יבמ מקימה מרכז מצוינות בישראל להתמודדות עם איומי סייבר
מאת: חיים חביב, 27.1.14, 23:00
 
סטיב מילס, סגן נשיא בכיר ביבמ ומנהל קבוצת התוכנה והמערכות של החברה, הכריז הבוקר בתל אביב בפתיחת כנס CyberTech 2014 בהשתתפות ראש הממשלה, על הקמת מרכז מצוינות למחקר סייבר בבאר שבע, בשיתוף עם אוניברסיטת בן גוריון בנגב. מרכז המצויינות ישרת את מערך המו"פ של יבמ, שמתכוונת לרכז במקום פרויקטים חדשניים ולהפעילו במקביל למאמץ האקדמי של אוניברסיטת בן גוריון בתחום זה.

במסיבת עיתונאים מיוחדת בעקבות ההכרזה פרש מילס את תפישת העולם של יבמ בתחומי פשיעת הסייבר ואף הרחיב בסוגיות נוספות. הוא אמר, כי התמודדות עם איומי סייבר כרוכה בניטור ובניתוח אנליטי של משתנים רבים ושל כמויות מידע ההולכות וגדלות באופן מעריכי. להערכתו, ההתמודדות של ממשלות וארגונים עסקיים עם איומים בתחום הסייבר הופכות קשות יותר ויותר עם הזמן, ולמעשה מוגבלות מאד בהיעדר שימוש במערכות אוטומטיות. קיים מחסור בכוח אדם מקצועי לאבטחת סייבר ורק ביכולתן של מערכות אוטומטיות לבצע ניטור איומים, ניתוח אנליטי ומעקב  אחר הגישה לשרתים, ליישומים ולמערכות הארגוניות, לאסוף נתונים ולנתח תהליכים ודפוסי תעבורה ברשת בתחום הסייבר. "אין מספיק אנשי אבטחה היכולים לחקור הכל בכוחות עצמם ונדרשת אוטומטיזציה", אומר מילס.

מילס מציין, כי הצורך בפתרונות חדשים להתמודדות עם איומי הסייבר הוביל את IBM לבחור בישראל להקמת מרכז מצוינות חדש בשיתוף פעולה עם אוניברסיטת בן גוריון. המיזם המשותף יהיה מעורב בהיבטים שונים של מחקר ופיתוח יכולות ויישומים בתחום אבטחת הסייבר והאבטחה ויתוקצב בראשיתו במספר מיליוני דולרים. "נתחיל במספר קטן של עובדים בשאיפה לגדול. על פי נסיוננו, מרכז כזה צריך להעסיק יותר מחמישים עובדים על מנת להיות עוגן משמעותי - ואין כל מניעה שלא נגדל אף להיקף של מאות עובדים. התחלנו בגיוס ובהעברה של כמה מהמומחים הקיימים שלנו בתחום הסייבר אל הפעילות החדשה, ובמקביל - אנו מקווים לגייס ולהביא למרכז עובדים חדשים". בתשובה לשאלת טלקום ניוז, ציין מילס כי כשני שליש מעובדי יבמ בישראל מעורבים במחקר ובפיתוח ורבים מהם הגיעו מחברות אותן רכשה יבמ בשנים האחרונות. הרכישה המשמעותית האחרונה בתחום התוכנה בישראל הייתה של חברת אבטחת הסייבר טראסטיר, שהפכה למעבדת סייבר במסגרת מעבדות התוכנה של יבמ בישראל.

