"הידיעות על מות ה-RFID היו מוקדמות מדי", אומר דיק קנטוול, סגן נשיא בחברת Procter & Gamble, שבשנים האחרונות הסתמן כמאמין הנמרץ ביותר בטכנולוגיה. דיק קנטוול הגיע ל-P&G כתוצאה מרכישת יצרנית סכיני הגילוח Gillette, שהייתה הראשונה לתייג את מארזי הסכינים שלה בשבבי RFID במטרה להתגבר על בעיית הגנבות בחנויות ולשפר את השליטה במערך ההפצה. בזמן שג'ילט הייתה עדיין עצמאית היא נודעה כחדשנית טכנולוגית יוצאת דופן במגזר מוצרי צריכה שמכיר רק את המושג Commodity. היא הייתה הראשונה להכניס ליצור מכשירי גילוח רבי-להבים ולשפר את אורך החיים שלהם בצורה דרמטית על חיסום בקרן לייזר, טיפול שכל להב פלדה עובר עוד לפני שהוא ננעץ בראש הפלסטי. היום דיק קנטוול צריך למתן את הנטיות החדשניות שלו בחברת האם ולחפש מקומות חדשים לקידום העניין שלו בתגים האלחוטיים.

מה מדליק את הוליווד

"לא תאמינו, אבל הוליווד ממש דלוקה על הטכנולוגיה הזאת", הוא אומר. "הברנשים שם כל כך מוטרדים מנושא הסרטים הגנובים, שהם יעשו הכל כדי לעקוב אחרי כל דיסק שזז מהמדף לעגלת הקניות. הכוונה היא לתייג את הדיסקים של סרטים שמוצגים במבואות אולמי הקולנוע והקהל מוזמן לקנות אותם בהפסקות. המכירות האלה מתרחשות בפולסים קצרים, עשרות צופים שיצאו לקנות פופ-קורן מתפתים לקנות עותק למזכרת, צריך לטפל תוך זמן קצר בזמן שקופה עמוסה, ואין כל אפשרות לשלוט בתנועה ליד מתקני התצוגה. עם RFID אפשר יהיה לזהות את הדיסק גם בכיס המעיל והתשלום יכול להתבצע אוטומטית, באמצעות סורק RFID וקורא כרטיסי אשראי". גם המחסום הכלכלי לא מפריע במקרה זה, משום שמחיר התג בטל בשישים מול שולי הרווח. "התג, במחירים הנוכחיים, מוסיף כ-20 סנט לעלויות היצור", אומר דיק קנטוול. "זה הרבה יחסית למחיר היצור של הדיסק עצמו, בערך תוספת של 20 אחוז לעלויות עבור DVD אחד, אבל הוא קטן מאוד ביחס לרווח על המכירה. בדרך כלל, לא יותר מאחוז אחד. בהתחשב בכך שנפח הגנבות עולה על 10%, ברור שההשקעה בתיוג הדיסקים משתלמת". דיק כמובן מתייחס למחיר המוגזם (לפחות 20 דולר) של סרט שעדיין רץ באולמות הקולנוע ואי אפשר להשיגו ב-Blockbuster. המחיר כידוע יורד בהדרגה, ככל שההכנסות מהאולמות הולכות ופוחתות, כך שאולי יש הצדקה לצייד את האולמות בסורקים אבל לא את החנויות במורד שרשרת האספקה. "לא מחיר הסורקים הוא שמפחיד אותנו", אומר ריק קוליברי, מנהל המערכות באחת מרשתות ההפצה. "הכסף הגדול הוא באינטגרציה שלהם למערכות הקופה שלנו, ה-Point of Sale. דיק כנראה מזמן לא ביקר במולטיפלקס הקולנוע בפרוור עירוני ולא ראה את העליבות הטכנולוגית של הזכיינים שמפעילים את דוכני המכירה. זה לא קהל מטרה לטכנולוגיה חדשנית, אפילו מפחידה מבחינתו. הם לא מבינים משהו מסובך יותר ממתקן לקליית פופ-קורן או מכונת אספרסו. כהרגלו, דיק קנטוול רואה מהרהורי ליבו ולא מוכן להתחשב באיטיות בה אנשים אחרים מוכנים לאמץ את הטכנולוגיה".

בוויכוח הקצר הזה מגולמת שאלה המעסיקה את כל היועצים בתחום ניהול שרשרת האספקה: לאן נעלמה ההבטחה של RFID, שרק לפני 4-3 שנים נראתה כ"דבר הגדול הבא"?

על אש קטנה, אבל בטוחה

"נכון שנאלצנו להנמיך את האש ולהקטין את תחזיות הגידול לחצי", אומר מייקל ברודביק מחברת היועצים AB&Y. "אבל עדיין מדובר בגידול שנתי של יותר מ-20 אחוז, מצטברים, לפחות ב-5 השנים הבאות. נכון שחזינו כי בשנת 2007 השוק יעבור את ה-7 מיליארד והיום אנו יודעים כי השנה תגמר בפחות מ-4 מיליארד דולר מכירות, אבל גם התחזיות שלנו משתפרות והולכות". ונוסיף, אומנם משתפרות בדיוקן אך גם הולכות וקטנות. נכון לעכשיו, התחזית לשנת 2012 מגיעה לכ-8.5 מיליארד דולר, חצי מגובה התחזית שנעשתה ב-2006. "אני לא רואה בריאליזם האפור סימן מדאיג", אומר מייקל. "ההיפך. עכשיו אני רגוע יותר ולא חושש מה-Backlash הידוע שמגיע בסוף כל Hype. אולי אנו נראה התפתחות שוק שאינה עוקבת אחרי מחזור החיים הידוע של טכנולוגיות מהפכניות, "התלהבות-התקררות-אכזבה-ריאליזם", שיועצי גרטנר כל כך מטיבים לתאר. אולי בפעם הראשונה מזה הרבה זמן נראה טכנולוגיה חדשה מיושמת בהדרגה, בקצב שהשוק מסוגל לספוג וכאשר כל החלקים מפותחים במקביל ובסנכרון הגיוני. אז לא אכפת לי אם עיתונאים מכובדים מכריזים שהם מאוכזבים מהטכנולוגיה. חשוב יותר לוודא שהלקוחות לא מאוכזבים".

