סוזן מולדין היא כנראה מנהלת אבטחת המידע המושמצת ביותר בעולם. מולדין, שגם אם ממש תתאמצו לא תמצאו עליה יותר מדי פרטים ברשת, שימשה בתפקיד CISO (מנהלת אבטחת מידע) בחברת אקוויפקס.
לפני שלוש וחצי שנים, עמדה אקוויפקס, חברת דירוג האשראי השנייה בגודלה בארצות הברית, במרכזה של אחת ממתקפות הסייבר האייקוניות של כל הזמנים.
תוקפים סינים הצליחו לחדור את שרתי החברה בזכות פרצת אבטחה ובמשך שנה וחצי הוציאו 148 מיליון רשומות מלאות הכוללות את כל פרטי דירוג האשראי של תושבי ארצות הברית. בספטמבר 2017, כשהאירוע נחשף בציבור וגם הוביל לריסוק של מעל 30% בשווי המניה שלה, עמדה סוזן מולדין במרכזה של הפרשה.
כאשר נחקרה הפרשה, התבררה הסיבה לנזק: מולדין בחרה שלא לבצע עדכון תוכנה הכרחי בשרתי Apache, למרות שהיה עדכון כזה זמין ומוכר היטב. העדכון, ידעה מולדין, עלול לייצר עיכובים בזמני התגובה של שרתי החברה, ומאחר שיחסיה עם המנהל המקצועי שלה לא היו מוצלחים בלשון המעטה, היא העדיפה להימנע מפגישה איתו לטובת בקשת/קבלת תקציב חריג בהיקף של 30,000 דולר שהיה מסייע לרכישת שרת נוסף לוויסות עומסים במהלך התקנת העדכון.
הטעות האסטרטגית הזו הובילה לפרצה שרק חיכתה לתוקפים בשילוב מזל ממש רע, כשסין לא בוחלת באמצעים ומעמידה צבא שלם של האקרים שתפקידו לאתר פרצות מהסוג הזה בדיוק. אין ספק שהכתובת הייתה על הקיר.
המנכ"ל לא שילם את המחיר
הפרצה כאמור מומשה. כמות אדירה ומורכבת של מידע נגנבה. החברה עמדה בפני הליכים משפטיים קשים שהובילו לפיטורי ההנהלה ולהסדר כספי בשווי עצום של 7 מיליארד דולר. גם מולדין פוטרה אבל הפיטורים שלה היו כנראה הכואבים ביותר.
מהר מאוד התברר שלמולדין אין את ההשכלה המקצועית הנדרשת. ההיפך הגמור. מולדין התהדרה בתואר ראשון כללי ובתואר שני באומנות ומוסיקה עם התמחות בהלחנה. שום קשר לאבטחת מידע או טכנולוגיה והסעיף הזה הכעיס את האמריקאים אפילו יותר מהפריצה עצמה, עד שעמוד הלינקדאין שלה הוסב לחשיפה מוגבלת מאוד, שם משפחתה הוחלף בתואר "מ", סרטוני ראיונות איתה הוסרו מיוטיוב, כולל פודקאסט שבו השתתפה וגם ראיונות עיתונאים נמחקו כלא היו. למען האמת, קשה היום למצוא אזכור לקריירה שלה.
הרבה מהאש שכוונה למולדין, כוונה גם למנכ"ל של אקוויפקס באותה התקופה והוא נצלב ארוכות בשאלה כיצד בכלל אישר מינוי שכזה.
מולדין לא זכתה להגנה מאף קולגה מקצועית ומאף קבוצה המזוהה עם נשים. יהיו מי שיגידו שבצדק. שמנהל בכיר צריך להיבחן בפרמטרים מקצועיים מבלי קשר לזהות המינית שלו. מצד שני, מנכ"ל אקוויפקס, שבמשמרת שלו, כמנהל הראשי, התאפשר המחדל, לא ירד מתחת לרדאר כמו מולדין, פרופיל הלינקדאין שלו לא הוסתר והתואר מנכ"ל אקוויפקס עדיין מופיע בו ללא הסתייגות.
זה בהחלט סיפור לא נעים ואפילו גם חריג, אבל הוא כנראה חריג בכל קנה מידה. זה נכון, יש טענה כלפי העולם הטכנולוגי בכלל ועולם אבטחת המידע בפרט, שזה עולם לא סלחני לנשים. מאידך, יש היום קבוצות רבות של נשים, בכירות ודומיננטיות, ששמו להן למטרה לקדם נשים במקצועות אבטחת המידע השונים. גם בישראל אפשר למצוא את Leading Cyber Ladies - קבוצה שהוקמה כבר לפני שש שנים.
