ישראל ב-OECD מינהל סחר חוץ במשרד הכלכלה והתעשייה
מאת שלי וולקוביץ
“הפורום הגלובלי לביטחון דיגיטלי לשגשוג”
“הפורום הגלובלי לביטחון דיגיטלי לשגשוג” התקיים לראשונה במסגרת ארגון ה-OECD ופתח שורה של אירועים שיתקיימו במדינות שונות. יחד יהוו הכנסים המתקיימים בחסות הארגון מסגרת בינלאומית רב-תחומית לקהילת בעלי העניין בתחום הביטחון הדיגיטלי. הפורום שהתקיים בפריז התמקד בתפקידם ואחריותם של השחקנים השונים השותפים למערכת הדיגיטלית. כאשר השאלה המרכזית הינה מהי המדיניות הנכונה לניהול האבטחה הדיגיטלית בארגונים תוך שיתוף כל הדרגים?
במאי 2017 ידע העולם את אחת ממתקפות הסייבר הקשות ביותר שהשפיעה על כ-74 מדינות ושיתקה בין היתר את מערכת בתי החולים בבריטניה (לקריאת הכתבה בכלכליסט). ניתוחים דחופים בוטלו, רופאים התקשו לקבל גישה לפרטים ובדיקות רפואיות של החולים והמערכות הטלפוניות של שירותי החירום קרסו. בישראל עקבו במתח אחרי התפשטות המתקפה ככל שהתבררו מימדיה ולבסוף, נשמו לרווחה.
האירוע החמור היווה קריאת אזהרה לעולם וגם מערכות ומדינות שלא ניזוקו הגבירו את מערך האבטחה שלהן. היתרון הגדול שבקישוריות של האינטרנט מהווה גם את עקב האכילס של המערכת, כיון שפרצת אבטחה בחוליה החלשה יכולה להשפיע על כולה. השאלות שדנו בהן בכנס עסקו באיך אפשר לגרום לסקטור העסקי והציבורי לשתף פעולה? איך מגינים על המערכת כולה מבלי להפר חופש ביטוי ופרטיות מידע? וכיצד ניתן להגביר את האמון הכללי ליצירת שיתופי פעולה כלכליים משגשגים לטובת החברה והסביבה?
I agree
האם אתם מהאנשים שמאשרים כל תקנון באתר האינטרנט שכתוב עליו “I agree” בלי לקרוא אותו בכלל? ובכן, רובנו לא אנשי IT והפרוטוקולים הארוכים ומלאי הפרטים גורמים לכולנו בדרך כלל פשוט להסכים מבלי בכלל לחשוב על מה בעצם חתמנו באופן אוטומטי. הודי זאק, ראש היחידה לטכנולוגיות סייבר במערך הסייבר הלאומי של ישראל, השתתף בפאנל שדן בשינוי תרבות האבטחה בארגונים והחשיבות שיחלחל מההנהלה מטה לארגון כולו, תוך לקיחת אחריות דיגיטלית ומודעות “על מה חתמנו”.
זאק דיבר על פערי שפה, על כך שלאנשי מחשוב נטייה לשיח טכני בעוד המנהלים לא בהכרח מתמצאים בפרטי התכנה. כתוצאה מכך במידה ונדרש שינוי בפרוטוקול האבטחה בארגון, עלולים המנהלים להמעיט בחשיבות הנושא, למרות שיתכן ומדובר בסיכון דיגיטלי קריטי אמיתי (בלוקסמבורג למשל נערכים כבר כעת קורסים מטעם המדינה שמטרתם לאמן אנשי ניהול ומיחשוב לדבר ולהבין את אותה השפה). הוא הציע לחברות להתייחס לסיכון סייבר כאל סיכון עסקי לכל דבר, לאבחן את רמת הפגיעה במידה ויתממש, ובתוך כך להעריך כמה שווה לארגון ההפחתה שבסיכון.
עם כח גדול באה אחריות גדולה!