"אנחנו לא שפכנו דלק על מדורת ה-Hype כשזו בערה ואנו לא אחראים על כיבוי המדורה", אומר רוברט מקפרלן, בעל חברת לוגיסטיקה ושירותי IT בניו-ג'רסי, שהתמחתה בהתקנת מערכות RFID לניהול "אריזות חוזרות". החברה שלו מבצעת מעקב אחרי מכולות, חביות בירה, מארזים מבודדי זעזועים להובלת מכונות עדינות במיוחד, ומיכלים לשינוע חומרים מסוכנים. "לי אין מה להתלונן, הביזנס שלנו צומח יפה מאוד". מיחזור אריזות חוזרות הוא נושא בעייתי ברוב הארצות, משום שהספק מאבד שליטה ברגע שהאריזה יורדת מהמשאית והלקוח לא תמיד מתייחס לעובדה שמדובר בהשאלה של מוצר יקר. "נכון שיש לי כמה חברים שנכוו כתוצאה ממיזמי RFID בתחומים אחרים, אך תמיד אפשר למצוא את האשמה במודל העסקי המפוקפק שהם חשבו ליישם. במצב הנוכחי, הדרך הנכונה לעשות עסקים היא בהצעת שירות, לא מכירת המוצר. הלקוחות שלי לא יודעים דבר על הטכנולוגיה, לא מתרגשים מירידת מחיר הסיליקון, לא השקיעו דולר בסורקים ולא מעניין אותם ההחזר על ההשקעה. הם רק רוצים לקבל חזרה את האריזות בהקדם האפשרי, כדי לחסוך בעלויות האחזקה של "נכס מת", מבחינתם. אני מפעיל מחסן שילוח מרכזי, אליו הם מביאים את המארזים שברצונם להפיץ. אנו מספקים את התגים, מתכנתים את האינפורמציה שדרושה כדי לעקוב אחריהם, מעבירים את הסחורה המתויגת לחברת ההובלה – חברת בת שלנו – שכל המשאיות שלה מצוידות בסורקים. אנו יודעים איפה נפרק כל מארז, באיזה פאב הושארה כל חבית בירה ומתי המארז הוחזר למשאית החלוקה. הנתונים האלה מופיעים על כל תעודת משלוח, כדי שהלקוח יחתום על נכונותם. ואותו תהליך קורה במסלול ההפוך, מנקודת המכירה בקצה שרשרת האספקה בחזרה למחסני היצרן".

מיקור חוץ של הלוגיסטיקה

התהליך שרוברט מקפרלן מתאר הוא מיקור חוץ של לוגיסטיקה, אופנה שתופסת תאוצה במגזרים רבים בארה"ב. "ברור שעבור יצרן קטן או בינוני כל ההתעסקות הזאת היא בלבול מוח בלתי נתפס", אומר רוברט. "אבל אין סיבה שהוא לא ישלם עוד 2 דולרים עבור תהליך שחוסך לו 20 – גם אם לי העלות השולית היא רק 20 סנט. וזה הרי כל ההיגיון הכלכלי של Outsourcing. עד לפני 5 שנים השירות שלנו כלל הובלה בלבד, לפני 5 שנים התחלנו לספק שירות "מדלת לדלת" הכולל מיחסון ומעקב מלאי, ועכשיו כל התהליך הלוגיסטי נעשה על ידי הצוות המקצועי שלי. אני בהחלט חושב על האפשרות לספק שירותי ניהול שרשרת האספקה מוכללים בתור השלב הבא. אנו נחזיק את השרתים, התוכנות, והאחסון כאן, במשרדים שלנו, נטפל בשגרת העדכונים ובנושא האבטחה, נספק יישומי BI בכל התחומים הרלוונטיים והלקוחות יוכלו לגשת לשירות דרך ה-Web כפי שהם משתמשים היום ב-Salesforce.Com. לי זה נראה הדבר ההגיוני ביותר לעשות".

דוח של חברת המחקר ChainLink, המתמחה בשרשרת האספקה, מצא ששני שליש מהחברות שהשתתפו בסקר (275 בסך הכל) עסוקות כבר בהרצה של Pilot או בהטמעה, חלקית לפחות, של מערכת RFID. ומה שעוד יותר מעניין, הפעילות נפוצה בין חברות קטנות יחסית לא פחות מאשר בין הגדולות. "מודל ה-RFID Outsourcing שרוברט מציג יכול להיות הפתרון שהרבה חברות קטנות ובינוניות מחפשות", אומר אוסקר לואי, יועץ פיננסי למימון פרויקטים תעשייתיים. "במיוחד חברות המרוכזות באתר יחיד, ללא מרכזי הפצה מרוחקים, מחסנים וחנויות. חברות כאלה עשויות למצוא שהטמעת טכנולוגיות RFID ממומנת כולה על ידן – בעוד כל התועלת מתקבלת אצל הלקוחות. זו הייתה ההרגשה של ספקים רבים כאשר Wal-Martהכריזה על כוונה להפוך את התיוג ב-RFID לתנאי חובה של כל הספקים. אבל אם אפשר להשתמש בשירות של קבלן חוץ ולשלם לפי צריכה בלבד, אז מה הבעיה? בסופו של דבר ההיגיון הכלכלי אומר ש-RFID זה "דבר טוב", רק שיש בעיה קלה בשאלה מי יעשה את ההשקעות הראשוניות? זו בעיית "ביצה ותרנגולת" קלאסית וגם התשובה היא קלאסית: ספק השירות יקנה את התרנגולת וימכור את הביצים. עבורו זו השקעה לזמן ארוך, ועבורם זה פתרון On Demand. הוא רואה את זרם ההכנסות שמתמשך רחוק לתוך העתיד, והם רואים איך להכנסת הטכנולוגיה אין אימפקט על התוצאות הרבעוניות. ממש מושלם".

