Sign up to save your podcasts
Or
Share פרק 35: קראודסטרייק, סייבר וכמה מרוויח CISO?
Share to email
Share to Facebook
Share to X
Share to email
Share to Facebook
Share to X
Or
פרק 35: קראודסטרייק, סייבר וכמה מרוויח CISO?
ב-19 ביולי 2024, 7 ו-9 דקות בבוקר שעוננו, חווה העולם את "באג 2000" האמיתי. תקלת מיחשוב בקנה מידה ענק, ונזק שמוערך בכ-10 מיליארד דולר.
בתי חולים, חברות תעופה, מוקדי חירום ורשתות טלוויזיה - בעצם כל מי שהיה ער ומול מחשב בשעות האלה - חטף.
האשמה - CrowdStrike, מחברות הסייבר הגדולות בעולם, שהפיצה עדכון לקובץ הגדרות, Channel File 291. לא עדכון תוכנה אלא עדכון תוכן - של חיישן הפלקון שלה - סוכן שיושב במיליוני מחשבים ומזהה איומים בזמן אמת. העדכון הזה, שנועד להגן, במקרה הזה מחולשה ב-Named Pipes של Windows, מוטט את התשתית שעליה הוא הופקד לשמור.
אמרנו, מחברות הסייבר הגדולות בעולם, חלק מה-S&P 500, חברה שכולנו מושקעים בה, איך היא הצליחה להקריס כל כך הרבה מחשבים בבת אחת? הניתוח הטכני, Root Cause Analysis חשף שרשרת טעויות מביכה:
קובץ עדכון שהכיל 20 שדות, אבל רץ על תוכנה שציפתה ל-21 שדות בלבד. כשהתוכנה ניסתה לקרוא נתונים מכתובת זיכרון לא קיימת, היא קרסה. והיא לא קרסה לבד, אלא לקחה איתה את כל מערכת ההפעלה, כי בניגוד לכרום או זום או שולה המוקשים שרצים "בגינת המשתמש", פלקון של קראודסטרייק רצה בממלכה, בליבה, ב-Kernel. תוכנות שרצות ב-Kernel קורסות בדרמה גדולה, עם מסך כחול מפחיד ולפעמים צפצוף. והקריסה הזו, לא תיקנה את עצמה באיתחול, היא נכנסה ללופ של מסכים כחולים, שהחלו למלא את שערי הטיסה, חדרי המיון, וגם את משרדי קראודסטרייק באוסטין טקסס. "מישהו ישלם על זה", אמרה מנהלת הפיתוח. "וואי וואי וואי, בענק", סינן גם כונן הלילה.
התיקון שהוצע היה זוועתי. להיכנס למצב בטוח ולמחוק את הקובץ הבעייתי. הבעיה? במחשבים ארגוניים מערכת ההפעלה מוצפנת עם Bitlocker וכדי לאתחל למצב בטוח, צריך להקליד ידנית קוד של 48 ספרות. תתארו לכם איש IT שצריך להקריא עשרות כאלה בטלפון. חלק מהמחשבים נוקו תוך 24 שעות, אבל לאחרים זה לקח שבועות.
האירוע הזה מאפשר בחינה של עולם הסייבר, העומס הבלתי נסבל של "חליפת ההגנה" שארגונים נאלצים ללבוש, וגם המניעים הכלכליים, האנושיים, ולפעמים הציניים, שמניעים את התעשייה הזו.
תעשיה שאפשר לחלק ל-7, ואני אעשה את זה ממש קצר שלא תירדמו:
אבטחת רשת - מה שנכנס ויוצא מהצינורות של הארגון.
אבטחת קצה - המכשירים שיש למשתמש ביד (מחשבים וסלולר) וגם שרתים.
אבטחת קוד - שהמתכנתים עצמם כותבים, במטרה לסגור חורי אבטחה לפני שהם יוצאים לעולם.
אבטחת ענן - התחום הצומח ביותר, שמגן על סודות, הרשאות, תהליכים וגם קונטיינרים.
אבטחת זהות - האימות (מי אתה) וההרשאות (מה מותר לך לעשות)?
אבטחת מידע - הגנה על הנתונים עצמם, מסמכים, איפה מידע רגיש נמצא, מי נוגע בו וניהול רגולציה.
ואחרון - ניתוח האבטחה - מערכת שאוספת חיוויים מכל הקטגוריות כדי שמנהלי אבטחה יחקרו ויעצרו אותם.
