ראיון"צריך חוזה חדש בין מפתחי טכנולוגיה לבין הצרכנים"
ראיון
"צריך חוזה חדש בין מפתחי טכנולוגיה לבין הצרכנים"
טוען כי "חייבים לוודא שהבינה המלאכותית מצויה בשליטת האדם" ומאמין כי "חברות התוכנה צריכות להציג השקעות סבירות יותר באבטחה" - כריס אינגלס, שכיהן כמנהל הסייבר הלאומי הראשון בבית הלבן, משוכנע שחינוך הוא מרכיב מרכזי באבטחת מידע ומספר לכלכליסט איזה שיעור פרטי קיבל מאדוארד סנודן
ג'ון כריס אינגלס
- גיל: 68
- תפקיד בממשל ביידן: שימש כמנהל הסייבר הלאומי הראשון בבית הלבן
- תפקידים קודמים: שימש כסגן דירקטור ב־NSA
- השכלה: מוסמך במדעי המחשב והנדסה, מאוניברסיטות קולומביה וג'ון הופקינס
כריס אינגלס עדיין שומר על סרגל החישוב שקיבל לפני יותר מ־50 שנה. לעיתים בהרצאות הוא מציג את הסרגל כ"מחשב הראשון" שלו וחש עצב כללי כלפיו, כאילו הוא מחזיק בסרגל בסנטימנטליות מיותרת, ואינו מוכן לוותר על העבר.
אך אינגלס, שהיה מנהל הסייבר הלאומי הראשון בבית הלבן, הוא לא באמת רגשן, הוא פשוט מנסה להעביר מסר — הכל חולף מהר, התיישנות היא יחסית. "המרחק הטכנולוגי שנוצר בין הסרגל לבין היום יקרה שוב", הוא מספר בראיון ל"כלכליסט", "זה יקרה בעוד שנתיים, ואז בעוד שנה ואז בעוד חצי שנה. אנחנו יכולים להתמודד עם זה, אנחנו רק צריכים תמיד לדאוג שאנחנו זוכרים מה ניצב במרכז — האדם".
"האדם במרכז" אולי נשמע כמו סיסמה שחוקה, אך למעשה ההפך הוא הנכון, היום טכנולוגיה נמצאת במרכז ולרוב מובילה את האג'נדה, ונתפסת או כפתרון לכל הבעיות, או כאם כל הבעיות.
אינגלס, 68, מציע לחשוב על כך מחדש, לנסח "חוזה חברתי חדש" בין מי שמפתחים את הטכנולוגיה לבינינו הצרכנים, התושבים, האזרחים. אבל המילה "חדש" היא מטעה, משום שהחוזה הזה למעשה נשען על ציפיות עבר.
"אני אולי לא יודע מה קורה מתחת למכסה המנוע של המכונית שלי, או למה המנוע יכול להביא אותי ל־100 מייל בשעה, אבל אני שולט בזה. יש לי דוושת גז, יש לי הגה, ויש לי בלם. צריך לוודא שיש לנו את אותה מערכת יחסים עם בינה מלאכותית. לא כל אחת ואחד מאיתנו צריכים לדעת איך בדיוק היא עובדת, אבל אנחנו צריכים לדעת שהיא בשליטתנו. אנחנו גם צריכים לוודא שאנחנו משפרים את מיומנויות החשיבה הביקורתית שלנו כדי שנבין מה הטכנולוגיה מציעה לנו, ומה היא מציעה לנו בהקשר לעולם שאנו חיים בו. אני חושב שאם נעשה את שני הדברים האלה, נוכל להתמודד עם בינה מלאכותית, עם מחשוב קוונטי, ועם כל מה שיבוא אחר כך".
לפני שמונה על ידי הנשיא ג'ו ביידן לעמוד בראש המשרד לביטחון סייבר לאומי, כיהן אינגלס כסגן דירקטור ב־NSA, ארגון שבו העביר את חלק הארי של הקריירה שלו. ימיו הראשונים בסוכנות, שהקבילו גם לימיה הראשונים של המהפכה הדיגיטלית, עיצבו את כל התפיסה שלו בנוגע לביטחון, סייבר, אבל בעיקר בנוגע לגבולות העבודה שלו.
