לפני מס' שבועות שמעתי הרצאה של מנהלת אבטחת מידע בארגון מאוד מאוד גדול. היא סיפרה, דיי בהתרגשות, שהיום, מפעם לפעם, מזמנים אותה לישיבות הנהלה וכשזה קורה, היא מנצלת את ההזדמנות כדי לנסות ולהשיג תקציבים למהלכים נוספים שהיא צריכה לעבודתה השוטפת.

האמת, כששמעתי אותה ליבי יצא אליה. הרי ברגע שהמערכת המורכבת שעליה היא אמונה תיפרץ רק בגלל שהנהלת הארגון חשבה שעדיף להוציא 2 מיליוני שקלים כדיווידנד מאשר על מערכת לניהול הרשאות או מניעת דלף מידע, היא תהיה זו שתחטוף על הראש ותשלם אולי גם במשרה שלה.

ליבי יצא אליה, אבל יש לי גם תחושה שהמצב הזה שהיא מתארת לא ימשך עוד זמן רב.

לתובנה הזו הגעתי עם הסאגה סביב "ראיון סוף" והיא התחדדה עם החשיפה בסופ"ש שסטארטאפ ישראלי, Superfish שתל תוכנות ריגול במחשבי לנובו. ראיון סוף, הסרט הזה שאני עדיין רוצה להאמין שהיה חלק מקמפיין גאוני, מרשים, אמיץ ומתוזמר לעילא הוא לדעתי קו פרשת המים של תעשיית הסייבר. אחריו הכל ישתנה. משתנה.

נחזור להתחלה. כמו כל דבר בחיים, אין רע בלי טוב. האירוע המתגלגל בסוני הצליח להוריד לקרקע ולפשט לדוגמאות קונקרטיות את הדבר הזה שכולם מפחדים ממנו אבל לא באמת מבינים אותו  - מתקפת סייבר. פעם ראשונה שארגון מסחרי עצום, התמודד עם פאדיחה נוראית שלא קשורה ברשימות כרטיסי אשראי פגי תוקף או בדרישת כופר לשחרור קבצים. פעם ראשונה שהעולם נחשף לפוטנציאל הממשי, הפשטני, של נטרול רשת האינטרנט ע"י מדינה.

האקרים, ואת זה כדאי כבר להפנים, תמיד יהיו צעד אחד קדימה. זו תהיה טעות לחשוב שאפשר למנוע מהאקרים לעשות את מה שהם עושים כל כך טוב – לאתגר את המערכת, אבל ברגע שארגונים יבינו שמה שקרה בסוני עלול לקרות גם אצלם, הם כבר לא יסתפקו (אם הם בכלל מקפידים) בבדיקות חדירה תקופתיות ויתקדמו צעד אחד קדימה.

בכל שנה מוקמים בישראל כ-30 מיזמים הפועלים בתחום הסייבר. סייבר, כתחום מסחרי, אחראי ל-6% מסך היצוא העולמי וחברות סייבר ישראליות מלבד העובדה שהן אחראיות ל-11% מסך הגיוסים בעולם, מייצאות כ-3 מיליארד דולר מתוך 10 מיליארד של ענף ההייטק הישראלי כולו. אבל לפתח עוד ועוד פתרונות בתחום הסייבר זה לא מספיק. ממש לא.

אז בוקר טוב מנכ"לים, יו"רים ומשקיעים בעלי אינטרס בהצלחת החברה שלכם. תגידו שלום לאיום המוחשי שחשבתם שלא קשור אליכם. ממש בקרוב - או כי תהיו ראש גדול בעצמכם, או כי רגולטור זריז יכריח אתכם - תצטרכו להוסיף לחברי הדירקטוריון שלכם גם מנהל אבטחת מידע או מומחה סייבר, שכמו רו"ח והמשפטנים יהיה אחראי לשרידות העסקית שלכם. אדם שידע להתריע, לדרוש ואף לפקח על הנהלת החברה להיערך באופן המיטבי מפני מתקפות של האקרים.

ההשלכות של אירוע סייבר, כמו זה שהיה בסוני, הן השלכות מרחיקות לכת ונרחבות מאוד בהיקף שלהן וזה כשמדובר באמת בסופו של דבר בחברה שמייצרת סרטים. תארו לעצמכם מתקפת סייבר שמשנה נתיבי נסיעה של רכבות או מנטרלת רשת חשמל. אף ארגון לא יכול לקיים היום ישיבת הנהלה או דירקטוריון ללא איש אבטחת מידע מקצועי ומנוסה שיוודא שהנהלת החברה מודעת היטב לתרחישי הפגיעה בה וזאת בנוסף לדו"ח שהוא מנפק אחת לתקופה.