אולה סרגצ'וב
סמנכ"לית אסטרטגיה בחברת הסייבר גארדיקור
נבחרה לאחת הנשים המובילות בעולם בתחום הסייבר העולמי בשנת 2020
אולה סרגצ'וב, לפני שנדבר על סייבר, ועל איך זה להיות אישה חרדית בתפקיד בכיר בתחום הסייבר – נדמה שיש על אודותייך פרט מפתיע למדי: עד גיל 16 בכלל לא ידעת שאת יהודייה. איך זה קרה?
"גדלתי בלנינגרד, עיר מתועשת שבה רמת ההתבוללות היתה גדולה, ובמשפחתי לא היתה התייחסות לעניין היהדות. אני זוכרת שבצעירותי התחלתי לחפש משמעות ולשאול מי אני. בלנינגרד למדתי בבי"ס למחוננים בתחום אמנויות הבמה, ובו תלמידים יהודים רבים. יום אחד התלמידים הלכו לקנות מצות. הצטרפתי אליהם והתחלתי להתעניין במנהג אכילת המצות, וכפועל יוצא מכך גם ביהדות כולה.
"בפרסטרויקה (בנייה מחדש; ר"פ) אנשים התחילו לעזוב, וכשחלק ממשפחתי חשבה על עזיבה, אבי לא עודד זאת אבל אמר שההחלטה בידינו, וחשף בפנינו קופסת מסמכים עם תעודות לידה ופרטים נוספים שהעידו על יהדותי. זה היה רגע שבו הכל התחבר".
זמן לא רב אחר כך הגעת לישראל והתקבלת לאוניברסיטה העברית – בלי לדעת אנגלית ועם לימודי ליבה שהסתיימו מבחינתך בכיתה ו' - על רקע היותך פסנתרנית מחוננת.
"מבחני הקבלה למכינת העולים באונ' נערכו באנגלית, ועברתי אותם בלי לדעת מילה באנגלית. בדיעבד, התברר לי שכל הנבחנים עברו. בהמשך למדתי כלכלה ומנהל עסקים ונכשלתי בחשבון דיפרנציאלי ואינטגרלי ארבע פעמים. התחננתי לדיקן להזדמנות נוספת. בסופו של דבר עברתי בקושי. בהמשך התואר גיליתי את תחום התכנות, ומשם הדרך להסבה למקצועות המחשבים וההיי־טק היתה קצרה".
איך היתה עבורך הכניסה להיי־טק?
"בראיונות עבודה היו שואלים אותי אם אני מתכוונת להיכנס להיריון בקרוב; גם ביקשו שאתחייב שלא אכנס להיריון בשלוש השנים הקרובות. אפילו שאלו אם תהיה לי אפשרות לעבוד בשבת במידת הצורך. היום זה נשמע הזוי. על רקע סיבות אלה מקומות רבים סירבו לקבל אותי. לשמחתי היו גם כמה מקומות שקיבלו אותי בחפץ לב".
חרדית בהיי־טק היה דבר חריג כבר אז. 30-20 שנה אחרי, נראה שמצב העניינים לא השתנה.
"זה מצער. כמות הנשים שבוחרות ללמוד מקצועות בתחום מדעי הטבע באוניברסיטאות ירדה. כמות הנשים שניגשות ללימודים טכנולוגיים יורדת, למרות כל המודעות. גם בתחום הגיוס קשה לאתר נשים, למרות שאנחנו מחפשים אותן בנרות".
איך מסבירים את זה?
"נשים פשוט לא ניגשות למשרות אם קיימת התאמה של פחות מ־50% בין כישוריהן לתיאור המשרה. גברים, לעומתן, מעיזים יותר. היום אנחנו ממש מתאימים את תיאור המשרה כדי להעלות את הסיכוי שנשים ייענו לה. אנחנו ממש מסלקים כל ביטוי שעלול להוות חסם כדי שבכלל נקבל קורות חיים מנשים".