באשר לגישתה של יבמ בנושא, מציין מילס, כי חלק מתפישת ההפעלה של יבמ במערכות אבטחה מהדור החדש מתמקד בניסיון להבין את דפוס הפעילות של פורץ המערכות בזמן אמת: "אנחנו מדברים על גופי ממשל המעסיקים אלפים ואף עשרות אלפים של עובדים. עשרות אלפי לקוחות (לעתים אף מיליונים) של צרכני שירותים ניגשים למערכות ממשלתיות מקוונות. יש כאן אתגר לבנות מערכת, שתתמוך בגישה הנדרשת על מנת לספק שירות טוב מצד אחד, ולעקוב אחר אופי הגישה כדי למנוע איומים מצד שני. בכל פעם ובכל מקום בו אתה מקים מערכת כיום אתה עתיד לקבל סוג כלשהוא של פעילות בלתי רצויה. לנוכח מספר האנשים המתקשרים עם שירותים מקוונים, מספר המכשירים, טלפונים חכמים, אפליקציות, אופני הגישה לתשתיות, מכשירים בקצה הרשת - מתגים, שרתים, אחסון - סדרי גודל של נפחים עצומים. זה הופך לבעייה של ביג דאטה".

מילס ממחיש את הגישה של יבמ בדוגמא של מטוס מתוחכם, שנדרש למכשור בתא בטייס להצגת מידע סלקטיבי הנדרש לטייס בכל רגע נתון, מכלל מערכות המטוס. האתגר הוא לאזן בין כמויות המידע הנאספות ובין הצורך להציג רק את הנתונים הרלוונטיים ביותר. "אותה בעייה קיימת גם בתחום האבטחה. מיליוני תנועות מתבצעות מדי יום בבנקים, למשל. יש הצפה של נתונים ונדרש מחשב בעל יכולות אנליטיות על מנת לעקוב אחר סטיות, ולאתר דפוסים של פעילות פוגענית. מומחי אבטחה מתמחים בהבנת הדברים, שלא אמורים להתרחש אך אינם מסוגלים לראות את כולם ללא מערכות מעקב וניתוח. בעייה אחרת של המערכות האלה היא מניעת התראות שגויות. גם בה יש לטפל".

מילס מזכיר, כי בתחום הסייבר יש לנטר לא רק חדירות מבחוץ אלא גם מבפנים: רוב העסקים מפעילים מערכות איתור ניסיונות פריצה, שיושבות על הערוצים הנכנסים, בודקים את מקור הנתונים וסוגם, ומזהים תעבורה חשודה המייצגת איום פוטנציאלי. המכשירים האלה משמשים לחסימת תעבורה – אלא שלא די בהם. מילס: "הפורצים רוצים לאסוף נתונים מהמערכת שלך. הם משתילים פיסת קוד החודרת לשרת שלך. אם הצליחו בכך, הקוד שלהם מתקשר לרכיבי ליבה הקשורים למדריכים במערכת, בוחנים את הנתונים במערכת (זהות משתמש או נתונים אחרים) ובשלב הראשון לא עושים דבר למעט האיסוף מעת לעת. אחר כך, הם מנסים לשלוח את המידע החוצה. על מנת להתמודד, עם האיום הזה, מתחילים עכשיו גם לבחון את המידע הנשלח החוצה, הכתובת אליה הוא נשלח, האם היא חשודה, האם יש דפוס פעולה של זרימת מידע הטעון חקירה. מניעת הפריצה כוללת עכשיו לא רק את הכניסה לארגון אלא גם את ניטור החומרים היוצאים ממנו. האנשים הרעים הופכים חכמים יותר, ומציבים בפנינו אתגרים קשים יותר. במסגרת מעבדות התוכנה של יבמ בישראל כבר מתנהל פרוייקט הבוחן תעבורה חשודה מחוץ לארגון".

מאבק מוחות: כמו שחמט אך מהיר יותר
מילס: "אבחון דפוסי ההתקפה וההגנה, שבו יעסוק מרכז המצויינות בבאר שבע הוא כמו משחק שחמט אך מהיר יותר. אם אני שחקן שחמט אני מזהה כיצד פועל היריב שלי ומתגונן בהתאם. הקושי נוצר משום שממשלות ועסקים צריכים להתגונן כל הזמן בעוד התוקפים זקוקים רק להצלחה יחידה. אם וירוס הפוגע במחשב של משתמש פרטי זו טרדה ברמה האישית הרי ברמה של ארגון או ממשלה זו בעיה עמוקה ומסוכנת. הגורם המבדל את יבמ הוא העובדה, שאין עוד חברה המחזיקה בסל כלים עשיר כשלה לזיהוי ולניתוח איומים בזמן אמת. הניתוח מספק כיוון ברור במה להתמקד, בעזרת סינון מאסיבי בזמן אמת של התעבורה ברשת".

