המנהל ששילם דמי שתיקה להאקרים: "לא צריך לראות בנו בחורים רעים"

חזותו של ג'ו סאליבן עשויה לבלבל. האיש, שזה עתה ירד מהבמה בכנס אבטחת הסייבר בתל אביב, נראה במבט ראשון שקט ולבוש בקפידה. כמעט שאי אפשר להאמין שהוא עומד במרכזה של פרשה משפטית תקדימית שמעוררת הדים בתעשיית ההייטק כולה.

● הקרב הלוהט במדעי הכלכלה: תעלומת האינפלציה והחמדנות התאגידית
● כך הפכו הסמים הפסיכדליים למנוע של עמק הסיליקון | WSJ
● שלושת היזמים החיפאים שכובשים את טוסקנה | ראיון

וזה לא רק המראה שלו. גם הקריירה המקצועית של ג'ו סאליבן התחילה בצורה מבטיחה מאוד. לאחר שביסס לעצמו מוניטין של דמות מרכזית בעולם אבטחת המידע והסייבר, עם תפקידים בחברות גדולות ומרכזיות כמו פייסבוק ו־eBay, הוא החל לעבוד ב־2015 כמנהל אבטחת המידע הראשי בחברת אובר (Uber) האמריקאית - אפליקציית נסיעות שיתופית פופולרית.

אך ב־2016 חלה תפנית שבדיעבד שינתה לחלוטין את כל המסלול שלו. זה קרה כאשר התרחשה פריצת אבטחה גדולה במערכת של אובר והאקרים הצליחו לגנוב פרטים של כ־57 מיליון לקוחות ושל יותר מחצי מיליון נהגים. באותה השנה החברה הייתה גם תחת חקירה של רשות הסחר הפדרלית האמריקאית (FTC) בנוגע לפריצת אבטחה קודמת שהתרחשה ב־2014, טרם הצטרף סאליבן לחברה.

סאליבן והצוות שלו, שמנה אז 40 איש, הצליחו לאתר את ההאקרים ושילמו להם דמי שתיקה בסך 100 אלף דולר. את כל שהתרחש, הם בחרו להסתיר מהרשויות הממשלתיות.

תפנית נוספת חלה בשנת 2017 כאשר המנכ"ל טראויס קלאניק, שכיהן בזמן התרחשות הפרשה, הועזב בשל שערוריות אחרות שהיה מעורב בהן. המנכ"ל החדש, דארה קוסרשאהי, החליט לפטר את סאליבן.

בשנת 2022 סאליבן הועמד לדין בגין שיבוש חומרי חקירה והסתרת מידע מהרשויות הממשלתיות. בסופו של דבר הוא גם הורשע בסעיפים אלה, ולמרות שחבר המושבעים המליץ על 18 חודשי מאסר בפועל, במאי האחרון נגזרו על סאליבן שלוש שנות מאסר על תנאי, עבודות שירות וקנס בסך 50 אלף דולר. למעשה, סאליבן הוא מנהל אבטחת המידע הראשון בהיסטוריה שהועמד לדין בגין עבירות פליליות.

מאז התפוצצות הפרשה, בייחוד לאחר ההרשעה ועד למתן גזר הדין, סאליבן היה מנוע מלדבר באופן פומבי על המקרה. בחודש שעבר הוא הגיע לישראל, עם משלחת המונה 130 בכירי סייבר מחברות בינלאומיות מובילות, במסגרת הכנס השנתי שעורכת קבוצת Team8 בנושא אבטחת מידע. בראיון ראשון לתקשורת הישראלית הוא מספר לגלובס על הצד שלו בכל האירועים.

"לא רוצה שמנהלי אבטחת מידע יפחדו להיות בתפקיד"

"זה תהליך שנמשך שש שנים והיו שלבים שונים שהייתי צריך לעבור", משתף סאליבן בחוויה האישית שלו. "פוטרתי באופן פומבי בצורה שבעיניי הייתה לא הוגנת, אבל לא התאפשר לי לדבר על כך. אחר כך הייתי מסוגל להרים את עצמי בחזרה הודות לתמיכה של בני משפחה וחברים.