לפגוע בנקודה הכואבת ביותר. משרדי שירביט
"בעיניי גם קיים פחד מסוים של נשים, משום שמחקרים מראים שאישה בסביבה גברית נוטה לדבר פחות, מפריעים לה יותר להתבטא והחלטות שמתקבלות בקבוצה נוטות להתייחס פחות לקול הנשי. בעיניי, בבתי ספר יש להתאים לימודים לנשים כדי להעצימן. נשים במהותן פחות תחרותיות, יותר קבוצתיות. צורת הלימוד כיום מכוונת כלפי הרוב, שהוא לרוב גברי בתחומי המדעים המדויקים, וזה פוגע בביטחון של אותה נערה שרוצה ללמוד מקצועות מדעיים".
תכנות והלכה
מצבן של הנשים בהיי־טק לא מסביר פנים. אני מניח שמצבן של הנשים החרדיות בהיי־טק חמור אף יותר.
"כמות השכירים בישראל שעובדים בהיי־טק היא 2.9 אחוזים, נכון ל־2018. מתוכם, 3 אחוזים חרדים. זה ייצוג לא פרופורציונלי לאוכלוסייה. מתוך אותם 3 אחוזים, 71 אחוזים הן נשים, שכביכול מובילות בפער. אחת הסיבות לכך: יש המון מסלולים שמעודדים נשים ללמוד מקצועות ליבה, שם הן לומדות הכשרות מקצועיות ולעיתים גם עוברות למסלולים אקדמיים".
אבל אז נכנסים לתמונה פערי השכר.
"במחקר של האיגוד הישראלי לתעשיות מתקדמות על חרדים בהיי־טק לשנת 2020, נמצא כי במגזר החרדי נשים משתכרות בכ־20 אחוזים פחות ביחס לגברים. ככל שהוותק עולה הפערים גדלים ומגיעים גם לכ־30 אחוזים. ממוצע השכר בהיי־טק היום עומד על 20-25 אלף שקלים למשרה התחלתית. גברים חרדים משתכרים בממוצע כ־14 אלף שקלים בחודש, בשעה שנשים משתכרות כ־11 אלף שקלים, על אותה עבודה בערך.
"כחרדית צעירה, גם אני לא הייתי מתקבלת היום לעבודה. למה? כי רוצים בוגרי טכניון או ת"א עם ממוצע ציונים של איינשטיין. רבים שעשויים להצליח נושרים בשלב סינון קורות החיים - כי אם אתה מגיע ממכללה, למשל, מסננים אותך.
"סביר שמידע על עובדי מדינה זמין לגורמים פליליים" // צילום: GettyImages
"אין פרות קדושות"
בואי נדבר על תקיפת שירביט. זו תקיפה משמעותית על חברת ביטוח שרבים ממבוטחיה הם עובדי מדינה, לרבות שירותי הביטחון ואפילו הקריה למחקר גרעיני בדימונה, כך פורסם. כמה מדינת ישראל צריכה לחשוש מכך?
"אני אולי ממזערת את חשיבות המתקפה הזאת, אבל סביר להניח שמידע על עובדי מדינה ושירותי ביטחון כבר זמין לגורמים פליליים. התקיפה הנוכחית היא אולי הזדמנות טובה לאמת את המידע הקיים מול מידע עדכני. כמו בכל מתקפת סייבר וגניבת מידע, אנחנו יודעים איפה זה מתחיל אבל אין לדעת היכן זה יסתיים. קח למשל את פריצת הענק לחברת דירוג אשראי אמריקנית לפני כמה שנים. את ההשלכות שלה הרגשתי גם שלוש שנים אחרי, כאשר אדם אנונימי הוציא כרטיס אשראי על שמי ועשה קניות ב־20 אלף דולר בשבוע.
"במקרים אחרים שאינם קשורים בהכרח לשירביט, הרי שבשלוש השנים האחרונות, בעיקר משום שהפרסום סביב הנושא עלה, הגידול בתוכנות כופר היה כמעט 1,000 אחוזים. בארה"ב בלבד מתרחשות 30-20 אלף מתקפות סייבר בכל יום. המספר הזה הוכפל אם לא שולש מאז תחילת הקורונה. בעולם המספר עומד על לפחות 90-80 אלף התקפות ביום, לפני הקורונה. וזה רק מה שמדווח. ייתכן שהמספר האמיתי גדול בהרבה.
