"בשביל להילחם בבעיות הסייבר צריך קמפיין חינוכי רחב היקף"
בוועידת כלכליסט בלונדון אמר כריס אליוט, הממונה על ביטחון המידע ברויאל בנק אוף סקוטלנד: "אין יום שעובר בלי שמישהו דופק לי בדלת ואומר לי שהוא המציא את פתרון הקסם לבעיות שאני סובל מהן, אבל צריך לזכור שקהל היעד מגוון ועצום"
"אין יום שעובר בלי שמישהו דופק לי בדלת ואומר לי שהוא המציא את פתרון הקסם לבעיות שאני סובל מהן. אבל צריך לזכור שבבנקאות מתעסקים עם מגוון עצום של אנשים מכל שכבות הגילאים, אז אם מישהו מציע לי פתרון תלוי סמארטפון, למשל, זה לא באמת יכול לעזור לכל הקהלים שלי. אני מחפש משהו שיטפל בתמונה הגדולה". כך אמר בוועידת כלכליסט בלונדון כריס אליוט, הממונה על ביטחון המידע ברויאל בנק אוף סקוטלנד (RBS), בתשובה לשאלה מהם האתגרים הגדולים ביותר שהוא מתמודד איתם בתחום הסייבר.
- מנהל פיתוח עסקי באמזון: "אנחנו לא רוצים לדעת מה קורה, אנחנו רוצים לדעת מה יהיה"
- אסף פלד: "לא אופתע אם עוד 5 שנים נראה את שידורי ליגת האלופות באמזון"
- "כל אחד יכול להיות Shupper, ולעשות כסף משופינג"
את אליוט ראיין חיים שני, יו"ר UK טק האב ובשיחה השתתף גם ד"ר נמרוד קוזלובסקי, עו"ד, שותף־יזמות בקרן הון סיכון JVP ושותף במשרד עו"ד הרצוג, פוקס, נאמן, שייעץ לחברות סטארט-אפ המבקשות לעבוד עם בנקים "אם אתם רוצים לעבוד עם מערכת גדולה כמו בנק, אל תניחו שתשנו את דרך הפעולה שלהם - תנסו אתם להתאים את עצמכם אליהם".
שני התחיל את השיחה כששאל את אליוט היכן היה ב-12 לחודש (היום בו נחשפה פריצת הענק לאקוויפקס). "הייתי בבית. את הטלפון הראשון קיבלתי דווקא מהדירקטוריון, לא מצוות התגובה שלנו, מהר מאוד גילינו שאנחנו (הבנק) לא נפגענו. אחת הבעיות שיש לנו בתחום כשקורה דבר כזה היא לדלות את העובדות מתוך ים הדיסאינפורמציה של 12 השעות הראשונות, אז בדרך כלל זה פרק הזמן שלוקח לברר אם וכמה נפגענו".
שני: למזלכם הבנק לא נפגע, אבל ספר לנו מה קורה כשכן נפגעים באירוע כזה.
אליוט "יש לנו תוכנית מתורגלת היטב שאנחנו מוציאים לפועל ברגע שחושבים שנפגענו. אז כשיש אירוע אנחנו מקבצים אנשים מכל מיני מחלקות בעסק, כל חלק מיוצג ואנחנו מדברים על מה שקרה וכל מחלקה בודקת האם היא הושפעה ואנחנו ומוודאים שכולם מתואמים. בודקים גם אצל מי שנפגע האם המצב עלול להדרדר".
שני: איך מוודאים שאנשים מודעים לבעיות הסייבר?
אליוט: "אם אני מסתכל על חלק גדול מהבעיות בתחום, הן ברמת האינדיבידואל, כמו מתקפות פישינג ודברים דומים, אז מה שאנחנו צריכים זה קמפיין חינוכי רחב היקף. אנחנו צריכים להשתמש בקמפיינים כמו שמפרסמים עושים כדי להרגיל אנשים לשיטות פעולה מסוימות".
שני: בסייבר האיום יכול להיות גם מדינה, מי האויב עבורכם עכשיו?
אליוט: "זה תלוי, דאטה למשל הוא משהו שיכול לעניין גנבי זהויות. אז אני מסתכל מה יש לי ואת מי זה יכול לעניין. אני לא בודק מי האויב שלי, במיוחד משום שהגבולות בתחומים האלה מתעמעמים כל הזמן, וכבר קשה לעשות את ההבחנה האם זו מדינה או ארגון".
שני: מה אתה חושב שתפקיד הממשלה בתחום הזה עבור הבנקים?
אליוט: "הדבר הגדול ביותר שהיא יכולה לעשות הוא לרכז במקום אחד את כל הבעיות של המגזרים השונים ולעודד שיתוף פעולה, כי אף מגזר לא יכול להתמודד עם הבעיות הנוכחיות בעצמו וכדי שלא נהיה בעמדת נחיתות מול האויבים שלנו".
קוזלובסקי: "ההנחה המרכזית בסייבר היא שאנחנו נמצאים בעמדת נחיתות מול התוקפים. למשל, כשאנחנו נמצאים בסיטואציה בה זיהינו שקל מאוד לחדור אלינו - אנחנו צריכים לעבור שלב ולמקד את ההגנה שלנו בזיהוי ההתקפה. ארגונים מתקינים עוד ועוד מערכות ששולחות להן התרעות, אבל אז יש להן מאות התרעות והם לא יודעים מה לעשות איתם.
"מה שהן צריכות זה מידע שמספק להם תובנות על הסיטואציה בה הם נמצאים. הם צריכים גם מערכת שתסייע להם לטפל בהתקפות ולבסוף פלטפורמה שמרכזת מידע מכל הגורמים השונים האלה. פעם חשבנו על אבטחה ופרטיות כשני נושאים מנוגדים. אבל בחדשנות שיוצאת היום מישראל אנחנו רואים מערכות במתייחסות לשני הדברים כמקשה אחת".
שני: מה אתה מייעץ לסטארט-אפים שמגיעים אליך?
קוזלובסקי: "רוב החברות לא מבינות את קנה המידה שאנחנו עובדים בו ואת האתגרים שאנחנו מתמודדים איתם, כמו רגולציה".
שני: האם אנחנו בדרך ל9/11 בסייבר?
קוזלובסקי: "אני לא חושב. יש עבודה טובה שנעשית בהרבה מאוד מקומות. ההתקפות מתרבות אבל עסקים לא קורסים כתוצאה מהם, הם יודעים להתמודד איתם".