איך אנחנו מגנים על המידע של הלקוחות שלנו

 

ליאור:            היי ערן.

ערן:               היי ליאור.

ליאור:            היי כולם. הגעתם ל-Startup for Startup, הפודקאסט שבו אנחנו חולקים מהניסיון, מהידע והתובנות שלנו כאן במאנדיי.קום וגם מחברות אחרות, שיגיעו, והוא מיועד לכל מי שסטארט-אפ מדבר אליו, לא משנה באיזה כיסא הוא יושב ברגעים אלו. [מוזיקה]. אז היום אנחנו נדבר על אבטחת מידע בסטארט-אפים. זה שאבטחת מידע היא קריטית נראה לי שזה ברור. יש לנו היום למעלה מ-40 אלף חברות משלמות, שמשתמשות במוצר שלנו מן הסתם מתוך הבנה ואמונה ששום סכנה לא נשקפת למידע שלהן. מה שפחות ברור זה מתי מתחילים להתעסק עם security, האם עושים את זה לפני שיש לקוחות, אחרי שיש לקוחות, איך מתעדפים משאבים לטובת העניין. ועוד הרבה שאלות. שלטובת העניין הזה הזמנו היום את דניאל מיטלמן. שזה פעם אחרונה שאני אגיד שהוא דניאל, כי הוא רק מיטלמן [צוחקת].

ערן:               אף אחד לא יודע מה השם הפרטי שלו. [צוחק].

ליאור:            נכון. שמוביל את תחום ה-security בחברה. היי מיטלמן, איזה כיף שהצטרפת אלינו היום.

דניאל:            שלום ליאור, תודה שהזמנתם אותי.

ליאור:            אז ככה לפני שנצלול לעניין עצמו, ספר לנו קצת על מה שאתה עושה בעצם בחברה ביחס ל-security, על הצוות אם יש כזה.

דניאל:            זאת שאלה טובה. אז התחום של אבטחת מידע במאנדיי זה תחום שהוא באמת רחב מאוד, בגלל שאחד הדברים הבסיסיים שצריך להבין על מאנדיי זה שזאת חברה שבסופו של דבר המוצר שלה זה לשמור על המידע הסודי של חברות ושל לקוחות אחרים. ולכן יש לנו אחריות מאוד גדולה. גם לכל הדברים אנחנו עושים כאן, אבל גם לכל המידע וכל הקבצים שלקוחות שלנו מעלים למערכת. ולכן תחום ההתעסקות שלי, או בעצם תחום ההתעסקות של הצוות – שאני מיד אספר קצת יותר על המבנה שלו – זה לוודא שאנחנו נמצאים ברמה שהיא מספיק גבוהה בכל התחומים שאנחנו רוצים להיות בהם מבחינת הדרך שבה אנחנו מגינים על המידע של לקוחות. הצוות בעצם מורכב מאנשים מצוות התשתיות, אנשים מה-RND, אנשים מצוות התפעול, והוא כולו פועל בהובלתי. אנחנו מתכנסים פעם בשבוע, בשביל לדבר באמת על כל הסוגיות הבוערות, על דברים שקרו במהלך השבוע האחרון, על פרויקטים חדשים שאנחנו רוצים לקדם שהם בדרך-כלל פרויקטים יחסית גדולים. ואנחנו גם מחלקים משימות. שחלקן אנחנו נבצע וחלקן גם אנשים אחרים בחברה יבצעו. אנחנו לא שומרים לעצמנו את כל הידע ואת כל מה שקשור בביצוע של המשימות של אבטחת מידע. אבל אנחנו כן אלה שמבטיחים שהדברים האלה קורים כחלק מתהליכי העבודה היומיומיים כאן.

ליאור:            אז ערן, אני מניחה שלא תמיד זה היה ככה [צוחקת]. מתי בעצם הבנו שאנחנו צריכים להתחיל לחשוב על זה בצורה יותר מסודרת?

ערן:               לא, זה… תחום ה-security הוא תחום שליזמים בתחילת הדרך הוא איזושהי מעמסה על הגב. אני חושב שלאורך כל הדרך זה מעין חוב כזה שצריך לשלם. אבל כשאתה מתחיל את המסע זה כזה משהו שאתה אומר אוקיי, אני אטפל בו אחר-כך. גם בכל ה-life cycle של חברה של סטארט-אפ אז זה תמיד הדבר הזה שנדחק לסוף. כי תמיד יש את הפיצ'ר הדחוף, כי תמיד יש עוד לקוח שאנחנו רוצים לסגור. וחושבים על security, אבל איכשהו תמיד זה מוצא את ה-priority שלו מאוד מאוד נמוך בסדר העדיפויות. אני יכול להגיד על עצמי שתמיד זה היה מאוד מאוד חשוב לי. ועשינו כל-מיני דברים בשביל לשמור על security בסיסי בתחילת הדרך, אבל-

ליאור:            כמו מה למשל?

[4:00]

ערן:               כל-מיני מחשבות על תשתית נגיד, איך שפיתחנו את האפליקציה, ואיך שבנינו את ה-database. אבל זה באמת דברים בסיסיים. ולאורך תקופה מאוד ארוכה שהחברה גדלה, אז זה כזה משהו שאתה מדחיק. באיזושהי רמה. כאילו, סבבה, כשנגדל נטפל ב-security, כשנהפוך להיות חברה גדולה נטפל ב-security.

ליאור:            מדחיק אבל מציק לך שם במאחורה של הראש.

ערן:               כן. תראי, תמיד יש את ה, הרי בסוף סטארט-אפ זה ניהול סיכונים. הסיכון הכי גדול זה דבר ראשון שתיסגר, שלא תצליח עסקית. אבל אז אתה פתאום, אני מוצא את עצמי באמצע הלילה קם וחושב וואו, מה יקרה אם חס וחלילה מישהו יצליח לפרוץ לנו למערכת? איזה risk מטורף זה לחברה, איזה PR נוראי זה יכול להיות, זה משהו שיכול ממש לפגוע בעסק. ואני רוצה לשמור על ה … [00:04:37] של הלקוחות, הם סומכים עלינו. אז בהתחלה זה ממש דיסוננס כזה, בין הרצון שלך להתקדם ולהצליח עסקית לבין לשמור על הלקוחות ועל המידע שלהם. וזה ממש השתנה לאורך הזמן. מבחינתי ומבחינת החברה אני חושב.

ליאור:            דניאל, אז… הצלחתי לקרוא לך דניאל. מיטלמן [צוחקת].

ערן:               בוא נהיה רשמיים פה [צוחק].

ליאור:            אז איך מתחילים לפתור את הדיסוננס הזה בעצם?