כל הפתרונות האלה מותקנים כמעט בכל בארגון, שקונה בממוצע 75 מוצרים. אף אחד לא פוטר בגלל שקנה עוד מוצר אבטחה, וההנהלה מתקצבת אותם בנדיבות, בעיקר כי פריצות לארגון עלולות לסבך את חבר המנהלים בפלילים.
פלקון, פתרון לאבטחת קצה, ה-EDR או Endpoint Detection and Response של קראודסטרייק, ביקש לחיות ב-Kernel. הוא חייב להיות ב-Kernel כי וירוסים ותוקפים מתוחכמים מנסים בעצמם להיות שם, כדי להסתיר את עצמם ממערכת ההפעלה. החיישן יושב בצומת העצבים המרכזי של המחשב, בוחן כל קובץ שנפתח וכל תהליך שנוצר. זה כמעט בלתי מורגש שאתה מרכיב עגלת קניות ב-SheIn, אבל יכול לבזבז 10% או יותר שאתה בוייב שלך, מעדכן מאות ואלפי קבצים לפני גירסה.
גם בפתרונות סייבר אחרים יש שיהוי. אבטחת רשת סורקת כל חבילת מידע שיוצאת מהמחשב הארגוני. היא עוברת דרך "מנהרה" לענן של ספק האבטחה, שפותח, סורק ואורז מחדש כל מזוודת נתונים. אבל, רוב תעבורת האינטרנט היום מוצפנת. כדי שהספק יאתר פצצה, הוא מבצע טריק שנקרא "Man in the Middle". מתקין תעודת אבטחה מזויפת-כשרה במחשב שלכם, שמאפשרת לו לפתוח את ההצפנה, להציץ ולסגור חזרה. זו הסיבה שלעיתים אתרים נטענים לאט יותר, או שכלים של מפתחים נשברים וזורקים שגיאות אבטחה - הם מזהים שמישהו "התעסק" בתעבורה.
לא רק שיהוי, גם חיכוך. תפיסת האבטחה המודרנית נקראת Zero Trust ("אפס אמון"). זה שנכנסת לבניין, לא אומר שמותר לך להיכנס לחדר ישיבות, וזה שנכנסת לחדר ישיבות, לא אומר שמותר לך להתחבר לזום. אבטחת זהות בארגון אולי החליפה את מספר הסיסמאות שצריך לזכור, אבל היא מתייחסת אליך כחשוד, היא תדרוש שוב ושוב טביעת אצבע, Passkeys או SMS, כשתשנה תנוחה או מיקום.
ומערכות שיש בהם גם שיהוי, וגם חיכוך וגם טרחה - אבטחת ענן דרשה עד לא מזמן הפעלת תוכנה על כל שרת. החיישן, או הסוכן הזה נותן הגנה מצוינת בזמן אמת, אבל יקר לניהול, דורש התקנה, ואם הסוכן משתגע (כמו אצל קראודסטרייק) - השרת מושבת.
אסף רפפורט ושות', עם Wiz, הלכו על הגנה ללא סוכן, Agentless. הטכנולוגיה שלהם מתחברת מהצד, דרך API, סורקת מלמעלה, כמו רחפן. היתרון: אפס חיכוך. לא מתקינים כלום, לא מאטים את השרת ולא מקריסים אותו. זו הסיבה ש-Wiz צמחה במהירות שיא, אבל גם החיסרון - הרחפן מצלם איום פעם בכמה דקות או שעות. ה-EDR יכול לעצור אותו במקום.
אוקיי אז דיברנו על הלמה. השאלה המטרידה יותר היא איך, למען השם, הבאג הזה הגיע ל-8.5 מיליון מחשבים בו זמנית? התשובה היא שוב, מביכה - הכלי האוטומטי שאמור לבדוק את תקינות התוכן? הכיל בעצמו באג שאישר את הקובץ הפגום כ"תקין" - אף אחד לא חשב בכלל להוסיף בדיקה על מספר השדות. אבל הייתה גם יהירות טכנולוגית - קראודסטרייק ביצעה הפצה גלובלית מיידית במקום מדורגת. בפרקטיקה תקינה, עדכון מופץ תחילה לאחוז מהמחשבים, ממתינים לראות אם יש תקלות, ורק אז ממשיכים. CrowdStrike לחצה על הכפתור האדום ושיגרה את העדכון לכל הלקוחות בו-זמנית, במקום לשלוח אותו למשל, רק לעובדי קראודסטרייק.
