על סייבר ורגולציה
This post is also available in: 
English (אנגלית)
אבי יריב
בכנס "סייבר ורגולציה" שהתקיים באוניברסיטת חיפה, ניתנה תשומת לב רבה לאתגרים הרגולטוריים וחוצי הגבולות בין המדינות בתחום הקיברנטי. הכנס המשותף לאקדמיה ולתעשייה (בחסות איגוד תעשיות האלקטרוניקה והתוכנה), אורגן ע"י פרופ' אמנון רייכמן ופרופ' ניבה אלקין-קורן מאוניברסיטת חיפה. מרצים בכירים מישראל, ארה"ב והעולם סקרו ודנו בנושא המרתק.
לפי פרופ' ג'ונתן זיטריין, מאוניברסיטת הארוורד, המגמה של מעבר בין מוצרים לשירות מעל האינטרנט, מגביל מאוד את היצירתיות ונותן לחברות הגדולות, ספקיות התשתית הטכנולוגית לשירותים, כוח למול חברות קטנות ויצירתיות. איסוף המידע מתבצע בקהל הרחב – האלגוריתם המפיק את התובנות מתוך המידע הזה, נכתב ומנוהל ע"י החברות הגדולות – ששולטות למעשה ומנצלות את המידע הרב המופק ולפעמים (בצורה מודעת או לא מודעת) גם מטות את התובנות. לפעמים גם יחידים לומדים את הפרצות בתהליך "הפקת הלקוחות" ומנצלים אותם בשיטות שונות.
עמית אשכנזי, היועץ המשפטי של מטה הסייבר הלאומי, הסביר לגבי מטה הסייבר. אשכנזי הסביר לגבי תפיסת ה- STIX האמריקאית לשיתוף המידע, שפה מובנית למודיעין לגבי איומי סייבר.
פרופ' ברכה שפירא, דיקן מחלקת מערכות מידע מאוניברסיטת בן-גוריון, דיברה על טכנולוגיות "נתוני עתק" (big data) למעקב וניתוח. האתגר הוא יצירת ערך מתוך הררי הנתונים, וזאת באמצעות אלגוריתמים ושיטות מתקדמות. אנו עדים להתפתחות מדעני מידע (Data Scientists) – פיתוח מיומנויות בניתוח, שימוש ואיסוף מאובטח של הנתונים והתובנות.
פרופ' מיכאל בירנהק, מאוניברסיטת ת"א, דיבר על תפקיד חדש בהנהלת החברות – ה- CPO – מקצוע המשלב חוק, טכנולוגיה וארגון. נושא נוסף עליו דובר – מתן דגש על הפרטיות עוד בשלב התכנון (PbD) – לדוגמה סורקי גוף בשדות התעופה, שלא לקחו בחשבון מציצנות והצגת אדם ללא בגדים כחלק מהסריקה.
פרופ' ג'ואל ריידנברג כופר בעיקר, מבחינתו השאלה "איך שומרים על הדמוקרטיה בעידן של פרטיות, אבטחה וסייבר" כלל איננה רלוונטית – כי הדמוקרטיה איבדה רלוונטיות. לשיטתו אנחנו צועדים לקראת שיטת ממשל שונה שתתאים לנסיבות החדשות. הדמוקרטיה מכבדת את שלטון החוק, מטילה אחריות על כל אחת ואחת (Accountability) מבטיחה חופש לפרט ושומרת על הסדר הציבורי. לטענת פרופ' ריידנברג אנחנו מאבדים את הכבוד לשלטון החוק והממשל, כל המידע מוקלט כל הזמן ולכן כולם אשמים כל הזמן (נברר אח"כ בדיוק במה, offline …), כל המידע שלנו ברשת לכן אנחנו כבר לא אנונימיים – איבדנו את החופש והפרטיות, תוכניות האבטחה והביטחון חושפות מידע רב לגבינו – מידע המסכן את ביטחוננו בכך שהוא זמין למי שמבקש להרע או להטריד. המסקנה היא כי אנו עדים לאבולוציה בשיטת הממשל, וצמיחה של דינמיקה שלטונית חדשה.
עמי בראון, סמנכ"ל בחברת סייברביט (Cyberbit), חברת הסייבר של אלביט מערכות, הציג את התפיסה של אבטחת ארגונים. חומות ורשתות מבודדות כבר לא נותנות מענה אבטחתי מתאים. כדי לספק מענה מלא לארגון, יש לנקוט בצעדים הבאים: הערכת סיכונים, מניעה, ניטור וגילוי , ולבסוף תגובה – סילוק האיום וסגירת הפירצה. תקיפת סייבר איננה אירוע מבודד אלא חלק מפרוטוקול תקיפה הכולל שלבים רבים של מל"מ, חקירה, ניסוי וטעיה – עד להצלחה של התוקפן. גם תהליך התגובה הוא תהליך מורכב, וכולל יכולות, לצד מגבלות, טכנולוגיות, רגולטוריות, עסקיות, ארגוניות, יחסי ציבור ועוד. הדרך לפתרון כוללת טכנולוגיה, נהלים ופרוצדורות, אימון כ"א ושיתוף פעולה בין ארגונים ומערכות.
פרופ' ניקו ואן אייק, מאוניברסיטת אמסטרדם, הרצה על קביעת סטנדרטים לשקיפות ופיקוח בפעילויות של סוכנויות מודיעין לאומיות. יש לספק לסוכנויות אלו משאבים מספקים לביצוע פעילויות השקיפות והבקרה.
אסתי פשין, ראש מינהל סייבר בתע"א, תקפה את האקדמיה בנושא פרסום מאמרים הדנים בחולשות ונקודות תורפה במערכות תשתיות קריטיות לאומיות. היכולת של ההאקרים ללמוד את החולשה ולנצל אותך כדי לפגע, גבוהה ויעילה בהרבה מיכולת התעשייה והרגולטור לסתום את הפירצה. קיים גם "מעגל היישום" (implementation cycle) – אשר נותן להאקרים מקדמה רצינית לבצע נזק לפני שהטובים מגיעים עם פתרון ומענה.
טל גולדשטיין ממטה הסייבר הלאומי הרצה בנושא תכנון אסטרטגי ברמה הלאומית.
מר אלדר הבר הרצה בנושא מציאת אמצעי נגד להתקפות סייבר על תשתיות קריטיות לאומיות, תוך איזון למול זכויות הפרטיות וצנעת הפרט.
