הכנסת השמונה-עשרה
PAGE
24
ועדת המדע והטכנולוגיה
8.2.2011
הכנסת השמונה-עשרה
נוסח לא מתוקן
מושב שלישי
פרוטוקול מס' 84
מישיבת ועדת המדע והטכנולוגיה
יום שלישי, ד' באדר א' התשע"א (8 בפברואר 2011), שעה 11:00
ישיבת ועדה של הכנסת ה-18 מתאריך 08/02/2011
מוכנות מערכות המידע והמיחשוב לשעת חירום במגזר הממשלתי, העסקי והפרטי
ח"כים נוכחים
פרוטוקול
סדר היום
מוכנות מערכות המידע והמחשוב לשעת חירום במגזר הממשלתי, העסקי והפרטי
מוזמנים
¶
טל הרמתי
- סגן בכיר לחשב הכללי, משרד האוצר
מנחם לנדאו
- מנהל מרכז מידע, משרד הביטחון
אילן דוידי
- רח"ט שליטה ומבצעים, רח"ל, משרד הביטחון
שוקי קופלביץ
- רח"ט תקציבים ומשרד משק וכלכלה-רח"ל, משרד הביטחון
משה סגל
- ר' תחום שליטה ברח"ל, משרד הביטחון
סא"ל יגאל אהרונוביץ
- תקשוב-רע"ן חי"א ממר"ם תשתיות אפליקטיביות, משרד הביטחון
סא"ל גדעון שטרית
- תקשוב-רע"ן תשתיות, משרד הביטחון
רפאל אזרך
- סגן ראש אגף ביטחון, משרד המשפטים
גיא זלקר
- ממונה אבטחת מידע ארצי, משרד המשפטים
שירית פלמון
- ר' מחלקת טכנולוגיות המטה ללוט"ר, משרד ראש הממשלה
ערן כרמון
- מנהל אגף מערכות מידע, משרד המדע והטכנולוגיה
גדעון אריאלי
- ראש תחום מדעי המחשוב, משרד המדע והטכנולוגיה
אילן גפן
- סגן מנהלת מינהל תקשוב, משרד החינוך
עדיאל מרנץ
- יועץ לענייני טכנולוגיה, המשרד לקליטת העלייה
ציפי לויצקי
- מנהלת מיקור חוץ
זיו סלייטר
- סגן מנהל ממשל זמין
רפי שקולניק
- מנכ"ל חברת נטאפ ישראל סיילס בע"מ, חברי מועדון C3
יובל ביאלר
- מנהל מערכות מידע, חברי מועדון C3
ג'ט דאב
- מנהל מערכות מידע, חברי מועדון C3
איתמר כהן
- מנמ"ר דן חברה לתחבורה ציבורית, חברי מועדון C3
תמיר מלכה
- מנהל מיקור חוץ מלם תים, חברי מועדון C3
ישראל דק
- סמנכ"ל מערכות מידע, המסלול האקדמי, המכללה למינהל, חברי
מועדון C3
מאיר גבעון
- מנכ"ל ומייסד GIV Solutions Ltd, חברי מועדון C3
יורם כהן
- מנהל תפעול ותמיכת מחשוב אל על, חברי מועדון C3
מאיר חן
- מנמ"ר מתנסים, החברה למתנ"סים, חברי מועדון C3
יואב וולף
- ראש מינהל טכנולוגיות ומערכות מידע, סמינר הקיבוצים, חברי
מועדון C3
אריה רייכר
- מנמ"ר רשת, חברי מועדון C3
מישל אפללו
- מנמ"ר י. שרמן זיווד בע"מ, חברי מועדון C3
דר' יוסף רענן
- ראש תכנית מב"ע לניהול חברות טכנולוגיה C.N.E.F, מרכז
לסטודנטים עולים דוברי צרפתית, חברי מועדון C3
שלמה אוזנה
- סמנכ"ל קבוצת מערכות, חברת טלדור, חברי מועדון C3
ארז אריאב
- מנהל מערכות מידע, ביג מרכזי קניות בע"מ, חברי מועדון C3
דליה בן נפתלי
- מנהלת טכנולוגיות מידע, ראשית, חברי מועדון C3
אמירעם היידקר
- ר' אגף מע' מידע, חברת נמלי ישראל, חברי מועדון C3
רז הייפרמן
- סמנכ"ל מערכות מידע, ביטוח ישיר, חברי מועדון C3
מהנדס צבי טל
- סמנכ"ל מערכות מידע, תרו תעשייה רוקחית בע"צ, חברי מועדון C3
מאיר מושקה
- מנהל מערכות מידע, חברי מועדון C3
עודד משה
- VP Products and CIO, סיסאייד טכנולוגיות, חברי מועדון C3
יאיר נווה
- סמנכ"ל מערכות מידע, המכללה האקדמית להנדסה ירושלים, חברי
מועדון C3
אילן שוורץ
- מנהל מערכו תמידע, טר גרופ בע"מ, חברי מועדון C3
קובי פרידמן
- סגן נשיא לפיתוח עסקי Comitari Technologies, חברי מועדון C3
עמית קמה
- מנהל מערכות מידע, קוסט פורר גבאי את קסירר, חברי מועדון C3
עופר רש
- סמנכ"ל ביטוח סיכוני סחר חוץ-בסס"ח, חברי מועדון C3
רם מרגלית
- מנהל פרויקט ERP דלק-חברת הדלק הישראלית, חברי מועדון C3
בועז דורפצאון
- מנמ"ר נוקיה-סימנס נטוורקס, חברי מועדון C3
משה אלון
- נשיא, חברי מועדון C3
נסים בראל
- מנכ"ל חברת קומסק, חברות היי טק
רועי הררי
- סמנכ"ל פיתוח עסקי ופעילות בינ"ל, חברת קומסק, חברות היי טק
יגאל שניידר
- מנכ"ל חברת אלכסנדר שניידר, חברות היי טק
צור אבנית
- מנכ"ל חברת כלנית, חברות היי טק
ישי חובב
- סמנכ"ל שיווק ומכירות, חברת כלנית, חברות היי טק
יצחק אבוטבול
- סמנכ"ל חברת אוטופונט, חברות היי טק
איתן אפיק
- מנהל מערכות מידע חברת אובג'ט גיאומטריות, חברות היי טק
שחר הררי
- מנכ"ל חברת קומיטרי טכנולוגיות בע"מ, חברות היי טק
רמי וכנר
- סמנכ"ל שיווק ומכירות, חברת בונקרסק, חברות היי טק
איריס נחשוני
- סמנכ"ל מערכות מידע, חברת שסטוביץ, חברות היי טק
אלכסנדר נרקולייב
- סמנכ"ל חברת קומיטרי טכנולוגיות בע"מ, חברות היי טק
נועם קפלן
- סמנכ"ל מכירות ופיתוח עסקי, חברת טלדור, חברות היי טק
ערן רוטהולץ
- מנהל אגף מכירות, חברת מטריקס, חברות היי טק
ניר שחף
- סמנכ"ל קומיטרי טכנולוגיות בע"מ, חברות היי טק
עופר מילבסקי
- ארכיטקט מערכות בכיר, SAP, ישראל, חברות היי טק
אבי ונגר
- מנמ"ר רד תקשורת, חברות היי טק
רמי גרטי
- מנהל מכירות חברת MED-1, חברות היי טק
אברהם עסיס
- מרצה, אוניברסיטת תל אביב
ששון מרדכי
- ראש אגף ייצור ותקשוב, בנק לאומי לישראל
דני דוברין
- מנהל תפעול, בי"ח ביקור חולים
ישראל פיינברג
- מנמ"ר, בי"ח וולפסון
איתן מורג
- אחראי תחום חירום, לשכת הנגיד, בנק ישראל
יעקב נבות
- חבר המועצה הציבורית, לשכת מנתחי מערכות מידע בישראל
דן תל ניר
- יועץ מערכות מידע ובינה עסקית, לשכת מנתחי מערכות מידע בישראל
דוד בן זנו
- מנמ"ר, מנהלי מערכות מידע במגזר הציבורי
אבישלום חודפי
- מהנדס מחשבים, מנהל תשתיות וטכנולוגיות, חברת דואר ישראל
גדעון גואל
- מ"מ סמנכ"ל מערכות מידע, חברת דואר ישראל
זהבה נורית פוטרמן
- מנהלת תחום טכנולוגיות, מינהל מקרקעי ישראל
מיכל דביר
- מנהלת אגף מחשוב ומערכות מידע, עיריית חיפה
שי איוניר
- מ"מ מנהל אגף מערכות מידע, חברות ביטוח
לזר דוידוביץ
- ראש אגף מחשוב ומבצעים, ועדת הבחירות המרכזית
סא"ל מיל' גונן ורדי
- מנכ"ל חברת בונקרסק
ארנון קולומבוס
- מנמ"ר – נמצא בין תפקידים
צבי פרנס
- מנהל תכנה אלון החזקות, הריבוע הכחול
אילן דומב
- מנמ"ר חברת אגרקסקו
בנימין אתגר
- CIO נתיבי איילון בע"מ
יצחק אדטו
- CIO, אלקו החזקות בע"מ
אבי וגנר
- מנהל חטיבת מכירות, החברה לאוטומציה
אירית חצרנוב
- מנמ"ר יד שרה
עו"ד יהודה קונפורטס
- עיתון אנשים ומחשבים
דר' אבי שפירא
- יו"ר ועדת ההיגוי להיערכות לרעידות אדמה
רועי גולדשמידט
- מרכז המידע והמחקר של הכנסת
רשמה וערכה
¶
ס.ל. חבר המתרגמים בע"מ
מוכנות מערכות המידע והמחשוב לשעת חירום במגזר הממשלתי, העסקי והפרטי
היו"ר מאיר שטרית
¶
בוקר טוב. ברוכים הבאים. אני מתכבד לפתוח את הישיבה של ועדת המדע. אני שמח לראות קהל כזה גדול, סימן שהנושא מעניין, לפחות את הקהל הזה, למרות שאני חושב שזה צריך לעניין את כלל הקהל בישראל ואת כלל הממשלות ולא רק את הקהל שמתעסק בזה באופן אישי.
מתחילת הדרך הרעיון היה ליצור מפגש עם המנמ"רים, בסקטור העסקי והממשלתי ולשמוע אותם בתחומים שבהם הם עוסקים, אבל הנושא המרכזי שקבענו על סדר היום הוא מוכנות מערכות המידע והמחשוב לשעת חירום במגזר הממשלתי, העסקי והפרטי. ברור לי דבר אחד, חברים, המערכות האלה לא מוכנות לשעת חירום. אני קובע את זה כעובדה, שהן לא מוכנות, כיוון שבאמת אין היערכות ספציפית מיוחדת לשעת חירום. שעת חירום יכולה להיות מכיוונים שונים; כיוון אחד, ציינו גם אנשים, יכול להיות רעידת אדמה, כמה באמת מרכזי המחשבים אכן מוגנים מפני רעידת אדמה. אני לא בטוח שהם מוגנים, בעיקר במשרדי הממשלה כמו שאני מכיר, זה ודאי לא מוגן, אבל גם בסקטור הפרטי. אני לא מניח שכל אחד נותן דעתו מה קורה אם מחר יש רעידת אדמה, מה קורה למרכז המחשוב שלו, האם זה יחזיק מעמד, האם זה ייפול, יתמוטט, האם כל התקשור יאבד לו, הכל יכול ללכת לאיבוד. זה כיוון אחד של שעת חירום.
הכיוון השני של שעת חירום זה כמובן מה שנקרא סייבר ספייס, שהוא פתוח לכל העולם. זה לא סוד ולא חדש, שמדינות יכולות היום לתקוף אחת את השנייה בסייבר ספייס, ויכולים לשתק מערכות שלמות של מדינה, גם את המערכות האזרחיות וגם את המערכות של תשתית, חשמל, שדה תעופה, אנרגיה, הכל פתוח. האקרים קיימים בכל מקום בעולם ולדעתי גם עושים מאמצים גדולים בתחום הזה, והיו דברים מעולם. אסטוניה היא דוגמה בולטת למדינה שבה נעשתה התקפה כזאת, שמוטטה את התשתיות שלה למשך 48 שעות. סין וארצות הברית פועלות או פעלו אחת נגד השנייה בתחומים שונים, כולל שיתוק לוויינים בחלל. זאת אומרת המערכות פתוחות.
יש כמובן הגנות על מערכות, כל אחד עושה הגנה כמיטב יכולתו, השאלה עד כמה באמת ההגנה הזו אפקטיבית, מה יש לנו, או מה נוכל, או מה צריך או מה אפשר לעשות כדי לקדם את פני הרעה במידה וזה יקרה. מה יקרה אם מחר באמת תהיה התקפה על מערכות תשתית של המדינה מבחוץ, כי היום הכל נשלט באמצעות מחשבים והשאלה איך נערכים כשיש התקפה כזאת, אם מצליחים למוטט או לפגוע באתר מסוים.
יש דוגמאות גם מארצנו הקטנטונת. בתקופת מלחמת לבנון היו התקפות הדדיות על אתרים שלנו ועל אתרים של החיזבאללה מצד שני. במלחמת 'עופרת יצוקה', היו שוב התקפות, גם נגדנו וגם הפוך, של ישראלים שתקפו את האתרים של החמאס. זאת אומרת הדברים פתוחים וקיימים ויכולים באמת לגרום לאסון גדול. היום, כשהכל נשלט בתקשורת, היכולת של השיטה, וראינו כל מיני סרטים, אמנם דמיוניים, בטח גם אתם, שמתעסקים במחשבים, ראו את הסרטים הללו, איך משתלטים על מדינה שלמה באמצעות האינטרנט, כשהכל פתוח.