סטנדרטיזציה לא מושלמת

התפתחות חיובית נוספת היא הסטנדרטיזציה המשופרת. "התגים החדשים, שידועים בתור Gen 2, הפכו לתקן דה-פקטו בעקבות תמיכה של שני גופים חזקים, Wal-Mart בשוק האזרחי ומשרד ההגנה האמריקאי בשוק הצבאי. עד סוף השנה תפעיל Wal-Mart טכנולוגיות RFID ביותר מ-2000 חנויות. זה מספר מספיק גדול על מנת לשכנע את הספקים שלה, שלא כדאי להישאר מאחור. עם זאת, הסטנדרטיזציה לא הושלמה בשכבה הבסיסית, הממשק הפיזי של מודל התקשורת. עדיין מתחרים ביניהם על דומיננטיות בשוק תגים וסורקים הפועלים בפסי תדר שונים, מצב בלתי נסבל מבחינת ספקים רבים שלא יודעים מי מלקוחותיהם יבחר באיזה תג. בעיה מסוג זה, גם אם אפשר לפתור אותה בלי לשבור את הקופה, יוצרת בעיית תדמית קשה לטכנולוגיה. למי שלא מבין את הצד של RF נראה שהתעשייה פשוט מסרבת להתבגר. היצרנים מתנהגים כאילו הם לא למדו את הלקחים של מלחמת הפורמטים בקלטות וידאו או את המלחמות הקטנוניות כשניהלו יצרני דיסקים מסוג CD ו- DVD".

לעומת זאת, לאף אחד אין טענות ליצרני התגים עצמם, שהוכיחו כי הם מסוגלים לעמוד בהבטחתם לספק כל כמות דרושה ובמחירים אטרקטיביים. "זה לא מפתיע", אומר קריס קלי, מנהל עסקי RFID בחברת Intermec. "שבב ה- RFIDהוא קטן מאוד, פשוט יחסית ולא דורש את הטכנולוגיה העדכנית ביותר של סיליקון. אפשר לגייס לעבודה את כל עשרות המפעלים שכבר לא תחרותיים מספיק כדי לייצר שבבי מעבדים או זיכרונות – וכאלה יש מספיק. מפתחי המפרט הסטנדרטי לקחו בחשבון, שלא כדאי לדחוק את יצרני התגים למקומות שהם לא מכירים או לא רוצים להכיר. תג RFID הוא מוצר Commodity ואפשר לייצר אותו בכל "מטבעת סיליקון" (Foundry) שתמצאו בין טאייוון לסינגפור". דחיפה חזקה לקבלת תקן Gen 2 הגיעה מהתמיכה של טקסס אינסטרומנטס ושל STMicroelectronics, שתי חברות שלא צריכות להוכיח את יכולתן להציף את העולם בשבבים זולים. "עם זאת, יש מקום להורדת מחיר בצד הסורקים", אומר קריס, "אך זו תוכל להתממש רק אחרי גידול דרמטי בכמויות היצור. כל עוד מרבית הפעילות היא בהרצת Pilots ואצל מספר קטן יחסית של יצרנים, אנו לא יכולים להרשות לעצמנו את ההורדה. אבל אם וכאשר יתפתח שוק מסיבי באמת, כאשר כל משאית, כל מחסן וכל קופה רושמת יצוידו בסורק RFID, המחיר ירד לסביבות מאתיים עד שלוש מאות דולרים ולאף אחד לא יהיו ספקות בקשר להחזר ההשקעה. לדעתי זה יקרה בחלון הזמן 2013-2010".

כניסה חלקה לסביבת התוכנה

גם יצרני התוכנה לא נשארו מפגרים מאחור ורוב העוסקים ביישומי לוגיסטיקה, ניהול שרשרת האספקה, Point of Sale, ואוטומציה של רצפת היצור כבר הכינו ממשקים עבור RFID. "זו אחת הטכנולוגיות המעטות בשנים האחרונים שהכנסתה לשוק לא מלווה בזעזוע מבחינת מערכות התוכנה", אומר פרנק דילון, מהנדס יישומים בוסטונאי. "כל התוכנות יכולות להמשיך לרוץ ללא שינויים ויש צורך רק בתוספת אלמנטים חדשים לממשק. התוכניתנים צריכים לבצע שינויים פשוטים יחסית בהתאמת ממשקים שתוכננו להקלדת נתונים ידנית לקליטת המידע אוטומטית ישירות מהסורקים שמשיגים אותו". אך זה רק השלב הראשון באינטגרציה של RFID, השלב הקל. מה שבא בשלב השני מאתגר יותר, משום שתחכומו יקבע את ה-ROI האמיתי. "יש צורך ביישומים חדשים לחלוטין כדי לנצל את זרם הנתונים שנוצר במערכות המעקב", אומר פרנק דילון. "תהליך לוגיסטי מסורתי, שהתבסס על טפסים ממולאים ידנית וסורקי ברקוד, כלל בממוצע 4.5 הזנות נתונים בין היציאה מקו היצור לבין המכירה ללקוח הסופי. אבל בסביבה רווית RFID המספר הזה יגדל בין פי 5 לפי 10 – ויש גם אנשים בתעשייה שמוכנים להמר על פי 20 או פי 30 – וגם נפח הרשומה יוכפל פי כמה וכמה, משום שאין בעיה לכלול יותר מידע בכל תג. מה עושים עם כל המידע הזה? רושמים ביומן ומתעלמים ממנו, כפי שמתעלמים ממיליוני שורות ביומן האירועים של ניהול רשת תקשורת או מרכז אבטחה? זה לא הגיוני. ללא ספק אפשר להפיק מנתוני המעקב הרבה יותר תובנות לצורך ניהול תהליכים בזמן אמת – אבל היישומים עוד לא קיימים. זו נקודה בה אנו, מהנדסי החומרה, מחזירים את הכדור למפתחי היישומים ואומרים להם "רוצו עם זה, הראשון שיגיע למטרה יקבל פרס עצום".

