זה תלוי רבות באישיות ובאינטרסים של המנמ"ר, כי אבט"מ הוא גורם נוסף שמעמיס עבודה, כלים, צורך תקציב ומעכב לוחות זמנים. עדיין, לדעתי, יש יותר סיכוי להשפיע מתוך מערכות מידע מאשר מבחוץ, שם נתפס האבט"מ כגוף מבקר ולא מסייע.

    – לשאלתו של גדי הודו חלק מהמשתתפים שכאשר הם לא מצליחים להעביר את המסרים שלהם להנהלה, הם מביאים יועצים בכדי להעביר את אותו המסר דרך צד ג', לכאורה אובייקטיבי ונטול אינטרסים.
    לדעתי במצב כזה יש כשל בארגון כי אם אותו מסר לבסוף עבר דרך היועץ ולא ישירות מה-CISO להנהלה, הרי שהתקשורת הפנים ארגונית נכשלה (אולי כי אין אמון ב-CISO? שזה מאוד גרוע), ובכדי להגיע לתוצאה גם בוזבז זמן וגם כסף.

    – נושא אחר שגדי שאל עליו, אבל לא הצליח כל-כך לקבל תשובה הוא כיצד מצליחים ה-CISOים לקבל את שיתוף הפעולה של הגורמים השונים במערכות מידע, כגון מנהלי רשת שצריכים כעת גם להתקין תיקוני אבטחת מידע ולבצע אתחולים לשרתים. לא סתם גדי לא הצליח לקבל תשובות. זו בעיית יסוד של אבט"מ כפעילות היקפית ולא ליבה.

    מחשבה שלי בעקבות הפאנל – יש פרדוקס מסוים במקרים של אירועי אבט"מ משמעותיים בארגון – מצד אחד זה כישלון של האבט"מ בארגון, אך מצד שני, מה לעשות, לא נעים אבל ככה זה עובד – זה כלי מכירות המבהיר את מה שהנהלות לא יכולות או לא רוצות להבין ומדחיקות. כך שה-CISO לא יודע אם הוא רוצה שיקרה משהו או לא… (אולי שיקרה נזק קטן שייתפס במהרה וימנע נזק גדול יותר…).

זהו לפעם, נתראה בכנס הבא.