האמת היא שאחד הדברים המעניינים הוא שבעצם אין בעולם כולו, לדעתי, חקיקה, או חוקים שיוצרים הגנה, או יכולים בכלל להתמודד עם הסוגיה הזאת. זה לא נפתר, כל אדם מגן על עצמו. אני הייתי בפורומים בין לאומיים שדנו בנושאים הללו, אין בעולם הגנה בחקיקה במדינות, אין שליטה במערכת של האינטרנט, זה פתוח לחלוטין.
זה הכיוון של הדיון שהייתי שמח לשמוע. הזמנו פה אנשים רבים, קבוצות, מנמ"רים של משרדי ממשלה, נמצא איתנו גם מר טל הרמתי, הוא סגן חשב בכיר לחשב הכללי ואחראי על המחשוב בממשלה, נמצאים איתנו לשכת מנתחי מערכות המידע בישראל, נציגי ועדת ההיגוי להיערכות לרעידת אדמה, רח"ל, רשות החירום הלאומית, מרכז השלטון המקומי, ספקי תשתיות האינטרנט, חברות טלפונים, מומחים מחברות מערכות ידע, איגוד חברות הביטוח, איגוד הבנקים, איגוד לשכות המסחר, איגוד המהנדסים, התאחדות התעשיינים, הקבלנים, ומוזמנים נוספים, וכל מי שביקש לבוא.
אני רוצה לומר שהובא לידיעתי תקציר ספרו של ריצ'רד קלארק. אני לא יודע אם אנשים ראו או קראו את זה. הוא בכיר לשעבר בבית הלבן, שהיה יועצם של חמישה נשיאים לנושאי חירום וגם לנושאים של IT ותשתיות לאומיות, ובספרו בעצם הוא מאשים בצורה די חריפה את מייקרוסופט שהם הפעילו לחצים בלתי נסבלים על השלטון האמריקאי, למנוע מצב שהם ידרשו להשתמש בלינוקס, נגיד, מול מייקרוסופט, או למנוע מצב שידרשו ממייקרוסופט לעשות הגנות יותר רציניות על המערכות שלהם. בעצם מייקרוסופט נמצא במצב שבו יש פריצות כל שני וחמישי וצריך עדכוני אבטחה כל הזמן. הוא טוען בעצם שמייקרוסופט הצליח, באמצעות לובי כבד, עשיר, חזק, על כל הממשל, למנוע התקנת הגנות יותר משוכללות על המערכות של מייקרוסופט בארצות הברית, וכמובן מנע גם מממשלת ארצות הברית לפעול, לפי דבריו, להחליף את מערכות ההפעלה שלהם, למשל ללינוקס, שאולי הוא יותר מוגן מאשר מייקרוסופט. הוא מביא את זה כדוגמה להראות שמערכות שלמות, גם בעולם, בארצות הברית... הוא בעצם מסיים באזהרה מאוד חמורה שגם ארצות הברית זו מדינה מסוכנת ביותר בתחום אבטחת המידע. אני מצטט אותו. אני עצמי לא בקי במערכות של ארצות הברית, אבל הוא באמת היה שלושה עשורים יועץ בכיר בבית הלבן, בפנטגון, במחלקת המדינה, והיה יועץ מיוחד לענייני טרור ומודיעין של חמישה נשיאים אמריקאים, עד מחצית העשור הנוכחי. היום הוא שותף בחברת הייעוץ והאבטחה שנקראת גוד הרבר, שבאה מהמלה פרל הרבר, שם היתה התקפת פתע על האמריקאים בנמל הפנינים. הוא היום יועץ לחברות כיצד לעשות אבטחת מידע כוללת וטובה.
ובכן, זה שדה עצום, אתם ודאי יותר מקצוענים ממני בתחום הזה ויודעים הרבה יותר ממני בתחום על אבטחת מידע. אני רוצה לומר, אגב, שאנחנו תמיד חשים ואנחנו בטוחים שאי אפשר לנגוע בנו, שהמחשבים שלנו מוגנים, יש לנו, יש לנו זה. מסתבר שזה לא ככה. אני רוצה לומר שאני עשיתי פה משהו, שאנחנו גם נראה אותו היום, הזמנתי חברה שהיתה אצלי בפגישה, קומיטרי, שהציגו בפניי דבר מדהים ומזעזע, שבעצם אפשר להיכנס לכל אינטרנט, די בקלות, לכל אדם עם מחשב, שחושב שהוא מוגן. כשאתה לוחץ על לינק אתה בעצם יכול ללחוץ על דבר אחר שמעביר את כל האינפורמציה שלך לצד השני, להוא שמעוניין באינפורמציה, והוא יכול להשתמש בזה מחר לעשות כל פעולה בשמך. או כשאתה נכנס ומקבל אי מייל ומגיב אליו או עונה, או עונה להגרלה, או דבר כזה, מאחורה, ברקע, כשאתה לא רואה את זה בכלל, אתה בעצם מוסר את הפרטים שלך כולם לגוף שלישי. הם ידגימו את זה פה, אני חושב שאפשר להדגים את זה באופן חד וחלק. ביקשתי שיראו דוגמה, שחושבים שהכל בטוח ושום דבר לא בטוח. הדוגמה שהם הביאו, הם הצליחו לגנוב אלפי, עשרות אלפי חשבונות של בנק הפועלים, את הפרטים של אנשים, ושלחו להם מין אי מייל כזה בפישינג לרכוש את הנתונים שלהם, ו-8,000 מתוך עשרות אלפים הגיבו באמת ואז הם העבירו כסף קטן מכל אחד, קצת כסף לחשבון שלהם, שהסתכם בדי הרבה כסף. זאת אומרת, גם מערכות של בנקים ואחרות לא בהכרח מוגנות. פעם ברק אמר 'הכל שפיט', אני אומר 'הכל תקיף, הכל פריץ והכל שקיף'. מעניין יהיה לשמוע את האנשים העוסקים בכך באמת, מה מידת החשש. אולי אני חרד יותר מדי, אולי אין לזה ידיים ורגליים ואולי באמת המצב הוא כזה שהכל מוגן ואין מה לחשוש, אבל הרושם שלי, אני אומר בצער, הוא לא כזה, ואני אשמח כמובן לשמוע את האנשים הנוגעים בדבר.
ראשון הדוברים, מר נסים בראל, יושב ראש חברת קומסק, יועץ ומומחה לאבטחת מידע, איגוד הבנקים בישראל, מומחה בין לאומי.
נסים בראל
¶
בוקר טוב. אחרי ההקדמה של היושב ראש נשאר לנו רק מעט להוסיף לדבר הזה. אבל הייתי רוצה באמת לחלק את זה לשני התחומים, גם התחום של ההתגוננות וההתאוששות במקרים של אסונות, בין אם זה טבע ובין אם זה התקפות סייבר טרוריסטיות כאלה ואחרות, ואחר כך אולי גם להתייחס לדברי היושב ראש בכל הנושא של האמנם הכל פריץ או לא פריץ ומה צריך לעשות בעניין הזה.
בנושא הראשון של השיקום וההתאוששות במקרה של אסון, אני יכול להסכים, המצב הוא קטסטרופלי. אם היינו רוצים את השורה התחתונה אפשר היה להסכים על ההגדרה הזאת ולומר 'הנה', אבל המצב הוא קטסטרופלי תחת הרבה מאוד פעילות שנעשית, גם במדינת ישראל וגם בנושאים של רגולציה בעולם. אני, כיושב ראש חברת קומסק, וגם כמי שפעיל הרבה מאוד במערכות הבנקאות בישראל, מייצג את ישראל גם בארגון של ANISA, שהוא European Network International Security Agency, הסוכנות לאבטחת מידע שמחוקקת או כותבת את הדירקטיבות לאיחוד האירופי וגם ב-ICC העולמי, אותו International Camber of Commerce.
אז אולי כמה מלים לגבי החקיקה, בשביל להיות על פלטפורמה אחת, האמנם הכל פרוץ? האמנם יש דברים שבכל זאת נקבעים ומה המצב בישראל לעומת המצב במקומות האחרים. באשר לאירופה, צריך לומר בפירוש שהדירקטיבה של ANISA, שהיא סוכנות אבטחת המידע של האיחוד האירופי שמכינה את הניירת לפרלמנט האירופי, סיימה את עבודתה בהגדרה מדויקת של מה הם התהליכים בהתגוננות מפני התמוטטות של מערכות. נשאר פרק שלם שיגיע כנראה לפרלמנט, ללא פירוט אותו פרק, מה היא התמוטטות של מערכות, כי עדיין יש מחלוקת והיושב ראש, חבר הכנסת שטרית, עלה עליה מיד בפתיח של הדברים, שונה מאוד ההתגוננות וההיערכות למקרים של התמוטטות מאסונות טבע, רעידות אדמה, אש, שיטפונות, וגורמים חיצוניים, ולנו בישראל, ואולי בעוד כמה מדינות, צריך להוסיף עליהם את נושא התקפות הטרור הפיזיות וסיכוני המלחמה שבהם אנחנו נתונים. כבר לפני 15 שנים נפל טיל בתל אביב, ברחוב אלנבי, כאשר במרחק של פחות מ-700 מטורים, ברדיוס של 700 מטרים, היו 7 מוקדי מערכות מידע ראשיות של מדינת ישראל, בנקים ותנובה וחברת ביטוח והרשות לניירות ערך והבורסה לניירות ערך, כולם ברדיוס של 700 מטר. אז לנו יש את הסכנות הנוספות. ANISA פרסמה את ההגדרה שלה והכינה את הנייר והוא יגיע לקבלת החלטה של הפרלמנט.
הגוף השני שעוסק בזה זה ה-ICC, כאשר ה-ICC כן מתייחס לסיכוני הטרור. כל הנושא של טרור באמצעות מחשבים. מי שזוכר, יושב ראש ה-ICC העולמי היה פה בארץ לפני ארבע שנים ונתן הרצאה באחד הכנסים, שבהם השתתפנו, שבה הוא אמר שזה נושא שהוא על סדר היום של ה-ICC. כאשר נושא הוא בסדר היום של ICC הוא הופך להיות נושא בכל העולם העסקי, לא בעולם הממשלתי והציבורי, אבל בכל העולם העסקי.
בישראל גם נעשתה עבודה, אסור להזניח את זה ואסור להתעלם מזה, כי מכון התקנים הישראלי אימץ, עדכן, תרגם וקיבל את תקן ה-ISO שהוא התקן הבין לאומי האמריקאי, שאומץ על ידי הבריטיש סטנדרטס לנושאים של שיקום והתאוששות. כך שיש גם תקן ישראלי. הוא לא תקן מחייב, הוא לא תקן במובן של אתה צריך תו תקן עליו, אבל הוא תקן מנחה, הוא תקן שמוביל והוא תקן שנותן לגופים את אבני הדרך של הפעילות שהם צריכים לבצע. אלא מאי? שמסתבר שישנו פער גדול מאוד בין השיקום וההתאוששות לבין כל התהליך שמסביב. מה הוא התהליך שמסביב?
עוד משפט אחד לגבי תקנים. צריך לזכור גם את ההנחיות של הרגולטורים האחרים. המפקח על הבנקים הוציא הנחיה מאוד מסודרת בעניין הזה לגבי הבנקים והבנקים ממלאים אותה מ-א' עד ת' ואנחנו רואים יפה מאוד את העבודה בעניין הזה. אבל גם הממונה על שוק ההון הוציא את אותה הנחיה לגבי המוסדות הפיננסיים האחרים, כך שהדבר הזה במישור העסקי קיים. איפה הוא לא מכוסה? הוא לא מכוסה בכל אותם מגזרים שהם מתחת לרדאר של הרגולטור, כל אותם סמול אנד מדיום ביזניסס, כל אותם אינטרפרייזס שלא חלים עליהם כל אותן ההגדרות.
הדבר השני שעליו חובה לשים את הדגש, ואני חושב שזו אולי האחריות של כולנו, מנמ"רים ומנהלי יחידות וכולי, היא האם אמנם אנחנו יודעים איך לקום ולהשתקם ממצב של משבר לא רק מנקודת מבט של המערכות. אני הייתי מעורב באופן אישי בתחקיר של אסון טבע שקרה במקסיקו, רעידת אדמה במקסיקו. הבנק שאנחנו מכירים אותו היטב טיפל כהוגן, טיפל נכון, שם את כל האמצעים במקום אחר, הכין אתר גיבוי והיתה לו רק בעיה אחת; אי אפשר היה להגיע מהמקום האחד אל המקום השני. זה הכל. המשאיות היו שם, הכלים היו שם, הצוותים היו שם, פשוט לא היתה דרך, היה צריך להתארגן עם הליקופטרים, דבר שלא היה מוכן ומובן מראש.
בשיקום והתאוששות מאסון הבעיה העיקרית, וזה הבריטים מובילים בצורה ברורה בעניין הזה, היא איך אתה מתרגל את כל תרחישי האסון לשיקום והתאוששות שלך. זה שיש לך אתר גיבוי במקום אחר, זה מובן מאליו, ואני חושב שרוב הארגונים הגדולים עושים את זה. זה שיש לך הסכמי גיבוי עם גופים ענקיים אחרים, ובארץ קמו שניים-שלושה גופים שיכולים לתת שירותים כאלה בצורה יוצאת מגדר הרגיל, זה בהחלט תהליך חשוב, אבל מה אתה עושה עם כח האדם? מה אתה עושה עם הנהלים? מי מפעיל את התהליך הזה? באיזה אופן יש לך את האמצעים האחרים? איך התקשורת הפיזית שלך והאלחוטית והלוויינית שלך עובדת? אני יודע שהיושב ראש עוסק הרבה מאוד בנושא של תשתיות האינטרנט של מדינת ישראל ורוחב הפס שלהם ומהירות הגלישה שלהם. אתה עושה ככה בגלל ההישגים, הם לא מי יודע מה, אבל אני יודע שאתה עוסק בזה רבות.