"כמדען מחשבים האמנתי בכוחה של הטכנולוגיה, שניתן לכתוב כל סוג של קוד או לבנות כל מערכת עם רמה גבוהה של ביטחון, אבל בסופו של יום המציאות היא שהמערכות האלו לעולם לא יכולות להיות מאובטחות באופן מושלם. כי זה לא רק הקוד שאתה כותב, אלא גם האינטראקציה שהוא מקיים עם יסודות כמו האינטרנט. זה הופך במהירות גדולה לכל כך מסובך עד שכמעט בלתי אפשרי ליצור מערכת סגורה שלא תלויה בדבר. אפילו למכונית יש היום 50 מיליון שורות של קוד מחשב. זה פשוט כל כך מסובך, ותמיד יש כמה פרצות שאפשר לנצל".
זו אינה הכרה בתבוסה, הוא מדגיש בפני, אלא פשוט המציאות. "צריך להכיר בכך שהאינטרנט מכיל דברים בעלי ערך, לא רק לנו: פושעים גילו שם מרחב אטרקטיבי, מדינות הלאום גילו שם מרחב אטרקטיבי. לא פלא — מחיר הכניסה הוא מאוד נמוך והערך שניתן לצבור הוא מאוד גבוה".
אינגלס, שהגיע לישראל במסגרת כנס CISO של חברת ההון סיכון Team8, שירת בבית הלבן רק שנתיים קצרות. עוד טרם כניסתו לתפקיד, כשהוחלט בכלל על יצירת תפקיד זה, היו שתהו מדוע יש צורך במשרד חדש זה, בתחום שיש בו כמה בעלי תפקידים בכירים בבית הלבן.
לימים ובסמיכות לפרישתו אף התרבו הדיווחים בעיתונות האמריקאית כי חיכוכים מקצועיים עם מנהלים בכירים בתפקידים חופפים תרמו להחלטתו לפרוש, דיווחים שהוכחשו נמרצות. "הכוונה לא היתה ליצור סוג נוסף של סמכות שתנסה להתמודד ולהפעיל כוח", הוא מסביר, "אלא לפעול לחיבור בין כל החלקים שכבר היו קיימים. לקחת את הסוכנויות, המחלקות, והבירוקרטיה הפדרלית העצומה, לגייס את כל החלקים שיהיו קוהרנטיים וממוקדים, ולהביא ליחסים טובים יותר בין הממשלה למגזר הפרטי".
אינגלס נכנס לעבודה אחרי שהסנאט האמריקאי אישר את מינויו פה אחד, ומיד הציג גישה יותר מודרנית כלפי איומים. בין היתר גיבשו במשרדו אסטרטגיה לאומית לנושא, שפורסמה זמן קצר אחרי שעזב.
היום הוא מכהן בשורת תפקידים במגזר הפרטי, אך על המסמך הוא עדיין מדבר כשלו. "הצהרנו שעלינו להקצות מחדש את האחריות במרחב הקיברנטי כדי שנוכל ליצור את סוג החוסן שהתחלנו לצפות לו במערכות אחרות כמו תחבורה או רפואה", הוא מספר, "מכונית בנויה להיות בטוחה מטבעה כסוג של משהו שיכול להביא אותך מנקודה א' לנקודה ב' עם רמה גבוהה של ודאות שתגיע בבטחה לסוף הטיול. אבל אם אתה שותה, מסמס או חוצה את קו ההפרדה בזמן שאתה נוהג — הכל משתבש. זאת אומרת הנהג צריך להשתתף בפועל בשמירה על הביטחון הזה. זה נכון במרחב הסייבר: מי שמאמין שאנחנו יכולים להפוך מחשב או רשת לבטוחים, ואז לעמוד עם זרועות שלובות ופשוט לראות את זה מגן על עצמו, שכח את הלקחים מכל כך הרבה מערכות מורכבות אחרות".
בכל זאת ההקבלה למכונית נראית מעט מיושנת, במיוחד בעולם שבו פיתוחים טכנולוגיים נפרסים מהר מאוד. והרגולטורים לא נראים ממש מסוגלים לעמוד בקצב.
"אני מסכים שסייבר הוא מהסוג המסובך, אבל אני חושב שאנחנו יכולים להפיק לקחים לגבי איך אנחנו מכופפים את הטכנולוגיה למטרותינו. מכונית היא אולי לא דוגמה מושלמת, אבל היא טובה משום שפעמים רבות כשאנחנו מדברים על בטיחות רכב, אנו מתמקדים במכשיר — המכונית, בכרית האוויר או חגורת הבטיחות. אבל בטיחות רכב היא כל המערכת שבתוכה היא פועלת. יצרנים גדולים אחראים להשקיע בהנדסה כדי להפוך אותה לבטוחה מטבעה, אך פה לא תם הסיפור. מישהו צריך להבין איך נראים כבישים, איך הם מתוכננים כדי להיות בטוחים ככל האפשר. אין לנו קצוות משוננים שמבצבצים בכבישים, כי חשבנו על מה שהכבישים האלה צריכים לעשות, המסלולים ברוחב סטנדרטי, והגשרים בגובה סטנדרטי.