דניאל:            הדבר הראשון בראייה שלי, שכל ארגון, גם ארגון קטן, גם סטארט-אפ צריך לעשות, וזה חלק מהאזור הזה שנקרא ניהול סיכונים, risk management, זה ניהול נכסים. לכל ארגון, בין אם הוא מכיר בזה באופן רשמי ובין אם לא, יש נכסים. נכסים יכולים להיות נכסים פיזיים, כמו קלסרים, מחשבים. כל דבר שאני משייך לארגון כבעל ערך ואני רוצה להגן עליו. ויש נסים וירטואליים. כמו למשל שרתים, מערכות הפעלה, הקוד שלי של האפליקציה, המידע של הלקוחות שלי. אז הדבר הראשון שצריך לעשות זה להסתכל על הארגון כאוסף של נכסים שאני צריך להגן עליהם. עכשיו, כשארגון מתחיל, כשסטארט-אפ מתחיל, אז זה נכון, יש לו בסיס קוד קטן ויש לו אולי לקוח אחד או שניים. אין הרבה מה לעשות שם. זאת אומרת, זה נכון שצריך לעשות את הבייסיק של הבייסיק, אבל לא צריך להביא אנשי אבטחת מידע מומחים ולקנות מערכות במאות אלפי דולרים בשלב הזה. זה קצת overkill. כן צריך להיות מודע למה שיש לך. השלב הבא זה לעשות מה שנקרא מיפוי נכסים. צריך להסתכל על כל נכס ולהבין שני דברים לגביו. הדבר הראשון, איך אני מסווג אותו כנכס חשוב של החברה, האם הוא נכס קריטי, האם הוא חשוב, האם הוא  נכס שזה טוב שיש לנו אבל אם אנחנו נאבד אותו אז לא יקרה כלום לחברה. ודבר שני זה להבין איך אנחנו מגינים על הנכס הזה היום. האם אנחנו משקיעים מספיק. האם יש לנו כלי ניטור. האם אנחנו מגינים עליו פיזית מספיק טוב. כי גם לנכסים יכולים להיות היבטים של פגיעה פיזית. בשלב הבא, כשיש לי באמת את המפה הזאת של הנכסים שלי, כמה הם חשובים לי ואיך אני מגן עליהם, אני צריך פשוט לשבת מול הרשימה הזאת ולחפש את הנכסים שיש את הפער הכי גדול בין החשיבות שלהם לבין הדרך שבה אני מגן עליהם בסופו של דבר. וברגע שיש לך את הרשימה השלמה הזאת, שבדרך-כלל בארגוני סטארט-אפ שיש להם מוצר SaaS, שיש מאחוריו מסד נתונים וקבצים וקוד סודי ועוד נכסים שמאוד חשוב לי להגן עליהם כי הם חלק מהצמיחה של החברה, בדרך-כלל יימצאו לפחות שניים-שלושה נכסים כאלה. שאנחנו נבוא ונסתכל ונגיד "בוא הנה, אנחנו ממש פספסנו כאן." זאת אומרת-

ליאור:            לא בכיוון.

דניאל:            ממש לא בכיוון. יש לנו פה מידע רגיש מאוד ואנחנו מגינים עליו באמצעות סיסמה עם שמונה ספרות שאפשר לגשת אליה מכל מקום בעולם. אז דבר ראשון לפי דעתי שכל סטארט-אפ, לא משנה באיזה שלב הוא נמצא, צריך לעשות זה לעשות לעצמו את המיפוי הזה ולסדר לעצמו את סדרי העדיפויות מבחינת איפה אני מתחיל. לא צריך לקפוץ ישר ללקנות מוצרים יקרים, צריך להבין איפה יותר דחוף ולהתחיל משם.

[8:00]

ליאור:            אז איפה אצלנו דחוף?

דניאל:            אז אצלנו אנחנו גם עשינו תהליך כזה, למרות שאני כן אהיה כן ואגיד שזה תהליך שחייב לקרות כל הזמן, ואנחנו לא עשינו אותו בחודשים האחרונים, ובגלל שמאנדיי היא גם חברה שמתקדמת מאוד מהר אז המפה הזאת גם השתנתה. אני חושב שאחד האזורים שבהם אנחנו מבינים-

ליאור:            נגיד כשאתה אומר שלא עשינו את זה בחודשים האחרונים, זה לא מפחיד אותך להגיד דבר כזה עכשיו on the record, שכאילו איזה מישהו, איזה פורץ פוטנציאלי בעולם יושב, שומע אותך אומר את זה ואומר יאללה, מאנדיי על הכוונת?

דניאל:            זאת שאלה יפה, התשובה היא לא. בואי נגיד, אם לא היינו עושים את זה שנה-שנה וחצי אז התשובה הייתה אחרת. במספר חודשים אנחנו לא מספיקים להשתנות מספיק בשביל לפתוח איזשהו אזור חדש פה שיכול להיות סכנה בסדר גודל שלא הכרנו. אבל זה כן מספיק בשביל שאני אגיד לעצמי בתור אחראי על אבטחת מידע בארגון "אני צריך להשקיע פה עוד קצת. אני צריך להיכנס שוב, אני צריך להבין מה הדברים שהשתנו, ואני צריך לשנות את תוכניות העבודה שלנו בשביל להבין איך אנחנו מתקדמים מכאן ולוודא שאנחנו לא משקיעים כסף במשהו שעוד חודש אולי לא יהיה רלוונטי.

ערן:               משהו שצריך להבין לגבי security, ואני חושב שזה מתחדד גם ככל שאנחנו מתקדמים פה, זה שזה לא שחור ולבן. אין דבר כזה אני secure, אוקיי, זהו, סימנתי וי על הדבר הזה ואי אפשר לפרוץ אליי לחברה. בסוף זה עניין של effort ולקיחת סיכונים. אם מישהו רוצה לפרוץ אלינו למערכת ויש לו מוטיבציית על ומיליוני דולרים של תקציב בשביל לעשות את זה, כנראה שהוא יצליח. ולא רק אלינו, לכל חברה. אם מישהו רוצה לפרוץ לכל אחד מחברות ה-SaaS הכי גדולות בעולם הוא יצליח בסופו של דבר. המטרה שלנו זה להפוך את זה לכמה שיותר קשה, כדי שההשקעה שלו תהיה לא פרופורציונלית לכמות ה-value שהוא יקבל מתוך הדבר הזה. וכל הזמן לשמור על ה-balance הזה. בסוף אנשים מצליחים לפרוץ לפנטגון, מצליחים לפרוץ לאיראן, מצליחים לפרוץ לבנקים. זה הכול עניין של מוטיבציה. ואני חושב שכל הזמן זה משחק של איך אנחנו ממזערים סיכונים ואיך אנחנו מצמצמים את זה. אני את הכאפה הראשונה שלי בוא נגיד ב-security חטפתי לפני ארבע שנים. כשהתחלנו את המסע במאנדיי, The Pulse אז. והיה לנו כמה עשרות לקוחות, ואז איזושהי חברה, לא גדולה אפילו, בינונית, שרצתה להשתמש בנו, וחלק מה-policy שלה היה בעצם שהם היו צריכים לעשות לנו איזשהו security review בשביל להתחיל להשתמש בחברה. והם שכרו חברה שעשתה לנו penetration test. זה בעצם חברת security שמתחזה להאקרים, שמתחזה לקבוצה של אנשים שבעצם מנסה לפרוץ לתוך המערכת. עכשיו, בזמנו לא הגיוני שקבוצה של שישה אנשים הייתה מנסה לפרוץ לאיזושהי חברה אנונימית שיש לה 40 לקוחות, אבל הם הפעילו חברה כזאתי. ואני זוכר את עצמי, התחלנו את הבדיקה הזאתי באיזשהו יום, ביום שני. ואני יושב מול הלוגים, ועובר יום, ואני קולט אחרי יום וחצי שהם הצליחו להיכנס למערכת. הם הצליחו לפרוץ לנו לתוך המערכת. ואני יושב ואני כוסס ציפורניים ואני כאילו משתגע ואני מרגיש כאילו מישהו פרץ אליי הביתה. ואז אתה מבין, אוקיי, לא עשינו מספיק טוב כמה דברים ב-security, היה לנו כמה תקלות. ותיקנו מאז. אבל באותו רגע אתה מבין שלא היינו מספיק טובים באותה נקודה בשביל להגן על הלקוחות שלנו.

ליאור:            ואגב, זה כן רגע ש, בשונה ממה שאמרת קודם, זה כן רגע של הכול או כלום. כי once מישהו פרץ, נגמר הסיפור. זאת אומרת-

ערן:               זה גם שאלה, זה גם תלוי במוטיבציה של הבן אדם ומה הוא מנסה להשיג. אני חושב שצריך… אנשים מתייחסים לפריצות בתור משהו שבן אדם מטרגט איזושהי חברה או רוצה לגנוב ממנה נכסים, הרבה מאוד מהפריצות שקורות היום הן רנדומליות. בעצם אנשים שמנסים למצוא איזשהו אתר ולהשיג איזשהו value מלפרוץ אליו, והם אפילו לא יודעים לאן הם פרצו הרבה פעמים. [מוזיקה].

