בינה מלאכותית ולמידת מכונה, "זירו טראסט", אלגוריתמים ובלוקצ'יין: ככל שתעשיית אבטחת המידע העולמית משגשגת, ומושכת תשומת-לב הרבה מעבר למעגל המצומצם של אנשי IT בחברות וארגונים - כך מתנפחות להן בועות קטנות של הייפ שיווקי. "עד לפני 10 שנים לרוב האנשים בכלל לא היה אכפת מהנושא של אבטחת מידע - כל עוד לא היו תקלות", אומר ד"ר זולפיקר ראמזן, מנהל הטכנולוגיות הראשי של RSA - זרוע אבטחת המידע של קבוצת דל טכנולוגיות. "עכשיו אנחנו מתחילים לראות איך התחום הזה של סייבר נהיה מיינסטרים, מתעסקים בו גם מנכ"לים, חברי דירקטוריון ומנהלים בכירים אחרים".
זה בעיקרו דבר חיובי, לא?
"כן, אבל יש גם השפעה שלילית. היום בתחום של סייבר יש כל-כך הרבה הייפ שיווקי, עד כדי כך שהאנשים שאמורים לעסוק בתחום הזה הרבה פעמים מתקשים להבחין מה אמיתי ומה הייפ".
תן דוגמה.
"יש מונח בשם 'זירו טראסט' (אפס אמון - ה.ב.), שהרעיון מאחוריו הוא זה שבאבטחת מידע המילה 'אמון' היא בעצם דבר שלילי. זה מונח שהוטבע לפני עשור, אבל עכשיו כל מיני חברות אומרות 'אנחנו עושים זירו טראסט' - למרות שבמציאות אין טכנולוגיה אחת שמסוגלת לספק זירו טראסט. לשום ארגון אין משאבים אינסופיים, וגם אם היה מצב כזה - המורכבות של המערכות היום היא כזו גדולה שזה בלתי אפשרי. מעבר להכל - ארגונים וחברות צריכים לחשוב אם זו דרך פעולה הגיונית בכלל עבור העסק שלהם. אז להגיע למצב של זירו טראסט זה אולי רעיון נחמד שנשמע נהדר, אבל אף-אחד לא באמת יכול להגיע לשם".
את המשנה שלו על הפער בין טרמינולוגיה שיווקית לבין מציאות טכנית, פרט ראמזן במהלך כנס "סייברטק" שנערך בשבוע שעבר בתל-אביב, בו הוא נחשב כבר לאורח של קבע. "אני מודאג מכך שעם כל ההייפ שיש סביב המונח הזה, אנשים מתקדמים בכיוון הזה בצורה עיוורת, למרות שאולי הוא לא הכיוון הנכון עבורם. אני מעביר הרבה מהזמן שלי בפירוק של מונחים כאלה מההתלהבות שמלווה אותם. בלדבר על האתגרים והמכשולים שאף אחד לא רוצה לדבר עליהם. הסיפור הזה של זירו טראסט מחליף מונחים כמו 'בינה מלאכותית' ו'בלוקצ'יין'. בכנסים קודמים דיברתי גם עליהם", הוא אומר.
בוא נתעכב רגע על ההבטחה של למידת מכונה.
"אני מאמין שבינה מלאכותית תעזור באבטחת מידע, היא תזיז את המחט אבל לא כל כך הרבה כמו שאנשי השיווק היו רוצים שנחשוב. יש אתגרים עקרוניים - הגדול שבהם הוא שבינה מלאכותית לא מתפקדת בצורה טובה בתוך סביבה של קונפליקט. ניקח לדוגמה את ההצלחה הגדולה ביותר של בינה מלאכותית - שחמט. לפני 30 שנה הרעיון שתוכנת מחשב תצליח להביס שחקן אנושי חזק היה בלתי נתפס. היום זה הפוך. אבל שחמט הוא משחק מאוד ברור עם חוקים מוגדרים, ובינה מלאכותית עובדת בצורה טובה תחת התנאים האלה. בתחום של אבטחת מידע, תוקפים הם ישויות אינטליגנטיות, הם משנים כל הזמן את מנגנוני התקיפה שלהם, הם לא ינסו את אותה מתקפה שוב ושוב וכל הזמן ימציאו דרכים חדשות. טכניקות מסורתיות של בינה מלאכותית לא מתמודדות בצורה טובה עם צורך להסתגל. כשאנשים נתפסים על ההייפ, הם לא מכירים במגבלות של בינה מלאכותית".