"יש גם ניהול שיתאים למערכת זו: יש שוטרים שמסיירים בכבישים המהירים כדי לוודא שאנשים לא נוסעים במהירות מופרזת, שותים ונוהגים. החלק האחרון הוא האדם שמפעיל את המכונית וצריך לדעת מה תפקידו. כל ההסדר המאוד מסובך הזה של טכנולוגיה, תפקידים, אחריות ואנשים הביא אותנו למקום שבו יש לנו ציפייה שמערכת התחבורה תעבוד בשבילנו. לא עשינו את זה לגבי מערכות סייבר".
אינגלס מציע פרספקטיבה מעניינת. אף שהוא שירת שנים ארוכות בסוכנות מודיעין שנוטה לראות איום בכל מקום, הוא חוזר שוב ושוב דווקא על חשיבות החינוך וחשיבה חופשית וביקורתית. כמובן שבין לבין הוא שולף תיאורים מפורטים של איומים מצד מרוסיה, תפוצתן של חדשות מזויפות, המערכה באוקראינה — אך נשאב מיד בחזרה לרעיונות של אוריינות דיגיטלית.
"פרסמנו אסטרטגיית אבטחת סייבר לאומית, אך יש גם מסמך נלווה שיפורסם בקרוב והוא אסטרטגיית חינוך סייבר לאומית, כלומר כיצד אנו נדרשים בפועל למיומנויות ולצרכים החינוכיים של האזרחים שלנו: האם הם יכולים לעשות שימוש מיטבי באינטרנט? וזה לא קשור רק לאנשים שעובדים ב־IT, אלא איך אנו מוודאים שכל אזרח יודע מספיק על מרחב הסייבר כדי לחצות את הרחוב הדיגיטלי בבטחה. הרי אנחנו מלמדים את הילדים שלנו לחצות רחובות סואנים ולהיזהר עם כיריים חמות, וגם עלינו ללמד אותם כיצד להשתמש בטכנולוגיה המודרנית בדרכים שאולי אינן מובנות מאליהן.
"רוב האנשים כיום אינם 'ילדים דיגיטליים', כלומר אין להם סוג מפורט כזה של הבנה אינטואיטיבית כיצד הטכנולוגיה פועלת. הם ילדי אפליקציות, הם יודעים איך להוריד אפליקציה, איך לגרום לה לעבוד, אבל הם לא יודעים למה הם צריכים לדאוג מבחינת האבטחה והבטיחות שלהם: מי מגן על הנתונים שהם מאחסנים בענן, מה מגן על הדברים שהם מעלים לרשת החברתית, מה קורה כשהם לוחצים על קישור שבו הקוד של מישהו אחר פועל עם ההרשאות שלך? צריך לוודא שהם מבינים את זה כדי שהם לא רק יחשבו באופן ביקורתי, אלא יהיו גם משתמשים מיומנים של האינטרנט וכל מה שנובע מכך".
אבל בינתיים אין שום רגולציה, אתה חושב שנראה אחת מגיעה מארה"ב?
"כן. אני חושב שכבר ראינו חלק מזה באסטרטגיית אבטחת הסייבר הלאומית. אחד הדברים העיקריים בה היא הקצאת אחריות מחודשת לארגונים. אז אם אתה ספק תוכנה גדול או ספק ענן, תהיה ציפייה שתעשה השקעות סבירות באבטחה, כמו שאנו מטילים על יצרני רכב אחריות. זה מעביר את האחריות מהמשתמשים ומהמפעילים — שעליהם מופנה רוב הפוקוס היום לעבר היזמים. בנוסף אנו רוצים לתמרץ חוסן משלב עיצוב המוצר. כוחות השוק ידאגו לחלק מזה, אבל הם לבדם כמעט אף פעם לא מספקים את מלוא האבטחה במקרים שהם קריטיים לחיים או לבטיחות — אז ממשלות צריכות לעשות זאת. אבל צריך לוודא שאנחנו מאפשרים לכוחות השוק לעבוד קודם, שאנחנו משתמשים במגע הקל ביותר האפשרי ועם רמה גבוהה של התייעצות עם התעשיות".