אבל האחריות לביטחון אינה נושא לארגונים גדולים בלבד וכל אחד ואחת מאיתנו כצרכניות מחוברות נקראות לקחת אחריות אישית בעידן “האינטרנט של הדברים”. יצרני החומרה מצידם, צריכים לעצב את מערכות האבטחה בצורה ברורה ונגישה שתהיה קלה להבנת הצרכן ההדיוט, זה שלא בהכרח מבין מה נמצא בתוך הקופסא של המכשיר אותו רכש. תוך התייחסות לאורך חיי המכשיר, מציעים השותפים ב-OECD שהחברות ידאגו ל”תחזוק דיגיטלי”, ממש כפי שישנה אחריות על היצרן לצד הפיזי של המכשיר.
חברות ממשלתיות או תשתיות קריטיות מחויבות זה מכבר לרגולציה לאומית להגנה מפני תקיפות סייבר. אך יש צורך לוודא שכלל המערכת מוגנת, בין אם מדובר בחברות קטנות, שנותנות שירותי מיקור חוץ לדוגמא, או חברות גלובליות בעלות השפעה בינלאומית – חברות תעופה ויצרניות מטוסים לדוגמא. לבטיחות וביטחון השפעה על כל שלבי שרשרת הערך, והלחץ על החברות החדשניות להביא לשוק את המוצר המוגמר במהירות שיא, על מנת לשמור על רלוונטיות בשווקים התחרותיים, יוצר פיתוי “לעגל פינות” בהיבטים כמו בטחון סייבר.
תו תקן דיגיטלי
יובל שגב, ראש מחלקת המתדולוגיה במערך הסייבר, סיפר כי אחד הקשיים המרכזיים שזיהו הוא חוסר אמון בשותפים ובמערכת. שאלה מהותית שעולה היא איך התקשרות עם חברות וגופים אחרים עשויה להשפיע על ההגנה הדיגיטלית שלנו? ואיך אפשר לדעת שגם האחרים “נקיים”?
ביפן, ממש כמו מוצר שיקבל תו תקן, מוענק לאירגון “בטוח דיגיטלי” כוכב כחול שמעיד על כך שהוא מגן על עצמו כראוי מפני מתקפות סייבר. באופן כזה שני שחקנים שרוצים להתקשר אחד עם השני לצורך מתן שירותים יכולים לסמוך זה על זה שהם בטוחים. גם במערך הסייבר הישראלי יצרו באמצעות איסוף מידע ויצירת בסיס נתונים רשימה של חברות “לבנות” שבטוח לקיים איתן קשרים עסקיים ולכלול אותן בשרשרת האספקה של הארגון. שגב דיבר על כך שהאתגר העומד כיום בפני המדינות הוא לייצר שיתופי פעולה בינלאומיים לתיאום בתחום הסטנדרטיזציה והסרטיפיקציה. הוא הציע שהשיח הקונסטרוקטיבי בארגון ה-OECD והפורומים הגלובליים, שהחלו את פעילותם בכינוס הנוכחי, יכולים להוות פלטפורמה ליצירת נורמות וגישות משותפות למדינות. על בסיסן ניתן יהיה להגביר את האמון במערכת העסקית הגלובלית ובשותפים ולהבטיח סחר והתקשרות בטוחה, תוך צמצום מתמשך של סיכוני ביטחון דיגיטלי.
מדיניות ואחריות
הכנס היווה נקודת פתיחה ומצע לשיח קונסטרוקטיבי בין בעלי העניין אודות רגולציה ואבטחת סייבר. מדיניות רלוונטית תידרש לשיתוף כל בעלי העניין וגמישות, מתוך הבנה שטכנולוגיות מטבען הן דינמיות. על ממשלות למצוא את האיזון הנכון במדיניות כך שיעודדו את השוק הפרטי להגביר רמת הגנה דיגיטלית מחד, מבלי ליצור חסמים לחדשנות הטכנולוגית ולסחר הבינלאומי מאידך. גם יחידים (אנחנו) יכולים לתרום מהצד שלנו למאמץ ולשים לב למשל לכך שלא ניטה לתעדף חדשנות על פני ביטחון. ולא, אנחנו לא חייבים את הגאדג’ט הכי חדש עוד לפני שיצא לשוק.