[12:00]

דניאל:            אחד מהדברים שכל אדם שמתעסק באבטחת מידע במישרין או בעקיפין בארגון צריך לזכור, שהעולם בסופו של דבר נחלק דיכוטומית לתוקפים ולמגינים. ה-good guys וה-bad guys אם תרצו. הבעיה שלנו בתור המגינים זה שאנחנו צריכים לוודא שהמערכת שלנו תהיה מאובטחת 100 אחוז מהזמן. התוקף צריך לוודא שהוא יכול להיכנס רק פעם אחת. אז העבודה שלנו היא תמיד קשה בכמה סדרי גודל מהעבודה של תוקף, על אף שאנחנו מנסים להציב בפניו כמה שיותר מכשולים.

ליאור:            איך מודדים את זה? איך מודדים כאן הכול? איך אתה מודד את ההצלחות שלך?

דניאל:            זאת שאלה קשה. אני חושב שזה תחום שבשונה ממה שאנחנו עושים כאן, מאוד מאוד קשה למדוד אותו. וזה גם תחום שבמובנים מסוימים הוא קצת כפוי טובה. כי יש פה אפקט הפוך. בשונה מכל דבר אחר שאנחנו עושים. כשאני עושה את העבודה שלי, ואנחנו מצליחים להגן על המערכת בצורה שהיא מספיקה היום להדוף 99 אחוז מהמתקפות שאנחנו חווים – ואנחנו חווים פה מתקפות על בסיס יומיומי – כשאני יודע שלא קרה שום דבר היום, או שלא קרה שום דבר שסיכן את העבודה שלנו, אני יודע שאני עשיתי את העבודה שלי. כלומר, כשלא קורה שום דבר זאת אומרת שאני עושה את העבודה שלי. כשקורה משהו, אז בדרך-כלל אבטחת מידע זה החבר'ה הראשונים שבאים ושואלים/מאשימים/באים אליהם, בסופו של דבר ראשונים. איך זה קרה, בוא נבין איך זה קרה, למה לא הגענו. אז השאלה איך למדוד את זה היא קשה. אני חושב שכל עוד אנחנו עובדים, קיימים ומצליחים לקיים את סדרי העדיפויות החשובים שלנו, מבחינת המוצר, מבחינת פיצ'רים חדשים שאנחנו רוצים להוציא, התמיכה שאנחנו נותנים ללקוחות – אם אנחנו מצליחים לעשות את כל הדברים האלה מבלי שאבטחת מידע תעכב אותנו או תכביד על סדרי היום שלנו, פה אני חושב שאני מצליח.

ערן:               כן, זו נקודה מדהימה. כי אני חושב שאחד הדברים שרואים תמיד בחברות גדולות זה שה-security הופכים להיות ה-bad guys של הארגון. הם גורמים להכול להיות יותר איטי, הכול עובר מסכת אישורים, מפתחים מפחדים להעלות דברים חדשים ל-production. ואחד ה-KPIs שדניאל שם לו לנגד עיניו והוא מדהים בעיניי, זה איך אנחנו מייצרים את המקסימום security, אבל עם מינימום פגיעה בתהליכים פה, באנשים, במפתחים, במהירות של החברה. וזה לפעמים עומד בסתירה אחד לשני.

ליאור:            אבל לא הבנתי איך אתה מודד את היומיום שלך. כאילו הבנתי, השתכנעתי, בסדר, מכירה את זה מאנטי-וירוס, שאתה יודע, שקשה להם להוכיח שהם עושים את העבודה שלהם אז הם תמיד פיקטיבית שולחים לך כל-מיני דברים כדי להראות שהם עושים את העבודה שלהם.

דניאל:            כן, שאני לא אתחיל לדבר פה על האפקטיביות של אנטי-וירוסים.

ליאור:            אז איך אתה ביומיום יודע שאתה בכיוון?

דניאל:            תראי-

ליאור:            שהרי זו המטרה של KPIs, כן?

דניאל:            יפה. אז אם אנחנו מסתכלים על איך אנחנו מודדים במובנים מסוימים את ההתקדמות שלנו, אז הצוות או הצוות האד-הוק של אבטחת המידע כאן בעצם גם עובד באיטרציות כמו צוותי הפיתוח, כמו צוותי ה-Design. יש לנו המשימות שאנחנו מגדירים, שאנחנו מתעדפים, זה חלק מ-roadmap של ה-security. כל משימה מקבלת כמות מסוימת של זמן שאנחנו צריכים להשקיע בה. ואנחנו מתקדמים בהן ואנחנו מודדים את עצמנו פעם בשבועיים, אנחנו עושים retrospective, אנחנו עושים תכנון פעם בשבועיים של המשימות שאמורות להיכנס לאיטרציה הבאה. ואנחנו רואים אם באמת עמדנו ביעדים שלנו. אז היעדים יכולים להיות סיימתי את משימות א-ב-ג והיעדים יכולים להיות אני אמרתי לעצמי שברבעון הזה אנחנו נכניס חוקים מדויקים יותר ל-web application firewall, ואנחנו נבנה מערכת לוגים טובה יותר, שתיתן לנו התראות מדויקות יותר.

[16:00]          ואנחנו נעבור על הקוד של המפתחים, ואנחנו נבצע סריקות אוטומטיות למערכת. אם הצלחתי להגיע למצב שבו אני מרוצה מהמצב של הדברים האלה בסוף הרבעון, אז אני יודע שעשיתי את מה שהייתי צריך. זאת אומרת, אנחנו מודדים את עצמנו גם ביומיום בהתקדמות במשימות הקטנות, ואנחנו גם רואים האם אנחנו באמת מתקדמים לכיוון שאנחנו רוצים. אבל יותר חשוב בקצב שאנחנו רוצים. כי אבטחת מידע חייבת להתקדם באותו קצב, אם לא יותר מהר, מהקצב של כל דבר אחר שאנחנו עושים כאן. ואם אנחנו מוציאים פיצ'ר חדש, למשל לאחרונה אנחנו הוצאנו שני פיצ'רים יחסית גדולים מבחינה תשתיתית למוצר, שלמעשה פותחים חלק גדול מהשרתים לחלוטין לאינטרנט. זה דברים שאני מודה שקצת הקשו עליי לישון בלילה, כשידעתי שאנחנו הולכים לשחרר את הדברים האלה. אבל אני הבנתי שהתפקיד שלי זה לא למנוע מהפיצ'רים האלה לצאת בסופו של דבר, זה לוודא שכשאנחנו יוצאים איתם החוצה אני מרוצה מספיק מהצורה שבה אנחנו מגינים גם על הזמינות שלנו, גם על התקינות של המידע וגם על החשאיות של המידע של לקוחות.

ליאור:            תרגיל ה-phishing שעשית כאן בחברה לפני כמה שבועות היה חלק מה-roadmap? [צוחקת].

ערן:               זה אגב צריך לתת לזה קונטקסט. כי תמיד כשחושבים על security חושבים על חבורה של חבר'ה שמקנפגים שרתים ומעלים פיירוולים, ואחד הדברים שהרבה פעמים אנשים לא חושבים עליהם זה שהגורם האנושי הוא אחד הכי משמעותיים בשביל לפרוץ לחברות. בסוף דניאל אמר שחסר שתהיה פירצה קטנה בשביל שנוכל לפרוץ – חסר גם טעות אחת שבן אדם יעשה, בתמימות. יכול להיות המערכת הכי מאובטחת בעולם, אבל אם מישהו מהארגון נפל כאילו לאיזושהי הונאה או בעצם פתח איזשהו צוהר החוצה, בצורה אקטיבית, זה הינו הך. לפורץ לא איכפת אם הוא הצליח למצוא איזושהי פירצה בשרתים או הצליח לעבוד על מישהו פה בחברה, בסוף התוצאה היא זהה.

ליאור:            וזה בחברה שבכל שבוע מצטרפים משהו כמו 15 איש חדשים.

ערן:               כן, שהיא גדלה כל הזמן, וגם לא כולם אנשים טכניים. זה מאוד מאתגר. ואחד האתגרים של דניאל היה איך גורמים לכולם פה בחרבה בעצם להיות מודעים לבעיה שמטרידה בעיקר אותו ביומיום.