נשים בתפקידי מפתח ניהוליים
לאורך השנים, תחום הסייבר נתפס ככזה שנשלט על ידי גברים. רבים מהגברים בתעשייה זו החלו את דרכם בעולם הסייבר על ידי הכוונה למקצועות טכניים בבית הספר התיכון ושירות ביחידות עילית טכנולוגיות בצבא.
אבל האמת היא שכיום, ב-2021, המצב בהחלט משתנה. אפשר למצוא הרבה מאוד נשים בתפקידי מפתח בתחומי אבטחת מידע בעולמות הטכנולוגיים ואף הניהוליים, הכי מורכבים והכי קשים. תוכלו למצוא נשים רבות, חלקן הגדול גם ישראליות, שמובילות צוותי אבטחה, פיתוח, מחקר וניהול בחברות ענק. מספיק לציין את מרדית' הרפר, סמנכ"ל סייבר ב-Eli Lilly, דורית דור, סמנכ"ל מו"פ בצ'ק פוינט, מורן אשכנזי, סמנכ"ל Security Engineering ב-JFrog, מיכל ברוורמן-בלומנשטיק, מנכ"ל מיקרוסופט, הילה מלר, סמנכ"ל סייבר בבריטיש טלקום, אדלין לוין, מנהלת הטכנולוגיות בחברת הסייבר MITRE, ויג'איה קאזה, מנהלת אבטחת מידע בתחום המוצרים בחברת Airbnb, רינקי סטי סמנכ"ל אבטחת מידע בטוויטר, אמילי הית', סמנכ"ל אבטחת מידע בחברת DocuSign, ונסה פגיורוס, מנהלת אבטחת מידע בחברת OneLogin ועוד מאות רבות של נשים מובילות בתחום.
אגב, באקוויפקס עצמה, כיום, לאחר מאמצי התאוששות מורכבים וארוכים, מורכבת שדרת ניהול אבטחת המידע וניהול הסיכונים ברובה מנשים בתפקידים בכירים מאוד, שבאמת תקצר היריעה מלפרט כאן. יש לזקוף זאת לזכותו של ג'מיל פארשי, סמנכ"ל אבטחת המידע שנכנס לתפקיד המאתגר, ועשה בו מהפכה של ממש.
גם בישראל, בכפר המקומי שלנו, בעולם ניהול אבטחת המידע, תמצאו נשים רבות ובכירות בגופי המודיעין והביטחון, ברשות שוק ההון, בבנק ישראל, בחברות הביטוח, בקופות החולים, חברות תעשייה ובגופי ענק נוספים במשק. השינוי מורגש גם במערכת החינוך, ויותר נערות צעירות מוכוונות בגיל תיכון למגמות מחשבים וסייבר, במטרה אף להתקדם בתחום במהלך השירות הצבאי.
אם לפני שני עשורים היה קשה מאוד למצוא אישה להסתובב איתה בכנס אבטחת מידע, אז היום המציאות השתנתה. אפשר למצוא מאות רבות של נשים שמוצאות את עולם הסייבר כעולם מרתק להתפתח בו ברמה האישית והמקצועית. נשים צעירות כבר אינן חוששות מכניסה ללימודים אקדמיים בתחום והתפתחות מקצועית בו.
כן, אבטחת מידע הוא עדיין תחום גברי ברובו, אבל הוא תחום שבו אם את טובה, הגברים יהיו הראשונים לתמוך בך. הרבה יותר קל למצוא היום מנהלים גברים שמחפשים לגייס נשים ולשנות את מאזן הכוחות הגברי בצוות שלהם, יותר מבכל תחום וסקטור אחר. בנוסף, אבטחת מידע הוא דווקא תחום שבו לנשים קל לבלוט ולהגיע לתפקידי ניהול. באופן אישי אני מכירה כמה עשרות של נשים בתחילת ה-30 שלהן, שהן כבר היום מנהלות אבטחת מידע, נשים בכירות, משפיעות, דעתניות שלא חוששות לעמוד על שלהן ולהתעקש על סטנדרט אבטחת המידע שהן מאמינות בו. ההפך הגמור מסוזן מולדין.
נכון, תמיד אפשר לשאוף ליותר, ויש נשים שישבעו לכן שמה שיש עדיין לא מספיק, אבל בכנות, ועם יד על הלב, הרעש הזה ששמעתם לפני כמה שנים, זה רעש התיקרה שנופצה.
הכותבת היא מומחית Cyber Resilience ויועצת להתנהלות בתחומי הערכות והתמודדות עם מתקפות סייבר בהיבטים העסקיים