אגב, למה זה קרה רק בווינדוס? והאם משתמשי מק חסינים? עד שנת 2019 גם אפל אפשרה לחברות אבטחה לרוץ ב-Kernel. עם המעבר לסיליקון תפוחי במעבד M1, אפל חסמה כמעט לחלוטין את הגישה לליבה עבור צדדים שלישיים. היא נתנה להם במקום, ממשק חדש, Endpoint Security Framework שפועל בגינת המשתמש. הוא לא יכול למשוך בהגה, הוא רק יכול להודיע לנהג אם יש סכנה. והנהג (אפל) תחליט אם להקשיב או לא.
למה ווינדוס לא עשתה אותו דבר? האירוניה היא שהיא ניסתה. בשנת 2006, עם המעבר ל-64bit מיקרוסופט הציגה את PatchGuard, מנגנון שנועד למנוע גישה לליבה. אבל חברות האבטחה של אז, McAfee ו-Symantec בכו כמו ילד קטן עם קוקיות לאירופאים - שזה יחסל את התחרות, שזה יגרום ל-Defender של מיקרוסופט לנצח. ב-2009 נחתם הסכם פשרה, שבו מיקרוסופט התחייבה לתת למתחרים גישה זהה ל-Kernel כמו זה שיש לעצמה. הסכם שסלל את הדרך לתקרית קראודסטרייק של 2024. תקרית שחידשה את מאמצי מיקרוסופט היום - לדחוף את תעשיית האבטחה מחוץ ל-Kernel שלה.
מנהל אבטחת המידע (CISO) צריך להתמודד עם הדרמות האלה כל שבוע, ונמצא במלכוד 22 מדי יום. אם אין פריצות, ההנהלה תשאל: "למה אנחנו משלמים כל כך הרבה על סייבר?" ואם יש פריצה: "למה שילמנו כל כך הרבה על סייבר?" אתם רוצים לדעת לחץ מהו? תחשבו על האחריות של CISO: להגן על כל הארגון, כל מכשירי הקצה, כל השרתים, כל הדאטה.. לא רק הדאטה הארגוני - גם הדאטה של כל לקוחות הארגון.
אבל יש פיצוי. מעבר למשכורות גבוהות (50-80 אלף בחודש ל-CISO בכיר), התפתח מודל כלכלי חדש ומעורר מחלוקת.
תוכנית "Sunrise" של קרן הון הסיכון Cyberstarts, למשל, הפכה את ה-CISO מלקוח למשקיע.
במסגרת התוכנית, הקרן גייסה עשרות מנהלי אבטחה מחברות ענק (כולל Fortune 500) לשמש כ"יועצים".
הדיל? ה-CISO מקבל גישה מוקדמת לסטארטאפים, מייעץ להם על המוצר, ובתמורה מקבל נתח מרווחי הקרן.
אבל, כאשר אותו CISO צריך להחליט איזה מוצר לקנות לארגון שלו, הוא נמצא בניגוד עניינים מובנה. האם הוא בוחר במוצר פורטפוליו של Cyberstarts כי הוא "הטוב ביותר טכנולוגית", או כי הצלחת החברה תצבור לו נקודות בתוכנית Sunrise?
סופי שולמן ומאיר אורבך מ"כלכלסיט" חשפו את תוכנית התגמולים ביוני 24. ופורבס גילה באוקטובר שהיא הוקפאה.
השיא של הטירוף הכלכלי הזה השתקף בסאגת המכירה של Wiz לגוגל. Wiz, חברה ישראלית שהוקמה רק ב-2020, קיבלה הצעת רכישה של 23 מיליארד, רק כדי לדחות אותה ולהעלות את הסכום ל-32. Wiz הצליחה כי היא פתרה את בעיית ה-Agent Fatigue, אבל גם בגלל שגוגל רצתה אותה לענן הבינוני שלה.
ישראל, "אומת הסייבר", לא הייתה חסינה ביום התקרית. ההשפעה הייתה מיידית, וחשפה תלות קריטית בטכנולוגיה זרה. 15 בתי-חולים (מרמב"ם לברזילאי) לא יכלו לגשת לתיקים רפואיים, לראות תוצאות מעבדה או לשחרר חולים. הם עברו לעבודה עם דף ועיפרון. למזלנו, הציוד הרפואי עצמו, מכונות הנשמה ו-MRI מבוסס על מערכות הפעלה סגורות (Embedded), ולא על ווינדוס עם Movie Maker שעובד ברקע.
