אבטחת סייבר כבר אינה עניין נישה - זהו מבחן לשיתוף פעולה עולמי, ציווי בחדרי ישיבות ושאלת הישרדות עבור עסקים קטנים המועמדים לידי מטרה גוברת למתקפות סייבר.

קירסטן טודט הייתה עדה לשינוי הזה מקו החזית, עם קורות חיים המשתרעים על פני הבית הלבן, הסוכנות לאבטחת סייבר ותשתיות, ותפקידי מנהיגות במגזר הפרטי והמלכ"רי, כולל מכון המוכנות לסייבר המתמקד בעסקים קטנים.

היא מצטרפת השבוע למאסטרקארד כסגנית נשיא בכירה לשותפות ומעורבות בתחום אבטחת הסייבר, תוך העמקת שיתוף הפעולה של החברה עם ממשלות ושותפים גלובליים בנוף איומים מורכב יותר ויותר, תוך הבטחה שחדשנות מאובטחת הופכת למנוע - ולא למכשול - של ההתקדמות. היא מביאה איתה שילוב של חזון אסטרטגי ומציאות תפעולית, בעוד החברה מרחיבה את תיק השירותים שלה בתחום הסייבר, זיהוי הונאות ושירותים מבוססי בינה מלאכותית. 

"הרבה ממה שאנחנו עושים לעתים קרובות בתחום אבטחת הסייבר עוסק בניהול הרגע", היא אומרת. "אבל מאסטרקארד ממוצבת באופן ייחודי להיות ממוקדת בעתיד." למאסטרקארד יש את המשאבים, היכולת, הקיבולת ונקודות המגע הגלובליות להוביל בתחום הזה ולשאול, 'מהו החזון? כיצד נבנה תשתית מאובטחת ועמידה יותר, מערכת אקולוגית מאובטחת ועמידה יותר?

חדשות מאסטרקארד ישבו עם טודט בשבוע שעבר כדי לדון בגישתה לבניית מסגרות המעצימות את התעשייה, מטפחות שיתוף מידע ומשלבות אבטחה במרקם החדשנות.

הראיון עבר עריכה וקוצר.  

טודט: זה תמיד היה ויכוח. כמו ברוב סוגיות המדיניות, זה לא מדע, זו אמנות. לממשלה יש יכולת מדהימה להתכנס, ותפקידה, בסופו של דבר, הוא ליצור מסגרת שתנחה את התעשייה ומבוססת על ניהול סיכונים. הממשלה יכולה להעצים את התעשייה על ידי מתן הנחיות לניהול הסיכונים שלה וסיוע לתעשייה לתעדף את מה שחשוב. תאימות לא עובדת כי בסופו של דבר היא הופכת לרשימת בדיקה שאינה עומדת בציפיות.

אחד המרכיבים המרכזיים בניהול סיכונים הוא שלעולם אסור לעשות זאת באופן מבודד. הממשלה לא צריכה לעשות זאת בבידוד התעשייה ולהיפך. עליהם לעבוד יחד כדי שהתוצאה הסופית תהיה הגישה הטובה ביותר האפשרית לחוסן. שיתוף פעולה בין התעשייה לממשלה הוא קריטי לניהול סיכוני סייבר יעיל ומשפיע. 

טודט: ככל שהסביבה השתנתה, הרבה מזה קורה באופן אורגני באמצעות פעולה. כשהייתי לאחרונה בממשל הפדרלי, יצרנו מאמצים לעבוד עם התעשייה כדי לטפל באופן יזום בפגיעויות סייבר. אבל כמעט מיד שיתוף הפעולה החל בתגובה להתקפות, ולממשלה ולתעשייה לא הייתה באמת ברירה אלא לעבוד יחד. כבר הייתה מסגרת מוגדרת, אבל האירועים והפרצות הללו הפעילו את סוג המעורבות הזה. לשני הצדדים יש מידע קריטי לחלוק, וישנה הערכה גוברת לכך שעל ידי התאחדות יש יכולת לעשות עבודה טובה יותר בהבנה של איום.

אנחנו מדברים לעתים קרובות על סימנים של פשרה. אבל כשהייתי בממשלה, חיפשנו לזהות אינדיקטורים של עניין. מה אנחנו רואים שמרמז לנו שמשהו עלול לקרות? הממשלה לא יכולה לענות על שאלה זו ללא תעשייה. התעשייה לא יכולה לענות על שאלה זו ללא ממשלה. מה שקורה זה שאתם מרכיבים פאזל בלי כל החלקים, והדרך שבה אתם מקבלים תמונה טובה יותר היא על ידי עבודה משותפת. התעשייה יכולה לשתף את מה שהיא רואה ברשת שלה והממשלה יכולה לעבוד בין מגזרים כדי לסייע בזיהוי דפוסים, קמפיינים וטקטיקות. יחד, נוצרת תמונת איום טובה ומקיפה יותר. עם יכולות הטכנולוגיה, נכסי הנתונים ומודיעין האיומים שלה, מאסטרקארד היא שותפה רבת עוצמה לממשלות ברחבי העולם.  