"אבל אז הועמדתי לדין. השופט הבין שזה מקרה מורכב ובמתן גזר הדין הצביע על כך שהצוות שלי עבד טוב והצליח למנוע מהדאטה לצאת החוצה, ועל כך שלא פעלתי ממניעים כלכליים אישיים. הבאתי לו מכתבים ממאות אנשים שכתבו על דמותי הפרטית והציבורית, על תפקידים קודמים שבהם עזרתי, בין היתר, להגן על בטיחות ילדים בשימוש באינטרנט".

סאליבן מודע היטב להדים הרבים שהמקרה שלו מעורר, בתעשיית ההייטק בכלל ובקהילת מאבטחי המידע בפרט. רבים עקבו מקרוב אחר מתן גזר הדין ואחר התשובה לשאלה - האם הוא ייכנס לכלא. "היה לי חשוב לדבר עם הקהל ועם אנשים בתפקידי מנהלי אבטחת מידע בכלל, על זה שאני באמת לא רוצה שהם יסתכלו על התיק שלי ויפחדו להיות בתפקיד דומה. אני גם לא רוצה שהם יהפכו למעין שוטרים.

 מנכ''ל אובר דארה קוסרשאהי בהנפקת החברה, 2019. החליט לפטר את סאליבן / צילום: Associated Press, Richard Drew

"כשהתחלתי לראות מנהלי אבטחת מידע מדברים על התיק שמעתי דברים כמו 'אני צריך להיזהר מלנקוט צעדים שעלולים לסכן את המשרה שלי'. הרי מהו בעצם התפקיד של מנהל אבטחת המידע? התפקיד שלו זה לדאוג שהחברה תשקיע משאבים בלהגן על הלקוחות שלה. אם יהיה מצב שבו אותם מנהלי אבטחת מידע מודאגים יותר מאיך להגן על עצמם מאשר על החברה ולקוחותיה, נגיע למקום מאוד גרוע".

זו בעצם הפעם הראשונה שבה אדם בתפקיד של מנהל אבטחת מידע מועמד לדין.
"לדעתי, במקרה שלי השופט נתן שתי מתנות לאנשי קהילת אבטחת המידע. הוא אמר לי 'אני לא שם אותך בכלא אבל האיש הבא שיבצע משהו דומה - הולך לכלא'. הוא בעצם אמר שאני מקרה תקדימי - וזו מתנה כי כך נוצרת בהירות לגבי הציפיות ממנהלי אבטחת מידע.

"הדינמיקה בין הממשלה והשוק הפרטי, בייחוד בעולם הטכנולוגי, היא מאוד מתוחה. אפשר לראות את זה היום סביב הנושא של בינה מלאכותית - שאלות כמו איך נכון לעשות רגולציה, מי יחליט על החוקים - חברות לא בטוחות אחרי אילו חוקים הן צריכות לעקוב. רואים את זה גם בעולם מטבעות הקריפטו: ראיתי חברה אחת שמנסה להתנהל לפי כל החוקים הקיימים ועכשיו הממשלה בעקבותיה. רוב הזמן, בתפקידים כאלו ובשוק שלא מפסיק להתפתח ולהתקדם, אתה מרגיש כאילו אתה מגשש את דרכך באפלה".

המתנה השנייה שסאליבן מרגיש שהשופט נתן לו היא הדגש על השאלה: איפה היה מנכ"ל החברה. "השופט ראה בתיק הזה שלא עמדתי לבד, הנהלת החברה הייתה מעודכנת בכל הצעדים שבחרתי לעשות. וזאת מתנה כי מה שהשופט בעצם אומר זה שמנהלי האבטחה לא צריכים להיות לבד".

למה פשוט לא דיווחתם על הפריצה לרשויות?
"השאלה אם החברה צריכה לדווח לרשויות - לא צריכה להיות במסגרת התפקיד של מנהל אבטחת המידע. זו לא החלטה שצריכה להיות אחת מן הסמכויות שלו. בחברה שלנו הייתה מדיניות משפטית כתובה והצוות המשפטי צריך לדעת מה לעשות מול גורמים ממשלתיים.