בנתב"ג המצב היה מורכב יותר. בעוד שמערכות התפעול של הנמל עצמו שרדו יחסית, חברות התעופה הזרות (Delta, United ו-Wizz) קרסו לחלוטין. טיסות חו"ל פשוט עוכבו או בוטלו, והנוסעים חיכו בעיקר למטוסים שיגיעו.
מניית קראודסטרייק התרסקה בעשרות אחוזים אחרי התקרית, אבל פחות משנה אחרי היא חזרה לשיאים אחרים. השוק שכח, העולם שכח, וגם ה-CISO - מי רוצה להוציא מכרז חדש ל-EDR עבור מיליוני מחשבים?
תקרית CrowdStrike היא הרבה יותר מ"באג". היא סימפטום למחלה כרונית, מורכבות יתר של עולם הטכנולוגיה. בנינו מגדל בבל של הגנות, שבו כל שכבה מוסיפה עלות, איטיות וסיכון לקריסה.
הכלי שאמור היה להבטיח המשכיות עסקית, הפך לגורם מספר אחד להשבתה עסקית. אנחנו תלויים לחלוטין בקוד שנכתב עד אתמול על ידי בני אדם. וכשבני אדם טועים, העולם עוצר מלכת. הקוד הזה נכתב עכשיו על ידי מכונות. אולי כדאי שבני האדם לפחות יהנדסו אותו כך שייכשל בחן, מבלי לגרור את כל הציוויליזציה לתהום.
עד הפעם הבאה, תהיו טובים, ותמשיכו להיות סקרנים. יאללה ביי.
View all episodes
By מיכאל לוגסי
5
22 ratings
ב-19 ביולי 2024, 7 ו-9 דקות בבוקר שעוננו, חווה העולם את "באג 2000" האמיתי. תקלת מיחשוב בקנה מידה ענק, ונזק שמוערך בכ-10 מיליארד דולר.
בתי חולים, חברות תעופה, מוקדי חירום ורשתות טלוויזיה - בעצם כל מי שהיה ער ומול מחשב בשעות האלה - חטף.
האשמה - CrowdStrike, מחברות הסייבר הגדולות בעולם, שהפיצה עדכון לקובץ הגדרות, Channel File 291. לא עדכון תוכנה אלא עדכון תוכן - של חיישן הפלקון שלה - סוכן שיושב במיליוני מחשבים ומזהה איומים בזמן אמת. העדכון הזה, שנועד להגן, במקרה הזה מחולשה ב-Named Pipes של Windows, מוטט את התשתית שעליה הוא הופקד לשמור.
אמרנו, מחברות הסייבר הגדולות בעולם, חלק מה-S&P 500, חברה שכולנו מושקעים בה, איך היא הצליחה להקריס כל כך הרבה מחשבים בבת אחת? הניתוח הטכני, Root Cause Analysis חשף שרשרת טעויות מביכה:
קובץ עדכון שהכיל 20 שדות, אבל רץ על תוכנה שציפתה ל-21 שדות בלבד. כשהתוכנה ניסתה לקרוא נתונים מכתובת זיכרון לא קיימת, היא קרסה. והיא לא קרסה לבד, אלא לקחה איתה את כל מערכת ההפעלה, כי בניגוד לכרום או זום או שולה המוקשים שרצים "בגינת המשתמש", פלקון של קראודסטרייק רצה בממלכה, בליבה, ב-Kernel. תוכנות שרצות ב-Kernel קורסות בדרמה גדולה, עם מסך כחול מפחיד ולפעמים צפצוף. והקריסה הזו, לא תיקנה את עצמה באיתחול, היא נכנסה ללופ של מסכים כחולים, שהחלו למלא את שערי הטיסה, חדרי המיון, וגם את משרדי קראודסטרייק באוסטין טקסס. "מישהו ישלם על זה", אמרה מנהלת הפיתוח. "וואי וואי וואי, בענק", סינן גם כונן הלילה.