טודט: בינה מלאכותית הולכת לתת לאבטחת הסייבר יתרון עצום. אנחנו כבר רואים את זה דרך אוטומציה, דרך ניהול פגיעויות, דרך תיקונים, היכולת לעצב קוד מאובטח, כל הדברים האלה שהתמודדנו איתם במהלך השנים. עם זאת, יריבים מבינים במהירות כיצד הם יכולים להשתמש בו למטרותיהם האישיות. אנחנו באמת רואים את זה, במיוחד בתוכנות כופר המופעלות על ידי בינה מלאכותית, שבהן הן מסוגלות לנצל פגיעויות תוך 15 דקות במקום שבועות ולאוטומטיות סריקות לאיתור פגיעויות ומשא ומתן שבעבר היה צריך להיעשות באופן ידני.

אבל החדשות הטובות הן שבניגוד למהפכות טכנולוגיות אחרות, אנחנו מודעים לכל זה כבר בהתחלה. בעוד שבינה מלאכותית ולמידת מכונה קיימות כבר זמן מה, הן הוטמעו במיינסטרים רק בשנים האחרונות. כחברה גלובלית, אנו מודעים לחשיבות השימוש הנכון בטכנולוגיות אלו. אנו מבינים שחייבת להיות מסגרת לחדשנות טכנולוגית זו שבאמת עוזרת לטכנולוגיה להשתפר. חדשנות מאובטחת לא צריכה להיות אוקסימורון. זה עוזר לחדשנות כשאנחנו בונים את האבטחה מההתחלה. בגלל פריסת הבינה המלאכותית על ידי התעשייה והממשלה כאחד, אנו יודעים שנדרש מאמץ עולמי רחב, ואני חושב שאתם רואים חברות ומדינות מתאחדות כדי להבין מה צריך לעשות ולגלות כיצד לבנות מסגרת פעולה. 

טודט: במכון למוכנות הסייבר, התמקדנו בהתנהגות אנושית. כיצד נוכל לעזור לשפר עסקים קטנים על ידי חינוךם לגבי חלק מרמות הבסיס של אבטחת סייבר הנדרשות כדי לעזור לעסקים קטנים לא לפשוט רגל? ראינו את התלות של שרשראות אספקה גלובליות בעסקים קטנים עם אחת החברות שלנו ב-CRI במהלך הקורונה. היה להם עסק קטן שנפל קורבן לתוכנת כופר, פשט את הרגל ושיבש את שרשרת האספקה הגלובלית של החברה. אנחנו חייבים לעשות יותר טוב. זהו הגאות העולה שמרים את כל הספינות. אנחנו חייבים להשקיע באבטחת סייבר לעסקים קטנים.

כשמדובר בשילוב אבטחת סייבר והיגיינת סייבר בתשתיות של עסקים קטנים, אוטומציה בהחלט עוזרת. ישנה גם הזדמנות לממשלה לתמרץ עסקים המספקים מוצרי אבטחה כדי להפוך את יכולות האבטחה הללו לברירת מחדל בטכנולוגיה. התקדמויות טכנולוגיות אחרונות מאפשרות לנו להרחיק את האבטחה מהמשתמש הסופי, מהעסק הקטן, ולשלב אותה בתשתית הטכנולוגית.  אסור לנו לזלזל בחשיבות הקריטית של השקעה ותעדוף של אבטחת סייבר של עסקים קטנים. 

טודט: במשך זמן רב, אבטחת סייבר נתפסה כיתרון תחרותי שהוא בחירה, משהו שכל ארגון יכול לבחור להשקיע בו - או לא - ומשהו שנעשה בנפרד. לא מזמן הייתה תקופה שבה עסקים היו אומרים, אני לא הולך להשקיע באבטחת סייבר, אני פשוט אשקיע בתגובה אם משהו יקרה לי.

אבל מה שאנחנו רואים ומעריכים הוא את המעבר הזה לעבר שותפות, שיתוף פעולה, את המעבר הזה לעבר הגנה משותפת, שאבטחת סייבר מקיפה וחוסן לא ניתנים להשגה על ידי ארגון אחד בלבד. ממשלות ברחבי העולם, התעשייה הפרטית וחדשנים טכנולוגיים מכירים בכך שאבטחת המערכת האקולוגית הדיגיטלית היא אחריות קולקטיבית. אני גם מעודד משילוב אבטחת סייבר באסטרטגיה עסקית ובחדשנות. זה לא רק טכנולוגיות מידע. חוסן קיברנטי הוא כעת נושא שנמצא במוקד ישיבות. זה קשור ישירות לאמון, למותג, לצמיחה. מודעות זו משנה את האופן שבו ארגונים באמת משקיעים ונותנים עדיפות לטכנולוגיות מאובטחות, מודיעין איומים ושיתוף פעולה בין-מגזרים. אבטחה משובצת היא הכרחית לצמיחה בת קיימא בעתיד.

מאסטרקארד נמצאת בעמדה ייחודית להוביל מגוון רחב של מגזרים, ממשלות ותעשיות, להעלות את הרף ולהיות שותפה אסטרטגית מוערכת. בכל יום מאסטרקארד רואה עד כמה שיתוף פעולה יכול להיות עוצמתי, כיצד שותפויות בין ממשלות, תעשיות, מגזרים ורגולטורים מגדירות מחדש מהי חוסן ומשלבות אבטחת סייבר בתהליך החדשנות עצמו. מכיוון שהיא ממוקמת בצומת שבין טכנולוגיה, אמון ומסחר, מאסטרקארד יכולה לצפות את האיומים לפני שהם מופיעים ולהבטיח צמיחה בטוחה ועמידה של הכלכלה הדיגיטלית.