כל זוכה ישראלי בפרס נובל. גורם לנו להפגין שביעות רצון ולהתרווח על הספה בסלון. עד כדי כך אנו מרוצים, עד כי אוזנינו נאטמות למשמע הביקורת שהם – כולם, ללא יוצא מן הכלל – משמיעים בקול גדול: מדינת ישראל אינה משקיעה בחינוך הטכנולוגי, ומדינת ישראל משופעת בפחות ופחות כישרונות.

"לא נורא", אנחנו פוטרים... יש לנו את יחידת 8200 שמספקת לנו כישרונות, והם העתודה האזרחית שלנו בהגנת מידע.

 

לא נכון. מרבית יוצאי היחידה עוברים לתחומי הסטארט-אפים, וממילא, מרבית יוצאי היחידה אינם עוסקים בהגנה.

 

החינוך הטכנולוגי באבטחת מידע בארצות הברית ובאירופה

די בסדרת חיפושים פשוטה בגוגל על-מנת לגלות שפע עצום של קורסי הגנת סייבר, בכל רחבי היבשות – החדשה והותיקה. ובישראל? כמעט כלום. רכישת השכלה בחקירת מחשב? כמעט שאין. בניהול SOC? אין. ב- Reverse Engineering – אין. קורס מודיעין הגנתי פרואקטיבי? אין. במתודולוגיות הגנת סייבר? אין. תואר אקדמי? אין.

ובחו"ל? המעטים שעדיין מעוניינים בלימודים מתקדמים בישראל, נוסעים כמובן לחו"ל, ומשלמים כ- 3,000 דולר לקורס בן 5 ימים בארה"ב, או סכום זהה ביורו באירופה, או סכום כמעט זהה בפאונד בבריטניה. מה מחירו של קורס בן 5 ימים בישראל? 5,000 עד 7,000 שח, וקורס יוקרתי מהסוגים הללו – לכל היותר 12,000 שח. מדוע? כי הביקוש נמוך.

יוצאי היחידות ה"טובות" יודעים זאת, ובוגר מוכשר צריך להיות "ציוני כבד" על-מנת להסכים לעסוק בהוראת סייבר.

רגע, רגע... התופעה לא מוכרת לנו ממערכת חינוכית אחרת?

 

ההגנה ומרכיביה

בעידן הטכנולוגי הנוכחי – לתוקפים יתרון מובנה ראשוני ניכר. לפיכך, המאמץ בהגנה גדול יותר ממאמץ תקיפה טיפוסי. ההגנה מורכבת מעשרות פעולות במקביל, בהיבטי הטכנולוגיה, הטקטיקה של אנשי המקצוע ושל העובדים, ובהיבטים של תהליכים עסקיים טיפוסיים בארגון.

ברם, היסודות להצלחת האופרציה המשולבת הינם: כלים וטכנולוגיות, טכניקה בראייה הנדסית, משמעת עובדים, משמעת אנשי IT, נהלים מפורטים, מערכת בקרה ואכיפה.

ובכן, אנחנו לא בדיוק "מעצמה" בתחום המשמעת, ואף לא בתחום "ההתנהלות בהתאם לנוהל". אנחנו גם לא מאור לגויים בתחום טכניקות הגנה.

מערכת הבטחון יודעת זאת, האזרחים לא.

מערכת הבטחון החלה להפעיל מערכי הכשרה מגוונים, במספר ארגונים, ואילו במערכות האזרחיות שאינן מבוקרות על-ידי הרשות הממלכתית לאבטחת מידע או המלמ"ב, האדישות נותרה כשהייתה. 

גם "התקפה קטנה" על מחזיקי כרטיסי האשראי בישראל לא הוציאה את איש אבטחת המידע משלוותו הפדגוגית: "שטויות, תן לי 5 שעות ואני מביא לך 10,000 כרטיסי אשראי מהאינטרנט", יפלוט . ואני, בעוונותיי אענה: "אולי, אבל אנחנו לא צריכים שתוכיח שאתה יודע לתקוף... אנחנו צריכים אותך ככח ההגנה שלנו".