בינתיים היועצים עסוקים בפרויקטים ניסיוניים במטרה לפתח את מה שנקראים היום Best Practices, מתודות מומלצות ליישום הטכנולוגיה. "RFID היא טכנולוגית תהליכים "רוחבית", לא התמחות ורטיקלית במגזר עסקי", אומר מייקל ברודביק. "והמשמעות היא, שלא צריך לפתח Best Practice לכל יישום עסקי לחוד. אם מצאתם את הדרך הנכונה לשלב RFID בתהליך לוגיסטי כלשהו, הלקח זה אפליקטיבי בעוד עשרות תעשיות ושירותים. לדוגמה, הספקים של משרד ההגנה, שצריכים ללמוד איך מונעים זיופים, ואיך חושפים טעויות אנוש ומבטיחים 100 אחוזי אמינות, רוכשים בכך את הידע הדרוש ליישום RFID בתעשיית התרופות וברפואה. ומי שיבצע פרויקט BI עבור Wal-Mart כשהוא מתבסס על RFID ירכוש בו בזמן את הניסיון והידע הדרושים בתעשיות שונות לחלוטין, כמו שירותים סלולריים ותעופה אזרחית. מבחינה זו הדרך של RFID לליבת העסקים תהיה פשוטה יותר מהמסע המייגע שעשו קונספציות תוכנה אינטגרטיבית, דוגמת ERP ו-CRM. אם רק נדע להיזהר מ-Hype, אין סיבה שניפול לאכזבה".

לוועדות השופטים שמחלקות את פרס נובל – כנראה הפרס היוקרתי ביותר בעולם (למעט "כוכב נולד") – יש נטייה להתבצר במגדל השן המיתולוגי ולבחור את הזוכים מתוך הקהילה של העוסקים ב"מדע טהור". טהור פירושו ללא מניעים כלכליים או פיננסיים, כמובן, שכן "טהרה" כמאפיין מוסרי אינו פרמטר מוערך במיוחד. גם לא בעולם האקדמי. אם נתעלם מטעמי נימוס מהאופי הפוליטי של הפרסים בספרות וברדיפת השלום, נראה שהבחירה נופלת בדרך כלל על אנשים שתרמו רבות למדע אבל לא בהכרח לרווחת האנושות כאן ועכשיו. אפילו בכלכלה, מקצוע שאמור להביא תועלת בלי להתנצל על האופי המעשי של המחקר, הוועדה מסוגלת להחליט שאת הפרס יקבל מתמטיקאי שעבודת חייו התבצעה בתחום שנקרא "תורת המשחקים" (ישראל אומן), או פסיכולוג שחוקר מדוע אנשים יותר שונאים להפסיד משהם אוהבים להרוויח (דניאל כהנמן). לנבחרת הכלכלנים של סטנלי פישר אין הרבה סיכויים לקבל הזמנה לשטוקהולם, הם "יישומיים" מדי.

על מה הם מדברים?

הנטייה האזוטרית בולטת במיוחד בפרסים לפיזיקה, מקצוע אזוטרי לכל הדעות, שגם העוסקים בו לא תמיד בטוחים מה משמעות התיאוריות שהם מפתחים. (פיזיקאים, בניגוד לאנשים נורמליים, לא מתביישים להגיד שאין להם מושג על מה הם מדברים. כפי שאמר נילס בוהר (Niels Bohr, דני, חתן פרס נובל 1922) ענק אינטלקטואלי ממייסדי תורת הקוואנטים והתורם העיקרי ליישומה במחצית הראשונה של המאה ה-20: "מי שאין לו בעיות הבנה עם תורת הקוואנטים, אין לו מושג מה הוא לא מבין". במילים פשוטות – בוהר אף פעם לא דיבר מילים פשוטות, אבל הוא יסלח לי הפעם – גם אני לא מבין את המשמעות של מה שאני אומר, אבל אין לי אשליות של הבנה. בניגוד למי שחושב שהוא כן מבין אותי ואינו מודע לאבסורדיות של הדברים). דוגמה אופיינית לזוכים בפרס הפיזיקה אפשר היה למצוא בשנה שעברה, כאשר שני קוסמולוגים אמריקאיים (Smooth ו-Mather) חלקו בפרס על גילוי מה שג'ורג' סמוט קורא "קמטים בזמן" (הספר יצא בעברית בהוצאת מעריב). אם אתם לא מבינים איך זמן יכול להתקמט, כנראה שלא הייתם בשיעורים על תורת היחסות הכללית. לא נורא. גם על תורה זו תהה בזמנו (לפני 80 שנה) האסטרופיזיקאי הבריטי אדינגטון (Arthur Stanley Eddington, בריטי 1882-1944) מי, חוץ ממנו ואיינשטיין, באמת מבין אותה.

השנה, בג'סטה מפתיעה של הכרה בעולם המעשי, בחרה הוועדה בשני פיזיקאים שגילו, כל אחד לחוד, תגלית מעשית. האפקט, שנמדד לראשונה במעבדות ב-1988, נקרא "התנגדות מגנטית ענקית", ובאנגלית Giant Magneto Resistance. בזכותו תעשיית הדיסקים הקשיחים הייתה מסוגלת לעבור מיצור של כוננים בנפח עשרות או מאות מגה-בייטים לכוננים בעלי נפח של עשרות ומאות גיגה-בייטים. הכפלה בשלושה סדרי גודל – כמובן בלי להגדיל את הכונן ובלי להעלות את המחיר. "ללא גילוי האפקט של GMR לא היינו מסוגלים לאחסן אפילו אחוז אחד מהמידע שממלא היום את המחשבים שלנו, הניידים והנייחים", אומר דובר האקדמיה השוודית למדעים. "שירים וסרטים, קובצי מולטימדיה והררי המידע שאנו מורידים מאינטרנט לא היו מוצאים מקום על הכוננים הישנים. אי אפשר היה לפתח מוצרים זעירים בעלי כונן קשיח, דוגמת iPod או מקליטי וידאו דיגיטליים (DVR). קשה לחשוב על המצאה שהיה לה אימפקט גדול יותר בעולם הדיגיטלי".