התיקון שהוצע היה זוועתי. להיכנס למצב בטוח ולמחוק את הקובץ הבעייתי. הבעיה? במחשבים ארגוניים מערכת ההפעלה מוצפנת עם Bitlocker וכדי לאתחל למצב בטוח, צריך להקליד ידנית קוד של 48 ספרות. תתארו לכם איש IT שצריך להקריא עשרות כאלה בטלפון. חלק מהמחשבים נוקו תוך 24 שעות, אבל לאחרים זה לקח שבועות.
האירוע הזה מאפשר בחינה של עולם הסייבר, העומס הבלתי נסבל של "חליפת ההגנה" שארגונים נאלצים ללבוש, וגם המניעים הכלכליים, האנושיים, ולפעמים הציניים, שמניעים את התעשייה הזו.
תעשיה שאפשר לחלק ל-7, ואני אעשה את זה ממש קצר שלא תירדמו:
אבטחת רשת - מה שנכנס ויוצא מהצינורות של הארגון.
אבטחת קצה - המכשירים שיש למשתמש ביד (מחשבים וסלולר) וגם שרתים.
אבטחת קוד - שהמתכנתים עצמם כותבים, במטרה לסגור חורי אבטחה לפני שהם יוצאים לעולם.
אבטחת ענן - התחום הצומח ביותר, שמגן על סודות, הרשאות, תהליכים וגם קונטיינרים.
אבטחת זהות - האימות (מי אתה) וההרשאות (מה מותר לך לעשות)?
אבטחת מידע - הגנה על הנתונים עצמם, מסמכים, איפה מידע רגיש נמצא, מי נוגע בו וניהול רגולציה.
ואחרון - ניתוח האבטחה - מערכת שאוספת חיוויים מכל הקטגוריות כדי שמנהלי אבטחה יחקרו ויעצרו אותם.
כל הפתרונות האלה מותקנים כמעט בכל בארגון, שקונה בממוצע 75 מוצרים. אף אחד לא פוטר בגלל שקנה עוד מוצר אבטחה, וההנהלה מתקצבת אותם בנדיבות, בעיקר כי פריצות לארגון עלולות לסבך את חבר המנהלים בפלילים.
פלקון, פתרון לאבטחת קצה, ה-EDR או Endpoint Detection and Response של קראודסטרייק, ביקש לחיות ב-Kernel. הוא חייב להיות ב-Kernel כי וירוסים ותוקפים מתוחכמים מנסים בעצמם להיות שם, כדי להסתיר את עצמם ממערכת ההפעלה. החיישן יושב בצומת העצבים המרכזי של המחשב, בוחן כל קובץ שנפתח וכל תהליך שנוצר. זה כמעט בלתי מורגש שאתה מרכיב עגלת קניות ב-SheIn, אבל יכול לבזבז 10% או יותר שאתה בוייב שלך, מעדכן מאות ואלפי קבצים לפני גירסה.
גם בפתרונות סייבר אחרים יש שיהוי. אבטחת רשת סורקת כל חבילת מידע שיוצאת מהמחשב הארגוני. היא עוברת דרך "מנהרה" לענן של ספק האבטחה, שפותח, סורק ואורז מחדש כל מזוודת נתונים. אבל, רוב תעבורת האינטרנט היום מוצפנת. כדי שהספק יאתר פצצה, הוא מבצע טריק שנקרא "Man in the Middle". מתקין תעודת אבטחה מזויפת-כשרה במחשב שלכם, שמאפשרת לו לפתוח את ההצפנה, להציץ ולסגור חזרה. זו הסיבה שלעיתים אתרים נטענים לאט יותר, או שכלים של מפתחים נשברים וזורקים שגיאות אבטחה - הם מזהים שמישהו "התעסק" בתעבורה.
לא רק שיהוי, גם חיכוך. תפיסת האבטחה המודרנית נקראת Zero Trust ("אפס אמון"). זה שנכנסת לבניין, לא אומר שמותר לך להיכנס לחדר ישיבות, וזה שנכנסת לחדר ישיבות, לא אומר שמותר לך להתחבר לזום. אבטחת זהות בארגון אולי החליפה את מספר הסיסמאות שצריך לזכור, אבל היא מתייחסת אליך כחשוד, היא תדרוש שוב ושוב טביעת אצבע, Passkeys או SMS, כשתשנה תנוחה או מיקום.
ומערכות שיש בהם גם שיהוי, וגם חיכוך וגם טרחה - אבטחת ענן דרשה עד לא מזמן הפעלת תוכנה על כל שרת. החיישן, או הסוכן הזה נותן הגנה מצוינת בזמן אמת, אבל יקר לניהול, דורש התקנה, ואם הסוכן משתגע (כמו אצל קראודסטרייק) - השרת מושבת.
