ראיון כלכליסט
"הישראלים מוכרים סייבר, אבל לא יודעים להתגונן"
דניאל גארי, ממומחי אבטחת המידע המובילים בעולם שמייעץ לבית הלבן, לא מבין איך במעצמת סייבר כמו ישראל חברות מובילות לא ערוכות למתקפות. "מצב האבטחה אצלכם נורא", הוא מזהיר, ומעריך שבקרוב מדינות ינתקו קשרים בגלל פשעי רשת
"אתה יודע מה מדהים אותי?", אומר עו"ד דניאל גארי, מהמומחים המשפטיים המובילים בעולם בתחום אבטחת המידע, בשיחה עם "כלכליסט". "חברות ישראליות, שהן המובילות בעולם מבחינת טכנולוגיית סייבר, לא מוכרות את הפתרונות שלהן בישראל. המצב כאן נורא. אני מנסה להסביר לחברות ישראליות הפועלות בשוק העולמי שנושא אבטחת המידע חשוב מאין כמוהו. כששאלתי חלק מהחברות מה הן עושות כדי להגן על עצמן, הן ענו: 'יש לנו פיירוול'. אני לא מבין את זה, אתם מנהלים עסק ששווה מיליארדים ואין לכם מערך אבטחת מידע אמיתי?".
- ארה"ב: תפסנו את ההאקר שגנב את התוכניות של ה-F 35
- הגולשים לביהמ"ש: בטל את תביעת סתימת הפיות של ענב גנד גלילי
- שוק ביטוחי הסייבר העולמי יגדל ל-2 מיליארד דולר ב-2014
"אין מערכת מאובטחת ב־100%"
דניאל גארי הוא עו"ד ומומחה מפירמת ZEK, בעל שם עולמי בתחום הסייבר. בתפקידיו השונים הוא ייעץ למשרד המשפטים האמריקאי ולבתי משפט פדרליים, וניהל תיקים שקשורים לחברות ענק כמו איביי וסקייפ. לישראל הגיע גארי כדי להשתתף במסגרת כנס הסייבר שנערך במכללת SCE בבאר שבע במאי האחרון. נקודת המבט הייחודית שלו מאפשרת לו להביע דעה על תחום הסייבר מנקודת מבט של משפטן, יועץ עסקי ומומחה טכני. על רקע מבצע צוק איתן והניסיונות של האקרים בעולם הערבי לפגוע בחברות ובתשתיות ישראליות, כמה מהתובנות שהוא מספק מטרידות במיוחד.
אתה מרגיש שיש בישראל זלזול בתחום האבטחה?
"הגעתי לא מזמן לפגישה עם מנכ"ל בכיר בחברה שנחשבת לאחת הגדולות בתחומה בעולם. הוא החזיק את הסמארטפון שלו, ותוך כדי פגישה שאלתי אותו: מותקנת על המכשיר שלך תוכנת אבטחה? הוא שאל את מנהל מערכות המידע בחברה, שאמר שהם מתקינים אנטי־וירוס על המכשירים. כשבדקתי, התברר שלא מותקנת שום תוכנה על המכשיר ושהפרויקט ב'תהליך'".
מה דעתך על מערכות ההגנה של הבנקים בישראל?
"הגנת הסייבר של הבנקים טובה, לא מעולה, אבל הם לפחות השקיעו בטכנולוגיה מוצלחת של חברות אבטחת מידע ישראליות. אבל אין דבר כזה מערכת מאובטחת ב־100%. בסופו של דבר יפרצו למערכת, השאלה היא מה נעשה כדי למנוע את זה, ואם יתבעו אתכם — תוכלו להראות שעשיתם את מה שנדרש. זה עוד יותר חשוב בעידן שבו עסקים פועלים בשוק בינלאומי".
אבל החוק שונה לחלוטין ממדינה למדינה.
