כנס סייבר 2022"יש בעיה כשחברה פרטית כמו NSO מוכרת יכולת התקפית לממשלות ולגופים פרטיים"
כנס סייבר 2022
"יש בעיה כשחברה פרטית כמו NSO מוכרת יכולת התקפית לממשלות ולגופים פרטיים"
מייקל רוג'רס לשעבר ראש ה-NSA, אמר כי ארה"ב החליטה לפתח בעצמה סייבר התקפי ולא לפנות לשם כך למגזר הפרטי. נדב צפריר, מייסד ושותף מנהל בקרן ההשקעות Team8 אמר בכנס הסייבר של כלכליסט: "שימוש התקפי בסייבר אמור להיות קיים בחסות המדינה, ולא בלעדית בחברות פרטיות שפועלות רק למטרות רווח"
"אני מאמין שברמת המאקרו, שימוש התקפי בסייבר, שימוש בסייבר כנשק, אמור להיות קיים ברמה כלשהי בחסות המדינה, אבל לא ברמת החברה הפרטית שקיימת רק למטרות רווח. ב- Team8 אנו עוסקים רק בהשקעות הגנתיות ומטפחים רק חברות שעוסקות ביכולות הגנתיות", כך אומר נדב צפריר, מייסד ושותף מנהל בקרן ההשקעות Team8 שמתמחה בסייבר ופינטק בכנס הסייבר של "כלכליסט".
מייקל רוג'רס, ראש NSA לשעבר ושותף בקרן Team8, הוסיף "לדעתי, חברות יכולות למכור טכנולוגיה גם לממשלות וגם לגופים פרטיים. הבעיה מתחילה בחברות מן המגזר הפרטי ו-NSO היא כנראה הדוגמה הכי בולטת, שמוכרות יכולות התקפיות או יכולות מעקב בתחום הסייבר. האם קיים שוק לגיטימי עבורן מבחינת מכירת מוצרים לממשלות? האם עלינו להרשות להן למכור את מוצריהן במגזר הפרטי? אתם רואים את זה קורה עכשיו בישראל ומתמודדים עם השאלה. בתחום הסייבר בארה"ב, קיבלנו החלטה לפיה, לפחות נכון לנקודת הזמן הנוכחית, לא נפנה למגזר הפרטי כדי לפתח נשק סייבר התקפי. ניצור את היכולות האלה בעצמנו, במסגרת הממשלה והצבא, ותהיה לנו שליטה קפדנית על יצירתן, על השימוש בהן,על ההחלטה למי תהיה גישה אליהן, כי חששנו שיהיו הרבה השפעות מסדר שני ושלישי אם לא ניזהר בזה".
השיחה עם השניים מתקיימת כאשר ברקע גם תחקיר "כלכליסט" על שימוש בתוכנות הסייבר ההתקפי של NSO על ידי משטרת ישראל ללא אישור בית המשפט וכן כאשר רוחות המלחמה בין רוסיה לאוקראינה סוערות לא רק בשדה הקרב המסורתי, אלא גם באמצעות התקפת סייבר גדולה שהובילה רוסיה על אוקראינה בשבועות האחרונים כחלק מהמאבק המסלים בין שתי המדינות. האם עוד עדים למגמה חדשה של התגברות סייבר גאופוליטי כמו בין אוקראינה לרוסיה ולא רק עלייה במתקפות למטרות מסחריות? מה צפוי לנו ב-2022 בגזרה הזאת?
"אנחנו חוזים בשינוי טבעי והתפתחות טבעית בתחום הסייבר. לפני 30-20 שנה, חדירה לרשתות נעשתה ברובה על ידי בודדים, האקרים שרצו להראות לכולם: 'תראו מה אני מסוגל לעשות'". אז מדינות התחילו להשתמש באמצעים האלה למטרות ריגול, אחר כך ארגוני פשע התחילו לייצר לעצמם הכנסות משמעותיות באמצעות מתקפות כופרה, ועכשיו מדינות הבינו שהן יכולות להשתמש באמצעים כאלה לא רק למטרות ריגול, אלא גם למטרות פוליטיות ואסטרטגיות. הן אומרות : "אני יכול להשתמש בזה כדי להשפיע על אירועים, על דעות ולהשפיע על התנהגות." מעניין מאוד לצפות בהתפתחות הזו", אומר רוג'רס וצפריר מוסיף: כל הדברים הבסיסיים שאנחנו תלויים בהם כמו חשמל ואספקת מים מחוברים עכשיו לאינטרנט, ואנחנו רואים את המעבר הזה לתקיפה של יעדים אמיתיים, לא רק למטרות שיבוש, למטרות קבלת כופר או ריגול, אלא גם כדי ממש לפגוע בבני אדם. ואני חושב שאנחנו רואים רק חלק קטן מזה, ואני חושש ש-2022 עלולה להיות נקודת מפנה מהבחינה הזו."