ליאור:            אז ספר לנו מה עשית?

דניאל:            אז זה נכון, ההיבט של חינוך ומודעות זה היבט שלפעמים אנשים שמתעסקים באבטחת מידע בארגון נוטים קצת להתעלם ממנו.

ליאור:            מיטלמן, מה חינוך ומודעות? ספר רגע מה עשית ב-phishing.

דניאל:            אני נותן קונטקסט.

ליאור:            לו יש מספיק קונטקסט. קונטקסט לקונטקסט של הקונטקסט.

ערן:               אני אתן קונטקסט.

ליאור:            טוב, אני אתן קונטקסט. יום אחד קיבלנו מייל [צוחקים]…

ערן:               חכי, אבל לפני זה. יום אחד דניאל בא אליי, ככה, עם חיוך ערמומי, אומר "אתה לא יודע מה עשיתי פה בחברה." אני כזה פאק, מה עשית [צוחק].

ליאור:            זה דבר אחד כשמישהו מה-Design אומר לך דבר כזה, אבל כשדניאל שאחראי על security-

ערן:               איך הוא מבסוט, אני לא הבנתי כאילו מה, כאילו יש לו יום הולדת.

ליאור:            יום ראשון בבוקר. תתחיל מהסוף.

דניאל:            אז אולי נתחיל מהסוף. אז יום ראשון בבוקר, ראש מחלקת התפעול אצלנו, אוריאל, כינס את כל החברה לפגישת חירום. הוא פתח אותה בפנים חתומות, והוא סיפר לכולם שמסתבר שהייתה מתקפת phishing על החברה במהלך הימים האחרונים. ומסתבר שבמתקפה הזאת אנשים התבקשו לשנות את הסיסמה לאחת המערכות הכי רגישות שלנו. ומסתבר שהיו אנשים ששינו את הסיסמה. וההאקר הזה הצליח לגנוב את כל מסד הנתונים שלנו, עם כל הפרטים האישיים וכל המידע של הלקוחות. באותו שלב בחדר השתררה דממה.

[20:00]

ליאור:            כמה אנשים נפלו גם? היה שם-

דניאל:            נפלו 35 אנשים. שאותי המספר הדהים. אז כמובן, זאת לא הייתה מתקפה אמיתית, זאת הייתה מתקפה שאנחנו בנינו שבוע לפני-כן, שהייתה אמורה בעצם לדמות מתקפה אמיתית שהאקר אמיתי שרצה לטרגט את מאנדיי כיעד למתקפה היה עושה. לא הכנסנו לשם שום אלמנטים ייחודיים או יוצאי דופן מבחינת היכולות של האקר ממוצע שהיה רוצה לבצע את זה. וכן ניסינו ללכת על הדברים הנפוצים ביותר שהיה אפשר למצוא במתקפה כזאת.

ליאור:            אז בוא רגע תתאר את התרגיל עצמו.

דניאל:            אז מבחינת הפרטים, אז יש לנו מערכת פנימית שנקראת big brain. המערכת הזאת מחזיקה שיקוף מסוים של המידע שיש לנו במערכת. אנחנו משתמשים בה לכל-מיני צרכים פנימיים. יש למערכת הזאת מערכת login נפרדת משלה שאנחנו מגינים עליה בדרכים שונות. כמה ימים לפני הפגישה הזאת שלחנו בצורה מדורגת אימיילים לכל האנשים בחברה, אימיילים שנראו יחסית לגיטימיים. שנכתב בהם בטון מאוד מאוד מואץ "אנחנו עשינו שינוי במערכת, אתם חייבים להחליף את הסיסמה שלכם. אם לא תחליפו את הסיסמה תוך 48 שעות אתם תיחסמו מהמערכת." עכשיו, big brain זאת מערכת שכל האנשים בחברה עובדים איתה. אז אנשים לא יכולים להיחסם מהמערכת ולהמשיך לעבוד.

ליאור:            כן, זה כלי עבודה מרכזי.

דניאל:            נכון. אז היו הרבה מאוד אנשים שנחפזו ולחצו על לינק שהיה באימייל. והלינק הזה הוביל אותם לדומיין שהוא לא הדומיין של המערכת. הוא מאוד דומה, אבל הוא לא הדומיין של המערכת.

ערן:               איזה דומיין קנית?

דניאל:            אז הדומיין של המערכת הוא big brain. אז אני קניתי את הדומיין biq brain. כש-g הוחלפה ב-q.

ערן:               שזה גם נראה ויזואלית אותו דבר.

דניאל:            וזה גם נראה ויזואלית זהה לחלוטין למעט קו קטן שהיה חסר מתחת ל-g.

ליאור:            קו קטן גדול.

ערן:               וגם המייל נשלח מאותה כתובת, נכון? זאת אומרת הכול-

דניאל:            המייל נשלח מכתובת דומה לכתובת של ה-system emails שאנחנו שולחים, אבל לא כתובת זהה. זאת אומרת גם התיבה עצמה הייתה שונה וגם הדומיין עצמו היה שונה. אנחנו בכוונה שילבנו קצת שגיאות כתיב בתוך התוכן של האימייל.

ערן:               לדמות את האנשים בחברה? [צוחק].

דניאל:            לא לדמות את האנשים בחברה, לדמות אימייל שהיה נשלח מארגונים שעושים את זה בצורה תעשייתית. בדרך-כלל אימיילים כאלה מגיעים מארגונים רוסיים או מארגונים סיניים. ומאוד נפוץ למצוא בהם שגיאות כתיב או קפיטליזציה לא תקינה של הטקסט. אז ניסינו באמת לדמות את זה למצב כמה שיותר מציאותי. אנשים שלחצו על הלינק באימייל הגיעו לעמוד שנראה כמו העמוד של big brain. דרך אגב המסך login פתוח על האינטרנט, אז גם כל תוקף היה יכול להעתיק את הגרפיקה. ובמסך הזה אנחנו בעצם אמרנו "היי, בואו תחליפו סיסמה." אז אנשים הכניסו את הסיסמה הקיימת שלהם, הכניסו את הסיסמה החדשה, ואחרי שהם לחצו הם בעצם הגיעו למערכת והכול נראה תמים ולגיטימי. הבעיה היא שזאת לא הייתה המערכת. זה היה אתר phishing שאנחנו הרמנו. שכל מה שהוא עשה זה לקח את הסיסמה שאנשים הזינו לתוך המערכת, שמר אותו במאגר צדדי שאנחנו החזקנו, ביחד עם כתובת האימייל של הבן אדם שהכניס את זה, והמערכת פשוט העבירה אותו למערכת האמיתית. עכשיו, כנראה שאנשים כבר היו מחוברים למערכת אז זה נראה כאילו הדף הזה הכניס אותם למערכת, אבל למעשה לא קרה שום דבר. אנחנו רק רשמנו את הסיסמה ושמנו אותה בצד.

ערן:               וצריך להבין את האפקטיביות של הדבר הזה. כי אני חושב שהרבה חברות כשהן באות להתעסק עם security, אז הפתרון שלהן היה אוקיי, אז בוא ניקח את דניאל, שיעשה הרצאה על phishing. ואז ביום חמישי מכנסים את כל החברה, ודניאל מתחיל לעבור שקף אחרי שקף, וכנראה 90 אחוז מהחברה מאבדת אותו אחרי שני שקפים כי אני לא מכיר את זה, זה security, זה לא מדבר אליי.

[24:00]

ליאור:            או להיפך אגב, אני יודע הכול, הכול בסדר, אתה יודע-

ערן:               כן, או מתכנתים הם מאוד שאננים.

ליאור:            יש שאננות סביב הדבר הזה גם, בדיוק.

ערן:               ופתאום שזה קורה האפקט של הדבר הזה היה מדהים.

ליאור:            וגם באחוזים כאלה גבוהים. שוב, זה לא שאפשר להגיד אדם אחד נפל וכל השאר יצאו בסדר. 30 איש אה, זה רוב החברה.