הפראיירים לא חושבים על פטנט

טוב, ברור שהוא מגזים קצת, כי להמצאת הטרנזיסטור ומעגל המשולב היו תוצאות עוד יותר דרמטיות. אבל ברור שאם Albert Fert הצרפתי ו-Peter Gruenberg הגרמני היו קצת יותר מעשיים בגישתם והיו רושמים פטנט על ההמצאה, הם היו יכולים לוותר על 1.5 מיליון הדולרים שוועדת הפרס תחלוק ביניהם. תעשיית הכוננים מגלגלת עשרות מיליארדים בשנה וגם אם הממציאים היו מסתפקים ב-5% דמי זיכיון הכנסותיהם היו באזור המיליארד דולר לשנה, כל אחד לחוד, החל בשנת 1997 כאשר הדיסק הראשון בטכנולוגית GMR יצא לשוק. אבל שני הפיזיקאים הטובים האלה עובדים במעבדות ממשלתיות ובאקדמיה, ולכן האפקט התפרסם בספרות המדעית בלי שהם יזכו להגנת פטנט. חבל. מגיע להם נתח משמעותי יותר מהעושר שהם עזרו לתעשייה לצבור.

מהסיפור הקטן הזה אפשר ללמוד על האופי "המרחף" של מדענים, שרואים בפרסום מאמר טכני בעיתון שרק קומץ חבריהם קוראים גמול נאות לעבודה מדהימה. ואפשר גם ללמוד מדוע מדינות צריכות להיות מעוניינות יותר בקידום המחקר הבסיסי, הטהור. כי במדע אתם לא חייבים לכוון למטרה שימושית כדי לגלות באקראי דברים שערכם הכלכלי מתברר בדיעבד כפנטסטי. כך זה היה גם בהמצאת הטרנזיסטור, הלייזר, ההולוגרפיה ואלפי טכנולוגיות רפואיות/ביולוגיות, שיצאו מהמעבדות וחוללו מהפכות בלי שמישהו ניחש מראש את התוצאות. בישראל, מדינה שכל מעייניה הי-טק וכל מקורותיה מדולדלים, אנו נוטים להדגיש את המחקר המעשי, היישומי, מוכוון התוצאות יותר מדי. השקעה במחקר בסיסי אינה מתכון לבזבוז כספי הציבור, אלא הימור נבון על מקורות העושר בעתיד.

כמה מילים על GRM

המידע שמור על דיסקים בשכבה דקיקה של תחמוצת מתכת פרו-מגנטית המצפה את פני הדיסק (הבסיס עשוי זכוכית או חומר קרמי), כאשר ההבדל בין "0" ל-"1" הוא כיוון השדה המגנטי בכל נקודה ונקודה. כדי להגדיל את קיבולת הדיסק צריך להקטין את השטח שתופסת כל סיבית – ובדיסק שנפחו 1000 גיגהבייט כפי שהוציאה לאחרונה היטאצ'י אנחנו מדברים על צפיפות של 16 מיליארד סיביות בסמ"ר – בלי לאבד את היכולת למדוד את האפקט החשמלי שהוא יוצר כאשר ראש הקריאה חולף מעליו. הקטנת הסיבית גורמת מדרך הטבע להקטנת עוצמת השדה המגנטית ובכך להקטנת הסיגנל שראש הקריאה יוצר במעברים מכיוון מגנטי אחד לשני. בעבר הרחוק ראש הקריאה היה עשוי כסליל מיקרוסקופי ששינויי שדה מגנטיים גורמים להשראת זרם בתוכו (כמו בגנרטור זעיר). הזרם הזה נעלם ברעש האלקטרוני כאשר המגנט קטן מידי ולכן ראשי סליל גמרו את תפקידם עוד לפני שהדיסקים הראשונים חצו את קו הגיגהבייט הראשון. החליפו אותם ראשים שנבנו בטכנולוגיית MR, התנגדות מגנטית, שהיו מסוגלים להביא את הדיסקים לנפחים עד כ-10 גיגהבייט. כדי לצופף את הנתונים על הדיסק עוד יותר צריך היה לפתח סנסורים עדינים יותר, שמסוגלים לגלות שינויים הולכים וקטנים בשטף השדה המגנטי. מדעני יבמ שחקרו את הנושא עלו על התגלית של פרט וגרינברג ופיתחו אותה לטכנולוגיה מעשית בשנות ה-90', כך שב-1997 החברה יכלה להציג את הדיסק הראשון ביצור המוני עם קיבול של למעלה מ-18 גיגהבייט.

GMR הוא אפקט שמאפשר לייצר ראשים רגישים מאוד, פי אלף יותר רגישים מאלה שהשתמשו בהם עד אמצע שנות ה-90'. התנגדות מגנטית היא תכונה של מוליכים, שמשנים את ההתנגדות האומית שלהם כתוצאה מפיזור מוגבר של האלקטרונים במהלך זרימתם בחומר כתוצאה מנוכחות שדה מגנטי. התנגדות מגנטית ענקית היא שינויים עצומים יחסית בהתנגדות כתוצאה מאפקט קוואנטי, שאין לו מקבילה והסבר ב"פיזיקה הקלאסית", הנגרם על ידי אינטראקציה בין ה"ספין" של האלקטרון לבין הסביבה המגנטית בה הוא חולף. עבור המדענים GMR הוא עוד אפקט שמראה איך תורת הקוואנטים חוזה בדיוק את התנהגות הטבע למרות כל אי-ההבנות ואי הוודאות בהם מעוגנת התיאוריה. הפיזיקאים למדו לוותר על Common Sense כאשר הם חוקרים את העולם התת-אטומי – וזה לא מפריע להם לעשות תגליות דרמטיות. אך הממונים על קופת הציבור לא יכולים להרשות לעצמם ויתור דומה על השכל הישר.

