ראיון כלכליסט
"אי אפשר לאבטח כל מחשב כל הזמן"
עמית יורן, נשיא ענקית אבטחת המידע העולמיתRSA ואחת הדמויות הבכירות ביותר בתחום, קורא להנמיך את הציפיות מענף הסייבר דווקא בתקופה שבה הן בשמים. "חברות משקיעות מיליונים בהתגוננות ועדיין נפרצות, והתחכום של ההאקרים רק עולה", אומר יורן. "אנחנו מספקים הגנה מסוימת, אבל פשוט אי אפשר לכסות את כל התסריטים"
באחת הסצנות המפורסמות בסדרת הטלוויזיה "הסמויה" נואם אחד ממפקדי משטרת בולטימור, באני קולווין, מול אזרחים הזועמים על הסמים והאלימות הקשה ברחובות. "אני לא יכול להבטיח לכם שהמצב ישתפר", הוא אומר בכנות מפתיעה. "אנחנו מראים לכם טבלאות וסטטיסטיקות, אבל כשתחזרו הביתה סוחרי הסמים עדיין יהיו בפינות שלהם. זה העולם שבו אנחנו חיים".
- עמית יורן ימונה לנשיא RSA
- ישראלים מצאו דרך לפרוץ למחשב ללא חיבור לאינטרנט
- סייבר מחוץ לקופסה: חברות האבטחה שחושבות אחרת
עמית יורן, נשיא RSA - חטיבת אבטחת המידע של ענקית האחסון העולמית EMC - ואחד האנשים הבכירים ביותר כיום בתעשיית הסייבר העולמית, לא צריך להתמודד עם סוחרי סמים. הג'וב שלו הוא לעצור האקרים מתוחכמים הפועלים מטעם מדינות, ארגונים או באופן עצמאי. ובכל זאת, הדברים שהוא אומר דומים לאלה של קולווין, ומעניינים בהתחשב בכך שהוא מתפרנס מאבטחת מידע כמחצית מחייו.
"לא ניתן לאבטח מחשבים לחלוטין", מצהיר יורן בראיון בלעדי ל"כלכליסט". "בעולם וירטואלי זה אולי אפשרי, אבל במציאות יש מספר בלתי מוגבל של אפשרויות וצורות שימוש, ואף פעם אי אפשר לכסות את כל התסריטים. זה לא עובד ככה".
אז למה בכלל להשקיע בסייבר?
"אנחנו לא אומרים ללקוחות 'קנו אצלנו ותהיו מוגנים'. אנשים מוציאים מיליונים על אבטחת מידע, והם עדיין לא תמיד מצליחים להתגונן", הוא מסביר. "מה שכן, אנחנו מסבירים להם שהעולם הוא מקום מכוער ואכזר, שהשימוש בטכנולוגיות חדשות כמו מובייל וענן מייצר עוד פרצות, ושגם התחכום של הפורצים מגיע לשיאים חדשים. להאקרים ולממשלות יש היום יכולות סייבר מאוד מרשימות, הם יכולים לעשות מה שהם רוצים. אז אנחנו אומרים ללקוחות, אתם צריכים יכולת הגנה מסוימת. זהו".
העתיד הביומטרי
יורן הוא דמות חריגה יחסית בנוף עולם הסייבר הבינלאומי: הוא צעיר יחסית, נמרץ ומדבר בכנות על הקשיים של התעשייה. בן להורים ישראלים שנולד בניו יורק וקצין לשעבר בצבא ארה"ב. הוא החל לעסוק באבטחת מידע עוד בראשית שנות ה־20 לחייו, מילא שורה של תפקידים ביטחוניים במערך הסייבר של הממשל האמריקאי, ובין היתר הוביל את הקבוצה שהיתה אחראית לתפיסת ה"אנלייזר", אהוד טננבאום.
יורן היה אחד ממעצבי מדיניות הסייבר של ארה"ב בעשור הקודם, ובמקביל פעל בשוק הפרטי: ב־2002 הוא הפך לסגן נשיא בענקית אבטחת המידע סימנטק לאחר שמכר לה ב־175 מיליון דולר את ריפטק, סטארט־אפ שהקים עם שני אחיו וחבר מהפנטגון. ב־2011 הוא שחזר את אותו מסלול, כשמכר אתNetWitness שהקים לידי RSA, הפועלת כחטיבה עצמאית בתוך EMC ונחשבת לאחד הגופים המרכזיים כיום בענף הסייבר. יורן הפך לסגן נשיא ב־RSA, ומונה לתפקידו הנוכחי בשנה שעברה.