ערן:               ה-security זה כאילו משהו שכשזה קורה לחברה, אם חס וחלילה מצליחים לפרוץ לחברה, האפקט של זה אחר-כך הוא מטורף. והאתגר של דניאל ומה שהוא ניסה לעשות פה זה איך לדמות את התחושות שמלוות את האנשים ואת העלייה ב-awareness שזה מייצר, בלי באמת שיפרצו לנו לתוך המערכת. ואני יכול להגיד שמאז זה עשה אפקט אדיר, אנשים כל פעם מעבירים לדניאל מיילים שנראים חשודים אפילו שהם לא-

ליאור:            אני העברתי שלושה מיילים מאז. נכון?

דניאל:            נכון. אני אגיד אפילו מעבר לזה, הם לא סתם מעבירים לי את האימיילים האלה, הם מעבירים לי את האימיילים ואומרים היי אתה, זה ממך, נכון? אתה שוב מנסה לעבוד עלינו. אז אני אומר להם תקשיבו, זה לא אני, אבל תודה רבה שהעברתם, בואו נראה מה קרה פה. אז באמת הייתה מתקפת phishing-

ליאור:            הערנות גברה, ללא ספק.

דניאל:            הייתה מתקפת phishing נוספת לפני שלושה שבועות על החברה. היא הייתה הרבה פחות obvious. וכל האנשים שקיבלו את האימיילים הזדוניים נקרא להם, העבירו את זה. אף אחד לא נפל בפח.

ליאור:            אז הייתה מתקפה לפני שלושה שבועות?

דניאל:            הייתה מתקפה-

ליאור:            הייתי חלק ממנה? אני כאילו באמת שנייה שואלת. אני אוכלת סרטים על המיילים שאני מקבלת בגללך מיטלמן.

דניאל:            אני לא זוכר מי העביר לי, היו כמה וכמה אנשים שהעבירו לי את האימייל-

ליאור:            ואז כתבתם לי יש עוד ליאור בחברה, אולי הם התבלבלו וניסו להחליף סיסמה ו-

ערן:               אני יכול להגיד לך משהו שקרה לפני שלושה שבועות, אני לא יודע…

ליאור:            זה נשמע לי חשוד [צוחקת].

ערן:               לא, אבל… היה איזשהו, לא יודע אם האקר, אבל מישהו שגילה שכפיר הוא האיש finance שלנו. וידע שרועי הוא המנכ"ל. אתה מכיר את הסיפור הזה. והוא שלח מייל מכפיר… מרועי, סליחה, לכפיר. אמנם לא ממאנדיי.קום אלא הוא קנה איזשהו דומיין שנראה כמו מאנדיי.

דניאל:            מונדיאיי.

ערן:               כן, מונדיאיי. לכפיר. שאומר "היי כפיר, זה רועי, אני מבקש שתעביר סכום מסוים לחשבון בנק זה והזה."

ליאור:            די נו. זה אמיתי, זה לא אתה?

דניאל:            זה… לא. למרות שכפיר בא אליי ואמר לי "אני רואה שאתה מנסה לעבוד עליי", אני מסתכל על זה, תקשיב, זה לא אני.

ליאור:            טוב, הם מצאו את הבן אדם הלא נכון.

ערן:               עכשיו, זה מצחיק, כי המייל היה כזה רשמי, שזה הכי לא מתאים לרועי לרשום מייל כזה. אבל שוב, זה ערנות כאילו מאוד גבוהה, שבודקים כל אימייל מאיפה הוא הגיע ומאיפה הוא נכתב, האם זה הגיוני שיישלח כזה אימייל או לא הגיוני. התרגיל הזה שדניאל עשה שינה פה את החברה בהקשר הזה. [מוזיקה].

ליאור:            הזכרת קודם שנכסים יכולים להיות גם פיזיים. אז מה לגבי חדירה פיזית למשרד, זה משהו שאתה גם אחראי עליו?

דניאל:            יפה. אז אני אגיד מראש שבארגונים שונים, בחברות שונות, יש תפיסה מאוד שונה לגבי האבטחה הפיזית, מי לוקח על זה אחריות. יש ארגונים שבהם ה … [00:26:59] הוא כל-יכול ובעצם הוא לוקח אחריות מקצה לקצה. גם על מודעות וגם על אבטחה פיזית, וזה איפה שמים מצלמות ואיך מגבים את ה-video feed שלהן, ומה יהיה הסוג של הקודן בדלתות, והאם תהיה מזכירה בכניסה או לא. אני פחות מתעסק בזה. יש לנו אנשים במחלקת התפעול שזאת האחריות שלהם. הם מתעסקים בכל ההיבטים האלה של אבטחה פיזית. אני מייעץ להם כשצריך, הם מגיעים אליי אחת לכמה זמן, שואלים מה דעתך על זה, האם אנחנו שומרים מספיק זמן את הצילומים של מצלמות האבטחה, האם כדאי לשים התראות על המצלמות, דברים כאלה.

ליאור:            רגע, אז מה דעתך על זה? האם יש סיכון אמיתי, ממשי בכניסה של אדם זה לחברה?

ערן:               גם פה עשינו תרגיל.

[28:00]

דניאל:            אז עשינו גם תהליך שאנחנו… עשינו פעם אחרונה לפני שנה, ופעם לאחר מכן לפני חודש. תהליך שנקרא gap analysis. בוא נבין איפה נמצאים הפערים שלנו וגם נשתמש בחברה חיצונית, שתבוא, תסתכל על זה בעיניים חדשות, ואולי תסב את תשומת ליבנו לדברים שלא כל-כך שמנו לב אליהם. אז דוגמה לכך זה באמת, אחד מהדברים שבדקנו בתהליך הזה זה לראות מה בן אדם זר שלא שייך לארגון יכול לעשות כאן. אז הגיע בן אדם, השתמש בטכניקה שנקראת namedropping, שזה לחקור קצת את הארגון לפני, להיכנס ל-LinkedIn, להקליד מאנדיי.קום, למצוא שמות של כמה אנשים.

ליאור:            דניאל תמיד עובד פה.

דניאל:            דניאל תמיד עובד פה, יש פה כמות לא מבוטלת של דניאל. הוא הגיע לחברה, דפק על הדלת, מישהו פתח לו את הדלת. ואז הוא זרק כזה בחצי ביטול "אני פה ל…" שם כלשהו של מישהו שעובד כאן. הוכנס. ואז הוא הסתובב לו בקומה. אף אחד לא עצר אותו עד שלב מסוים. ובאחד מהביקורים שלו הוא גם הנצליח לקחת טלפון סלולארי של אחד מהעובדים ולצאת מהחברה.

ערן:               גם פה אוריאל החליט להתעלל באנשים בשביל להעביר את המסר. אז הוא לא סיפר לאנשים שנגנב טלפון. עד שמישהו מהחברה התחיל לשלוח לנו וואטסאפים. "מישהו ראה את הטלפון שלי? איבדתי את הטלפון. מה קורה?" ואז אוריאל יצא באיזושהי הודעה דרמטית שהיו פה גנבים ומישהו הצליח לגנוב טלפון. ואחרי שכולם נלחצו אז הוא סיפר בעצם שזה היה תרגיל. אבל שוב, זה נצרב הדבר הזה.

דניאל:            וזה מחזיר אותי באמת להיבט של הגורם האנושי. אז אם אני מסתכל על אנשים פה כחלק משרשרת מאוד ארוכה של אבטחת מידע, אז זה לא חשוב רק להיות מודע לסכנות של אבטחת מידע בתחום הווירטואלי, באימיילים או בסיסמאות ארוכות. זה חשוב להבין שגם הנכסים הפיזיים שיש לנו כאן במשרד, הלפטופים שלא עובדים, הטלפונים הסלולאריים שמחוברים בדרך-כלל לחשבון אימייל או לחשבון מאנדיי של החברה שלנו, כל אחד מהדברים האלה הוא בעצם וקטור כניסה נוסף לתוך המידע האישי ולתוך המידע הסודי שאנחנו מגינים עליו. ולכן אנחנו גם מחדדים את זה ואנחנו מעבירים את זה כחלק מההכשרות וחלק מהמודעות. כל ההארד-דיסקים על המחשבים חייבים להיות מוצפנים. חייבת להיות סיסמה על כל המחשבים.