"תחכום ההגנה חייב לעלות מדרגה" // צילום: GettyImages
"מדוע המספרים כל כך גבוהים? ראשית, זה כסף קל, כביכול. תוכנות הכופר השתבחו עם הזמן, היום יש טרגטינג, ואפילו טרגטינג בתוך ארגון. הכופרה לא רק נכנסת ועושה נזק, היא מחפשת את הנקודה הכואבת ביותר. פעמים רבות הגורמים הזדוניים הללו נמצאים בתוך ארגון במשך תקופה, שעומדת על 190-160 ימים בממוצע".
בשירביט ייתכן שמדובר במדינה שעומדת מאחורי המתקפה? נאמר מדינה כמו איראן, כפי שמעלים כרגע פרסומים כאלה ואחרים?
"בשירביט ניכר כי מדובר בתקיפה מכוונת, וכי הארגון שעומד מאחוריה הוא ארגון מסודר עם מטרה.
לא הייתי הולכת בהכרח לתיאוריית קונספירציה כאלה ואחרות שמערבות מדינות כמו איראן".
מה היה צריך לעשות במצב המורכב הזה שאליו נקלעה חברת שירביט?
"קל כמובן להגיד בדיעבד, אבל הכי טוב לא להגיע למצב הזה מלכתחילה".
אבל רק לאחרונה סיימה שירביט בהצלחה תרגיל סייבר הגנתי. הם גם משקיעים רבות בתחום הגנת הסייבר, עומדים בכל הנהלים והרגולציות, גם בכל הנוגע לניהול מאגרי המידע. הם אף עמדו בביקורות תקופתיות מטעם רשות שוק ההון.
"אני לא יודעת איזה תרגיל הם עברו ומי העביר אותם. אבל אפשר לקחת כדוגמה חברה בינלאומית גדולה אחרת. החברה שלנו, גארדיקור, שפיתחה פלטפורמה להגנה על תשתיות מידע ושירותי ענן העוזרת לזהות ולמנוע התקפות סייבר בזמן אמת, פרשה שם את התוכנה שלה. החברה אכן הצליחה לעצור את התקיפה הפנימית שלנו. אלא שאז ראינו תופעה של שרתים לא מזוהים, שלא עמדו בתקני אבטחת מידע, ואף עקפו חלק מהדרישות (Shadow IT; ר"פ). הם לא נוצרו על ידי פורצים אלא על ידי עובדי החברה, לרוב כחלק מהעבודה השוטפת. אבל משום שלא עמדו בתקני אבטחת מידע הם חשפו את החברה למתקפת סייבר.
מסמך שהופץ בפריצה לשירביט
"ברוב החברות בעולם, הראות לתוך מרכזי הנתונים והענן של החברה מאוד נמוכה. כלומר, אפשר להקים שרת חדש, להסתיר עקבות ולהשתמש בו לצורכי עבודה או כבסיס להתפשטות הפריצה בתוך הארגון. זו הסיבה שתוכנות כופר מצליחות. ייתכן שבאותו תרגיל של שירביט לא זוהו כל נקודות התורפה, או שהן נוצרו אחרי שצוות התרגיל סיים את עבודתו. מניסיוננו בחברת גארדיקור, ברוב ההתקפות המוצלחות מדובר בטעות אנוש. בסופו של דבר, זה תמיד מתחיל בחוליה חלשה אחת או יותר שנחשפה לגישה מבחוץ, ללא מנגנון הגנה, ומשם המתקפה תתפשט כמו אש בשדה קוצים.
"תקיפות למיניהן קשורות גם לתרבות הישראלית, שאוהבת לחיות על הקצה וניחנת לפעמים ביהירות. והיהירות הורגת - לפעמים אנשים ולפעמים עסקים".