"כשפריצת האבטחה הזאת התרחשה, אני הייתי בוושינגטון, ניהלתי צוות בקליפורניה והמנכ"ל בכלל ישב בניו יורק. לאחר כל פגישה עם הצוות שלי בנושא הייתי מתקשר למנכ"ל ומעדכן אותו. אבל את יודעת, הנה השאלה האמיתית שחשבתי עליה - איך אנחנו מביאים אל החברות אנשים שמבינים ומדברים באותה השפה כמו הממשלה, כדי שהחברות יוכלו לעבוד טוב יותר עם הרשויות".

"עשיתי הכול כדי להגן על הלקוחות שלי"

סאליבן מביא כדוגמה שלילית את הדינימיקה בין הממשלה למגזר הפרטי בסיליקון ואלי. "אנשים תמיד רוצים להאשים את הסיליקון ואלי. שוב ושוב רואים את המגמות האלה של אי־אמון בחברות - הממשלה מחילה רגולציות וענישה אבל לא מצליחה לדבר באותה שפה. הם לא רואים את החברה ואת האנשים בתוכה כמו שותפים.

"בסוף אנחנו לא רוצים להיות במצב שבו הממשלה רואה את חברות הטק כבחורים הרעים. יש מספיק בחורים רעים אמיתיים שם בחוץ ואני חושב שמגזר הטק צריך לעבוד בשיתוף פעולה עם הממשלה".

נוסף על הכול, סאליבן מתאר את הלחצים הכבדים שהופעלו עליו מדי יום בתפקיד. מתברר שהוא נאלץ להתמודד לא רק עם איומי סייבר, אלא גם עם איומיים פיזיים, לא פחות. "אחד הדברים הכי קשים בתפקיד זה שאתה תמיד נמצא בלחץ גבוה, ואתה תמיד חייב לעשות את הכי טוב. כל אירוע של פרצת אבטחה הוא מאוד מלחיץ ובכל אירוע כזה אתה צריך לפגוש את הציפיות של החברה.

"העולם שאובר פעלה בו ב־2016 היה מורכב. היינו צריכים להתמודד לא רק עם איומי סייבר אלא גם עם איומים פיזיים. כשאובר נכנסה היא יצרה איום על אנשים ששלטו בעסקים מקומיים ולא בכל המקומות הגיבו טוב לכניסת החברה לשוק. במספר מדינות אף שכרנו צוותים חמושים על מנת להגן על נהגי החברה. היו גם מקרים בהם הזמינו אובר לשכונה מסוימת ואז הנהגים נרצחו והמכוניות נגנבו. הצוות שלי נאלץ להתמודד אז עם דברים רבים".

 מונית אובר. ''פוטרתי בצורה שבעיניי לא הייתה הוגנת'' / צילום: Reuters, Beata Zawrzel

במבט לאחור, אתה חושב שהיית פועל אחרת?
"חשבתי על זה הרבה. אני יכול לחשוב על כמה דברים אלמנטריים שהייתי יכול לעשות כדי להגן על עצמי ולא להיות מועמד לדין, אבל אלה לא הדברים הכי חשובים שאנשים בתפקיד הזה צריכים לעשות. זה חלק ממה שהיה לי חשוב לדבר עליו היום מול קהילת מנהלי אבטחת המידע.

"אני מאמין שאנחנו כמקצוענים צריכים לשנות את הדינמיקה - אם כל מה שאתה עושה זה לדאוג להגן רק על עצמך אז אתה לא תעשה את העבודה שלך טוב מאוד. אם לעולם לא תרצה להיות מעורב בתאונת דרכים - אז אפשר להגיד: פשוט אל תנהג. אבל אנחנו צריכים אנשים בעולם הזה שמוכנים לנהוג, ואתה לא נוהג לבד, אלא באוטובוס מלא באנשים שסומכים עליך שתביא אותם ממקום אחד לאחר בבטחה.