ליאור:            גם על הפלאפונים.

דניאל:            גם על הפלאפונים. וזה משהו שבדרך-כלל מקפידים עליו קצת פחות. טלפונים חייבים להיות מוגנים בסיסמה, אם הולכים להתקין עליהם חשבונות של החברה. אם אתם רוצים, או אם לחברה יש מדיניות של אספקת טלפונים סלולאריים משלהם לעובדים, זה משהו אחר. אם זה כמו שאנחנו עובדים, שזה מדיניות BYOD, bring your own device, אז אנחנו כן חייבים לוודא שהמכשירים הפרטיים של עובדים מספיק מאובטחים כדי לשמש כמכשירי עבודה.

ערן:               אבל יותר מזה, אנחנו בעצם מגינים כמעט על כל דבר שאנחנו משתמשים פה בתהליך של … [00:30:56]. זאת אומרת, צריך שני אמצעי הזדהות בשביל להיכנס לכל המערכות שאנחנו משתמשים בהן. שזה בדרך-כלל סיסמה ואישור בטלפון, או SMS שאתה מקבל. עכשיו, אם מישהו משיג את הטלפון של מישהו מהעובדים יש לו בעצם את שני הדברים. יש לו גישה למייל של העובד ויש לו גישה ל-SMS. אז טלפון היום בעיניי הוא אפילו יותר מסוכן ממחשב. כי עם טלפון אחד אתה יכול לפרוץ. לפעמים כשיש לך מחשב, הוא יכול לזכור את הסיסמה, אבל ברגע שהוא צריך לשים את ה-SMS בטלפון הוא לא יוכל להיכנס.

ליאור:            טלפון גם נכנס לכיס, ולפטופ עדיין לא. זה מאוד מאוד קל לעשות פה סיבוב במשרד, להחליק איזה טלפון לכיס ולצאת.

דניאל:            נכון. אני אפילו אציין מקרה שבו אחד מהעובדים איבד את הטלפון שלו, אחד מהעובדים ב-RND. הוא יצר איתי קשר חצי שעה לאחר מכן. זה היה אפילו סוף שבוע. ואני פשוט עצרתי את מה שעשיתי באותו יום שבת ופשוט סגרתי לו את כל החשבונות בשביל שהוא יגיע ביום ראשון בבוקר ונפתח לו את כל החשבונות מחדש עם סיסמאות שונות.

[32:00]          כי אין יודע מי לקח את הטלפון הזה, מה היו הכוונות שלו, האם זה היה סתם מישהו שרצה לגנוב לו את המכשיר או שזה היה חלק ממשהו קצת יותר מורכב.

ערן:               עוד אספקט שמאוד מאוד חשוב, אני חושב שבמיוחד בסטארט-אפים, זה גם להתכונן ל-doomsday. כאילו, מעבר לזה שצריך להתכונן ולהגן והכול, בסוף צריך להבין שאף אחד לא חסין. ויכול להיות שמתישהו בחיים של החברה תהיה איזושהי פריצה. כמעט כל חברה בסופו של דבר זה יכול לקרות. ואני חושב שגם פה יש המון המון details באיך אתה מתמודד עם הדבר הזה. מה המסר שאתה מעביר ללקוחות, מה המסר שאתה מעביר לעולם, איך אתה מתמודד, מה ה-transparency שאתה בעצם מייצר.

ליאור:            יש לנו ממש תוכנית מגירה לדבר הזה, נכון?

ערן:               כן.

ליאור:            כל המסרים מוכנים, הכול…

ערן:               בדיוק. אז זה גם תוכנית מגירה של איך לתקשר ללקוחות. במה לתקשר. מה לעשות פה פנימית. כי הדבר האחרון שאתה רוצה שתהיה פה איזושהי פאניקה ונפיל את כל המערכות ובעצם נסגור את כל השערים, כי אז אתה לא יודע בעצם איך להתקדם משם. אז ממש אנחנו הכנו תוכנית מגירה. והסתכלנו גם איך חברות אחרות התמודדו. נגיד סלאק, שהם קצת בתחום שלנו, הייתה להם איזושהי פריצה, אז איזה statement הם הוציאו ללקוחות, איך הם תקשרו את זה בטוויטר, איך הם ענו על שאלות. איך הם בעצם הודיעו ללקוחות שנפרץ להם מידע. אז כל ההכנות גם למקרה כזה אני חושב ש הן חשובות. אף אחד מן הסתם לא רוצה שזה יקרה. אבל כדאי שתהיה מוכן.

ליאור:            נגעת בלקוחות, ובאמת בשנה האחרונה עשינו איזשהו מעבר מלקוחות שהם רק קטנים, בינוניים, ללקוחות גדולים עם שמות מוכרים יותר. היה איזשהו שינוי תפיסתי או איזושהי בקשה אקטיבית מצידם להסתכל אחרת על נושא אבטחת המידע?

ערן:               כן, וזה עשה פה שינוי מהותי. עד לפני שנה וחצי היינו הרוב עם לקוחות קטנים, לא היה לנו צוות של מכירות. ופתאום התחלנו לקבל דרישות. חלקם אפילו העבירו לפה מסמכים שלמים של security שצריך לעמוד בפניהם ולסמן האם אתה תומך או לא תומך. והיו כמה דברים שהיה לנו פערים בהם. ובעצם אנחנו כיסינו הרבה מאוד מהפערים, כאילו, בשביל לתמוך בהתקדמות העסקית שלנו היינו צריכים לכסות פערים שבסופו של דבר עזרו לנו בתור חברה. אבל גם כל-מיני דברים שהם יותר אדמיניסטרטיביים. זאת אומרת הם רצו איזשהו point of contact מבחינת security, עם מי הם מדברים, איך הם יכולים להתעדכן. מה קורה אם להם פורצים. זו גם נקודה חשובה. נגיד אחד הלקוחות הגדולים אמר, "תקשיב, יכול להיות שיפרצו אליי למערכת מייל. יש לי המון המון מידע רגיש במאנדיי. האם אתם יכולים לפתח לי איזשהו פיצ'ר, איזשהו panic button, שאני יכול לסגור את כל החשבון. כי אם יפרצו לאיי למייל אני לא רוצה שהפורץ יוכל להיכנס למאנדיי", לצורך העניין. אז כל-מיני פיצ'רים שאמורים לשרת security של חברות גדולות, בעצם הוספנו למערכת כדי שנוכל להתאים גם לתהליכים שלהן.

ליאור:            איך מתעדפים פיצ'רים כאלה? שוב, על-פניו זו כניסה של בקשה שיכולה לדרוש הרבה משאבי פיתוח. ולא בהכרח זה הדבר הראשון שרצינו לעשות. ויכול להיות שהיא מגיעה מלקוח אחד שנשמע אסטרטגי, אבל זו תמיד שאלה, של איך שומרים על פוקוס ומספקים את הדברים האלה.

דניאל:            נכון, אז יש פה בעצם שתי הסתכלויות כשאנחנו באים לתעדף בקשות כאלה. הראשונה זה באמת ההיבט הסיילזי. ההיבט השיווקי. כמה אנחנו נוכל לגדול וכמה לקוחות חדשים אנחנו נוכל לשרת במידה ויהיה לנו את הפיצ'ר הזה. האם אנחנו נוכל לפרוץ לשווקים חדשים שלא יכולנו להיות שם עד עכשיו. אז מאנדיי בעצם היא מערכת מאוד מאוד גמישה, שאמורה לשרת כל ורטיקל וכל תחום למעשה שרוצה להשתמש בה בשביל לנהל תהליכים או פרויקטים, זה נושא כבר נידון ע"י אנשים הרבה יותר ממוקדים בתחום הזה ממני בפרקים קודמים.