בתשובה לשאלת טלקום ניוז בדבר מידת השת"פ הבינלאומי הנדרש למלחמה בפשיעת הסייבר, מציין מליס, כי הוא מאמין, שיש מקום למודל פעילות משולבת של גופי תעשיה וממשלות, שיפעלו בתחום תקני האבטחה, לא בהכרח תחת האכסניה של האו"ם. "מטריד אותי, שממשלות תקבענה תקנים שונים ממדינה למדינה. זה מעמיס על עלויות התעשייה שלי. כשם שהאבטחה בבנקים התגבשה כך נראה תהליכים דומים בתעשיות הבריאות ובתחומים נוספים. ממשלות וגופי תעשייה חייבים לקבל עליהם רגולציה עצמאית, ולגבש מודל משותף. אחרת הממשלות תיפלושנה פנימה ויתכתבנה את תנאיהן. התהליך כולו צריך להיות דומה להתפתחות ה-Web: בסופו של יום, צמיחה כלכלית תלויה בהחלפת רעיונות ובשיתוף פעולה סביב העולם. אי אפשר להגיע לאבטחה מוחלטת. בדיוק כפי שבטיחות בדרכים נשענת על טכנולוגיות ועל חקיקה מקומית של חוקי תעבורה, כך גם בעולם האבטחה ישולבו תקנים מחד ומודל של הסדרה ורגולציה עצמאית מאידך. כך, יש כבר כיום גופי הסמכה בלתי תלויים לכל מה שנוגע להגנת נתונים, החלפת נתונים וסייבר".

יבמ ללא חומרה?
האם IBM שוקלת לצאת מתחום החומרה עד 2020 כפי שטען לאחרונה אחד האנליסטים בחו"ל? מילס דוחה על הסף את האפשרות, שיבמ עלתה על נתיב חדש בדרכה לנטוש את פעילות החומרה: "החומרה יוצרת ערך אמיתי לעסקים שלנו. אלפי ארגונים ומוסדות נשענים על המיינפריים שלנו, עסקי POWER אחראים ליותר מ-100 אלף התקנות, ויש לנו עסקי אחסון. להערכתי, במהלך חיי יבמ לא תצא משוק החומרה. זה אינו עולה על הדעת. אנו פעילים בעסקים האלה מאז ומתמיד ונהיה בהם גם הלאה".

על מכירת עסקי השרתים של יבמ ללנובו, שפורסמה לפני כשבוע, אמר מילס: "עוד ב-2005 החלטנו למכור את עסקי המחשוב האישי ללנובו, ובשבוע שעבר הודענו על מכירת רוב עסקי שרתי x86. השוק בתחום הזה הגיע למקום שבו כמעט בלתי אפשרי להרוויח. כשאתה ממציא  משהו חדש - אתה נהנה מרווחים של ממציא, והם תמיד הגדולים ביותר בהשוואה לרווחי משווק או מוכר. אנחנו לא המצאנו את ה- x86. גילינו, שבלתי אפשרי 'לעשות כסף' על המוצרים האלה. אנו שומרים על מערכות POWER  ודומות להן, המשלבות תוכנה ארוזה במכשיר ייעודי, ונמשיך לספק אותן. אנחנו מתמקדים בהמצאות ובחדשנות, והחלטנו לא להתמקד במכירה בכמויות של שרתי x86.  לנובו, מצידה, עוסקת בהפצה בכמויות גדולות: היא מתקיימת בעולם של שולי רווח נמוכים, ופועלת בסין - מקור לרכיבים ולהרכבה במחירים נמוכים במיוחד. בסופו של דבר, זו התפתחות הגיונית של התחום".