נסים בראל
¶
האירוע האחרון שכן הצליח, שהשיקום היה מוצלח, היה ב-IRS, ברשות המסים האמריקאית. הצפה בגובה של למעלה מ-1.20 מטר הרסה את כל מערך המחשוב של הרשות למסים האמריקאית, ה-IRS בוושינגטון די.סי, ובתוך ארבעה ימים כל המערכת עבדה מהבתים של האנשים. כולם עבדו. עשרות אלפי עובדים עבדו מן הבתים, בהסדר שהיה מאורגן. מערכות המידע והגיבויים היו כמובן במקומות שהיו צריכים להיות, אבל כל העובדים שלא יכלו להגיע בוושינגטון די.סי וכל התקשורת שהלכה לאיבוד וארונות התקשורת והסוויצ'ים וכולי, אנשים פשוט, בתרגולת מוכנה מראש, פעלו מהבתים ונתנו שירות במשך, נדמה לי, שלושה שבועות או 17 ימים מהבתים. חוץ מאשר המוסדות, שהם מחוץ למרכזי המחשבים.
האם בישראל אנחנו יכולים לעשות את זה?
נסים בראל
¶
זאת דוגמה שהצליחה, אבל ישנן הרבה מאוד דוגמאות שלא הצליחו ואלה אותן דוגמאות שבהן אתה ערוך ומוכן על פי התקינה ועל פי הסטנדרטים הבין לאומיים עם אתרי גיבוי שלך, אבל אתה לחלוטין לא מוכן עם התרגולות שצריך לבצע.
מה שהאירופאים עשו, בעיקר הבריטים, ובבריטניה זה מוביל בצורה מדהימה, הם הכניסו לתוך הרגולציה את החובה של התרגול. אני יודע שהבנקים, שאנחנו מייעצים להם אז אני יכול לדבר בשמם, כי אני גם נציג איגוד הבנקים, אני לא יודע לגבי אחרים, יכול להיות שרבים אחרים עושים את זה, אבל במערכת הבנקאית יש נוהל מסודר שבו יש תרגול מלא, מ-א' עד ת' למקרה שמערכת נופלת. האם אפשר לעשות את זה בארגונים אחרים? האם צריך רגולציה לעניין הזה? האם מישהו צריך לחייב את זה? אז בבריטניה חייבו, בבריטניה אתה נמצא באמצע הרצאה---
נסים בראל
¶
לא, חייבו את השיטה כתוספת ל-BS, שהוא זהה בדיוק לתקן הישראלי, הוציאו הנחיות שהם רגולטוריות מפורטות, שאומרות כמה פעמים כל סוג של ארגון צריך לעשות תרגולת כזו.
בבריטניה זה הולך גם לגבי תרגולת אש ולגבי תרגולות של הצפות וכיוצא באלה. אתה צריך להפעיל סירנות, לצאת החוצה גם כשיורד שלג ולחזור אחרי עשר דקות, בשביל לראות שכולם יודעים לרדת במדרגות ולעלות וזה לפעמים מגוחך. לנו, הישראלים, שנמצאים בתוך איזה בניין, אומרים 'טוב, תיקחו בחשבון שבעוד עשר דקות תהיה אזעקה, אנחנו נפסיק את הישיבה, נרד ונעלה חזרה'. לנו זה נראה מגוחך, אבל לפעמים זה עוזר, זה חוסך לנו מקרים שבהם אם יש שריפה באיזה מפעל, שהמנהל והצוות שלו לא צריכים באמת להיכנס ולשלוף החוצה את המחשב מתוך השריפה הזאת. זה נראה כזה קצת לא בדיוק הדבר הנכון.
אז בנושא של התרגולות, אולי הנחיה מכיוון הכנסת, אולי הנחיה מכיוון של רגולציה מכל כיוון שהיא, יכולה לעזור הרבה מאוד.
באשר לטרור מחשבים; זה נושא בעל השלכות עצומות. מי שקורא את העיתונות, ביומיים האחרונים מופיעה ידיעה פשוטה כזאת, דווקא לא בכותרות ראשיות, שאומרת שיש חדירה למחשבי נסד"ק וגורמים, רוסיים ככל הנראה, דרך אגב אף פעם לא יודעים מה זה רוסים/לא רוסים, אתה רק רואה כתובות IP ואתה יכול להגיד מה שאתה רוצה. אבל אתה קורא ידיעה שאומרת 'חדרו למחשבי נסד"ק ולמחשבים של חברים הקשורים', אתם יודעים שבנסד"ק כל המסחר מתבצע באמצעות מחשבים, הקניות, המכירות וכולי, ולא גרמו לשום נזק. לכאורה חלק מהאנשים אומר 'איזה יופי, טוב, חדרו, לא גרמו לשום נזק', אבל זה בדיוק התהליך, ונמצא כאן מר טל הרמתי והוא יודע, כי אתם עושים עבודה מדהימה בנושא תהיל"ה, בנושא של ההתגוננות... דרך אגב, אם צריך לתת פה איזה קומפלימנט, זה למי שיושב לצדך ולחברים האחרים שהקימו את זה, כי בנושא של ההתגוננות הזאת מפני התקפה, בנושא של ממשל זמין וכל נושא תהיל"ה, אין שום ספק שמתבצעת פה עבודה שלא מתבצעת בהרבה מדינות אחרות. אבל אם אני חוזר רגע לאירוע הזה, זו בדיוק הדרך. המומחים לאבטחת מידע יסבירו לכם, אף התקפה לא מתבצעת על ידי זה שאתה מגיע, יורה בכל התותחים וחוזר אחורה. זה לא קורה. אתה נכנס למערכות, אתה לומד את דרך הפעולה שלהם, אתה לומד את מנגנוני ההגנה שלהם, אתה עובר כל פעם ושותל את הדברים שאתה רוצה לשתול במקומות הנכונים, לומד את אופן התגובה של הארגון ושל המערכת הטכנולוגית, ורק אחר כך אתה מבצע את ההתקפה הגדולה. עכשיו תנסו לדמיין התקפה של מערכת... לא יודע, אני לא רוצה לתת דוגמאות.
לסיכום, הנושא הזה הוא נושא נכון, גם מפני התקפות טרור, וישראל, מה לעשות, היא יעד לדבר הזה. החבר'ה של תהיל"ה יכולים לספר לכם כמה עשרות אלפי התקפות כאלה קורות ביום, בשעה למעשה, בעשרות אלפים, ואנחנו יעד, ואנחנו גם יעד לדברים הפיזיים, בגלל המלחמה, בגלל הסכנות האחרות של רעידות אדמה, שהיא נושא מפורט.
היו"ר מאיר שטרית
¶
תודה רבה למר נסים בראל.
מר רפי שקולניק, המנהל הכללי של חברת נט-אפ, מתמחה בפתרונות מחשוב לשעת חירום. בבקשה.
רפי שקולניק
¶
קודם כל, נעים מאוד, תודה רבה על ההזדמנות. אני מנכ"ל חברת נט אפ ישראל באגן הים התיכון. אפרופו סייבר ספייס, חברים, טורקיה היא חלק מהאזור שלנו, זה חלק מהעניין.
הכיוון שאני מסתכל עליו הוא כיוון שונה. כיוון שונה, אבל שאני חושב שישלים מאוד מאוד את... אהבתי את ההרצאה הזאת, אני חושב שהיא בסיס למה שאני הולך לדבר עליו. בעצם מה זה אסון ברמה שלכם, של המנמ"רים, המנמ"רים של הממשלה או המנמ"רים של המגזר הציבורי? אנחנו מדברים הרבה על רעידת אדמה, אנחנו מדברים הרבה על בעיות של שפות, רלוונטי מאוד, חם מאוד עכשיו, אבל זה מתחיל הרבה למטה, הרבה יותר נמוך. אנחנו מדברים על כשל של מערכת בודדת בחדר מחשב, אנחנו מדברים על כשל של אפליקציה, אנחנו מדברים על כשל חדר מחשב, או יותר מזה, כשל של אזור שלם, שזה בעצם מגיע חזרה לכיוון רעידות האדמה והלאה. כולם פה יודעים להתמודד נגד כשלים בודדים. אין היום מערכת בחדר המחשב שלא מגבה את עצמה בצורה כזאת או אחרת. זה קל, זה פשוט, את זה כולנו עברנו. מה קורה כשחדר מחשב נפגע? האם אנחנו יודעים לעשות משהו כשחדר מחשב נפגע ואז...
היתה לי הבוקר שיחה עם אחד המנמ"רים של חברה אמריקאית, הוא אומר 'רפי, אתה זוכר מתי התחלנו לעשות DRP?' מתי? ב-91', במלחמת המפרץ, האמריקאים הכריחו אותנו לעשות את זה. זה מצב מאוד מאוד סטנדרטי במדינת ישראל. אנחנו מחכים שיקרה או אסון, או שתהיה לנו הוראה מלמעלה.
זה כמו מה שאמרת קודם, הממונה על הבנקים כפה על הבנקים במדינת ישראל לעשות לא רק DRP. מושג חשוב מאוד שצריך להשתמש בו, הוא PCP. אנחנו מדברים הרבה על disaster recovery. אנחנו יודעים לקחת את המידע ולהעביר אותו למקום אחר, ורוב האנשים פה, אם תשאל אותם אם יש להם DRP, יש להם אתר DR. זאת אומרת המידע משוכפל בזמן אמת או סמי אמת למקום מרוחק. כמה אנשים יוכלו להעביר את פעילות החברה, דיברת על ה-IRS בארצות הברית, כמה אנשים יוכלו להעביר את הפעילות של החברה, business continuity, למקום אחר---
רפי שקולניק
¶
למקום קיים שהוכן מראש למען המשכיות עסקית. המשכיות עסקית זה המושג שאני חושב שגם משרדי ממשלה משתמשים בו, אבל גם בבנקים. דרך אגב, הממונה על חברות הביטוח עושה עבודה מקסימה, הוא כפה על חברות הביטוח, ואני חושב שיש עוד גופים פיננסיים במדינת ישראל, ראיתי פה לובשי מדים, אני יודע שמשרד הביטחון חושב על זה ביום יום שעה שעה, ויותר מזה, נפגשתי לפני שבועיים עם החבר'ה שאחראים על הירידה לנגב. זה הדבר הראשון שהם שואלים. הירידה לנגב זה דבר נחמד, מה עם? מה קורה עם? אלה הדברים שצריך לחשוב עליהם.
עשיתי איזה סקר אתמול בערב, עם איש המכירות שאחראי על המגזר הממשלתי. עברנו על 17 משרדים ממשלתיים. ב-4 מהם DR בכלל, אין שכפול מידע.
רפי שקולניק
¶
משרדים ממשלתיים, כולל הכנסת, כולל הכל. לכנסת יש. בשבעה יש DR, אבל של מידע בכלל. זאת אומרת אין המשכיות עסקית עדיין.
רפי שקולניק
¶
שאלה מעולה. תיכף ניכנס לדבר הזה.
ב-5 יש תהליך DR בדרך. מתוך ה-7 שיש להם DR, ביררנו בכמה מהם הוא מרוחק. בתקן האמריקאי 'מרוחק', וזה אחרי 11 בספטמבר, מדובר על 8 מייל לפחות. כל דבר שנמצא בטווח של פחות מ-8 מייל לא מוגדר לפי התקן האמריקאי כ- disaster recovery. אני לא מדבר על PCP וכולי וכולי. כמה מתוך ה-7 האלה? יש אחד בדרך. ודרך אגב, אתם מייצגים בדיוק את מה שקורה במדינת ישראל. אם אין כפייה מלמעלה, אם אין רגולציה שמכריחה גופים לעשות את הדברים האלה, זה פשוט לא קורה.
רפי שקולניק
¶
אנחנו נדבר על השרפה, כי לצערי, אנחנו קשורים לזה בצורה די טובה. אבל כן, היא עזרה. לא היה גיבוי בכלל.
רפי שקולניק
¶
אנחנו עושים עבודה מצוינת בלהתגבר על קטסטרופות שקורות. ברגע שקורה, אנחנו מצוינים בכיבוי אש, עזבו את הכרמל כרגע, אנחנו מצוינים בכיבוי אש. אנחנו יודעים להתגבר, או לפתור בעיה אחרי שזה נכפה עלינו מלמעלה, או רגולציה. ואין שום בררה, במדינת ישראל, מאשר לכפות על חברות שהמדינה יכולה לכפות עליהן, כלומר חברות פרטיות יהיו מחוץ לחוק הזה, אבל כל חברה צריכה להיות בכפייה שהיא יכולה לעבוד גם בשעת חירום. שעת חירום, אם זה שרפה, שעת חרום זו הצפה... אין פה כמעט אחד שלא חווה הצפה של חדר מחשב. אנחנו עובדים עם מזגנים, אין מה לעשות, כמעט כל אחד עבד עם מערכת כיבוי אש שהתפרצה באמצע הלילה. גם לובשי המדים יודעים על מה אני מדבר, זה קורה, זה קרה וזה יקרה. חייבים להיות מוכנים מול הדברים האלה.
פה מדברים על איקאה, כי אני חושב שזו דוגמה מצוינת. אני לא מוסמך על ידי איקאה לדבר בשמם, אז אני מאוד מאוד אזהר במה שקרה שם.