[36:00]          אבל גם באזור של אבטחת מידע אנחנו צריכים לוודא שאנחנו יכולים גם מבחינת רגולציה וגם מבחינת הדרישות של הלקוח בסופו של דבר, לענות על כל הצרכים שלהם לאבטחת מידע. אז למשל באזור של תחום הבריאות בארה"ב, יש הסמכה מאוד מאוד מסוימת שדורשת מאיתנו א' לאחסן מידע בריאותי, זה נקרא PHI, Personal Health Information, בסטנדרטים מסוימים. הוא צריך להיות מוצפן, איך אנחנו, איך פיזית אנחנו שומרים את המידע. איך אנחנו מעבירים את המידע בין שרת לשרת ובין שרת ללקוח. וגם יש להסמכה הזאת היבט שנקרא potability. זאת אומרת ברגע שארגון בריאות, זה יכול להיות קליניקה קטנה וזה יכול להיות בית חולים גדול או רשת של בתי חולים אמריקאיים, רוצה לעזוב את מאנדיי ורוצה לעבור למערכת מתחרה, אנחנו חייבים לספק לו את כל המידע שהיה שמור במערכת בפורמט מה שנקרא non proprietary. זאת אומרת אחד מהפורמטים המקובלים להעברה של מידע בין מערכות. ואנחנו חייבים לספק לו את זה בזמן סביר. אז עכשיו אנחנו באמת עובדים על ההיבט הזה, בשביל שנוכל גם לענות על הצרכים של הוורטיקל החדש הזה. ועד שלא נוכל לספק את כל הצרכים שם –  ואנחנו האמת נמצאים שם כבר בין 80 ל-90 אחוז compliance, אז אני משוכנע שאנחנו נוכל להיכנס לאזור הזה מאוד בקרוב – אנחנו לא נוכל לשרת את הסוג הזה של לקוחות ובעצם נתקע לעצמנו איזשהו טריז בגלגלים. זה ההיבט הראשון. ההיבט השני זה באמת כמה זה משרת את ה-asset management שלנו. וזה כל הזמן מחזיר אותי לנקודה הזאת של תדע לתעדף את משימות אבטחת המידע שלך כפונקציה של מה אתה מגן עליו. אז אם לקוח אחד גדול ככל שיהיה צריך פיצ'ר שהוא מבחינת סדרי העדיפויות שלנו במקום 38, ויש לנו עוד הרבה דברים יותר חשובים לעשות שישרתו את כלל הלקוחות שלנו, אנחנו כנראה במקרה הזה נעדיף לשים את הבקשה הזאת בצד-

ליאור:            היו מקרים שאמרנו לא? סביב security.

ערן:               כן, היו מקרים קיצוניים שאמרנו לא. לדוגמה נאסד"ק רצו להתחיל להשתמש בנו. זה מצחיק, יום למחרת הייתה לי טיסה. אז ביקשתי מהחבר'ה שידפיסו לי את המסמך. והדפיסו לי 100 עמודים.

ליאור:            לקחת לטיסה איתך 100 עמודים? overweight של 100 עמודים.

ערן:               שקלתי את זה לפני הטיסה ביד, אמרתי "טוב, אנחנו לא תומכים בדבר הזה." שמתי את זה בצד. כי אתה מבין שיש איזשהו level שאתה אומר אוקיי, זה לא בשבילי. בשביל לתמוך בנאסד"ק, אוקיי, זה, אנחנו רחוקים משם. אבל כן, יש חברות שכאילו אתה אומר זה לא הזמן. וזה בסדר. כאילו, לצאת להרפתקה כזאת זה משהו שגם יכול להרוג חברה. כאילו, בשלבים מסוימים, וצריך להבין מה ההזדמנות אל מול האיפה שצריך להשקיע במקום הזה. [מוזיקה].

ליאור:            מיטלמן, רוב הדברים שככה תיארת, אם אני מנסה לאפיין אותם בראש אז יש בהם מין מידה של אקטיביות במובן שבעצם באתם ובדקתם את העובדים בחברה ובאתם והתכוננתם, אבל בסופו של דבר הכול בא מהמקום של ה-defense, נכון? של המגננה.

דניאל:            נכון.

ליאור:            יש דרך אחרת להתמודד עם זה?

דניאל:            שאלה יפה. אז אנחנו מנסים למצוא עוד דרכים לא להיות רק מגננתיים אלא גם להיות פרואקטיביים.

ליאור:            נגיד לתקוף את עצמנו?

דניאל:            למשל לתקוף את עצמנו. אז דוגמה מאוד רלוונטית לאזור הזה זו תוכנית שנקראת bug bounty. זה קונספט שהולך ומקבל תאוצה היום יותר ויותר בקרב המון חברות בכל העולם. וזה קונספט שאומר בואו נבנה איזשהו מסגרת חוקית שבה אנחנו נוכל לאפשר לאנשים מכל העולם, שהם האקרים במקצועם, מה שנקרא white hat hackers, האקרים טובים, ניתן להם בעצם לפרוץ למאנדיי. ניתן להם לעשות את זה מתי שהם רוצים, בזמנים שנוחים להם. בלי-

ליאור:            לא הבנתי.

ערן:               [צוחקת] הלחצת את ליאור.

ליאור:            מה זאת אומרת ניתן להם לפרוץ? ניתן להם לנסות לפרוץ או שנגיד להם איך לפרוץ?

[40:00]

דניאל:            אז יש פה כן כללי משחק. זאת אומרת אנחנו כאן מגדירים להם מה מותר לעשות ומה אסור לעשות. אנחנו מתירים להם לעשות דברים שלא היינו מתירים לאנשים רגילים לעשות.

ליאור:            למשל?

דניאל:            למשל, לנסות להזריק כל-מיני שורות קוד מוזרות לתוך המערכת שלנו בכל-מיני צירים שונים. לנסות קצת להכביד במרכאות על המערכת בשביל לראות האם היא כורעת תחת העומס. לנסות להעלות כל-מיני קבצים זדוניים למערכת בשביל לראות האם תהיה לזה איזושהי השפעה שלילית על השימושיות של המערכת. אבל כל הדברים האלה-

ליאור:            אבל אתה אומר שאנחנו מאפשרים להם לנסות. במה בא לידי ביטוי זה שאנחנו מאפשרים להם? אנחנו כאילו מסירים חומות ספציפיות כדי שהם יוכלו להגיע לנקודה הזאת? במה זה שונה מכל האקר אחר שמנסה להזריק שורות קוד ל…

דניאל:            יפה, אז יש לנו ניטור על המערכת, אנחנו יודעים שמישהו מנסה לעשות משהו זדוני והוא מייצר-

ליאור:            ואנחנו לא עוצרים אותו. זאת הנקודה?

דניאל:            נכון.

ליאור:            אוקיי.

דניאל:            אנחנו לא עוצרים אותם. זאת אומרת אנחנו מאפשרים להם להתקדם, כל עוד הם פועלים במטרה למצוא בעיות אבטחה במוצר, אבל הם לא מנצלים את הבעיות האלה כדי להגיע באמת למידע האמיתי של לקוחות. וזה בעצם חלק מכללי המשחק. כי יש מסמך policy מאוד מאוד מסודר שכתבנו במסגרת התוכנית הזאת. אנחנו היום עובדים עם משהו כמו עשרה האקרים בכל בעולם, שעושים את זה-

ליאור:            זה סוג של גיימינג הדבר הזה. … [00:41:35] היא מאוד גבוהה.

דניאל:            זה נכון, ו-

ליאור:            הטובים והרעים, והנה הטובים שמתחזים לרעים כדי לעזור לטובים לזהות את הרעים [צוחקת].

ערן:               ורעים שמתחזים לטובים.

דניאל:            אני יכול להגיד לך גם שהייתה תקופה לפני כמה שנים שגם אני התעסקתי ב… אני הייתי בצד השני של זה, זאת אומרת אני-

ליאור:            איזה מהצדדים?

