חולשת האבטחה החמורה במערכת ההפעלה Windows 10 של מיקרוסופט, שנחשפה בחודש שעבר, סומנה אז על-ידי מערך הסייבר הלאומי כ"בעלת פוטנציאל תקיפה חריג בהיקפו", אבל זה ממש לא היה החריג היחיד באירוע האבטחה של ענקית התוכנה. "העובדה ששותפים עסקיים ולקוחות מדווחים לנו על חולשות אבטחה היא די בנאלית", אומר דייוויד ווסטון, מנהל האבטחה של מערכות ההפעלה במיקרוסופט. "החריג הוא בעובדה שהדיווח הגיע מסוכנות ממשלתית (ה-NSA, הסוכנות לביטחון לאומי - ה.ב). הם מצאו חולשה קריטית, יידעו אותנו, עבדנו על העניין הזה יחד במשך כמה חודשים ואז חשפנו את החולשה כדי להגן על משתמשים. כך אמור התהליך לעבוד, והדברים הנכונים קרו".
גם החולשה הייתה חריגה בחומרתה
"הבעיה עצמה בהחלט הייתה קריטית, וזה משהו שלמדנו ממנו. אבל לאורך השנים בתעשייה היו לנו אירועים כמו ספקטר ומלטדאון (פרצות שהתגלו לפני שנתיים במעבדי אינטל - ה.ב), ומתקפות כמו WannaCry (מתקפת כופרה ששיתקה מחשבים ותשתיות קריטיות בכל העולם - ה.ב), והעובדה היא שאנחנו משתפרים יותר ויותר בהתמודדות עם אירועים מתוחכמים כאלה. במקרה שלנו, לא ראינו עד לרגע זה שום ניצול מאסיבי של החולשה, ורוב המשתמשים תיקנו את החולשה".
יש לכם דרך לוודא כמה מחשבים התקינו את עדכון האבטחה?
"אין לי מספרים רשמיים אבל אני יכול להגיד שהעדכונים קורים בקצב מהיר יותר מבעבר. זו חולשה די מתוחכמת כי היא נמצאת בליבה ואנחנו לא רוצים לשבור או לקלקל משהו בדרך לתיקון. רוב הזמן בתהליך עובר בלוודא שהעדכון שאנחנו מוציאים עובד בצורה טובה".
ובהרבה מקרים עדכונים למערכת ההפעלה לא עוברים חלק
"נכון, ולכן אם נשחרר עדכון שהוא לא מספיק טוב אנחנו מסתכנים בכך שאנשים יחשבו פעמיים לפני שהם מתקינים עדכוני אבטחה, או יבחרו להאט את התהליך. אז אנחנו מוכרחים לעבוד קשה בהקשר הזה. אבל אני חושב שהעובדה שלא היו הרבה אתגרים מאחורי הקלעים בחשיפת החולשה - אומרת שכתעשייה דווקא התבגרנו".
סייבר בישראל זה כמו כדורגל
זה הביקור המי-סופר-כמה של ווסטון בישראל, הפעם הוא הגיע כדי להרצות בכנס "בלו האט", שנערך בשבוע שעבר זו השנה הרביעית מטעם מרכז המחקר והפיתוח של מיקרוסופט, ומאגד כאלפיים חוקרי אבטחה מכל העולם. "ישראל היא אחד המקומות הבודדים בעולם שבו אתה מדבר על ענייני אבטחת מידע ואנשים רוצים לעשות איתך סלפי", הוא מספר. "כמה מהכשרונות הגדולים בעולם של אבטחת מידע נמצאים פה בישראל, זו מדינה שבה הנושא של אבטחה ארוג כל-כך במרקם האנושי. זה קצת כמו בכדורגל. יש מדינות שבהן מזהים את הכשרונות האתלטיים כבר בגיל 6 או 8. אני רואה את זה קורה בישראל בתחום של אבטחת מידע, יש הרבה מאוד מיקוד בטיפוח הכשרונות מגיל צעיר".
בגיל 39, הוא ממונה על הנדסת האבטחה במערכת ההפעלה הפופולרית בעולם - ווינדוס, מוביל צוות אבטחה התקפי, ובעבר גם הוביל את מחקר האבטחה במוצר ה-Defender של מיקרוסופט.
"יש מדינות שבהן מזהים את הכשרונות האתלטיים כבר בגיל 6 או 8. אני רואה את זה קורה בישראל בתחום של אבטחת מידע, יש הרבה מאוד מיקוד בטיפוח הכשרונות מגיל צעיר"
איך זה מרגיש להיות אחראי על כמעט כל מחשב בעולם?
"זה הרבה משקל לסחוב. זו לא רק העבודה שלי, זו גם התשוקה שלי בחיים. אני התחלתי כבחור צעיר שבשבילו ווינדוס היה מקום מסעיר ומרגש, ואמרתי לעצמי שזה המקום שבו אני רוצה להיות יום אחד. איכשהו הצלחתי להשיג את זה לאורך הדרך, ואני לא נותן לעצמי לשכוח את זה. אני גם לא שוכח שיש המון אנשים שסומכים עליי ועל הצוותים שלי, אבל למרות שזו אחריות כבדה - אני לא נוטל לכובד המשקל להעיק עליי. זה מסוג הדברים שבהם צריך לקחת את האחריות ולכוון את האנרגיה אל תוך העבודה עצמה בכל יום מחדש".