רפי שקולניק
¶
החדשות המצוינות, שכל מי שהזמין מאיקאה, מגובה. שוב, משמים לפעמים, לפני שלוש שנים התקינה נתניה מכונת אחסון מידע, מן הסתם שלנו, באתר בנתניה. בתוך האתר הותקנה לפני שלוש שנים מכונה. לפני שנה הוקם הסניף בראשון לציון, בינואר או פברואר בשנה שעברה הוא נפתח. שמו שם מכונה שנייה, ובעצה אחת עם היועץ של המחשוב שם הוספנו מעט מידע. זה פשוט, זה קל, כולכם יודעים איך עושים את הדבר הזה, ושכפלנו מידע. כל נושא ההזמנות, כל נושא החשבוניות מגובה. אבל בחברות אחרות בחרו לקחת את הדרך, קוראים לזה טירינג של מידע. כל חברה יודעת לעשות טירינג של מידע. יש לחברה מידע קריטי לחברה, שבלעדיו החברה יכולה להפסיד הרבה כסף, לצאת מהביזנס. יש מידע פחות קריטי, למשל המלאים. יש חברות ביטוח, ברוך ה', פחות מעניין. אז לא כל דבר, ושוב בלי להיכנס לפרטים, כי אני לא מוסמך, באיקאה עשו DR, באיקאה יודעים היום לספק ציוד, אם יש ציוד---
רפי שקולניק
¶
זו בדיוק השאלה. לעשות את ה-DR הראשוני עולה כסף, לעשות טירינג של מידע, שוב, תלוי בגודל המידע, יש מקומות שאתה מקבל על מאות טירה, וגם על פחות, ששם טירינג כן עושה שכל. אם יש אפשרות לעשות באק אפ מקומי, כולם עושים באק אפ לדיסק, כולנו עושים דברים מקומיים, אבל ברגע שיש DR, לקחת את זה לרמה של DR ללא טירינג, DR מושלם, אני חושב שזה צריך להיות בכפייה. לקחת את זה לרמה של BCP? לא כל ארגון צריך BCP, business continuity. תחשבו על איקאה, האם לאיקאה יש בעיה של BCP? להם אין בעיה של BCP. הדבר הזה עובד מכאן ומכאן.
רפי שקולניק
¶
המנהל הכללי שלהם דיבר יפה מאוד, אני מקווה שזה לא יקרה. אבל אני רוצה להבדיל, שוב, בין גיבוי מקומי, disaster recovery, ו-BCP. מעט מאוד גופים עסקיים, מעט מדי גופים עסקיים עושים BCP. לא כולם צריכים, אבל בין אלה שצריכים, באחוז מאוד מאוד מאוד נמוך עוברים ל-BCP.
עכשיו דיברת על דבר מאוד מאוד חשוב, בדיקה. חלק מהרגולציה חייבת להכניס בתוכה בדיקה תקופתית. לפני חודשיים בערך עברנו לילה שלם עם אחת מחברות הביטוח, עם משהו כמו 700 טירה של מידע, אפליקציות שונות, כולכם יודעים מה זה חברות ביטוח, כמה זה מורכב---
נסים בראל
¶
זו אותה הנחיה. חברות הביטוח ביוזמתן גם עשו הרבה לפני זה והם עשו עבודה בתחום הזה. זו אותה הנחיה.
רפי שקולניק
¶
זו אותה הנחיה, לדעתי היישום שם עדיין לא תפס במאה אחוז. אבל בחברות ביטוח, שוב... זה תהליך לא פשוט, לעשות בדיקה של disaster recovery אמיתי, להעביר אתר לאתר משנה, לפעול ממנו שעה-שעתיים ולחזור, זה תהליך של או סוף שבוע, או לילה שלם. אף אחד לא עושה את זה בשעות העבודה וזה תהליך לא פשוט. ולכן כשאתם עושים את זה בחברות כמו חברת ביטוח, לקח לנו לילה שלם של בדיקה, כולל שעתיים סימולציה של עבודה אמיתית מול אתר המשנה ולחזור.
אבל מה קורה בחברות של כרטיסי אשראי, שלא יכולות להשבית עבודה? אלה חברות שעובדות 24/7, כי אם מישהו מוציא כסף באוסטרליה, הוא צריך לקבל את הכסף בשעות היום שלו, כך גם בארצות הברית, כך גם באירופה.
יש בעיות והדברים האלה צריכים להיות בכפייה וצריכים להיות בחקיקה וצריכים להיות ברגולציה, וכרגע מה שחסר, אני חושב, במדינה, זה נושא של רגולציה, איפה שהמדינה יכולה כמובן להתערב.
שוב, משרדי ממשלה עוברים עכשיו לאיזה שהיא הוראה---
רפי שקולניק
¶
מצוין, אז אני אחסוך לי את זה, אבל התהליך הוא תהליך של כיוון disaster recovery.
פסוורד נוסף, חזק מאוד, שנולד בשנה האחרונה זה הנושא של ענ"ן. אני חושב שזה הוזכר בסשן הקודם פה. אחד הפתרונות יכולים להיות בנושא של ענ"ן.
רפי שקולניק
¶
הבעיה הראשונה היא להגדיר מה זה ענ"ן. אחרי שיגדירו מה זה ענ"ן, ג'ימי לא פה, אבל ג'ימי מאוד אוהב לדבר על ענ"ן. הנושא של ענ"ן יכול לתת איזה שהוא מענה שיכול לקחת את כל משרדי הממשלה ולהסדיר את הנושא הזה אחת ולתמיד.
היו"ר מאיר שטרית
¶
תודה רבה.
הדובר הבא הוא מר יגאל שניידר, מנכ"ל חברת שניידר ומומחה להקמה ותכנון חדרי מחשבים בארץ ובעולם. הוא יסביר למה לדעתו חדרי המחשבים בישראל לא מוגנים. בבקשה.
יגאל שניידר
¶
החברה שלנו מתמחה בתחום הפיזי של חדרי מחשב, התשתית הפיזית, וזו זווית הראייה שלנו ואני רוצה להראות לכם בכמה תמונות ולהסביר בכמה מלים מה הסכנה כאן וכיצד ניתן באמת להתכונן אליה.
פעילות המשק שלנו תלויה באולמות מחשבים, חדרי מחשב, דטה סנטר, חברות שרתים, שמות שונים לאותו דבר. בסך הכל כמו שלאֳנייה יש חדר מכונות שאם תשבית אותו, האנייה תשוט בחוסר ישע במים, כך גם חדרי המחשב שלנו, אלה למעשה חדרי המכונות של המשק כולו.
הרעיון הוא לא רק שאנחנו צריכים להתמודד עם אסון ולהתכונן לאסון, אלא גם לחשוב על התאוששות מאסון. הטענה שלי שבמידה ותהיה רעידת אדמה משמעותית במרכז הארץ, היכן שנמצאים מרבית חדרי המחשב, הרי שלמעשה כשאנחנו נרצה להתאושש מאותו אסון, תרצה להתקשר הביתה, לשאול אם הכל בסדר, הטלפון לא יעבוד, לא יהיו טלפונים סלולריים, לא יהיו טלפונים קוויים, נרוץ לכספומט להוציא כסף, זה לא יעבוד, כוחות הביטחון, דווקא בזמן שבו אנחנו מאוד מאוד פגיעים, יהיו חצי משותקים. בקיצור, זה יכול לקחת את המשק שלנו 30-40 שנה אחורה.
בדרך כלל כאשר יש רעידת אדמה או כאשר יש אסון, חברות שומרות את המידע הזה בפנים. חברת בואינג התנהגה בצורה קצת שונה ושיתפה את העולם למעשה בניסיון שלה, משם שדדתי את המצגת, רעידת אדמה בוושינגטון, 6.4 בסולם ריכטר, ואנחנו רואים שלמרות שחדר המחשב או הבניין שבואינג עבד, כי הוא תוכנן לצורך רעידת אדמה, אז ההגנה על התוכן לא היתה קיימת וחדר המחשב נחרב. ניתן למצוא באינטרנט מידע רב מחברת בואינג בנושא הזה, מה קרה להם באותו אסון וכיצד הם התמודדו איתו ומה קרה אחר כך, איך הם התכוננו לאסונות אחר כך.
למעשה הסיכון של השמדת חדרי מחשב הוא קריסה של מערך החירום ושיתוק חלקי של המשק וניתן להניח שבמידה ויושבתו מספר משמעותי של חדרי מחשב, יש מעט מאוד חברות בארץ שמסוגלות להתמודד ולתקן את זה ולכן אותו שיתוק חלקי יכול גם לארוך זמן רב.
כאשר אנחנו באים להגן או להגדיר את הסיכון, על מה אנחנו רוצים להגן, אנחנו באמת צריכים לחשוב טוב טוב מה אנחנו רוצים לעשות ועל מה אנחנו רוצים להגן. יש כמובן סכנה לעובדים, זה מאוד מאוד חשוב, אובדן חומרה ואובדן נתונים, ואני חושב שהרבה אנשים מתכוננים לעניין הזה, אבל כמובן מה שאנחנו רוצים לעשות זה למנוע השבתה. זה העיקר האמיתי של קיום דיסקית, למנוע השבתה של חדרי המחשב.
בדרך כלל כשאנחנו מדברים עם אנשים על הנושא הזה, הגישה היא אפס מעשה, חוסר מודעות לסיכון, חוסר ידע לגבי הקיום של הפתרון, עם מחשבה מוטעית שההכנה לאסון הזה, או הרצון להתמודד עכשיו עם הנושא הזה, דורשים תקציבי עתק והשבתות וכל הדברים האלה שבסך הכל לא נכונים. יש הרבה פתרונות במשק. זה פתרון אחד, פתרון של שיקום.
אני יכול להראות כמה תחומי מחשב שלמעשה תוכננו לעמוד בפני רעידת אדמה ויש גם הגנה על התוכן, הם פשוט משובחים, הארונות הללו, וכאשר יש רעידת אדמה ויש אנרגיה קינטית, למעשה הציוד לא ייפגע. כאן אנחנו רואים ארונות סטורש, שעומדים על בסיסים כאלה ולמעשה אני יכול להראות לכם בתמונה אחת, קשה מאוד לדגם את זה, אנחנו נראה כאן מבחן שנעשה על ידי אלברמן אנרג'י בארצות הברית, במעבדה. אנחנו רואים שלושה ארונות שרתים שעומדים על רצפה צפה ואנחנו יכולים לראות מה עוצמת הזעזוע שהארונות שלנו, או חדרי השרתים, יספגו במקרה של רעידת אדמה. במקרה הזה יש בסיס שסופג את האנרגיה הקינטית של רעידת האדמה, את השיפור, קל מאוד להדגים אותו. זה לא עולה הרבה כסף, פשוט ניתן למגן את התשתית של חדרי המחשב בצורה די קלה, מה שצריך כמובן זה מודעות לצורך העניין הזה.
השאלה כאן אם הרצפה היא עמידה והתשובה היא, אני לא רוצה להפחיד אף אחד, אז אם אנחנו זוכרים מהפיזיקה בתיכון, f = ma, force = מסה כפול תאוצה. כלומר כאשר יש תאוצה אופקית אז יש גם כח אופקי ואז הארונות מפעילים לחץ על הרצפה הצפה ולכן היא מתמוטטת. ברגע שיש לנו בסיס לשיקום, למעשה לא מופעלים לחצים על הרצפה ואז הרעיון הוא שניתן עם ארונות רגילים, מחשבים רגילים, רצפה צפה רגילה, התנהלות רגילה לחלוטין, לא צריך ציוד יקר מאוד ונהלים חדשים, ניתן להתמודד עם הדבר הזה. עושים את זה בארצות הברית, ביפן, בטייוואן, אפילו בטורקיה, בצורה מאוד מאוד נרחבת, והם הצליחו באמת להתמודד עם רעידות אדמה מאוד קשות בחדרי המחשב.
מאחר והפוקוס שלי הוא רעידות אדמה, אני רוצה לתת את הבמה למר גונן ורדי, שמסתכל על הנושא הזה ממבט הרבה יותר רחב.
גונן ורדי
¶
אני מנכ"ל חברת בונקרסק, כשמה כן היא. אנחנו מתעסקים באפיון, תכנון והקמה של מרכזי מחשוב מוגנים.
אני רוצה קצת לדבר על פתרונות של גופים בארץ שהבינו שצריכים לשנות את נקודת העבודה. אחת הבעיות בנושא של מרכזי מחשוב, שמי שמוביל את הפרויקטים הם אנשים שהם מעולם המחשוב ובאמת באים מעולם התוכנה והמחשוב, אז בעצם מרכז הכובד צריך לזוז לתיקון התשתיות במערכות התומכות. אם אנחנו רואים את הגרף של ארגון ממוצע בארץ, אנחנו רואים שגוף משקיע בשנה את מרב הכסף בתוכנה ובתשתיות מחשוב כאלה ואחרות, ובנושא של תשתיות המבנה, שאמורות לעטוף ולתמוך באותה מערכת מחשובית, כמעט ולא מושקע כלום. מה שאנחנו בעצם אומרים, שצריך להזיז את נקודת העבודה טיפה למעלה.
מספר ארגונים בארץ וגם בעולם, ואני רוצה להתחיל דווקא בארצות הברית, כי אחת התופעות הנחמדות היום בארצות הברית זה שלוקחים מכרות נטושים ופשוט הופכים אותם לחדרי מחשב. באירופה ראינו את ויקיליקס בשבדיה, או בלונדון, שלקחו בונקרים ממלחמת העולם השנייה והפכו אותם לחדר מחשב, ובארץ גוף גדול מאוד במדינת ישראל קיבל החלטה אסטרטגית להקים מתקן מחשוב תת קרקעי שמאפשר... דיברו פה על נושא התפעול, אחד הדברים המשמעותיים, שמתקן כזה יודע לפעול באופן עצמאי באי תלות במערכות חיצוניות, עם האנשים בפנים, למשך ימים. לא צריך לשנע אנשים ולא צריך לדאוג לחשמל ומים, כי המתקן הזה יודע לעבוד באופן עצמאי והארגון הזה שורד.