דניאל:            זאת אומרת שאני הייתי ההאקר ב-bug bounty, וזה מאוד כיף. יש בזה גם סיפוק מאוד גדול כשאתה מוצא בעיית אבטחה במערכת גדולה. ויש לך את הערוץ הזה לבוא ולדווח ולהעביר את המידע הזה בצורה מסודרת ובצורה חשאית לחברה. אתה מקבל הוקרה. והאתר שאנחנו עובדים איתו, HackerOne, שזה בעצם הארגון הכי גדול בעולם לניהול של תוכניות bug bounties, יש מערכת של reputation. וזה ממש מזכיר משחק שיש בו ניקוד שבו אנשים מנסים לצבור כמה שיותר נקודות, ע"י מציאה של בעיות אבטחה.

ערן:               כן, אבל בוא, אנחנו גם משלמים כסף על הדבר הזה.

דניאל:            נכון. אז יש תעריפון-

ליאור:            אבל מיטלמן אומר לך פה שלא עושים את זה בשביל הכסף, עושים את זה בשביל ההוקרה [צוחקת].

ערן:               הנקודות, הנקודות.

ליאור:            ההוקרה [צוחקת].

דניאל:            לא לא, עושים את זה בעיקר בשביל הכסף, אבל גם בשביל הניקוד. וגם בשביל התהילה. אנשים שעושים את זה הם אוהבים את זה, הם אוהבים שמכירים בהם שיש להם את היכולת לעשות את זה. והם באמת משקיעים והם באמת מנסים למצוא דרכים מאוד יצירתיות בשביל לנצל את הדברים האלה שהם מצאו.

ליאור:            יצא לנו משהו עד היום מהתוכנית הזאת?

דניאל:            אז אני חייב להודות ש… אנחנו עשינו גם מבדקי חדירוּת, penetration tests, בחברה כמה פעמים. זה בדיקות שהן מאוד דומות למה שעושים ב-bug bounty, אבל זה קורה דרך חברה מסודרת ובדרך-כלל זה עולה לנו הרבה מאוד כסף. אני יכול להגיד לך שהתנובה שאנחנו קיבלנו עד היום מה-bug bounty ביחס לסכום הכסף שאנחנו הוצאנו שם, היא לפחות פי עשרה ממה שאנחנו קיבלנו מכל penetration test עד היום. הדברים שמגיעים מהתוכנית הזאת הם מדהימים. היו שם כמה דברים שדרשו תגובה-

ליאור:            תשומת לב.

[44:00]

דניאל:            שדרשו תגובה קצת מיידית מהצד שלנו. והיו שם כמה דברים שהראו על יצירתיות מאוד מרשימה מצד האקרים. וזה רק מראה לך שזה לא מספיק שתהיה לך בעיה אחת במערכת. לפעמים שילוב של בעיות שמנוצל בסדר מסוים בצורה הנכונה, יכול לפגוע הרבה יותר מהסכום של כל החלקים שלו ביחד. ולכן אנחנו, כשאנחנו לוקחים את כל הדברים שאנחנו מקבלים מהתוכנית הזאת ומתעדפים לתוך ה-backlog של ה-RND אנחנו לא רק מתעדפים את המשימות עצמן שאנחנו מקבלים מבחינת החשיבות שלהן כמשימה בפני עצמה, אלא אנחנו מסתכלים גם על השילובים-

ליאור:            על המצרף הזה, כן.

דניאל:            בדיוק. ואנחנו רואים איפה נמצאים הצירופים הכי בעייתיים.

ליאור:            מיטלמן, אם יש מישהו שלראשונה בסטארט-אפ שלו מתחיל לחשוב על security, מה היית מייעץ לו ככה לעשות?

דניאל:            אז אני חושב שדרך מאוד יצירתית וויזואלית להסתכל על אבטחת מידע זה כמו לנסוע ברחב בלי חגורות בטיחות. אם אתה נוסע בעשרה קמ"ש באיזושהי דרך צדדית ואין שם אף אחד ואתה לא מפחד להתנגש באף אחד, אם לא תחגור חגורת בטיחות, הנזק שיכול להיגרם לך במקרה הגרוע ביותר הוא-

ליאור:            מזערי.

דניאל:            הוא מזערי. אתה לא רוצה לעלות עם למבורגיני על כביש מהיר בלי חגורות. ואני חושב שזה נכון גם לתחום הזה של אבטחת מידע. זה חשוב להשקיע באזור הזה, אבל חשוב שההשקעה תהיה פרופורציונלית לנכסים שיש לנו. ולחשיבות שלהם עבורנו. אז דבר ראשון שהייתי ממליץ לסטארט-אפ זה קודם-כל להשקיע במוצר. תגיעו לאיזשהו שלב שבאמת יש לכם על מה להגן. בשלב הבא, תסתכלו על מה יש לכם. תסתכלו על הנכסים, איפה אתם שומרים את המידע. איך אתם מגינים על הגישה למוצר שלכם. גם בהיבטים של אבטחה פיזית. אם אתם יושבים למשל באיזשהו חלל עבודה משותף, האם יש גישה לאנשים אחרים שיושבים שם, גישה מאוד פשוטה למחשבים שלכם, לרשת שלכם. אם השאלות האלה אכן מתבררות כנקודות שצריך לחשוב עליהן מחדש, אז צריך לעצור לרגע, צריך להסתכל על מה שיש לנו וצריך לקבל החלטות איך אנחנו עושים את זה. מבחינת המערכת עצמה. מסך ה-login ומסדי הנתונים והאפליקציה וכל הדברים האלה. האם אני מגן עליהם בצורה מספקת? האם עשיתי את הבסיס של הבסיס בשביל להגן עליהם? למשל הפורטים בשרתים שאני משתמש בהם בשביל לנהל אותם מרחוק. האם הם פתוחים לכל העולם? אם התשובה היא כן, כנראה שכדאי לסגור אותם לאיזשהו subset קטן של כתובות IP. אם השרתים שלי לא מוצפנים, אם אני לא מגן על הקבצים של הלקוחות בצורה שאמורה לטעום את הדרך שבה הלקוחות שלי מצפים שאני אגן על המידע שלהם – גם פה יש הרבה מאוד דברים, ודרך אגב יש שירותי cloud היום שיכולים לעשות 90 אחוז מהעבודה שהייתי צריך לעשות ידנית ולהשקיע בזה הרבה. אז כדאי להשתמש בזה, ובאופן כללי כדאי להסתכל על פתרונות מוכנים, גם פתרונות open source, שיכולים לתת לי כיסוי מאוד רחב ביחסית לא הרבה השקעה.

ליאור:            ערן?

ערן:               אז בדומה למה שדניאל אומר, אני חושב שניהול סיכונים זו המילה. שיש לך מה לסכן אז שווה להתחיל להגן. ואני חושב שיותר מזה, צריך כל הזמן לשמור על הגחלת, להתקדם בתחום הזה. ואני כל הזמן מנסה לחשוב ביחד עם דניאל איך אנחנו כמה שיותר מדמים סיטואציה של אנשים שחווים את ה-doomsday בלי לחוות אותו בעצמנו. אז ליזום על עצמנו מתקפות, לגרום להאקרים לנסות לפרוץ אלינו. כי אני יודע מה יקרה ביום שזה יקרה. אז כמה שיותר לנסות לדמות את זה ביומיום ובשגרה אני חושב מעלה מאוד את המודעות ומעלה את החשיבות של הנושא הזה. מנגיש את זה מאוד לאנשים.

ליאור:            דניאל, בנימה אישית אני אגיד שזו פעם ראשונה ששמעתי מישהו מדבר על security בכזאת התלהבות וכזה passion.

דניאל:            [צוחק]

ליאור:            אז תודה שנגעת בתחום, תודה שהבאת תקווה לעולם ה-security.

דניאל:            בשמחה.

ערן:               תודה רבה.

ליאור:            תודה ערן.

ערן:               תודה ליאור.

ליאור:            תודה שהאזנתם.