אטלנטה, ג'ורג'יה. נובמבר, 2007. לא הכרתי את העיר. לאחר היעדרות של 12 שנה, אטלנטה נראית עיר אחרת מזו שזכרתי. הגעתי לבירת דרום-מזרח ארה"ב כאורח של חטיבת ISS של יבמ. זו הפעם החמישית שאני באטלנטה וברטרוספקטיבה אפשר להיזכר, שתחושה דומה ליוותה אותי גם בביקורים קודמים. העיר הזאת משתנה בקצב שלא רגילים לראות בעולם המפותח, בארצות בהן קצב הילודה בקושי מפצה על קצב התמותה. אטלנטה גדלה על סטרואידים דמוגרפיים, כמו כרך סיני או הודי שאיבד שליטה על בקרת האורבניזציה. רק שכאן הצמיחה המסחררת, המוזנת בעיקר מהגירה פנימית מ"הדרום העמוק", לא יוצרת סלאמס. כאן בונים פרוורים מהוגנים לבני המעמד הבינוני, פרוורים שמתפשטים למרחקים עצומים מהמרכז המטרופוליני, הנוצץ כמו דגם מיניאטורי של מנהטן בלב חורשות המגנוליה ובוסתני האפרסקים. בפלא הכלכלי שנקרא אטלנטה גם הקהילה השחורה, שסבלה מאפליה דורסת עד לרפורמות הגדולות של שנות ה-60', מצליחה לעבור את הטרנספורמציה מעבדות למעמד בינוני מהוגן.

חלף עם הרוח

לא תמיד השם אטלנטה עורר קונוטציות חיוביות. במלחמת האזרחים המזוויעה, בשנת 1864, שרף גנרל שרמן המתוסכל מכישלונות הצפון את העיר לאחר גירוש כל אזרחיה. הגנרל כנראה מצא את השראתו לשיטות דיכוי מרידות מגנרל רומי בשם טיטוס, ששרף את ירושלים 1800 שנה קודם לכן. סיפור המצור ושרפת העיר מהווה רקע היסטורי לאחד הרומנים הפופולריים ביותר בהיסטוריה. "חלף עם הרוח". בשנת 1974, בביקורי הראשון באטלנטה, עוד ניתן היה לדמיין את סקרלט או'הרה אומרת בגאווה דרומית, After all, tomorrow is another day". לפני שלושים שנה עוד אפשר היה לראות בתי עץ ענקיים בסגנון Plantation מגיעים עד ל-Peachtree Street, העורק המרכזי של אטלנטה מהיום שהוקמה כתחנת רכבת במפגש הפסים ההולכים דרומה ומערבה. אני עוד זוכר את השלט האלקטרוני הגדול שנמתח מעל הכניסה לעיר ב-Freeway ועליו נספרו אזרחי העיר בזמן אמת. קצת הצחיק אותי אז, שעיר גדולה, המתגאה ב-1.4 מיליון תושביה, עדיין טורחת לספר לכל הבא בשעריה כי מספרם גדל ממש מדקה לדקה. השלט הזה לא קיים היום, אחרי שהאוכלוסייה גדלה פי 4 ומעמדה הבכיר ברבע הדרום-מזרחי של ארה"ב מובטח לפחות בעשור הקרוב.

הפתעתי התעצמה עוד יותר כשראיתי איך במקביל לצמיחה הצליחה אטלנטה להפוך לנקייה יותר, בטוחה יותר ועשירה יותר. בניגוד לערים רבות בעולם השלישי, שקרסו תחת זרם הגירה של אוכלוסייה כפרית, אטלנטה פרחה. זו עדיין עיר שרוב אזרחיה שחורים, דור ראשון של אזרחים שווי זכויות לאחר שבוטלה ההפרדה הגזענית בצו בית המשפט העליון, ובכל זאת היא הצליחה להוריד את רמת הפשיעה לחצי ביחס לשנות ה-70'. לא תמיד הרגישו השחורים בטוחים באטלנטה. זה היה מקום מושבו של "הקוסם הגדול", ראש ארגון הרצח הידוע לשמצה, הקו-קלאקס-קלן, שהתמחה במעשי לינץ' בשחורים – ולפעמים גם ביהודים. בהיסטוריה השחורה זכור הפוגרום של 1906, כאשר 27 שחורים נרצחו בראש חוצות. היהודים זוכרים את הלינץ' שנעשה ב-1913 במנהל חשבונות יהודי שנחשד באונס נערה לבנה – עלילת דם בזויה בארץ ההזדמנויות הבלתי מוגבלות. ב-1958 פוצץ בית הכנסת הראשי ברחוב Peachtree, כמחאה ברברית נגד המעורבות של יהודים בתנועה הליברלית למתן שיווין זכויות אמיתי לשחורים. אירועים אלה נראים היום מנותקים ממרקם החיים באטלנטה, אך אולי ההתרשמות שלי היא שטחית מדי.

משחק כדורסל כמטפורה חברתית

אולי. אבל זו התגבשה כאשר הוזמנתי לצפות במשחק הכדורסל בין ה-Hawks המקומיים לבין ה-Wizards שהגיעו מוושינגטון, שתי קבוצות NBA עם עבר מפואר והווה בינוני בלבד. שעות ספורות הפרידו בין המשחק הזה לבין המשחק בישראל בו מאבטח איבד כמה מאצבעות ידו, אירוע שהזכיר לנו עד כמה המושג ספורט תחרותי בישראל ספוג באלימות מיוזעת, כעסים עדתיים והתבטאויות גזעניות, שבחברה מתוקנת היו שולחות את הצועקים לבית סוהר. המשחק באטלנטה, לעומת זאת, היה מודל לחוויה משפחתית, התנהגות אזרחית למופת ויצירת רוח קהילה חיובית. עבור מי שהיה נוכח באירועי ספורט אמריקאיים, התיאור הבא יראה מובן מאליו, אך הרוב באירועי ספורט ישראליים כנראה עוד לא שמע את הבשורה.

אצטדיון "פיליפס" בו נערך המשחק דומה יותר למרכז קניות ובידור ("קניון" בטרמינולוגיה העברית) בליבו שתול אולם ענק (קרוב ל-20,000 מושבים) ומאובזר היטב. מקיפים אותו, בכמה מפלסים, מעברים רחבים לקהל וחנויות לצידם. תמצאו שם את כל מה שאפשר לחפש בקניון מפותח, כולל מסעדות איכותיות, שהטובה בהן שייכת למועדון הספורט. הקומפלקס כולו, וקבוצת הכדורסל, הם מיזם עסקי משולב בו מושקע הרבה כסף פרטי (למעלה מ-200 מיליון דולר) – אבל לא כסף ציבורי ואפילו לא מימון של עסקי הימורים בחסות החוק. העסק צריך להרוויח וכדי להרוויח הוא צריך למשוך אנשים. הרבה אנשים, לא רק את אלה שמחפשים פורקן לעודף טסטוסטרון. חתך האוכלוסייה על היציעים סביבי שיקף את הפרופיל הדמוגרפי "הנורמלי" של קהילה – גברים ונשים, בוגרים וילדים – ובעיקר משפחות שהגיעו בצוותא כדי לחלוק כמה שעות של "זמן איכות" יחד. וזה מה שהם קיבלו, זמן איכות.

