עומרי סגרון, CTO, המרכז להגנת סייבר, BDO

 

---

רוחות הרפאים בשרתים

השעה הייתה שתיים לפנות בוקר כשהמסך הבהב באור כחול קר. בחדר הישיבות של אחד הבנקים הגדולים באירופה, ריח של קפה קר ושעות עבודה רבות מדי עמד באוויר. המנכ"ל ישב מולי, עיניו אדומות.
 “עומרי,” הוא אמר בקול שבור, “שפכנו מיליונים על ה-DLP הכי מתקדם בעולם. הבטיחו לי ששום ביט לא יוצא מהארגון בלי אישור. אז איך זה שהנתונים של עשרת אלפים לקוחות VIP מסתובבים עכשיו בפורום ברוסיה?”

באותו רגע הבנתי שוב את האמת הכואבת של המקצוע שלנו, ארגונים לא נפרצים כי אין להם כלים, הם נפרצים כי הם חיים באשליה טכנולוגית.

המפלצת שמתחת למיטה Shadow Data

ה-DLP המסורתי הוא כמו שומר בשער הראשי של טירה, בזמן שהחומות האחוריות מתפוררות. במקרה של אותו בנק, המערכת עבדה מצוין – היא חסמה מיילים עם מספרי אשראי וזיהתה התקני USB. אבל היא הייתה עיוורת ל"נתוני הצללים" (Shadow Data).

במסגרת תהליך ה-Discovery שביצענו, גילינו "רוח רפאים" טכנולוגית, שרת Staging ישן בענן, שנוצר לפני שלוש שנים לצורך בדיקה מהירה של מפתחי ה-Dev. הוא הכיל עותק מלא של בסיס הנתונים המבצעי. השרת הזה לא היה מנוהל, לא עבר Hardening, והכי גרוע, הוא היה מחוץ לרדאר של ה-DLP.

התובנה הטכנית היא שהיום כבר לא מדברים על מניעה בנקודת הקצה בלבד. אנחנו עוברים ל-DSPM (Data Security Posture Management), מערך שסורק את ה-Multi-cloud באופן רציף, משתמש באלגוריתמים של Classification כדי להבין לא רק איפה המידע נמצא, אלא מהי הרגישות הדינמית שלו. הפתרון הוא לא לחסום את היציאה, אלא לצמצם את ה-Attack Surface בתוך הענן עצמו.

כשהרגולציה הופכת לאירוע

בזמן שניסינו לעצור את הדימום הטכנולוגי, הגיע גם ה"פטיש" הרגולטורי. תיקון 13 לחוק הגנת הפרטיות שנכנס לתוקף השנה שינה את כללי המשחק. אם פעם "ניהול סיכונים" היה מונח גמיש, היום מדובר בחובת Accountability (אחריותיות) ברורה.

התיקון החדש מעניק לרשות להגנת הפרטיות סמכויות חקירה רחבות, חובת דיווח נוקשה ובעיקר עיצומים כספיים שיכולים למוטט חברות בינוניות. בשיחות שלי עם דירקטוריונים, אני כבר לא מדבר על פיירוול. אני מדבר על האחריות האישית שלהם, ועל כך שלפי החוק החדש, אי-ידיעה לגבי מיקומו של מידע רגיש היא רשלנות לכל דבר.

הרגולציה כבר לא מלווה את האירוע, היא חלק מהאירוע.

תיבת פנדורה של ה-AI

ואז הגיע ה-AI. זה הרגיש כאילו מישהו השאיר את דלתות הכספת פתוחות והזמין את כולם להיכנס. באחד הפרויקטים שלנו ליווינו חברת הייטק גלובלית שהטמיעה מודל LLM פנימי לשיפור הפרודוקטיביות, ומהר מאוד התברר עד כמה הגבולות יכולים להיטשטש.

מצד אחד הופיע Shadow AI. עובדים העלו קטעי קוד קריטיים ופרוטוקולים של ישיבות הנהלה ל-ChatGPT ציבורי כדי “לסכם את הישיבה”. המידע הזה הפך לחלק ממאגר האימון של המודל ויצא משליטת הארגון.

מצד שני, בתוך המערכת הארגונית עצמה, קרסה ההפרדה. החברה הזינה מסמכים מ-SharePoint לתוך מודל ה-AI הפנימי, אך לא יישמה (RBAC (Role-Based Access Control בצורה נכונה. במצב כזה, משתמשים קיבלו גישה למידע שלא אמור להיות נגיש להם. במקרים מסוימים, מסמכים רגישים של CFO הופיעו בתשובות למשתמשים שלא היו אמורים לראות אותם, פשוט כי המודל אומן ללא Data Segregation.

זה לא כשל של כלי, זה כשל של הבנה ארכיטקטונית.

מארכיטקטורה של הגנה לארכיטקטורה של חוסן

אז איך בונים מבצר בעולם שבו הקרקע כל הזמן זזה? ב-BDO פיתחנו מתודולוגיה שמתרחקת מ"מוצרי מדף" ועוברת לארכיטקטורת חוסן.

אנחנו בונים Secure AI Landing Zones עבור לקוחות ב-Azure וב-Google Cloud, סביבות מבודדות שבהן מודלי AI פועלים בתוך ( VCN (Virtual Cloud Network מוגן, עם בקרות DLP ברמת השאילתה והגנה מפני Prompt Injection.

במקביל, מיושמים עקרונות של Zero Trust for Data. הגישה למידע רגיש מתבצעת דרך שכבות  Identity and Access Management שמוודאות התאמה מלאה בין זהות, הקשר והרשאות בזמן אמת. לצד זה, אנו מטמיעים כלי ( CSPM (Cloud Security Posture Management שמבצעים Continuous Discovery, מזהים Misconfigurations בתוך דקות ומצמצמים סיכונים לפני שהם הופכים לאירוע.

זה כבר לא עניין של מוצר אחד, זו תפיסה הנדסית שלמה.

הארכיטקט ולא השוטר

לאחר 20 שנה בקו האש, מהצנחנים, דרך ממר"ם ועד לכיסא ה-CTO כאן ב-BDO  למדתי דבר אחד. CISO אפקטיבי הוא לא זה שנועל את הדלת, אלא זה שבונה את הבית בצורה כזו שהדלתות הנכונות נפתחות לאנשים הנכונים.

הגנה על מידע בשנת 2026 היא שילוב של קוד, חוק ויצירתיות אנושית. אנחנו לא כאן כדי לעצור את ה-AI או את הענן, אנחנו כאן כדי לוודא שהם עובדים עבורנו, ולא נגדנו.