מה ההשלכות של השינוי הזה עבורכם, בתור חברה שמשקיעה בסטארטאפים בסייבר? איך אתם יכולים לשנות את האסטרטגיה שלכם, איזה טכנולוגיות אתם מחפשים?
"חברות הסייבר לא רק יגנו על התעשייה ועל ממשלות, אלא יאפשרו לעסקים לבצע טרנספורמציה דיגיטלית מהירה ומודרנית יותר וחלקה יותר", אומר צפריר, "אנחנו לא רוצים להגיד שחברה יכולה להיות רק מוגנת או פרודוקטיבית. אנחנו רוצים שהחברה תהיה מקושרת ופרודוקטיבית, אבל שתוכל גם להגן על פרטיותה. אנחנו רואים שמושקעים מיליארדים בתחום הזה, ובצדק, לדעתי".
"אבל אבטחת סייבר היא לא רק טכנולוגיה, אלא היא דורשת הנהגה ומחויבות מהותית", מדגיש רוג'רס, "ואני לא מדבר רק על ה-CIO, ה-CISO וצוות ה-IT. אלא על כולם, החל מהמנכ"ל. אבטחה היא עניין של מנהיגות ושינוי תרבות ארגונית".
ומה לגבי רמות השווי של חברות סייבר? עדיין אפשר לבצע השקעות במחירים סבירים או שיש בועה?
הערכות השווי התנפחו מאוד בשנים האחרונות משום שהיו חברות שצמחו אקספוננציאלית שנה אחר שנה, וזה יצר אופטימיות רבה לגבי השקעות, במיוחד בשוק הציבורי והשוק הפרטי הלך אחריו אומר צפריר, "אבל אני לא חושב שזו בועה כי קיים צורך דחוף בפתרונות סייבר. רוג'רס מחזק: "חשוב לזכור ששווי הוא לא הערכה של היום אלא של הפוטנציאל בעתיד. העתיד הוא שהצורך בסייבר בעולם המקושר והדיגיטלי שאנו חיים בו רק ימשיך להתרחב ולא להתכווץ. לכן הצורך רק יגדל וזה מה שמניע את הערכות השווי הגבוהות שיימשכו גם בטווח הארוך. חשוב לי להדגיש שזו לא רק הקורונה, גם כשהקורונה תיגמר בקרוב, אני לא רואה את הערכות השווי של חברות סייבר נופלות", מסכם רוג'רס.
לסיכום שניכם אנשי צבא בעברכם, נדב ב-8200 ומייק כמנהל ה-NSA. אתם חושבים שההתפתחויות האלה עשויות לשים קץ לוויכוח העצום, לפחות בישראל, לגבי עתיד הצבא? האם בעתיד נזדקק בעיקר לחיילי סייבר, ולא לחיילים קרביים בשטח?
רוג'רס :"התשובה הקצרה היא לא. תחום הסייבר מציע לקובעי מדיניות ולמפקדים בצבא מערכת נוספת של אפשרויות, אבל הוא לא מחליף את המבנה המסורתי שמבוסס על נחתים, שריון, חיל אוויר, וספינות. אני לא רואה בזה תחליף". צפריר מוסיף: "המלחמות, העימותים והרגישות האסטרטגית כאן במזה"ת לא יוכרעו בהקשות מקלדת. והם לא יוכרעו ב-M-16 או ב-F-16 או בטנק. מדובר בשילוב, כלומר אנחנו זקוקים לשני הדברים, בסופו של דבר, לפחות בעתיד הנראה לעין".
לכל כתבות כנס הסייבר 2022 לחצו כאן