"אני הרגשתי שאני עושה את הדבר הנכון עבור החברה. עשיתי הכול כדי להגן על הלקוחות. לא הייתה לי כוונה לפגוע באף אחד וניסינו להגן על הדאטה של הלקוחות שלנו".

"חברות נקרעות בין השקעה בחדשנות להשקעה באבטחה"

המשפט בכלל וגזר הדין בפרט יצרו ויכוחים רבים בתעשייה. בעוד שישנם כאלו שחושבים שהעונש היה צריך להיות חמור יותר, אחרים התגייסו להגנתו של סאליבן ואף טענו שהחלה של ענישה ופיקוח כבד יותר על התפקיד הזה עלולה למנוע מאנשים טובים לרצות להגיע אליו.

אתה חושב שהתיק הזה ישפיע על האופן שבו ייראה התפקיד של מנהל אבטחת המידע בעתיד?
"התפקיד של מנהל האבטחה בחברה הוא תפקיד מאוד בודד. האנשים מעליך בטוחים שאתה יודע הכול והצוות שאתה אחראי עליו בטוח שאתה יודע מה הדבר הנכון לעשות. גם אם תעצרי עשרה אנשים רנדומליים ברחוב, ותשאלי מי צריך להיות אחראי על אבטחת המידע בארגון, כנראה יענו לך שמנהל אבטחת המידע.

"מה שאדם מהרחוב לא מבין הוא שהתפקיד הזה עדיין חדש. כשמוניתי למנהל אבטחת המידע באובר היו איזה 20 כמונו בתפקידים דומים בכל התעשייה. היום המצב טוב יותר אבל עדיין התפקיד הזה לא מוגדר בצורה ברורה. אם מישהו רוצה להיות סמנכ"ל כספים (CFO) - אז ברור מה הוא צריך לעשות. אפשר להכווין אותו בלימודים ולהגיד לו מה הניסיון התעסוקתי שהוא צריך לצבור כדי שיגיע לאן שהוא רוצה להגיע. מנגד, התפקיד של מנהל אבטחת מידע לא מוגדר וברור".

סאליבן מסביר שבכל חברה הציפייה מהתפקיד משתנה, והיא גם כמובן קשורה במשאבים שהוא מקבל. "אנשים מבחוץ יכולים גם להניח שלמנהל אבטחת המידע יש את כל התקציב בעולם להגן על הדאטה ועל הלקוחות. אבל במציאות המנכ"ל מחליט לאן הכסף בחברה הולך, בהתבסס על המודל של איך החברה תגדיל רווחים. ואז נוצר ות מטרות מנוגדות - מצד אחד חברה נמדדת כמצליחה אם יש לה לקוחות רבים, מצד שני היא חייבת לייצר סביבה מוגנת ללקוחות. החברה נקרעת בין השקעה בחדשנות להשקעה באבטחה".

"לפעמים האנשים בצד השני לא רעים כמו שאתה חושב"

כאמור, לאחר שסאליבן והצוות שלו הצליחו לאתר את ההאקרים הם שילמו להם דמי שתיקה בסך 100 אלף דולר. בשלב הזה נשאלה השאלה איך בכלל אפשר לסמוך על אנשים כאלו שלא יעשו שימוש לרעה במידע שבידם. סאליבן מסביר שגם בגזרת התוקפים העולם קצת יותר מורכב.

"יש גישה באבטחת מידע המתמקדת בזיהוי של התוקפים. בעצם אנחנו רוצים לפענח מי נמצא על המקלדת מהצד השני. למדתי על זה הרבה לאורך השנים - כי לפעמים האנשים בצד השני הם לא רעים כמו שאתה חושב. לפעמים הם גם גרועים הרבה יותר. אם אלו בני נוער שרוצים להשיג כסף זה שונה מאשר אם זה ארגון גרילה במזרח אירופה שמנסה לגייס מיליוני דולרים או אם זו ממשלה זרה.

"במקרה הספציפי הזה היה לי צוות אבטחה מצוין שהצליח לאתר את התוקפים. כשהצלחנו לזהות מי הם, שלחנו אליהם אדם, חוקר CIA לשעבר שהמומחיות שלו היא ביצוע ראיונות והערכה אם אנשים הם דוברי אמת או שקר".