גונן ורדי
¶
אחת הבעיות שהעלו פה היא נושא הרגולציה. גם המונח פיר כשאנחנו יושבים על גופים... אחידות בצורך ובמיקום, ואחידות בהרבה מאוד פעמים ב... ולבסוף אותו מונח שכולנו מתייחסים אליו, אותו פיר, במקרה הזה זה פיר 3 פלוס, אנחנו קוראים לזה. זה פתרון של תת קרקע מלא.
גוף אחר, שנציגים שלו יושבים פה, קיבל החלטה שהוא רוצה להמשיך לתפעל את הארגון גם בהיבט הצוות המרכזי שלו, ההנהלה, שצריכה לשבת ולהמשיך לתפעל את הארגון בהיבט העסקי. מה שהם עשו, הם עשו שילוב. אגב, אנחנו איתרנו להם נכס במרתף תת קרקעי ששימש ככיסאות לאודיטוריום, זול ביותר. לקחנו את המתחם הזה, מיגנו אותו ברמות איום, מול רמת איום... ובעצם מה שאנחנו רואים פה בצד ימין זה מרכז מחשוב ובצד שמאל את אותו מקום שבו ההנהלה יכולה להמשיך לתפעל את הארגון.
גונן ורדי
¶
אנחנו מדברים על שתי משפחות. משפחה אחת זה אסונות טבע והשני זה איומים שאדם יוצר. אגב, 70% מהאירועים במרכז מחשוב זה כתוצאה מחבלה פנים ארגונית. כל הטילים וכל הדברים, 70% מהאירועים ספציפית שקורים במרכז הנתונים זה חבלה בתוך הארגון. המשותף לשתי המשפחות האלה, שאירוע כזה הוא מאוד קיצוני על הארגון, והדבר השני שמשותף, שאף פעם אנחנו לא יודעים מתי זה יקרה. אף אחד לא יודע מתי יש רעידת אדמה ואף אחד לא יודע מתי טיל ייפול או מישהו ייכנס עם רימון ויפוצץ את הדטה סנטר. בעצם הדבר המהותי בפרויקטים האלה זה אופטימיזציה פיננסית, של כמה הארגון ישקיע אל מול רמת האיום וכדומה.
במקרה הזה, הפתרון שניתן הוא כנגד רעידות אדמה, כנגד אב"כ וכנגד פגיעה ישירה של פצצות בעוצמה של איקס קילוגרמים וכנגד אסונות אחרים כמו שרפה, הצפה וכדומה. הגוף הזה יודע עכשיו שיש לו מקום שהוא מפעיל אותו בשגרה בעוצמה נמוכה ובחירום הוא מדלג אליו ויכול לשהות בו מספר ימים, כשהוא לא תלוי באספקות חיצוניות.
אם אנחנו עוברים לגוף אחר, גוף שאנחנו איתרנו עבורו חניון באזור השפלה, חניון שהיה נטוש שלוש שנים. זו חברת תקשורת מאוד מאוד גדולה שכתוצאה מאירוע של חברה אחרת שקרס לה חדר המחשב---
גונן ורדי
¶
זה לא סלקום, זו חברה נגיד מקבילה לסלקום שקיבלו החלטה שהם הולכים להקמה של מתקן מסיבי, ברמה של פיר 4, גם פה יש יכולת להנהלה להגיע... אגב, גם פה הם קיבלו החלטה שהם מקימים באזור הימני של המחסן חלקי חילוף. מיפינו חלקי חילוף קריטיים בארגון, שיכולים להיות פה, שבמידה וצריך אותם, כמו אולי אייפון 4...
עוד פרויקט שאני יכול להראות זה חברות גז, נפט, שצריך לשלוט על הרבה מתקנים וגם יש לו מרכז מחשוב מאוד קריטי ובעצם פה זה גם מתקן תת קרקעי שמעליו יש מבנה משרדים. כל המערכות האלקטרו מכניות נמצאות למטה והגוף יכול להמשיך לתפקד.
גונן ורדי
¶
לא.
עכשיו אני רוצה להתייחס למה שאמרו בהיבט הרגולציה ואני רוצה להשלים את מה שאמר מנכ"ל נט אפ. אחת הבעיות הגדולות בהיבט הרגולציה, שהיא מאוד וירטואלית. כלומר ההנחיות לארגון אומרות 'אתם צריכים להיערך', 'אתם צריכים להתכונן', אבל הן לא מגדירות בדיוק כנגד איזה איום מחוץ, הן לא מגדירות בדיוק את לוחות הזמנים. יש הרבה מאוד פרמטרים שמשאירים דרגות חופש לארגון, הארגון נתקל באי ודאות ובעצם אנחנו רואים חוסר סטנדרטיזציה בהיערכות הארגונים, גם בהיבט הבנקים, גם בהיבט חברות הביטוח וגם בהיבט החברות הקריטיות האחרות וגם בהיבט של משרדי הממשלה. להבנתי, זה מאוד פשוט להגדיר את זה, כי יש מסמכים שאנחנו מכירים, שמגדירים מה האיום מחוץ על מדינת ישראל, או על הגופים האלה. אז צריך לקחת ולתרגם אותם לשפה, נקרא לזה טכנית, גם תפקודית אגב, ופשוט להנחות את הגופים לעשות את זה.
אחת הבעיות של הגופים שהם חוששים שזה יעלה הרבה כסף. אני בא ואומר פה, זה לא עולה הרבה כסף. לדוגמה, אם נשים דטה סנטר מתחת לאדמה, חיסכון חשמל הוא בסדר גודל של 15% עד 30%, תלוי איפה. האדמה שומרת על טמפרטורה יציבה, על לחות יציבה, והנדל"ן מתחת לאדמה היום יותר זול מאשר מעל לאדמה.
לסיכום אני בא ואומר שאני חושב שצריך להזיז את נקודת העבודה אצל המנמ"ר ואצל הגופים המחוקקים ואחת, להגדיר רגולולציה חד-חד ערכית שמגדירה מה צריך, ושתיים, להבין שמרכז הכובד הוא לא בהיבט המחשובי, הוא בהיבט התשתיתי. הפלטפורמה, כמו שאמר מר יגאל שניידר, אותה צוללת, אותה נושאת מטוסים שיש לה את אותו חדר מכונות, צריכה להשקיע בפלטפורמה לפני ששמים פנימה את אותו ציוד מחשובי. עד כאן.
שחר הררי
¶
אפשר להגיד כמה מלים? אני המנהל הכללי של חברת קומיטרי. מרכז הכובד של הפתרונות של קומיטרי מדברים על התקפות הדור החדש באינטרנט, בעיקר על כל הנושא של התקפות שמבוצעות ברשתות החברתיות, אתם ודאי מכירים את הסוגים האלה של התקפות. אנחנו נתקלנו בחודש האחרון בפגישה עם קרוב לעשרים ארגונים, חוץ מארגון אחד שנמצא פה, וזה משרד הביטחון, שהבין על מה אנחנו מדברים, כל השאר לא הבינו. דיברנו על התקפות הכי פשוטות שרצות לנו ברשת, כמו טיפ צ'קינג, הנושא של פישינג שלא מטופל היום, הנושא של FSS. אנשים לא כל כך מכירים את התחום, זה תחום שצובר תאוצה מאוד גדולה בארצות הברית. בשנתיים האחרונות אנחנו זיהינו את העלייה החדה מאוד בסוגים האלה של התקפות. חשוב לי לציין שלא מדובר פה בסוג של התקפות שהאנטי וירוסים היום נותנים הגנות אליהם, זה למעשה סוג של התקפות של הדור החדש, שאינם מופעלים דרך אנטי וירוסים.
אני יכול לתת לכם דוגמה. הנושא של פישינג, רוב המשתמשים חושבים שהאנטי וירוסים נותנים מענה היום לפישינג והם לא כל כך מודעים שהאנטי וירוסים עושים את זה במסגרת בלקלי. זה מעין רשימות שמתעדכנות אחת לחודש, אחת לשלושה שבועות, ולמעשה אין היום פתרון לפישינג.
התקפות של קינג צ'גינג באינטרנט. רוב המנמ"רים אמרו לנו שבישראל יש נהלים, שאסור להיכנס לפייסבוק מהארגונים. מה לעשות וזה לא מבוצע אחד לאחד והיום, וראינו כמה דברים, ניסה לגנוב זהויות של עובדים בצורה מאוד פשוטה, דרך הפייסבוק. חלק מהארגונים לא כל כך מכירים את זה. דוגמה מאוד שכיחה מי שמכיר מה שהיה בהישרדות. שהדליפו את כל החומר בהישרדות. הדליפו שם את הכל. בסוף מסתבר שאחד העובדים נכנס לפייסבוק, שתלו את הזהות שלו ברשת ושלפו את החומר שיש אצל מארגני הישרדות.
העולם הזה של ההתקפות של הדור החדש הוא חזק מאוד באינטרנט. אתם יכולים גם לקרוא דוח של אחת מחברות הייעוץ הגדולות בעולם, שמתארת מה הולך להיות בעשור הבא. העשור הבא מדבר בדיוק על הסוגים האלה של ההתקפות.
דבר נוסף ששמנו לב, שלמעשה ... במשתמשים, בבראוטרים, בסמרטפונים. אמנם היום כ-2 מיליארד מהמשתמשים, קרוב לשני שליש מהמשתמשים בבראוטרים של לפטופים ו... אנחנו צופים עלייה של קרוב ל-40% שיעברו לעבוד בסמרטפון. הסמרטפונים יחסית פרוצים, הייתי אומר שאפשר להגיד אפילו פרוצים לחלוטין.
יש לנו פה מצגת, שברשותך, היושב ראש, נציג אותה.
קובי פרידמן
¶
אני אציג מצגת קצרה שמציגה יותר בפרטים את העולם הזה ולאחר מכן נציג דמו מאיזה שהוא מראה עיניים לתרחיש ייחוס שכל ארגון צריך להתכונן מפניו, משהו בלייב.
בעיקרון אנחנו בסביבת המחשוב בישראל, ובכלל בעולם בדגש על ישראל, חשופים לסיכונים שאנחנו מדברים עליהם בשני מישורים. אחד זה מה שציין היושב ראש, סייבר וור. אנחנו איזה שהוא יעד עיקרי, יעד מרכזי, לסוגים של מתקפות שמגיעות מכל רחבי העולם, אבל מותר לנו להגיד שאנחנו נמצאים במערכה שיש לה ארבע חזיתות לפחות כרגע; טורקיה, אירן, הרשות הפלשתינאית, כל מיני גורמים, ובכלל גורמים איסלמיים מאורגנים שמנסים להגיע לכל מיני מערכות, בין אם ממשלתיות ובין אם תשתיתיות, או קריטיות עסקיות פיננסיות. זה חלק מסביבת הסייבר כריים העולמית הרגילה, שבעיקר מסיבות פיננסיות, כלכליות, כרגע קיימת. מתקיפים אותנו...
אנחנו ניתן דגש, נאיר את הנקודה שמצרפת את הטכנולוגיה ביחד עם הגורם האנושי. מה שנקרא גניבת זהויות וסוציאל אינג'ינירינג. ההנדסה של התהליך, כדי להוביל מישהו לעשות פעולה שהיא פוזיטיבית ואז האקר שיושב בצד השני למעשה מקבל את הזהות עם ההרשאות של המשתמש ויכול לבצע את כל מה שהוא רוצה בתחנת העבודה, כשחלק ניכר ממערכות האבטחה עדיין לא נמצאות שם.
הדבר הזה גוזר איזה שהוא צורך בלכידות מבחינת הארגונים. כל סוג של ארגון, בדגשים; מדיניות של אבטחה, כלים ומוצרים, אוריינטציה נכונה, כשהאוריינטציה שמתאימה הולכת ונהיית יותר ויותר מתאימה, אמנם באותה שפה, פחות בכיוון הזה, בדגש על ריל טיים, נו מור בלקלי, מה שנקרא, דגש על האבטחה של הגולש, כי הגולש עצמו, אם הוא עושה משהו, למעשה רוכבים על הזהות שלו, אז אנחנו לא מאובטחים, ובדגש על האבטחה של פלטפורמת הקצה. כמו שהזכרנו קודם, הפלטפורמות נהיות יותר מגוונות, גם בסביבה הארגונית. היו טבלטים למיניהם שנכנסים, סמרטפונים שנכנסים בכמויות ענק וכולם יושבים ביחד עם בראוטרים ואז בדרך אנחנו מתחברים בכל מיני שיטות וויד כריים ועלולים להיות חשופים.
אם כך נציג איזה שהיא מפה קונספטואלית של הסיכונים, אז אנחנו יכולים לראות שבציר אחד יש את מחוללי הסיכון, או המניעים שבגללם אנחנו מותקפים. בצד שמאל אלו המניעים הפיננסיים המסורתיים, בצד ימין המניעים האסטרטגיים והביטחוניים ובציר שמאל, הציר לגובה יש את ציר המתקפות, שמתחילות מתחכום נמוך ומתקפות לא ממוקדות, כמו שאנחנו חווים היום בפייסבוק וב-gmail ובמתקפות פישינג על בנקים, שהם לאו דווקא ממוקדות כדי לפגוע בארגון, אלא בצד הלקוחות שלו. ככל שאנחנו מתקדמים לציר למעלה המתקפות נהיות יותר ממוקדות, סיכון יותר גבוה, זאת אומרת שיושבים האקרים שמכוונים לפגוע בגוף צבאי או תשתיתי, או פיננסי כזה או אחר, וביום פקודה, כמו שנסים הזכיר קודם, אני תיכף אדבר על נושא נסד"ק, סביר להניח שנעשית עבודה שלא מתבטאת בהרס של בסיס נתונים, אלא היא עלולה להתבטא ביום פקודה כלשהו, שהרבה מאוד מערכות עלולות לתקוף.