מה בנוגע לחברות כמו NSO?
"NSO היא מקרה מעניין. ממה שראיתי רוב המדינות מביעות התנגדות ומודאגות לא מעצם קיומה של הטכנולוגיה אלא מאופן השימוש בה. תארי לעצמך עולם אחר שבו היכולת הזו פותחה ובמקביל היו מחפשים נקודות תורפה במערכות כדי שניתן יהיה לתקן אותן. אנחנו רק צריכים לוודא את השימוש בטכנולוגיות למטרות הטובות".
אבל זה לא רק השחקן, לא היית רוצה שכל אחד ייצר נשק אטומי, אפילו שאפשר גם להפיק אנרגיה נקייה מהטכנולוגיה.
"זה לא יהיה מעשה לא־הגיוני לחלוטין לומר שאני עומד לאסור על משהו — אם אני למשל מכיר את סוג הכלי, מודאג לגבי אופן השימוש בו בעבר ולא יודע איך לשלוט בו בהווה. לרוב המדינות בעולם הפיזי יש בקרות יצוא על המכשור שבו משתמשים צבאות וחילות האוויר.
"השליטה בזרימה החופשית של הטכנולוגיה הזו למקומות אחרים מקבילה לאיסור של האיחוד האירופי על ייבוא מוצרים של NSO. אבל החשש בסופו של יום הוא באופן השימוש בטכנולוגיה, לא מעצם קיומה. כי אותה טכנולוגיה יכולה להיות, ומשמשת לעתים קרובות, למטרות טובות, נכון? יש מי שמנסה כל יום לפרוץ למערכות אבל כ'האקרים לבנים', כלומר הם עושים את זה לטובת המגינים. אנחנו לא שוללים את זה. אנחנו לא אומרים שזה לא חוקי ואסור לעשות את זה. אז אני חושב שההקשר חשוב, ואנחנו צריכים לוודא שמערכת הערכים שלנו באה לידי ביטוי. שליטה בטכנולוגיה לבדה תחמיץ את הנקודה שהאנשים הם משתמשים בה בדרכים שונות".
רמת הביקורתיות הגבוהה של אינגלס יודעת גם היא את גבולותיה. בימים אלו מציינים עשור לגילויי אדוארד סנודן, קבלן משנה ב־NSA, שהדליף לתקשורת כמות עצומה של מסמכים שחשפו כיצד הממשל האמריקאי הפעיל תוכנית מעקב לאיסוף מידע שיטתי על מיליוני בני אדם ברחבי העולם, בהם אזרחים אמריקאים וזרים. כשאני שואלת את אינגלס אם הזמן הרב שעבר מאפשר הפקת לקחים לגבי גבולות הכוח, ניכר מתשובתו כי הזמן עמד מלכת.
"עלינו להבחין בין טענותיו לגילוייו. רבים מהדברים שהוא טען לא התרחשו. חלק מהדברים שלטענתו התרחשו נבדקו באופן מלא והוגן, והכפלנו את הבקרות הנחוצות כדי להבטיח שהמדינה מפעילה כוח בהתאם לחוק. התוכנית שהוא היה מודאג ביותר בנוגע אליה, של איסוף מטא־נתונים טלפוניים — נמשכה מספר שנים לאחר מכן אבל תחת פיקוח חוקי מלא. ומה שנקבע בסופו של דבר על ידי הוועדה שחקרה את הארוע הוא שה־NSA לא ניצלה לרעה את סמכותה ולא השתמשת לרעה בנתונים האלה".
אינגלס אומר שדבר נוסף "שהייתי אומר שלמדתי ממנו, אני אישית, הוא שאם אתה עושה משהו שאפשר לחשוף או להסביר אותו — אתה צריך לספר על כך ראשית לבעלי העניין. אלה הבקרות שקיימות כדי לוודא שזה נעשה למטרה זו ולא אחרת. כדי שיוכל להיות סוג של דיון חופשי והוגן, בניגוד לסוג כזה של דחיפות לא קדושה שהופכת את העניין לסיפור האפל ביותר האפשרי. היה די הרבה בלבול וכאוס בשנים שלאחר חשיפות סנודן, שוב בגלל השילוב של האשמות וגילויים. עם זאת, אני חושב שמה שלמדנו מזה הוא שחברה חופשית ופתוחה תלויה בכך שהאזרחים יבינו מה נעשה בשמם, על ידי מי, ואיך".