בורגנות תרבותית טובה לעסקים

המשחק עצמו היה בינוני בלבד. אפשר לתאר את הרמה כ"אירופאית", תואר לא מחמיא עבור קבוצות ב-NBA. אבל התנהגות הקהל הייתה תרבותית לעילא, מהוגנת, מנומסת ונטולת כל סממן אגרסיבי. אפשר היה לחשוב שהמשפחות הגיעו לאירוע "צמחוני" כמו הפסטיגל או שבוע המחול בכרמיאל. מעט סדרנים ומעט מאוד שוטרים נראו בשטח, אין גדרות הפרדה בין היציעים ואין רשת מגן סביב הפרקט – ובכל זאת אף אחד לא ישב שלא במקומו, אף אחד לא זרק אפילו פיסת נייר קטנה אחת ואף אחד לא עשה תנועות מגונות או השמיע קללות ונאצות. ושימו לב, מותר להכניס בקבוקי משקה ופחיות בירה לאצטדיון ומלצרים מסתובבים בין השורות ומביאים לצופים צ'יפס ו-Hot-Dogs, משקאות וחטיפים מתוקים. בתשלום, כמובן. האמת, לא האמנתי למראה עיני.

בהדרגה ירד האסימון גם אצלי. ספורט תחרותי הוא ביזנס לא רק באמריקה. אבל שם, בניגוד למסחרה הישראלית, יודעים כי בעסקים הלקוח הוא המלך – הוא ולא בעל הקבוצה, הוא ולא השחקנים, הוא ולא להקת העסקנים שמחפשים כרטיסי חינם. ואם הלקוח רוצה סביבה תרבותית, מתאימה לחוויה משפחתית, עשירה בערכים בורגניים שהאמריקאי הממוצע דוגל בהם, זה מה שיהיה באצטדיון. זה לא רק משחק כדורסל, זה אירוע חברתי-קהילתי. לפני המשחק עלה על הפרקט ילד צנום כהה עור ומקורזל שער, בערך בן עשר, ובקול צלול כזמיר שר את ההמנון האמריקאי. סולו, ללא ליווי תזמורתי, בכנות נוגעת ללב. כפי שרק ילד קטן יכול לשיר. והקהל עמד על רגליו בשקט ומחא כפיים כאשר הזמיר השחור נחנק מהתרגשות. בהמשך המשחק הופיעו כמובן להקת "המעודדות" של בית ספר תיכון, להקת רקדניות חובבות מבית הספר המקומי למחול, זוג קומיקאים מחופשים שהזמינו ילדים מהקהל לשעשועי כדורסל על הפרקט, ומתעמלים מקבוצת הנוער של המועדון. הם הופיעו בהפסקות בין הרבעים, בפסקי הזמן (Time Out) ובהזדמנויות אחרות כשהמשחק נעצר ליותר מדקה. ולכולם הקהל מחא כפיים, הכרוז קרא בשמות המופיעים ועל מסכי הענק הופיעו תמונות תקריב שלהם, לגאוות ההורים ולתפארת בתי הספר. התברר לי שהאווירה התרבותית-משפחתית לא נוצרה יש מאין אלא טופחה על ידי פעילויות המעודדות התנהגות מתאימה.

התרופה: גמילה מכספים קלים

מאוחר יותר, בשובי לישראל, שמעתי את מנהל הקבוצה שאחד מאוהדיה השליך את החזיז מתנער מאחריות. "מה אני אשם שחבורת הפושעים הזאת נדבקה לקבוצה. זו הבעיה של המשטרה, לא של המועדון". ואז הבנתי את ההבדל בין המשמעות האמריקאית של המונח "ביזנס" לבין מה שמבינים בחולון. אצלנו "ביזנס" זו הצדקה לקבלת משכורות, לסחר חליפין בשחקנים והזדמנות לשאוב כספים מהטוטו או מאוליגרכים שואפי תהילה. באמריקה "ביזנס" זו הגדרה של צורת התנהגות היוצרת רווחים, ולכן עומדת במבחן שביעות רצון הלקוח בכל רגע וללא כל העלמות עין. באמריקה, "הלקוח תמיד צודק" היא אסטרטגיה עסקית, לא סיסמא ריקה מתוכן, גם כאשר המוצר הוא משחק כדורסל או כדורגל. עלה בדעתי כי אם רק ימנעו ממועדוני הספורט את התלות שהם יצרו בכסף הקל של הימורים, הדבר רק יעזור להם להפוך לביזנס אמיתי. כזה שמבין את חובתו לספק את הלקוחות. וגם יציעי הקהל יהפכו למקום שלא צריך להיות מזוכיסט כדי להגיע אליו.

Restart
טוב, נסחפתי. הרי לא על אטלנטה באתי לספר לכם ובענייני ספורט אני בור ועם הארצות מרצון. ברשותכם אני לוחץ על הכפתור Restart וחוזר לפסקה הראשונה, המשפט השלישי. הגעתי לאטלנטה כאורח חטיבת ISS של יבמ, חטיבה שמרכזת את פעילות התאגיד בתחום האבטחה וההגנה על מערכות מידע. החטיבה נוצרה אחרי שיבמ רכשה ב-2006 את Internet Security Systems תמורת 1.3 מיליארד דולר ועשתה את המייסד תומס נונאן (Noonan) למנהל הכללי של מכלול פעילות האבטחה של יבמ. תום הקים את ISS ב-1994 והביא אותה לתשומת ליבה של יבמ אחרי צמיחה מטאורית מסטארט-אפ (במרתף של סבתא) לחברה המעסיקה 1,200 אנשים ב-26 ארצות. היום, כמובן, הממלכה של תום גדלה בהרבה משום שתחת כנפי יבמ הוא אחראי על פעילות בכל העולם. אבל ISS שמרה על עצמאות יחסית ולא נבלעה בחטיבות אחרות של הענק הכחול. מנהלי יבמ היו נבונים מספיק לא לקלקל צוות מנצח על ידי חדירה כוחנית למרקם הניהול.