אסף רפפורט ושות', עם Wiz, הלכו על הגנה ללא סוכן, Agentless. הטכנולוגיה שלהם מתחברת מהצד, דרך API, סורקת מלמעלה, כמו רחפן. היתרון: אפס חיכוך. לא מתקינים כלום, לא מאטים את השרת ולא מקריסים אותו. זו הסיבה ש-Wiz צמחה במהירות שיא, אבל גם החיסרון - הרחפן מצלם איום פעם בכמה דקות או שעות. ה-EDR יכול לעצור אותו במקום.
אוקיי אז דיברנו על הלמה. השאלה המטרידה יותר היא איך, למען השם, הבאג הזה הגיע ל-8.5 מיליון מחשבים בו זמנית? התשובה היא שוב, מביכה - הכלי האוטומטי שאמור לבדוק את תקינות התוכן? הכיל בעצמו באג שאישר את הקובץ הפגום כ"תקין" - אף אחד לא חשב בכלל להוסיף בדיקה על מספר השדות. אבל הייתה גם יהירות טכנולוגית - קראודסטרייק ביצעה הפצה גלובלית מיידית במקום מדורגת. בפרקטיקה תקינה, עדכון מופץ תחילה לאחוז מהמחשבים, ממתינים לראות אם יש תקלות, ורק אז ממשיכים. CrowdStrike לחצה על הכפתור האדום ושיגרה את העדכון לכל הלקוחות בו-זמנית, במקום לשלוח אותו למשל, רק לעובדי קראודסטרייק.
אגב, למה זה קרה רק בווינדוס? והאם משתמשי מק חסינים? עד שנת 2019 גם אפל אפשרה לחברות אבטחה לרוץ ב-Kernel. עם המעבר לסיליקון תפוחי במעבד M1, אפל חסמה כמעט לחלוטין את הגישה לליבה עבור צדדים שלישיים. היא נתנה להם במקום, ממשק חדש, Endpoint Security Framework שפועל בגינת המשתמש. הוא לא יכול למשוך בהגה, הוא רק יכול להודיע לנהג אם יש סכנה. והנהג (אפל) תחליט אם להקשיב או לא.
למה ווינדוס לא עשתה אותו דבר? האירוניה היא שהיא ניסתה. בשנת 2006, עם המעבר ל-64bit מיקרוסופט הציגה את PatchGuard, מנגנון שנועד למנוע גישה לליבה. אבל חברות האבטחה של אז, McAfee ו-Symantec בכו כמו ילד קטן עם קוקיות לאירופאים - שזה יחסל את התחרות, שזה יגרום ל-Defender של מיקרוסופט לנצח. ב-2009 נחתם הסכם פשרה, שבו מיקרוסופט התחייבה לתת למתחרים גישה זהה ל-Kernel כמו זה שיש לעצמה. הסכם שסלל את הדרך לתקרית קראודסטרייק של 2024. תקרית שחידשה את מאמצי מיקרוסופט היום - לדחוף את תעשיית האבטחה מחוץ ל-Kernel שלה.
מנהל אבטחת המידע (CISO) צריך להתמודד עם הדרמות האלה כל שבוע, ונמצא במלכוד 22 מדי יום. אם אין פריצות, ההנהלה תשאל: "למה אנחנו משלמים כל כך הרבה על סייבר?" ואם יש פריצה: "למה שילמנו כל כך הרבה על סייבר?" אתם רוצים לדעת לחץ מהו? תחשבו על האחריות של CISO: להגן על כל הארגון, כל מכשירי הקצה, כל השרתים, כל הדאטה.. לא רק הדאטה הארגוני - גם הדאטה של כל לקוחות הארגון.
אבל יש פיצוי. מעבר למשכורות גבוהות (50-80 אלף בחודש ל-CISO בכיר), התפתח מודל כלכלי חדש ומעורר מחלוקת.
תוכנית "Sunrise" של קרן הון הסיכון Cyberstarts, למשל, הפכה את ה-CISO מלקוח למשקיע.
במסגרת התוכנית, הקרן גייסה עשרות מנהלי אבטחה מחברות ענק (כולל Fortune 500) לשמש כ"יועצים".