"נכון, ולפעמים החוקים גם מנוגדים זה לזה. השיטה היא לבדוק איפה אתם מרוויחים הכי הרבה כסף ועלולים להפסיד הכי הרבה מתביעה, כדי לדעת לאיזו מערכת משפט להתאים את עצמכם. תביעה בארה"ב, למשל, תגרור הוצאות משפטיות של 8 מיליון דולר לפחות.
צריך לחשוב מה ניתן לעשות כדי להגן באופן מיטבי על המותג והכסף. קח למשל את פרשת הפריצה לטארגט. גנבו להם כ־80 מיליון כרטיסי אשראי ולא היתה להם שום תוכנית תגובה. לקח לטארגט כמעט חודש וחצי לדווח על זה. התוצאה היתה שהמנכ"ל וסמנכ"ל המחשוב פוטרו, ולעוד הרבה בכירים ולחברה נגרם נזק מטורף. בישראל נדהמתי לגלות, משיחות שניהלתי, שאין כל חובת דיווח על אירוע סייבר" (שתי הצעות חוק בנושא הוגשו לאישור בכנסת הקודמת ובכנסת הנוכחית, אך עדיין לא נעשה דבר כדי להעביר אותן — ר"ק).
אבל גם בארה"ב המצב לא מזהיר.
"נכון, בארה"ב יש יותר מ־20 סוכנויות שעוסקות בזה, ומתוכן חברות ישראליות צריכות להתייחס לשלוש. ה־SEC (רשות ני"ע האמריקאית) השיקה לאחרונה תוכנית לבדיקת מוכנות הסייבר של חברות ציבוריות, ותאמין לי שהם יודעים לבדוק. ה־OCC (הרשות לפיקוח מוניטרי) כופה תקנים טכנולוגיים לאבטחת מידע על כל הבנקים בארה"ב. אם אתה עובד עם בנקים אמריקאיים חשוב מאוד לפעול לפי התקנים האלה, כי אם יקרה משהו ויגלו שנקודת התורפה היתה אצלך — הבנק יתבע אותך, וזה לא ייגמר בכסף קטן".
"הרשות החשובה השלישית היא ה־FTC (רשות התקשורת הפדרלית). בארה"ב המדיה החברתית מפוקחת במטרה להגן על קטינים — אלה תקנים שכמעט לא ניתן לעמוד בהם ושלרוב גם לא מתייחסים אליהם. אבל טכנולוגיות כמו המשקפיים החכמים של גוגל גורמות ל־FTC לפעול בצורה רצינית יותר, ואם יגלו שאתם המקור לעבירה שקשורה לקטינים — אוי ואבוי לכם".
"יתבעו יותר על פשעי סייבר"
כשגארי מתבקש לשרטט את עתיד ענף הסייבר בשנים הקרובות, התחזית שלו עוברת דרך הרבה מאוד שעות בבתי משפט. "היקף ההשקעות במערכות אבטחה עסקיות, ממשלתיות וצבאיות לא ישתנה עד שיגיע מקרה שיזעזע אותן. עד אז פשוט יתבעו יותר על פשעי סייבר, גם ברמת המדינות. ארה"ב, למשל, תובעת עכשיו חמישה בכירים סינים באשמת ריגול ופריצה למערכות מידע. אני לא מאמין שארה"ב תתבע ישראלים, אבל בריטניה, צרפת ובוודאי איראן עשויות לעשות זאת".
אבל איך תביעה מרחוק תשפיע?
"זה לא יגיע למצב שבו יפתחו במלחמה על עניין כזה, אבל מדינות עשויות לנתק את הקשרים העסקיים. המקרה האמריקאי הוא דוגמה טובה לתביעה פוליטית: הרי אף אחד לא מצפה שהסינים יסגירו את חמשת הבכירים. תבעו אותם על עבירות שהעונש עליהן הוא מאסר ממושך ואפילו מוות. אבל ההוראה לתבוע הרי הגיעה מגבוה מאוד. זו הרתעה, זו הדרך האמריקאית לומר לסינים להיזהר — מפני שארה"ב היא עדיין השוק הגדול בעולם למוצרי צריכה, וסין עדיין לא צורכת כמו האמריקאים".