האם נשארת בקשר עם צוות האבטחה שניהלת באובר?
"אחד הדברים הקשים ביותר עבורי בכל הסיפור הזה היה שלאחר שבניתי את הצוות שלי באובר - היו תחתיי יותר מ־40 אנשים שחלקם גם עבדו אצלי בחברות אחרות. ואז פוטרתי: אסור היה לי לדבר עם אף אחד משם, אסור היה לי לראות אנשים מהצוות שלי.

"בניתי צוות שהתמודד עם נושאים קשים על בסיס יומי והצלחנו ליצור קשר קרוב ולעשות את זה בתוך החברה, ונקרעתי מתוך זה. אני אשמח ליצור חיבור מחדש עם הצוות אבל מאז המשפט עבר זמן קצר, אולי עוד יהיה איחוד בעתיד".

בהקשר הזה, סאליבן אף נותן מבט על הענף בכלל. "עולם אבטחת המידע הוא קהילה, אני חושב שזה מקצוע אצילי, אנשים שמרגישים חשיבות להיכנס לחברות ולהילחם למען החברות".

לעבוד עם הממשלה בבוקר, ולהגיע לשימוע מולה בצהריים

טרם הועמד לדין ולאחר פיטוריו מאובר, עבד סאליבן כמנהל האבטחה הראשי בקלאודפלייר - חברה אמריקאית גדולה המספקת שירותי מחשוב ענן לחברות ואתרים ברחבי העולם. בשלב מסוים, במסגרת תפקידו בקלאודפלייר, הוא החל לעבוד עם גורמים ממשלתיים. "זה היה מאוד קשה רגשית, עבדתי עם הממשלה בבוקר ואז הייתי מגיע לשימוע אחר הצהריים מול הממשלה".

לאחר הרשעתו עזב את תפקידו. "אני עדיין אסיר תודה שהם נתנו לי לעבוד שם במהלך המשפט. אחרי שהפסדתי בו, ההישארות שלי הייתה פוגעת בחברה וכולנו הבנו את זה".

כיום סאליבן מנוע מלכהן כמנהל אבטחה ראשי באופן רשמי. "בשנה שעברה, לאחר שהפסדתי במשפט, הייתי בבית ולא ידעתי מה אני עושה הלאה. החלטתי שאני רוצה לעסוק בהתנדבות ופניתי לאנשים בכדי להוציא זאת אל הפועל". בינואר האחרון ארגון ללא מטרות רווח בשם Ukraine Friends פנה לסאליבן וביקש ממנו לכהן כמנכ"ל.

"נפגשתי עם צוות ההנהלה והמייסדים והרגשתי שזאת משימה טובה וחשובה. אנחנו ממוקדים על עזרה הומניטרית ועל אספקה של ציוד רפואי. כשהתחלתי בינואר, שוחחתי עם מספר אנשים בממשלה האוקראינית ולמדתי שיש קרוב ל־2 מיליון ילדים באוקראינה שלומדים בלמידה מרחוק ול־40% מהם אין מחשב או טלפון נייד.

"כשקראתי את כל הכותרות על הפיטורים בחברות הטק התחלתי לאסוף מחשבים ניידים כדי לשלוח אותם לאוקראינה. זה לא רק למען החינוך, זה גם למען בריאות הנפש לילדים. הם צריכים שתהיה להם הסחה כלשהי. עבורי העבודה בארגון הייתה הסחה טובה מהתיק וגם הייתי מסוגל לעשות משהו מתגמל".

מה התוכניות לעתיד?
"נכון לעכשיו אני ממשיך לעבוד בארגון. עם זאת, אני רוצה להישאר מעורב באבטחת מידע ובעולם הסייבר. גם כיום אני עוזר לחברות ישראליות בייעוץ וגיוס צוותי אבטחת מידע. נגיד בכנס הנוכחי עוד לא גייסנו אף אחד בסשן אבל כבר הספקתי לספר לאנשים על כמה הזדמנויות מיוחדות".