הדיל? ה-CISO מקבל גישה מוקדמת לסטארטאפים, מייעץ להם על המוצר, ובתמורה מקבל נתח מרווחי הקרן.
אבל, כאשר אותו CISO צריך להחליט איזה מוצר לקנות לארגון שלו, הוא נמצא בניגוד עניינים מובנה. האם הוא בוחר במוצר פורטפוליו של Cyberstarts כי הוא "הטוב ביותר טכנולוגית", או כי הצלחת החברה תצבור לו נקודות בתוכנית Sunrise?
סופי שולמן ומאיר אורבך מ"כלכלסיט" חשפו את תוכנית התגמולים ביוני 24. ופורבס גילה באוקטובר שהיא הוקפאה.
השיא של הטירוף הכלכלי הזה השתקף בסאגת המכירה של Wiz לגוגל. Wiz, חברה ישראלית שהוקמה רק ב-2020, קיבלה הצעת רכישה של 23 מיליארד, רק כדי לדחות אותה ולהעלות את הסכום ל-32. Wiz הצליחה כי היא פתרה את בעיית ה-Agent Fatigue, אבל גם בגלל שגוגל רצתה אותה לענן הבינוני שלה.
ישראל, "אומת הסייבר", לא הייתה חסינה ביום התקרית. ההשפעה הייתה מיידית, וחשפה תלות קריטית בטכנולוגיה זרה. 15 בתי-חולים (מרמב"ם לברזילאי) לא יכלו לגשת לתיקים רפואיים, לראות תוצאות מעבדה או לשחרר חולים. הם עברו לעבודה עם דף ועיפרון. למזלנו, הציוד הרפואי עצמו, מכונות הנשמה ו-MRI מבוסס על מערכות הפעלה סגורות (Embedded), ולא על ווינדוס עם Movie Maker שעובד ברקע.
בנתב"ג המצב היה מורכב יותר. בעוד שמערכות התפעול של הנמל עצמו שרדו יחסית, חברות התעופה הזרות (Delta, United ו-Wizz) קרסו לחלוטין. טיסות חו"ל פשוט עוכבו או בוטלו, והנוסעים חיכו בעיקר למטוסים שיגיעו.
מניית קראודסטרייק התרסקה בעשרות אחוזים אחרי התקרית, אבל פחות משנה אחרי היא חזרה לשיאים אחרים. השוק שכח, העולם שכח, וגם ה-CISO - מי רוצה להוציא מכרז חדש ל-EDR עבור מיליוני מחשבים?
תקרית CrowdStrike היא הרבה יותר מ"באג". היא סימפטום למחלה כרונית, מורכבות יתר של עולם הטכנולוגיה. בנינו מגדל בבל של הגנות, שבו כל שכבה מוסיפה עלות, איטיות וסיכון לקריסה.
הכלי שאמור היה להבטיח המשכיות עסקית, הפך לגורם מספר אחד להשבתה עסקית. אנחנו תלויים לחלוטין בקוד שנכתב עד אתמול על ידי בני אדם. וכשבני אדם טועים, העולם עוצר מלכת. הקוד הזה נכתב עכשיו על ידי מכונות. אולי כדאי שבני האדם לפחות יהנדסו אותו כך שייכשל בחן, מבלי לגרור את כל הציוויליזציה לתהום.
עד הפעם הבאה, תהיו טובים, ותמשיכו להיות סקרנים. יאללה ביי.
More shows like הפודקאסט של מיכאל
View all
גיקונומי
90 Listeners
עושים חשבון Osim Heshbon
21 Listeners
עושים היסטוריה עם רן לוי Osim Historia With Ran Levi
165 Listeners
חיות כיס Hayot Kiss
143 Listeners
עושים טכנולוגיה עם ד״ר יובל דרור I רשת עושים היסטוריה
37 Listeners
מנועי הכסף
37 Listeners
חצי שעה של השראה עם ערן גפן
11 Listeners
האינטרסנטים
82 Listeners
התשובה עם דורון פישלר Hatshuva With Doron Fishler
195 Listeners
הצוללת
26 Listeners
בזמן שעבדתם
93 Listeners
אחד ביום
310 Listeners
הפודקאסט של נדב פרי
50 Listeners
השקעות לעצלנים - פודקאסט על כסף, השקעות והחיים עצמם
28 Listeners
הקרנף - עם יואב רבינוביץ׳
23 Listeners