 

האמת העגומה חייבת להאמר: בתחילת דבריי ציינתי כי לתוקף יתרון מובנה המושתת על טכנולוגיות התקשורת הנוכחיות שנבנו במקורן לצורך "פתיחות". לפיכך, קיום הגנה נאותה הינה מצווה יקרה מאוד, סזיפית, ומוציאה מדעתו כל מנהל כספים בכל ארגון אזרחי.

התרבות הניהולית גורסת שיהיה בסדר (נכון, אינני הראשון לומר זאת). התרבות הניהולית אומרת ש"אולי אציג מאזנים מצוינים יותר ללא ההוצאה, כי ממילא לא מבקרים אותי ("על אמת") בתחום הסיכונים שאני מנהל".

גם מנהלי אבטחת המידע אינם ממהרים למרוד, שכן – כיצד יוכלו לבקר את מעסיקיהם-מפרנסיהם?

 

סוגי בעיות טיפוסיות בהגנה

בארגונים קטנים רגילים:

הידע ההגנתי-טכני ירוד בדרך-כלל. אדם אחד מבצע את כל הפעולות: ניהול רשתות, ניהול מידע ותוכנות, טכנאות אבטחת מידע (יישום), תכנון וניהול אבטחת מידע, ניטור ותגובה לאירועים. רמת היכולת להתמודד עם התקפה מושקעת: קיימת יכולת להתמודד חלקית רק עם התקפה אקראית או ספציפית מצד האקר בודד "מתחיל".

בארגונים קטנים הנתונים לסיכון גבוה:

הידע ההגנתי-טכני ירוד בדרך-כלל. אנשים בודדים מבצעים את כל פעולות האבטחה: טכנאות אבטחת מידע (יישום), תכנון וניהול אבטחת מידע, ניטור ותגובה לאירועים. רמת היכולת להתמודד עם התקפה מושקעת: סמלית עד נמוכה. בארגונים הנתונים לרגולציה – יש נטייה להשקיע את התקציב המועט בלאו-הכי, בפעילויות של מראית עין. קיימת יכולת להתמודד רק עם התקפה אקראית או ספציפית מצד האקר בודד "מתחיל", ויכולת חלקית להתמודד עם האקר "מתקדם".

בארגונים גדולים רגילים:

הידע ההגנתי-טכני ירוד עד בינוני בדרך-כלל מול מתקפה מושקעת, אך בינוני עד "מספק חלקית" בדרך-כלל מול התקפת האקר בודד "מתקדם". רמת היכולת להתמודד עם התקפה מושקעת: סמלית. בארגונים הנתונים לרגולציה – יש נטייה להשקיע את התקציב המועט בלאו-הכי, בפעילויות של מראית עין. קיימת יכולת להתמודד רק עם התקפה אקראית או ספציפית מצד האקר בודד "מתחיל", ויכולת סבירה להתמודד עם האקר "מתקדם".

בארגונים גדולים הנתונים לסיכון גבוה:

לא יפורט.

---

מכללת See Security נוסדה ב- 2002, ומתמחה בקורסי הגנה ותקיפה, על-בסיס הידע הנדרש לכל אחד ממקצועות והתמחויות האבטחה.

 

בין המותגים המפורסמים בקטלוג הקורסים של שיא – קורס Hacking Defined בן 100 שעות, ומסלול CISO בן 280 שעות למהנדסי ולמנהלי אבטחת מידע הנפתח זו הפעם ה- 22 בתוך 7 שנים.

המכללה קיימה בינואר את קורס סייבר הראשון בישראל (level-1) בהשתתפות 33 תלמידים מקרב זרועות הבטחון וגופים ממשלתיים מיוחדים, והשיקה תוכנית בת 3 הסמכות בתחום ה- Cyber.

המחזורים השני והשלישי כבר הוכרזו לפתיחה בפברואר ובמרץ, וקורסים מתקדמים במיוחד ייפתחו באפריל ואילך עבור Level-2 ו- level-3.

 

  

אבי ויסמן, 03-6122831,

avi@see-security.com

 

הכותב הינו יו"ר הפורום הישראלי לאבטחת מידע, בעלים של בית הספר לאבטחת מידע ולוחמת מידע See Security, ושותף בחברת היעוץ לאבטחת מידע WH Consulting