קצת לסבר את האוזן במה מדובר, אז יש לנו שניים או שלושה מניעים מרכזיים. מבחינה פיננסית, אני אתן כמה דוגמאות על קצה המזלג מהתקופה האחרונה; התקפות פישינג על בנק לאומי, על בנק הפועלים, על בנק ישראל, על בנק אוצר החייל, מניעים מסחריים כאלה או אחרים, ניסיונות לגניבת מידע מחברות תקשורת, ניסיון שהיה לפני חודש והתפרסם כשפרצו למשרדי עורכי דין מובילים וגנבו קבצים וניסו לסחוט אותם בטכניקות שעליהן אנחנו מדברים, הנושא של נסד"ק, שציין נסים, שהוא טרי חם מהתנור. דברים שהולכים ומטפסים בציר האסטרטגי, כמו קבוצה גדולה של מספר האקרים שמבצעת מתקפות מאורגנות על ישראל והמניע שלהם לגמרי איסלמיסטי דתי, האקרים טורקים, זה גם מקרה שהתפרסם שהם גנבו בסיסי נתונים של זהויות.
אני אומר במאמר מוסגר שאנחנו למשל חושפים מפעם לפעם אתרים שבהם יש עשרות אלפי חשבונות פייסבוק שנגנבו, יוזרים וסיסמאות ומהם גם אפשר לאתר אלפי חשבונות שלפי השמות רואים מיד שהם יהודים---
קובי פרידמן
¶
גם מניעים אסטרטגיים ממש, כמו ניסיונות שנעשו לפרוץ לצה"ל, לתשתיות תקשורת, תשתיות לווייניות כאלה ואחרות, ניסיונות לתקיפה של אתר פיקוד העורף, בטכניקה שבסך הכל עלולה להיות מאוד פשוטה, של ניתוב, של תנועה בזמני חירום לקבל אינפורמציה לא נכונה, להטעות את הציבור, ועד הבלונדינית המפורסמת, מלפני כמה שבועות, שבפייסבוק התחברה להרבה מאוד טייסים לשעבר וטייסות בחיל האוויר, היא שירתה בקרוב ל-20 טייסות במקביל וניסתה לאסוף מידע איכותי, שאחר כך משמש לתרחישים שאנחנו נציג כאן.
אם אנחנו מסתכלים על היררכיה של אבטחת מידע קונספטואלי, אז אנחנו מגיעים לאבטחה הפיזית והתשתיתית שהציגו פה קודם, עבור דרך אבטחת הרשת ואבטחת התחנה, אז אנחנו מגיעים לקצה והוא החיבור בין הטכנולוגיה לבין הגורם האנושי שהזכרתי קודם, שהוא מייצר את החשיפה ועליו אנחנו מדברים, שהוא מצריך את אבטחת הגלישה. הוא גוזר שינוי דגשים בשוק הסקיוריטי. זה איזה שהוא ציור מלפני תקופה קצרה, שבא ומציג את עשר השנים האחרונות להתפתחות של סייבר כריים, ולמעשה אנחנו רואים שהיום אנחנו נמצאים בעידן של סוציאל נט וורקינג וסוציאל אינג'ינירינג ואנחנו רואים שהדבר הזה הולך ומתעצם. זה ניסיון לפתח כלים וגם לעשות ממש עבודת ידיים של האקרים כדי ליצור חשיפה מול מטרות איכותיות, מול מטרות תשתיתיות.
ואם אנחנו מסתכלים על הדבר הזה לעומת מפה של הפתרונות שישנם היום בתחומי אבטחת מידע, לא כל כך רואים את הצבעים, אבל יש לנו משפחות של מערכות אבטחה שמאבטחות את האיינפורם, מאבטחות את הגיים וורד, מאבטחות את השרתים. קשה לראות את הצבעים, אבל ציר אחד זה ציר הריל טיים, דוגמת האופליין, מה שנקרא בלק ליסט, שצריך לעבור זמן עד שהמערכת יודעת ומפיצה וסוגרת את הפרצה, יודעים שאתר כזה או אחר תקף, וציר אחד הוא הציר שמאבטח את התשתית הארגונית ועבור ימינה, לכיוון אבטחת הגלישה או אבטחת תחנת הקצה, או הפלטפורמה שדרכה אנחנו גולשים ומתחברים לעולם. אנחנו יכולים לראות שבשנים הקרובות תתחולל תנועה של השקעות של חברת סקיוריטי לכיוון הריל טיים, לפתח מתודולוגיות, לפתח כלים שסוגרים את הפער הזה, כי פער הזמנים שעליו אנחנו מדברים, בין הולדת מתקפה עד שהמתקפה יורדת מהאוויר, או עוברת שרת אחד ימינה, הוא פער זמנים בעייתי.
אנחנו רוצים להציג לכם דמו. אני אתאר את הסלאו של מה שאנחנו קוראים לו תרחיש הפגיעות, או תרחיש הייחוס שארגונים צריכים להתייחס אליו. בעיקרון, כשאנחנו מדברים על הסיכון הרלוונטי הזה, סוציאל אינג'ינירינג, אנחנו מדברים על צירוף של שלוש נסיבות; איום, פגיעות, טכנולוגית בדרך כלל, ונסיבות, שהן בדרך כלל נסיבות חברתיות או נסיבות אנושיות כאלה או אחרות. הצירוף שלהם יוצר סיכון שאותו אנחנו נציג.
מה בעצם התהליך שקורה? יש לנו פרצות. הפרצות הן נקודות חולשה בדפדפנים. כל הדפדפנים חשופים לנקודות חולשה, אני משער שחלק מהאנשים פה מכירים אותן היטב, והאקרים יושבים על החולשות האלה ומנצלים אותן כדי ליצור מתקפות בשמות שונים, שאני תיכף ארחיב עליהן. יש נקודות חולשה באפליקציות. הרבה מאוד השקעות הולכות לכיוון של פיתוח איז מיי וול, פנימיים וחיצוניים. כל מה שאני אומר, זה רלוונטי גם בפריצות פנימיות, אחוזים ניכרים מהפריצות נעשות מפנים הארגון. זה ביחד עם הגורם האנושי מחולל את הסיכון.
מה הטכניקה? הטכניקה יכולה להיות אחת מכמה; היא יכולה להיות לחיצה על לינק פשוט, שולחים מייל, איזה שהוא גורם שמתחזה, מתחזה מספיק טוב, זה לא כמו המתקפות פישינג הלא מושקעות שהיו פוגשים, אלא ממש מקבלים מייל ממישהו שאנחנו מכירים, מכתובת שאנחנו מכירים, ללחוץ על איזה שהוא לינק. אנחנו יכולים להיות מפותים להיכנס לאתר שאפשר לשתול בו קוד זדוני. אני לא אציין שמות, אבל יש בארץ אתרים ציבוריים גדולים מאוד שפגיעים לדבר הזה, שיכולים לקרוא מאמר ובינתיים מושתל באחד הטוקבקים קוד זדוני. בזמן שקוראים, יש כניסה לתוך התחנה של המשתמש. הפצה באמצעות רשתות חברתיות, הפצה באמצעות מסנג'רים וכדומה. ברגע שלוחצים, מתרחשת המתקפה, מתממש הסיכון. המתקפה יכולה להיות מכמה משפחות, של גניבת זהויות, של התקפה על האפליקציה עצמה, של גניבת קבצים, כולל השתלה של סוסים טרויאניים שמאפשרים להפעיל את התשתית במה שנסים תיאר קודם, בהפעלה בעתיד, והנזקים האפשריים הם כל מה שאנחנו מכירים, דרך גניבה של פרטים אישיים, עד כדי שינוי של הגדרות המשתמש, שינוי של הגדרות של נתבים וגניבת קבצים.
התרחיש. אני אתאר את התרחיש. אני מנהל כלשהו בארגון תשתית. האקרים במדינה עוינת, שזה עמיתים שלי, שלומי הוא ההאקר האירני, הוא יושב לו עכשיו באירן, וניר הוא חבר שלי, מחובר אליי בלינקים, רשת חברתית, שהרבה מאוד ארגונים לא חוסמים מפניה. הם יציגו פה תרחיש שבו הם מגיעים אליי בתוך הארגון ומשתלטים לי על התוכנה.
ניר שחף
¶
אני סמנכ"ל הפיקוח של חברת קומיטרי, שלומי הוא סמנכ"ל הטכנולוגיה של החברה. נציג תרחיש מאוד פשוט, מאוד פשוט להפעלה. לא התאמצנו לעשות אותו, האקרים יותר מתוחכמים יכולים הרבה יותר מהדבר הזה. חשוב מאוד להבין דבר אחד, שאם זה ייראה קצת הזוי, מה אפשר לעשות פה, זה לא תרחיש שמצוץ מהאצבע, אלה תרחישים שראינו ואנחנו יודעים שקרו באמת באלמנטים בנסיבות מסחריות או סיבות ביטחוניות, אבל הדבר הזה קרה באמת.
אנחנו מתחילים, כמו שקובי אמר, אנחנו מתלבשים פה על אתר רשת חברתית עסקית. שלומי מייצג פה את הבן אדם הרע, בן אדם שמנסה להגיע לקובי. קובי הוא אותו מנהל כללי בחברה אסטרטגית, אנחנו מנסים לפרוץ אליו למחשב, אני חבר מאוד טוב של קובי. שלומי יודע שאני חבר מאוד טוב של קובי ואיכשהו הוא שולח לי פה הודעה, עם לינק, הוא אומר לי 'תשמע, יש פה משהו מדהים, אתה חייב להיכנס ללינק הזה'. אומרים לי דבר כזה, אני תמיד נכנס, אוקי. נכנסתי. טוב, בעולם האמיתי יהיה פה איזה מאמר מאוד מעניין שמאוד מרתק אותי, אני יושב וקורא. אני רוצה לענות לו ולהגיד 'איזה יופי מה ששלחת לי'. נפתח לי פה תו, אני חוזר לתו של הלינק. טוב, זרקו אותי החוצה, דורשים ממני עוד פעם לוג אין, אז אני מכניס את הלוג אין ואת הסיסמא, מכניס את הפרטים שלי. אוקי, זה לשם הדגמה. אנחנו פה על תקן אקדמיה, אבל הנה פה הראינו את היכולת, פה הגעתי לאתר שהוא לא אתר אמיתי שאני מכיר בעצם, קרתה פה הונאה, משהו קרה מהר, בלי ששמתי לב, הוכנסתי לאתר, הגעתי לאתר, בלי ששמתי לב בכלל, ופרטי החשבון שלי נגנבו. אני בסך הכל החבר של קובי, עוד לא קרה שום אסון, גנבו לי את החשבון. כמו ששחר אמר, חשבונות של פייסבוק לינק, לינקים וכאלה, נגנבים בעשרות אלפים מדי יום, ואם מישהו רוצה לעשות את זה, הוא יצליח בלי שום בעיה.
הולך שלומי בערב למחשב שלו ורואה שהוא שתה את שם המשתמש והסיסמא שלי, הוא יודע שאני חבר של קובי, הוא נכנס לחשבון שלי בלינק אין ושולח בשמי הודעה לקובי. נכנסתי לחבר הנוסף שמייצג את קובי, והנה ההודעה ששלומי שלח בשמי לקובי. קובי רואה את התמונה שלי, את השם שלי שם ואני אומר לו 'תשמע, יש שם משהו מדהים, אתה חייב ללחוץ', זה גם אפילו נראה משהו דומה לגוגל. קובי רגיל שאני שולח לו דברים יפים לראות, אז הוא כמובן מיד לוחץ. טוב, פה ברקע נפתח שוב איזה אתר יפה, שכדאי לראות. בזמן הזה, במחשב של שלומי, בזמן שקובי קורא את אותו מאמר מעניין שאני כביכול שלחתי לו, בעצם מוכנס קוד זדוני שקובי לא ידע בכלל שקיים באתר הזה, הוא סמך עליי, הוא נכנס לאתר שלדעתו היה בטוח ובעצם מה שקורה ברקע, המחשב שלו, בלי שהוא יודע בכלל, מתחבר למחשב של שלומי שיושב איפה שהוא בטורקיה, לצורך העניין, או באירן, או לא יודע מי התוקף התורן---
שלומי נרקולייב
¶
ופה אתם רואים מערכת לפריצה בצורה אוטומטית. וברגע שבן אדם נכנס ללינק, אז המערכת הזאת פורצת מהדלת בפרצה באותו דפדפן, פורצת בצורה אוטומטית.
עכשיו אתם רואים שאני מדמה מישהו שיושב באירן בכלל ואני יכול לגשת למחשב של קובי, בתוך הארגון... לא ממש רואים פה טוב, אבל ברגע זה נכנסתי למחשב של קובי, בהרשאות שמאפשרות לי להריץ כל פקודה שאני רוצה.
שלומי נרקולייב
¶
כרגע אני במחשב של קובי. מה שקרה הוא שקובי סך הכל לחץ על לינק, הוא לא עשה יותר מדי דברים.
ניר שחף
¶
למשל, רק לשם המחשה של מה שאפשר לעשות, וכמובן מכאן הדרך לעורר את הדמיון, השמים הם הגבול. שלומי ברגע זה מוציא תמונת מסך, מה שנמצא על המסך של קובי באותו רגע. עוד רגע הוא יפתח אותה, בזמן שהוא פותח. כמובן שברגע שעשיתי את זה והראיתי לכם את זה, אני יכול לעשות כל דבר. אני יכול לשתול פה, כמו שנאמר קודם, איזה שהוא קוד שיאפשר לי, הנה, סתם פתחתי פה חלון, אבל זה המחשב של קובי ושלומי יוציא תמונת מסך של המחשב---
שחר הררי
¶
אני יכול לתת לכם דוגמה. לפני חצי שנה הוזמנו, היום אפשר להגיד את זה, על ידי מנמ"רית משרד התחבורה... דובר על כל העולם ואשתו, ותוך חמש דקות היינו בפנים, ויצאה הוראה לכל מי שעובד במשרד התחבורה לא להיכנס לאינטרנט---
היו"ר מאיר שטרית
¶
אני מצטער, אני מוכרח לתרום את חלקי ליומן הצהריים, אני אצא לחמש דקות. תמשיכו בבקשה.