תן מושג, במספרים, עם מה אתה צריך להתמודד בכל יום.
"הסטטיסטיקה העכשווית שלנו עומדת על משהו כמו 5 מיליארד מתקפות ביום, שמגיעות בכל מיני צורות. זה יכול להיות מיילים, וזה יכול להיות קבצים או נוזקות שמוצאות את הדרך למחשב שלך. זה מצביע על שני דברים מרכזיים: הראשון זה סדר הגודל הבלתי נתפס, אבל זה גם מראה על האוטומציה של שיטות התקיפה עצמן. זה לא שיושב איפשהו בעולם האקר ומקליד במהירות ותוקף 5 מיליארד פעמים. בסופו של דבר, הם משתמשים באותם רכיבים הנדסיים שאנחנו משתמשים בהם".
מה מתוך המנעד הרחב של סוגי מתקפות הכי מעסיק אותך?
"יש מתקפות בסיסיות, שהן לא מתוחכמות בשום צורה ועדיין עובדות. דברים כמו לקבל איזה מסמך, להקליק עליו ולהיות מותקף. האתגר הוא למצוא את האיזון המתמיד שבין לעצור את המתקפות האלה ולא לשבור שום דבר בתהליך, כי בסופו של דבר אנחנו עדיין צריכים לקבל ולשלוח מסמכים. זו הבעיה הכי גדולה שאני מתמודד איתה ביום-יום. לאו דווקא המתקפות המתוחכמות שבאמת מבודדות לסוג מסוים של לקוחות ושאנחנו מצליחים לבלום יחסית במהירות מהרגע שאנחנו מבינים מה קורה, אלא נקודות שבהן תוקפים משתמשים במערכת כמו שהיא אמורה לעבוד - ומנצלים אותה לרעה".
ווסטון הוא תומך נלהב של קונספט ה-Passwordless - אימות ללא סיסמה, אחת ממילות הבאזז החדשות בתחום אבטחת המידע, שלטענתו פותר שני כאבים ממשיים: הצורך באבטחה וחוסר היכולת להתמודד עם סיסמאות ארוכות ושונות עבור כל אתר או שירות דיגיטלי. "הרעיון של שימוש בסיסמאות הומצא לפני 40 שנה, בתקופה שבה אף אחד לא יכול היה לדמיין את האופן שבו החיים שלנו יהיו מחוברים למרחב הדיגיטלי", הוא אומר. "זו טכנולוגיה מדהימה, וכשעושים אותה בצורה טובה כמו ב'ווינדוס הלו' למשל (אימות באמצעות טביעת אצבע או זיהוי פנים - ה.ב.) אז המשתמשים מרוויחים מזה המון".
אנשים עדיין לא למדו לנהל סיסמאות כמו שצריך. כמה זמן ייקח להם לשנות את המחשבה לגמרי ולעבור לעולם בלי סיסמאות?
"זה עניין של אימוץ, וזה ייקח זמן. כל החברות הגדולות, תעשיות, מוסדות פיננסיים - זה טוב לכולם. אני כבר לא זוכר את הסיסמאות שלי כי אני לא משתמש בהן בכלל. ברגע שמנסים את זה - רוצים להפיץ את הבשורה. החוויית משתמש כל כך טובה שאין לי ספק שזה יקרה בסופו של דבר. פעמים ספורות בקריירה שלי יכולתי להגיד שגם פתרתי את הבעיה הכי גדולה וגם נתתי חוויית משתמש משופרת, והרעיון הזה של אימות בלי צורך בסיסמה יושב בדיוק על שני הכאבים האלה".
מה מחכה לנו בעשור הקרוב בתחום של אבטחת מידע? עד כמה אתה עסוק בעתיד?
"אני מאמין שהחזית החדשה של אבטחת המידע היא הנושא של בינה מלאכותית. מחר בינה מלאכותית תפעיל רמזורים, מעליות, מערכות מיזוג אוויר, ערים חכמות שלמות. יהיה סט מגוון מאוד של מכשירים, ואנחנו נצטרך לחשוב מחדש על הגישות שאנחנו נוקטים בהן היום, בעולם של טלפונים ומחשבים. זה לקח שלמדנו במיקרוסופט. כשבנינו את המחשב האישי הראשון, לא יכולנו לדמיין עולם שיש בו פייסבוק, או שבו יש תקיפות מטעם מדינות, היום אנחנו צריכים להיות הרבה יותר חכמים מזה. בזמן שאנחנו עסוקים במעבר לדיגיטציה ובבניית ערים חכמות, אנחנו חייבים לחשוב על איך העולם ייראה בעוד 15-20 שנה".
ואתם עושים את זה?
"בוודאי. אנחנו חושבים למשל על איך מתכננים מיקרו-מעבד שהוא מאובטח בצורה מובנית מהיום הראשון? או איך יוצרים מערכת הפעלה שמסוגלת להתגונן גם כשהמכשיר הפיזי נמצא אצל התוקפים? העיניים שלנו כל הזמן פקוחות, ויחד עם זאת אנחנו לא יכולים להאט את הקדמה. כי אם אבטחת מידע תאט את הקדמה הטכנולוגית - אנשים פשוט ימצאו דרך לעקוף אותה".