דו"ח טכנולוגי
חצי מיליארד לקוחות מריוט נפגעו במתקפת רשת? המנכ"ל לא מתרגש
מנכ"ל רשת המלונות מפגין שאננות מדהימה לאחר שהאקרים גנבו מידע של מאות מיליונים מאורחיו; חברות הייטק מפרסמות דו"חות שתדלנות, אך מי יודע על מי ניסו להשפיע ואיך; ומדוע מדיניות השכר של אורקל מזכירה גופים גזעניים משנות החמישים
הגמל שלא האמין בדבשות
האם מלונות מהווים נקודת משיכה להאקרים? האם הריכוז של אנשים רבים במקום אחד (בו תשתיות אבטחה רעועות בדרך כלל) עלול לגרור פריצות ענק, מבצעי סייבר נרחבים ולהוביל לאיומים ביטחוניים של ממש? מה פתאום, אומר מנכ"ל רשת המלונות הכי גדולה בעולם, שחוותה פריצה במסגרתה נגנב מידע של חצי מיליארד איש.
ארנה סורנסון, מנכ"ל רשת מלונות מריוט, אמר אמש (ג') בכנס הבינלאומי בדאבוס שתעשיית המלונאות "לא מהווה מטרה עבור אף אחד", במטרה להרגיע את הקהל הרחב. ההצהרה הזאת מגיעה לאחר שבסוף נובמבר האחרון נחשפה פריצה טיטאנית למערכת החברה: האקרים ישבו היטב ברשת של רשת מלונות Starwood עוד ב-2014, וכשמריוט רכשה אותה שנתיים לאחר מכן בכ-14 מיליארד דולר, טיפסו ההאקרים אל תוך מערכותיה. סורנסון אמר שבניגוד לפרסומים קודמים, השפיעה הפריצה כנראה רק על 383 מיליון איש, ונגנבו דרכה רק 5.2 מיליון מספרי דרכונים שאינם מוצפנים. כן, זהו שימוש ליברלי מאוד במילה "רק".
מומחי אבטחה אמרו בזמנו שמתקפה כל כך רחבה, שנשארה כל כך הרבה זמן מתחת למכ"מ, היא מעשה ידיה של חוליית האקרים ממקור ממשלתי. חוקרים סבורים שמדובר בחוליה סינית, בשל שילוב בין טקטיקות פעולה ורכיבי קוד שנמצאו. ואולם, בסייבר כמו בסייבר - אי אפשר לדעת אם אלו פורצים רוסים שמתחזים לסינים (או לצורך העניין, אינואיטים).
מלונות מהווים תשתית רגישה: נכנסים ויוצאים מהם המוני אנשים בכל יום, ביניהם גדולי עולם כמנהיגים מדיניים ובכירי תעשייה. רבים מהם משתמשים ברשתות המלון כדי לבצע את משימותיהם, מה שחושף אותם לפריצה. בנוסף, ריגול מקוון במלונות מאפשר לדעת מי נמצא היכן ומתי כך שהמלון הופך למודיע בעל כורחו - מתנה לכל מרגל באשר הוא. רשת מלונות בינלאומית שאינה מאובטחת היא בגדר איום בינלאומי: האקרים יכולים לפרוץ לרשת בשל ליקוי במקום אחד, ולקבל משם גישה למערכת כולה. לא הגיוני שמר סורנסון לא יודע את זה, או שהוא מספיק מנותק כדי להתעלם מהעובדה שהשנה היא 2019 ואנשים יודעים שיש דבר כזה, איומי סייבר.
ההצהרה שלו מפתיעה: אף מנכ"ל של חברה גדולה לא יכול להרשות לעצמו להתבטא בשאננות בנוגע לאבטחת מידע. ברגע שיעשה זאת, ימשוך אליו האקרים שיבואו לברר אם לדברי המנכ"ל יש אחיזה בשטח והם ינסו למצוא פרצות. פושעי סייבר משגשגים היכן שחברות מעדיפות אדישות על זהירות, במיוחד כשמדובר במטרה עם גישה למידע אישי ופיננסי נרחב. אז אם לפזר הצהרות כאלה זה לא אחראי, מה אומרים למי שנפל קורבן לאחת ממתקפות הסייבר הכי גדולות בעשור האחרון, ועדיין אומר שאין סיבה לדאגה? לדעתי, בעלי המניות של מריוט צריכים לתפוס את מר סורנסון באוזן, לדחוף אותו לכיתה המצוירת של בארט סימפסון ולפקוד עליו לכתוב על הלוח מאה פעמים "לא אתגרה בהאקרים כי זה דבר אידיוטי לעשות". השאננות הזאת היא סיבה מס' 1 שפושעי סייבר ממשיכים לנצח.
שתדלנות? השתדלו יותר
שנת 2018 היתה שנה טעונה מאוד עבור חברות הטכנולוגיה, דבר שהתבטא היטב בהוצאות הלוביזם שלהן: גוגל דיווחה שהוציאה אשתקד 21 מיליון דולר על שתדלנות מול ממשלת ארה"ב לבדה, סכום שיא עבור החברה; פייסבוק הוציאה 12.62 מיליון, וגם עבורה מדובר בשיא אישי; מיקרוסופט הוציאה 9.2 מיליון, אפל הוציאה 6.6 מיליון ואמזון עדיין לא פרסמה את המספרים שלה. לי יש רק שאלה קטנה: מישהו כאן יודע על מה הוציאה כל חברה את הכסף? מישהו כאן יודע אילו עסקאות כללו התקציבים האלה, ואילו שינויים הם נועדו לדחוף או לעצור?