ניר שחף
¶
כמו שהתחלנו להגיד, הדבר הזה מאפשר לנו לשתול כוחות, להכין את הפרצה של אותו יום, וממניעים ביטחוניים להשתלט על מחשב, כמובן מחשב של מנהל כללי של חברה אסטרטגית עם גישה למידע רגיש, והשמים הם הגבול.
טל הרמתי
¶
טוב, שלום לכולם. קודם כל אני חושב שדיברנו פה הרבה על כל הנושא של הגנה ולחימה בטרור הקיברנטי ומצד שני על ההיערכות לחירום. אני אקדים ואומר שמדובר על שני נושאים שהם שונים בתכלית. אפשר תמיד למצוא את ההקשרים, אבל אלה שני נושאים שונים בתכלית. אני חושב שכל מי שנמצא פה מבין ויודע את זה. אני אגיד מלה אחת ולא יותר על הנושא של הטרור הקיברנטי. אני לא מופתע מהמצגת הזאת, אנחנו ראינו בשנתיים האחרונות תופעות מסמרות שיער בקנה מידה שחלקן אפילו אי אפשר לדבר עליהן, ואנחנו יודעים שהעולם בנושא הזה הולך ומשתכלל. המאמצים של כל הארגונים ושל רשת הבוטנט הגדולה ביותר בעולם נמצאת דווקא בבעלות ומופעלת על ידי המאפיה הרוסית, אנחנו מכירים אותה, אבל המאמצים שאני חושב שאנחנו משקיעים, זה הוזכר קודם גם, בממשלה לפחות, בכל הנושא של הגנה והתמודדות כל הזמן עם האיומים האלה הם תמיד יותר קטנים מהמאמצים של הצד השני לתקוף אותנו. זה אנחנו יודעים, אבל הם עצומים.
תמיד מפתיעים אותי מנהלי מערכות מידע שאומרים 'תשמעו, מה הבעיה? למה ללכת למשל להשקיע כל כך הרבה משאבים? תשים איזה פיירוול קטן בדרך, אנחנו מוגנים. הכל בסדר, אני ישן טוב בלילה'. או לחילופין, אנשים באים ואומרים 'לכל היותר יעשו לנו דיפייסמנט של האתר שלנו באינטרנט, אז נעלה מגיבוי ונחזיר את האתר לפעולה בתוך יום אחד', מבלי להבין בצורה עמוקה את הנזק באמת שמהלכים כאלה יכולים לגרום.
אז אחרי שדיברתי על הנושא הזה, נמצא פה גם מר זיו סלייטר מממשל זמין, אפשר להגיד שממשל זמין חרת על דגלו את הנושא של אבטחת המידע ומשקיע בזה מאמצים שלא ישוערו בכלל יום ולילה, ואני חייב להגיד לכם, כמו שאנחנו מדברים על באגים בתוכנה, כמות הפרצות באינסוף תמיד שואפת ל-1, אף פעם לא ל-0, ואנחנו מבינים את זה, אנחנו יודעים את זה, אנחנו יודעים שכל המאמצים שאנחנו נשקיע, יש מאמצים מהצד השני. זאת התמונה.
אני רוצה לדבר קצת על היערכות לחירום, כי אני חושב שהנקודה הזאת היא חשובה. זה נושא הפגישה שלנו היום. אני מסכים לגמרי שלאבחנה שנעשתה קודם בין מה שנקרא גיבוי קר, גיבוי חם, או מהלך כזה או אחר של DR, לבין מהלך של היערכות לחירום, או במונחים המקצועיים שלנו, ה-BCP. אני חושב שהתמונה שהוצגה פה קודם, של הממשלה, היא תמונה די נכונה ואנחנו נגיד כמה נקודות שאולי הן מרגיעות, אבל אני אספר לאן הממשלה הולכת.
הממשלה בשנה שעברה כבר קיבלה החלטה עקרונית שמנחה את כל משרדי הממשלה לבצע תהליך של היערכות לחירום. במסגרת או תחת ההנחיה הזאת הוגדר, מתוך הבנה, וגם זה נאמר קודם, שמהלכים כאלה חייבים בסופו של דבר להיות מלווים במהלך מרכזי, ואולי באיזה שהיא רגולציה מרכזית, יצא מינהל הרכש במשרד האוצר בפרויקט שאפתני, נקרא לזה, שלאחר דיון ותמונת מצב עם כל משרדי הממשלה, עושה את הדברים הבאים; אני אספר איפה הסטטוס שלו כרגע, אבל התפיסה מאחורי הפרויקט הזה אומרת שהממשלה תיערך לחירום. היא תיערך לא רק בהיבט של מנמ"רים בצד הטכנולוגי אלא בעיקר בהיבטים הארגוניים. כי יש פה הרבה מאוד היבטים ארגוניים. לצורך העניין לא מספיק שמנהל מערכות המידע מודע לזה שהוא צריך להקים DR, הנהלת הארגון צריכה להיות מודעת לזה שהיא צריכה לתרגל את המצבים השונים, כולל מצבי חירום שהם לחלוטין לא טכנולוגיים. הטכנולוגיה נותנת את התמיכה בסוף, אבל הם לא הבעיה שלצורך העניין שהטכנולוגיה צריכה להתמודד איתה, כמו למשל טיפול בכח האדם של הארגון, טיפול בתהליכים. לצורך העניין במשרד האוצר אנחנו מבצעים את התהליך הזה כבר שנתיים, טיפול באירועים פיננסיים שיכולים להשפיע על יציבות המשק ואיך אנחנו נערכים לנושא הזה. זה ספציפית במשרד האוצר, אבל לכל משרד ממשלתי יש את התרחישים שלו.
לפיכך וכדי לייצר אחידות ייצרנו מצב שמצד אחד אנחנו מייצרים עבור משרדי הממשלה, אנחנו קוראים לזה קוק בוק, הפעלנו כמובן חברת ייעוץ ומשרדי הממשלה קיבלו לידם ספר שאומר בדיוק אחד לאחד. זה נקרא ספר בישול להדיוטות, למרות שאף אחד מהגורמים המעורבים בעניין אינו הדיוט, אבל הוא אומר להם צעד אחר צעד מה בדיוק התהליך שהם צריכים לקיים בארגון, כדי להגיע למצב של היערכות לחירום. הסוף של התהליך הזה, יהיה במערכות מידע ויהיה באתר DRP, כזה או אחר, תיכף נדבר על הנושא הזה, אבל כולל, מה הם כל הצוותים שצריכים לקום ומה ההחלטות שצריכות להתקבל ומה הם תרחישי האיום שצריך להתייחס אליהם ואולי תרחישי איום ספציפיים שהם לכל משרד. אנחנו כבר מאחורי זה.
במקביל משרדי הממשלה קיבלו הנחיה, לכל המשרדים, להיכנס לתהליך הספציפי הזה השנה. כיוון שבנושא הזה, כמו הרבה נושאים אחרים, אם לא קורה איזה שהוא אסון אז אין שום דבר שיזיז או ידאג למשרדי הממשלה לבצע שינוי בסדרי העדיפויות שלהם, הלכנו לתהליך שבו גם משרדי הממשלה מקבלים תמיכה או תקצוב מרכזי לתהליך הזה, כחלק מהמידה שבה אנחנו רואים את החשיבות לתהליך הזה.
במקביל נאסף כל החומר כדי לייצר מכרז מרכזי ל-DRP ממשלתי. המכרז הזה מיועד לצאת השנה. אנחנו קיבלנו מכל משרדי מהממשלה---
טל הרמתי
¶
יש יוזמות מקומיות, בחלק מהמשרדים אכן יש, אבל אין נכון להיום אתר DRP ממשלתי אחד שבו כל הממשלה, והכוונה היא באמת לצאת למכרז מרכזי של אתר DRP. זה יקרה השנה ושם אנחנו ניתן אכן את המענה לאותו צורך של כל המשרדים. אגב, חלק ממשרדי הממשלה נמצאים כבר בתהליך כזה או אחר. הוזכר קודם ממשל זמין, ממשל זמין וגם מרכב"ה שהיא התשתית הבאק אופיס הממשלתית, נמצאים כבר למעלה משנה באתר DRP שזכה במכרז, של מאד 1 בטירת הכרמל. משרדים אחרים נתנו מענים דומים לנושא הזה. לא כל המשרדים, בשביל זה אנחנו עושים את המהלך שתיארתי אותו פה באריכות. תודה רבה.
היו"ר מאיר שטרית
¶
חברים, אני חושב ששמענו גם בסקירה קודמת, על המצב של משרדי הממשלה מבחינת ה-DRP שלהם, באיזה משרדים יש, באיזה משרדים אין, ובאילו שיש, אף אחד מהם לא מורחק מהמקום שבו נמצא המשרד---
היו"ר מאיר שטרית
¶
זה מה שהוא אמר, שיש אחד שמתחיל. מתוך שבעה המשרדים שיש להם DRP, אף אחד מהם לא מורחק, אחד מתחיל. זה מה שאמרתי. זאת אומרת המצב הוא לא בדיוק מזהיר מהבחינה הזאת של גיבוי של הנתונים של הממשלה, כמו חלק, אני מניח, מהחברות הפרטיות במשק.
אני חושב ששמענו פה סקירות די מעניינות, אני חושב שאלה אנשים שמתעסקים בכך, וטוב ששומעים את האנשים שעוסקים בכך כי לא תמיד יש לנו הזדמנות באמת לשמוע אותם ואני שמח שהגעתם ואני פותח את הדיון לכל מי שמעוניין לתרום לדיון.
ישראל פיינברג
¶
דיברו פה המון על business continuity קשורים לכסף. לא שמעתי שמזכירים את נושא בית חולים, הוא לא בדיוק משרד ממשלתי רגיל.
ישראל פיינברג
¶
לא, וכנראה גם לא יהיה. עד שלא תהיה באמת רגולציה שמלווה בתקצוב, מדובר במאות אלפי שקלים, אני לא מאמין שמשרדים ממשלתיים ישקיעו כסף מהתקציבים הפנימיים שלהם לעניין הזה וחייבים לצבוע את הכסף ו---
ישראל פיינברג
¶
אני יודע שבבית חולים רמב"ם עושים משהו, בית חולים אחר בנה איזה שהוא קיר למקרה של IT, אבל בגדול מה שעושים זה בתקציבים הפנימיים המצומקים מאוד. לדעתי זו לא השיטה ונתוני בית חולים, אני חושב שהם לא פחות חשובים מבנקים.
מאיר גבעון
¶
אנחנו עוסקים בייעוץ בהקמת פרויקטים, בין היתר יש לנו הכבוד לסייע לממשלה להוביל את המכרז של הדור הבא של מערכת אביב, ובין היתר אנחנו בונים---
מאיר גבעון
¶
בין היתר אנחנו יכולים לטפל בעשרים מערכות... זה ניהול תשתיות בארגונים עתירי תשתית כמו תאגידי מים, ארגוני תחבורה.
אני רואה את המפגש הזה כמפגש כמובן של למידה לכולם וגם אולי לסייע ולכוון את הגורמים לרמה של הממשל כולו.
מאיר גבעון
¶
צריך לעשות בצניעות כמה דברים. אני בהחלט מברך וכל מה שנאמר פה מבחינתי אלה דברים שהם נפוצים ובהחלט אנחנו רואים באמת עין בעין עם אלה שעוסקים בתעשייה. אני רוצה לחדד את הדברים ולמעשה להבין למה אנחנו בעצם נמצאים ומדברים על פער שקיים באופן בולט בין הצרכים, האיומים, הבעיות, לבין המציאות שאנחנו נמצאים כסטנדרט, כממוצע. הנקודה היא שמעולם, עד השנים האחרונות, לא ראו במחשוב משאב קריטי, משאב אחראי לחיים, מציל חיים, אחראי לקיום החברתי ולסדר החברתי וראו את זה כטכנולוגיה בלבד. זו ועדת המדע והטכנולוגיה, לא ועדה להצלת חיים. אבל ראינו כאשר היתה שרפה ומדברים על כמה מאות מיליונים---
מאיר גבעון
¶
---בכיבוי אש, ראינו שצריכים לקרות דברים הרבה יותר גדולים כדי שמישהו יבוא ויגיד, 'אוקי, אני עכשיו שם מיליונים על נושא של מחשוב, תקינה ומוצרים סטנדרטיים, תפיסת ניהול כי זה בנפשנו'.
במאמר מוסגר, באיקאה, בשרפה, הדבר הראשון שניסו לקחת זה את המידע ואת הנתונים ובמאמר מוסגר, מי שאמר שהוא מעורב צריך להיזהר, מצוי שם קצין משטרה חוקר. שיהיה מעורב בפינוי, לא ב...
אני רוצה לחדד את הנושא של הרגולציה ובכוונה התחלתי עם האנלוגיה הזאת. בתחום ההנדסה, איפה יש רגולציה? אין רגולציה לגבי איך שבב יעבוד, יש רגולציה לגבי המערכות ההנדסיות, אם אתה בונה משהו לגובה, יש רגולציה. אם אתה מעביר זרם חשמל, יש רגולציה. אם אחת התרומות של המפגש הזה תהיה שבלי קיום מחשוב, הפסקת השירות של מחשוב, הפסקת השירות של תפעול של תחנות כח, של אלמנטים גרעיניים, של משרד הבריאות, של בתי חולים, של תחבורה, לדוגמה, תחשבו על השליטה ברמזורים של מע"צ שלפתע קורסת ברמה ארצית או ברמה עירונית. אני חושב שאני מכיר את המערכות האלה מקרוב. כלומר יש פה אלמנט מובהק של הצלת חיים ולכן חייבת להיות רגולציה. זה לא שזה עניין של אוקי, מי שירצה, יעשה, מי שפחות, אז לא. חייבת להיות רגולציה וכמובן שצריכים גם את מערכות המידע, המחשוב והבקרה, ולזהות קבוצות ולהתייחס לכל אחת ומה נדרש באותה קבוצה ומה מחייב. זה דבר ראשון.