ראמזן טוען כי מה שיותר חשוב מהאלגוריתם עצמו - הם הנתונים שעל בסיסם הוא פועל. "הסוד המלוכלך הוא שאם יש לך דאטה טוב ואת יודעת מה לחפש בתוכו - אז האלגוריתמים שאפשר לבחור מתוכם יתנו בסופו של דבר הבדל של שבריר אחוז בביצועים אחד מהשני. לעומת זאת אם הדאטה שלך לא טוב, זה לא משנה גם אם תעסיקי יוצאי 8200 או דוקטורים מהטכניון, או אנשים עם שבעה תארים במתמטיקה - הם לא יצליחו להפיק יין טוב מענבים גרועים".
השורשים הישראלים העמוקים של חברת RSA, מביאים את ראמזן לביקורים תכופים: הוא בקי באקוסיסטם המקומי ("נדמה לי שכל מי שאני פוגש הוא יוצא 8200, זה גורם לי לתהות כמה גדולה היחידה הזאת", הוא צוחק); מעריך את הטאלנט ("הנושא של אבטחה צרוב בד.נ.א של מדינת ישראל מיום היווסדה"); ואפילו מסוגל לנהל סמול-טוק בעברית ("קניתי חולצה עם המילה 'סבבה'. זו המילה האהובה עלי"). אבל RSA עובדת עם כמה מהארגונים והגופים הממשלתיים הגדולים והמעניינים בעולם, מה שמייצר עבורה פרספקטיבה מעניינת על השינויים והתהפוכות בעולם אבטחת המידע. התחום של מידע רפואי למשל.
בשנתיים האחרונות, הנושא של מידע רפואי דיגיטלי - וכמובן אבטחתו, הוא נושא שמצליח להדאיג לא רק את הארגונים הרפואיים המחזיקים במידע הרגיש, אלא גם ארגונים ציבוריים ותאגידים טכנולוגיים. "תחום הבריאות הוא ייחודי", אומר ראמזן, "ארגונים רפואיים צריכים את המידע הזה כדי להציע טיפול טוב יותר עבור החולים, ומצד שני הם לא מייצרים רווח מהמידע עצמו. אז עם כל החקיקה החדשה - GDPR למשל, להחזיק במידע כזה הופך להיות נטל של ממש. אם לא שומרים על המידע הזה ומאבטחים אותו כמו שצריך, ומשהו משתבש - זה ממש יכול לגמור את החברה כולה".
אז מה הפתרון?
"זה כנראה ייקח 10-20 שנה, אבל אפשר לחשוב על מצב שבו במקום שהמידע הרפואי שלך יישמר אצל הארגונים עצמם, תהיה דרך יעילה שבה את זו שמחזיקה במידע בצורה ניידת. ואם את צריכה ללכת לשלושה בתי-חולים שונים, אז יש לך תיק רפואי דיגיטלי אחד. היום מה שקורה זה שאם את צריכה ללכת לשלושה בתי-חולים שונים, אז כל אחד מהם מחזיק בגרסה קצת אחרת של המצב הבריאותי שלך. היכולת שלהם לספק לך טיפול רפואי היא מוגבלת, כי לאף אחד אין תמונה מלאה. אני חושב שהמודל הזה נכון יותר, מפני שהוא שם את המידע הרפואי בידיים שלך ובשליטה שלך, הוא מפחית את האחריות ואת הסיכון מהארגונים הרפואיים, והוא גם יכול להציל חיים. זה אחד מהכיוונים שאנחנו חושבים עליהם במעבדה של RSA היום, כדי לראות איך אפשר להפוך את הקונספט הזה למציאות".