זה מעצבן אותי, כל שנה מחדש: חברות טכנולוגיה אומרות שהן מנסות להיות שקופות יותר, שהן יהפכו לשקופות מבעבר והפעם זו לא סתם הבטחה, הפעם הן הבינו כמה זה חשוב. ואני קצת מרחם על מי שמאמין להן. אין כל משמעות לצמיחה בעלויות השתדלנות. זה מידע שיכול לעניין את המשקיעים, שרוצים לדעת לאן הולך תקציב החברה. אבל הקהל הרחב רוצה לדעת דברים אחרים. למשל: האם יש חברה שקיבלה אישור ממשלתי לפגוע בזכויות שלו? איך נסגר הדיל הזה? מי המחוקק שזרם עם העניין?
אני לא מצפה מפייסבוק וגוגל לחשוף בפנינו את תוכניות הלוביזם האסטרטגיות שלהן. לא, לראייתן הן לא חייבות לנו דבר ומעדיפות להימנע מלנהל שיח עם המשתמש הפשוט. לא פלא שאין להן שירותי לקוחות נורמליים. אבל מהמחוקקים ומקבלי ההחלטות דווקא יש לי ציפיות: אנחנו שמנו אותם בתפקידים שלהם, הם שם בשביל לשרת אותנו ולהגן עלינו כל הקנדציה (ולא רק כשמבצבץ צילה של מערכת בחירות). וזוהי שקיפות: מצב בו הרשות עצמה מספרת מה רצתה ממנה ענקית ההייטק. זהו אלמנט שקיפות שאנחנו יכולים לדרוש, שזכותנו לדרוש, והגיע הזמן שנעשה זאת.
קצרצרים
1. משרד העבודה האמריקאי מנהל תביעה נגד אורקל במשך שנים, כשהחברה נאשמת בזלזול בוטה בחוקי עבודה ובזכויות עובדים. אמש נודע היקף חטאיה: בין 2013 ל-2016, העדיפה החברה להימנע מלשכור היספנים ואפרו-אמריקאים. אם בכל זאת שכרה כאלה, הקפידה לשלם להם פחות מלעובדים לבנים ובהפרש של 25% ויותר: בשלוש השנים שנחקרו, הצטבר הפער במשכורות ל-411 מיליון דולר. משרד העבודה טוען שאורקל גם שילמה פחות לנשים ושמרה על תת-ייצוג שלהן בתפקידי ניהול. ויש עוד: נטען שהחברה העדיפה לגייס לתפקידי IT למיניהם מהגרים בעלי רקע אסייתי, כשמצב הוויזה שלהם מקשה עליהם לקום ולהתפטר. צירוף מקרים? לא סביר. במקביל לפעולת משרד העבודה, מתמודדת אורקל גם עם מספר תביעות מצד העובדים. כולי תקווה שהחברה תיענש על מעשיה, תתעורר ותקלוט שהיא חייבת להשתנות; אתה לא יכול להציג את עצמך כנושא דגל טכנולוגי חדשני כשמנטליות כוח האדם אצלך מזכירה את 1950.
2. מנכ"לית IBM, ג'יני רומטי, מודאגת מאוד מהמודעות הגבוהה של צרכנים לנושאי פרטיות גלישה וזכויות מקוונות, ומכך שמחוקקים עלולים להגיב לכך באופן שאינו מידתי. "כל ממשלה מתפתה להטיל רגולציה, והסיכון של כולנו הוא שמדובר בתגובת-יתר. הקורבן היא הכלכלה המקוונת כולה", אמרה אמש במהלך הפורום הכלכלי העולמי בדאבוס. לראייתה, ישנן דרכים אחרות להגן על הצרכן, כמו רגולציה מדויקת יותר. לדעתה, די בכלים שיאפשרו לצרכן להביע הסכמה, להתנתק משירותים שאינם לרוחו וכולי. הרשו לי לחלוק על עמדת רומטי: הבעיה היא לא שאנשים מודעים לכך שחברות גדולות דורסות את הפרטיות שלהם, אלא שיש חברות שמרשות לעצמן לעשות את זה. מצדי, רגולציית יתר היא דווקא דבר מבורך: במקום להתחיל ברגולציה אפסית ולגלות האם צריך עוד קצת, אולי נתחיל ברגולציה מורגשת ונראה אם לשחרר? אולי לשם שינוי, נתחיל במשהו שהוא לטובת המשתמש ולא לטובת התאגיד?
3. וויימו מרחיבה את מערכי הייצור שלה: חברת הרכב האוטונומי של אלפבית צפויה להקים מכלול ייצור של 60,000 מ"ר במדינת מישיגן. הוא צפוי לקום בסביבת דטרויט, עיר המכוניות הקלאסית של ארצות הברית, בה גדלו ענקיות תחבורה ותיקות ושגשגו עד שמשברי דלק ויבוא קוריאני שחקו אותן לבלי היכר. המפעל יקום במהלך חמש השנים הקרובות, והיצרנית תגייס עבורו כ-400 עובדים ותקבל מענקים בסך שמונה מיליון דולר. בהודעה שפרסמה וויימו, טענה שזה יהיה המפעל הראשון שנועד אך ורק לייצור מכוניות אוטונומיות. אם אחטא בנבואה, אגיד שרבים כמותו יצוצו בעתיד הקרוב, יתכן שגם מחוץ לארה"ב, היכן שקצת יותר זול לייצר. ולכן, לא אופתע אם לא יהיה זה המפעל המרכזי של וויימו; כן, ארה"ב מאוד לאומנית ולוחמנית עכשיו וחברות שמצמיחות מערכים מקומיים זוכות בחסדי השלטון - אבל מיום ליום נראה שמר טראמפ לא ישלים את כהונתו, וחברות טכנולוגיה נוהגות להביט למרחק.