מי עושה את הרגולציה? זה הכנסת או הממשלה? ואני הייתי אומר, שוב, אני נותן את האנלוגיות. ברור לכולנו שגם אם יש השקעות של מיליארדים בבניינים, במבנים ובנכסים, אין טופס 4 עד שהכל תקין מבחינת בטיחות. במערכות מחשוב מסוג קריטי לא צריך לתת אישור הפעלה, אם... כלומר יש שוט, וחסר שוט. צריך להבהיר את הדרישות לעמידה מול הציבור...
לגבי הסייבר ספייס. זה איום, גם בנושא של... הפתרון של ה-DRP, או הנושא של היערכות לחירום, נוגע גם לאירועים מהסוג הזה. כמו שאמרתי, את הדבר המרכזי שמהווה בעיה. בצבא, אנחנו כבר בשנות ה-80 קיימנו DRP זה היה בזמנו בעניין IBF. כלומר קיימנו, תרגלנו. לצערי בשוק האזרחי, במגזר האזרחי והעסקי והפרטי לא קיימים סטנדרטים שבצבא קיימים כבר כ-30 שנה. זה מחלחל, אבל זה לא שגרתי. זה נושא אחד.
הנושא השני שאני רוצה להביא מהצבא, זה שהצבא, במערכות קריטיות, והצבא, לא רק הצבא הישראלי, אלא בעולם כולו, מכיוון שבמערכות קריטיות עושים שימוש ברכיבים מוכחים, לא עושים ניסיונות, לא מאמצים טכנולוגיה... דוגמה, ספינות. דוגמה, מטוסים. לא מכניסים עד שלא מבינים מה הרכיב הזה עושה בדיוק, למה הוא מסוגל, ומה הוא עלול לעשות, לא משתמשים בו. מה קורה בתחום טכנולוגיית המידע? הסערה שקיימת, ההתקדמות, הפריצה הטכנולוגית היא בקצב כזה שלמעשה איבדנו, כל האנושות איבדה שליטה בהיבט של... ופה אנחנו לא יכולים להגיד 'טוב, תעשה ככה וככה, אז...'. מה שאנחנו יכולים לעשות, ושוב פה אני פונה כהמלצה, זה שיהיה ססטנאביליטי, שיהיה צוות... שדרך אגב אני בטוח שקיים בתוך הממשלה, אבל הוא לא קיים ברמה הלאומית. אין צוות גדול ברמה הלאומית שמחייב נהלי אבטחת מידע שקובעים רגולציה ומעדכנים אותה באופן שוטף שאנחנו תמיד, כמו שטל אמר---
היו"ר מאיר שטרית
¶
תודה רבה.
יש פה מישהו משירות הביטחון? מעניין אותי, באבטחת המידע שהממשלה החליטה בעניין הזה בעבר, על האבטחה של מערכות קריטיות, האם לקחו בחשבון גם את העניין של הגנה מפני הסיכונים שנאמרו פה? או רק הגנה פיזית?
יגאל אהרונוביץ
¶
גם בפתרונות או גם בנהלים, מדובר פה במשהו שלמעשה חלקו הגדול מיושם, לא בצורה מלאה, אבל מיושם אצלנו בתרגולות ואימונים, וגם במערכות קריטיות, שאסור להשבית גם שם. חלק מהשותפים שלנו נמצאים פה באולם. הרבה מאוד נהלים, הרבה מאוד מנגנונים, שמה שעולה לאוויר מקבלים את מענה ההגנה כמו שאנחנו יודעים. שלב פשוט באופן יחסי, במערכות שלנו... ראינו פה דוגמאות של חברת קומיטרי שהציגה, אבל גם ביודענו את המצב, עדיין יש מנגנוני התקפה, מרמת הרכיב הבודד, דרך מערכת, דרך תהליכים, יש לנו תהליכים מבצעיים, יש לנו תהליכים עסקיים, ועד לדטה סנטרים שלמים. זה קיים, מתקיים, פחות טוב ממה שהיינו רוצים. פה יגאל שניידר מכיר אותנו טוב, אז יש עדיין מה לעשות. יש מה לעשות ולאן לשאוף.
אבי ונגר
¶
אני רציתי קצת להדגיש שני היבטים שקשורים לחברות הפרטיות. קודם כל, החברות הפרטיות, אני חושב שהן נמצאות במקום של DRPו- BCPוזה למרות שכמובן אין רגולציה וגם אם תהיה, היא לא תחייב אותם. הלקוחות הגדולים דורשים את זה, חד וחלק. היום, במכרזים הגדולים, הדברים האלה, לא בדיוק במושגים האלה, אבל כל הדרישות של סקיוריטי, כל מה שקשור ל-BCP, הם יודעים שאתה בישראל והם שואלים אותי כל מיני שאלות ואתה צריך לענות אחד לאחד.
אני יכול לספר לכם שכבר לפני חמש שנים, שנה-שנתיים אחרי הסיפור של 11 בספטמבר, נציג של נוקיה ישב אצלנו והסתובב במשך שבועיים ושאל הרבה שאלות קשות וקיבל תשובות ובהחלט גם נערכנו לזה. אז לחברות הפרטיות יש טריגר, הלקוחות, כי אחרת הם לא יוכלו לגשת לחלק מהמכרזים ומי שלא ייכנס לזה, הוא יהיה מוגבל במכירות שלו, ביצוא שלו. זו נקודה אחת.
נקודה שנייה, שאני כן פונה לרגולטור, בסופו של דבר כל החברות האלה, כמו רד תקשורת, אלה חברות גלובליות, והאינטרנט אצלנו זה אולי אפילו יותר ממים וחשמל, אולי אני קצת מגזים, אבל זה באותה רמה. האינטרנט הוא בהחלט שירות שאנחנו חושבים שהרגולטור צריך מאוד מאוד להתערב, כי כשהאינטרנט ייפול, ייפלו לנו מכירות, לא נוכל לקבל קניות, לא יהיה לנו קשר עם לקוחות, לא נוכל לתת מידע ללקוחות שלנו, לא נוכל להשיג מידע הנדסי, לא נוכל למסור מידע הנדסי, חלק גדול מהפעילות ייתקע, לכן הרגולטור מחויב, לדעתנו, להיכנס חזק מאוד בכל התשתיות של האינטרנט ולהבטיח שירותי אינטרנט באותה רמה של שירותים שהם ברמת מדינה, שהמדינה צריכה לתת לאזרחים.
היו"ר מאיר שטרית
¶
תודה רבה.
חברים, אני יודע שיש רבים שרוצים לדבר, אבל אני גם יודע שדורשים ממני לסיים, כי יש לכם לוח זמנים נוסף, חוץ מהפגישה פה בוועדה, אז אני צריך להביא לכלל סיום. אני מניח שיש עוד הרבה אנשים שיש להם מה לומר ביום הזה.
קודם כל אני רוצה להודות שוב לכל אלה שהשתתפו דיון ואלה שהכינו מצגות עבורנו. אני חושב שכל היושבים פה הבינו שאנחנו ניצבים בפני בעיה שמחייבת התייחסות. שמחתי לראות אצל מר טל הרמתי, שמונה לנושא הזה בממשלה, את ההיערכות של הממשלה, את הצעדים שהממשלה עשתה עד היום כדי להיערך לעניין של ה-DRP בממשלה ואני רואה שורה של צעדים שהממשלה כבר נקטה בהם.
אני חושב שצריך להביא לכך שהמערכות הקריטיות במדינת ישראל תהיינה במצב שיש להם DR רציני ואולי גם BCP, Business Continuation, מצב שבו גם אם יקרה חלילה אירוע חירום, אפשר יהיה להמשיך להפעיל את המערכות הקריטיות הללו, ויכול להיות שצריך לעשות רגולציה כלשהי. אני כמובן אבדוק את הסוגיה הזו ואראה האם ניתן לעשות, באמצעות חקיקה או באמצעות תקנות, רגולציה שתבטיח באמת שמשרדי הממשלה והמערכות הקריטיות שלהם יהיו מכוסים ומבוססים.
לגבי הסקטור הפרטי, אני לא חושב שאפשר לעשות רגולציה לגבי הסקטור הפרטי בעניין הזה, אבל יותר חשוב לעשות הסברה בעניין הזה ולהבהיר לכל חברה שאולי השקעה שלה ב-DR היא השקעה שתחזיר את עצמה אלף פעם כאשר קורה אסון. בדיוק כמו בביטוח, כולם מבטחים את הבתים שלהם רק אחרי שפורצים להם הביתה. כך זה עובד. רוב האנשים חושבים, 'לא יפרצו לי, לא ייגעו', ביום שפורצים את הבית כולם ממהרים לעשות ביטוח, אבל אז זה כבר מאוחר מדי. לכן עדיף לא לחכות שתהיה פריצה, עדיף לעשות את הביטוח מראש. אני חושב שהביטוח למערכות מחשוב, שאני מניח שכל ארגון באמת משקיע, כמו שאמרו פה, הרבה מאוד כסף בהקמתן, בתפעולן, בשמירה עליהן, כל הדבר הזה יכול לרדת לטמיון ביום אחד, אם יש מצב של פגיעה ביכולת של אותה מערכת או אותה חברה לפעול. לכן פה זה יותר עניין של הסברה ששווה להשקיע את ההשקעה הדרושה כדי להביא לכך שהמערכות שלהן אכן תהיינה ברות קיום ואסיסטנאבל.
אני יודע שזה מטריד מדינות אחרות בעולם, לא פחות מאשר אותנו. גם מדינות שחיות בשלום חוששות היום, לא מפני מלחמה, אבל בהחלט מפני התקפות על מערכות המידע שלהן וכמו שהסבירו פה מחברת קומיטרי, הם הראו רק דוגמה אחת, שהתקפות כאלה בסייבר ספייס הן דבר נפוץ מאוד בעולם, והולך ומשתכלל כל הזמן ומדינות חוששות. אני שמעתי בפורומים בין לאומיים שונים שדנו בסוגיה הזאת ומדינות מאוד חוששות מפני ההתפתחויות ומאיבוד שליטה של המדינה במערכות שלה. אם תהיה באמת התקפה במלחמות של העתיד, יש כל מיני אמצעים שלא השתמשו בהם אולי בעבר אבל בהחלט אופציונליים לשימוש במלחמות עתיד. אולי היום לא צריך לשלוח טנקים בשביל לכבוש מדינה, אפשר למוטט את כל מערכות המדינה בלי לשלוח אף טנק אחד, באמצעות תולעת, או באמצעות התקפה אינטרנטית על מערכות המחשוב התשתיתיות של אותה מדינה. זאת אומרת לא חייבים תותחים או טנקים בשביל לכבוש מדינה, אפשר לעשות את זה גם בצורה אחרת וליצור כאוס מוחלט באותה מדינה. המדינות דואגות מהעניין הזה, לכן באחד הפורומים שהשתתפתי בהם שאלתי את המומחים, האם אפשר להוציא את התקע של האינטרנט. נגיד שהכל מתמוטט, נהיה כאוס, האם מישהו יכול לעשות shut of. השאלה מעניינת, כי אין לזה תשובה.
היו"ר מאיר שטרית
¶
לא פר מדינה, בכלל. אתה לא יכול להשתלט, אתה לא יודע מאיפה תבוא התקפה, אתה לא יכול להגיד ממדינה מסוימת. אם באמת יש כאוס כללי, האם מישהו יכול לשתק את האינטרנט, להגיד 'אין יותר אינטרנט בעולם', הפסקה, האם זה יכול לקרות? האם יש שאלטר באיזה שהוא מקום שאפשר להוריד אותו? כי אחרת, אם אין שאלטר, אולי האינטרנט ישתלט עלינו. לא קיבלתי תשובה ברורה לעניין הזה מהמומחים, האם באמת אפשר להוריד את השאלטר של האינטרנט, אם יש כאוס כללי באיזה שהוא מקום. רק פה יש כבל אחד, בכל המדינות יש הרבה כבלים, לא אחד.
אז אני מודה לכולכם על ההשתתפות, אני מודה ליוזם של הרעיון של הפגישה הזאת, למר יהודה קונפורטי שפנה אליי בעניין הזה.
היו"ר מאיר שטרית
¶
ואני שמח שקיימתי את הפגישה הזאת, כי היא באמת היתה מעניינת ויכול להיות שנקיים פגישות נוספות בעתיד בנושאים שונים שנוגעים. אני חושב שבשום מקום הממשלה לא תמצא כמות של מומחים שיבואו בהתנדבות ויקדישו מזמנם כדי להבהיר לנו נקודות שאנחנו לא מספיק ערים להם. יכול להיות שבעתיד נעשה. ועדת המדע היא הוועדה הממונה על נושא האינטרנט ועל ההיי-טק ולכן בעתיד אולי אזום דיונים נוספים, בתחומים אחרים, לאו דווקא בתחום של שעת חירום, אלא בתחומים יותר רציונליים ויותר יום יומיים, איך אמרתם? הנושא באינטרנט והשימוש באינטרנט ורוחב הפס וכן הלאה. אז אני מקווה שנוכל להתראות גם בעתיד.
תודה רבה לכם ואני נועל את הישיבה.
הישיבה ננעלה בשעה 12:45