בשיחה איתו, שנערכה בשולי כנס סייברטק שנערך בשבוע שעבר בתל אביב, הוא הציג גישה מפוכחת לתחום שמעורר סביבו יותר ויותר באזז וציפייה לפתרונות קסם שיגנו עלינו מפני האקרים. "אני לא רוצה שלקוחות שקונים את המוצר שלי יהיו רגועים", הוא אומר. "להפך, אנחנו מסבירים להם שאנחנו מוכרים כלי מעקב, ואנחנו רוצים שהם יהיו מודעים למה שקורה אצלם ויעקבו באופן פעיל אחרי הסכנות. עם זאת, לתעשייה אסור לקפוא על שמריה. צריך למצוא דרכים חדשות לזיהוי משתמשים, להצפנת נתונים ולמניעת פריצות".
לדברי יורן, אחת הדרכים המתפתחות לעשות זאת היא השיטה הביומטרית: זיהוי המשתמש באמצעות תווי פנים או טביעת אצבע, שאפל כבר אימצה לצורך תשלומים באייפון. "יש כיום יותר ויותר פתרונות שמשלבים זיהוי כזה באופן יעיל, גם בסמארטפונים וגם במחשבים, כך שבשנים הקרובות נציע יותר מוצרים המתבססים על עקרונות ביומטריים".
אם כל כך קשה להתגונן, אולי עדיף פשוט להתמקד פחות בהגנה מפני פורצים ויותר בביטוח?
"ענף ביטוח הסייבר באמת צובר תאוצה בשנים האחרונות, אבל הוא עדיין בוסרי. עדיין אין מספיק מידע אקטוארי כדי שחברות ביטוח יוכלו להציע מגוון מוצרים כאלה, ואני לא חושב שהן עדיין יודעות איך לשפות במקרי פריצה. זה מאוד ערטילאי, ואם אתה ארגון שרוכש ביטוח כזה - כדאי לך מאוד לקרוא את האותיות הקטנות".
מה יכול לגרום לחברות להשקיע בהתגוננות מפני האקרים?
"לדרוש שקיפות. נושא הדיווח על אירועי סייבר ופריצות הוא קריטי. בארה"ב כבר קיימת חובת דיווח כזאת, אבל החוקים משתנים ממדינה למדינה. בסופו של דבר, המטרה היא שחברות לא ירצו שתופנה אליהן אצבע מאשימה". בישראל, אגב, הונחה על שולחן הכנסת הקודמת הצעה להסדרת הדיווח על אירועי סייבר, אך עד כה היא לא קודמה.
היתרון הישראלי
יורן ידוע כאחד ממקימי ה־CERT של המחלקה להגנת המולדת בארה"ב אחד הגופים המרכזיים שנועדו לאפשר לממשל האמריקאי להתמודד עם אירועי סייבר בזמן אמת. בימים אלה פועלת גם ישראל להקמת CERT משלה, שלדברי יורן עשוי דווקא להתגלות כמוצלח מהמודל המקורי.
"ה־CERT בארה"ב יודע להתריע, לקבל דיווחים על בעיות אבטחה ולתאם בין הגופים השונים בתחום הסייבר, אבל הוא סובל ממבנה ארגוני מסובך שמקשה עליו לפעול ביעילות", אומר יורן. "בישראל, לעומת זאת, יש גורם אחד שמגדיר לכולם את מדיניות הסייבר (רשות הסייבר הלאומית - ר"ק), מה שנשמע לי יותר הגיוני. בכלל, ישראל היא מקום פורח בתחום הסייבר, וההקמה של עוד ועוד חברות בענף יוצרת תחושה של מערב פרוע".
ארנה ברי (סגנית נשיא ב־EMC) אמרה בעבר בכנס "כלכליסט" שהיא אינה משתמשת בשירותי בנקאות אונליין, כיוון שהיא לא חושבת שזאת טכנולוגיה מאובטחת. גם אתה ממליץ ללכת לסניפים?
"אם ארנה עושה משהו, היא בטח יודעת למה", צוחק יורן. "לי אין בעיה לגשת מרחוק לחשבון הבנק שלי, כי אני כנראה הרבה יותר עצלן ממנה. ואולם, בסופו של דבר, בנק הוא מערכת מחשב אחת גדולה שמחזיקה בנתונים פיננסיים ואישיים. גם אם אתה לא משתמש בבנקאות אונליין, המידע שלך עדיין מאוחסן על גבי מערכת מחשב. ומערכת מחשב היא דבר שאפשר לפרוץ".
עמית יורן (44)
תפקיד: נשיא RSA, חטיבת אבטחת מידע עצמאית בתוך ענקית האחסון EMC
תפקידים קודמים בחברה: הצטרף ל־RSA לאחר שזו רכשה ב־2011 את הסטארט־אפ NetWitness שהקים, ושימש בה כסגן נשיא עד לסוף השנה שעברה
עיסוקים קודמים בולטים: סגן נשיא בסימנטק, מנכ"ל קרן ההשקעות של ה־CIA
מגורים: וושינגטון DC, ארה"ב
עוד משהו: נולד בניו יורק להורים ישראלים שנהגו לבלות בארץ את חופשות הקיץ, ושולט בעברית