ולפעמים גם הסנדלר הולך יחף. ענקית הסייבר האמריקנית FireEye, שמספקת שירותי אבטחת מידע עבור ארגונים וממשלות בכל העולם, הודיעה השבוע על מתקפה "חסרת תקדים" שחדרה את מערכותיה.
"אין פרות קדושות. גם תחכום ההגנה שלנו חייב לעלות מדרגה. היום יותר ארגונים מאמצים את שיטת בוני הספינות והצוללות. מחלקים את המרחב הפנימי, כלומר את סביבת ה־IT, לתאים קטנים יותר כמו מרכזי שליטה מוגנים בפני עצמם. כך, בעת תאונה ימית, או מתקפת סייבר במקרה שלנו, המים לא יזלגו אל כל הספינה, אלא יעצרו באזור שנפרץ. זאת הדרך היחידה להציל מערכות מידע מהשבתה כוללת".
לעשות כסף? לא בשבת
ייתכן שגם עתה, בעודנו מדברים, יש עוד חברות ביטוח וחברות ענק שמותקפות או נמצאות תחת מעקב?
"אני יכולה לומר לך שכל ארגון בעולם היום צריך לחיות במצב תודעתי שהוא נפרץ. לא סתם לחשוש מכך. עברנו את שלב החשש, אנחנו נמצאים במצב של ודאות, כמעט 100 אחוזים, שיש גורם שכבר נמצא אצלו, או שמישהו יהיה אצלו מחר. זו לא שאלה של האם, אלא של מתי. חברות צריכות לעשות תרגיל תקיפה לא פעם בחודש אלא בכל יום".
גם בקרב אזרחים פרטיים זו לא שאלה של האם אלא של מתי?
"סבירות גדולה מ־50 אחוזים שכרגע במחשב שלך או במחשב שאתה מתחבר אליו יש איזושהי תוכנה זדונית (Malware)".
כמה קל לפרוץ כיום למחשב של אדם פרטי ולגנוב משם מידע?
"בממוצע, פריצה לתוכנת אנטי־וירוס מצויה במחשב פרטי לוקחת בין 10 ל־20 דקות. האקר בינוני יכול לעשות את זה, אבל אתה לא מעניין אותו. אין לך מידע מדיני מסווג. וכשרוצים - אז פורצים. אין דבר כזה שאי אפשר לפרוץ. אגב, גם בפייסבוק רואים קישורים מזויפים. פייסבוק מורידים כמות מטורפת של לינקים כאלה מדי יום. זה יכול לקרות גם בגוגל, למרות שזה קורה פחות".
עולם הסייבר, בוודאי לנוכח הקורונה, ניצב בכל יום בפני אתגרים חדשים. מה את עושה במקרה של מתקפות קריטיות בשבתות או חגים? יש כאן שאלות אתיות ומוסריות רבות. עד כמה את מוצאת את עצמך מתייעצת עם הרב שלך בעניינים אלה, או עסוקה בסוגיות שכאלה בינך לבין עצמך?
"בתפקיד שלי עולות שאלות של עבודה בשבתות ובחגים, במיוחד כאשר יש עסקה גדולה שדורשת תשומת לב של בכירה בתפקיד, או מתקפה שבדיוק מתרחשת בסוף שבוע. אלה סוגיות הלכתיות. לרוב, התשובות ההלכתיות ברורות - אם מדובר בהפסד כספי, לא משנה כמה הוא גדול, לא עובדים בשבתות או בחגים. אבל אם מדובר בפיקוח נפש, המצב אחר כמובן. רק לפני כמה חודשים פורסם שבמתקפת כופר על בית חולים בגרמניה, חולה שהיתה במצב קריטי נפטרה כי לא קיבלה טיפול חיוני עקב השבתה של כלל מערכות בית החולים. בצוותים רב־תרבותיים זה יותר קל כי היה לנו הסכם לא כתוב, שאני מגבה אותם בחגים נוצריים והם מגבים אותי בחגים יהודיים".
להצעות ולתגובות: Ranp@israelhayom.co.il