תחזית האבטחה: הסערה המושלמת

המוטיב המרכזי בסמינר שערכה IBM/ISS באטלנטה לא נלקח מ"חלף עם הרוח" אלא מסרט חדש יותר, The Perfect Storm. בסרט, הצטברות אקראית (Coincidence) של גורמים רבים בו-זמנית יוצרת את "הסערה המושלמת", אם כל הסערות, התממשות הסיוטים של כל יורד ים. לפי התחזית של מומחי ISS אנו נמצאים עכשיו רגע לפני הסערה המושלמת במרחב האבטחה של מערכות מידע ארגוניות. ובמיוחד אלה שנוצרו כדי לממש את הפוטנציאל של סחר אלקטרוני, בנקאות מקוונת, ממשל זמין ושאר שירותים המתאפשרים הודות לאינטרנט. "צריך להבין שכל הזדמנות עסקית היא, מעצם הגדרתה, סיכון נוסף", אומר תום נונאן. "אין ארוחות חינם ואין הזדמנויות ללא סיכון. וככל שההזדמנות מבטיחה יותר כך היא גם מושכת יותר סיכונים. הפעילות העסקית המתבצעת באינטרנט יוצרת סערות אבטחה לא משום שאי-אפשר להגן על המערכות אלא משום שהכסף מושך יותר ויותר פושעים לנסות את כוחם במחטף דיגיטלי".

אפשר לזהות 6 גורמים שמזינים את הסערה הנוכחית ומאיימים להפוך אותה לסיפור אימה והרס:
1. דחף הרווח הכספי. כבר לא מדובר ב"האקרים" שמחפשים תהילה אלא בפשע מאורגן, עולם תחתון עם היררכיה וחלוקת תפקידים, "חיילים" שמוצאים את הפרצות ו"בוסים" שמארגנים את ההתקפות ומודדים את הצלחתם ברווח כספי פלילי.
2. נגישות למנועי התפוקה. המכשירים שמאפשרים הגדלת התפוקה באמצעות IT – כמו אוטומציה של תהליכים עסקים, שירות עצמי באתרים מסחריים, נגישות למידע חוצה מערכות ויכולת לחולל טרנסאקציות מכל נקודת קצה – פותחים עוד ועוד מסלולי חדירה ואופציות חבלה למי שמחפש רווחים מפוקפקים.
3. גידול עלויות מוגזם. בשנים האחרונות הגידול בתקציבי ה-IT שמיועדים לאבטחה גדלים בקצב פי 3 מכלל תקציבי ה-IT. בעוד שאר המערכות נאבקות בלחצים תקציביים, נתח האבטחה גדל ב-15 אחוז בממוצע לשנה. זה לא יכול להמשיך כך.
4. הרגישות של רשתות IP. המגמה הנוכחית שלConvergence , שמעבירה את ערוצי הטלפוניה, הווידיאו והקול לרשתותIP משותפות להם ולתקשורת הנתונים, פותחת את "הדלת האחורית" למתקפות מכיוונים שלא הכרנו עד כה.
5. שיטפון הנתונים. כמות הנתונים שזורמת ברשתות ונצברת במערכות האחסון ממשיכה להכפיל את עצמה מדי שלוש שנים. וככול שערמת השחת גדלה כל קשה יותר למצוא בה את המחט הארסית, שמסתתרת בין הגבעולים התמימים.
6. דרישות הרגולציה. תקציבי האבטחה כבר לא יכולים להתמקד במניעת פעילות עוינת. דרישות הרגולטורים אוכלת חלק הולך וגדל מהמשאבים – במיוחד בקטע של מודעות ותשומת לב ההנהלות – ופחות כסף וזמן נשארים למלחמה עצמה.

הגישה המסורתית פשטה את הרגל

"התוצאה של התכנסות כל הגורמים האלה בנקודת זמן אחת היא "הסערה המושלמת" של האבטחה", אומר תום נונאן. "המערכת מותקנת מכל הכיוונים, בכל סוגי המידע, בכל הפרוטוקולים, מחוץ לחומת האש ומבפנים, דרך רשתות פרטיות וציבוריות, בתהליכים עסקיים שמשמשים כסוסים טרויאניים ובהסתננות מזיקים דרך נקודות קצה לא מאובטחות. הגישה המסורתית, שגרסה כי מול כל איום אפשר להציב אמצעי הגנה ייעודי, פשטה את הרגל. איפה בדיוק עוברת "חומת האש" אם מחצית עובדי החברה מתקשרים למערכות הליבה מרחוק, מבתי קפה ושדות תעופה, דרך רשתות WiFi ציבוריות לא מוגנות או מאתרי לקוחות? איזה אנטי וירוס ימנע הדבקה כאשר הקוד העוין כולל אלמנטים של וירוס, Worm, סוס טרויאני ורשם הקלדה (Key logger) בתמהיל קטלני אחד? ללא ספק נדרשת גישה שונה, הוליסטית, לאבטחת מידע, שתהייה מבוססת על עקרונות ניהול קלאסיים עם הבנה ברורה של המשמעויות העסקיות של הבעיה ושל הפתרון:
1. מערכות אבטחה מנוהלות בצורה מרכזית, נתמכות על ידי כלים לראייה כלל-מערכתית, אנליזה, תמיכה בפעולות תיקון ובתהליכים פרו-אקטיביים, דיווח וסיכום אירועים.
2. ניהול סיכונים בממד העסקי. בכל פעילות עסקית יש צורך בתיעדוף, מה עושים קודם ומה אחר כך, מה חשוב ומה בטל מעיקרו, איפה להשקיע ואיפה לחסוך. גם ניהול האבטחה צריך להיות מונחה על ידי אותם שיקולים עסקיים, שלמעשה מצמידים תג מחיר לכל מעשה ולכל מחדל.
3. אינטגרציה חוצת מערכות. הגישה הנוכחית לפתרונות אבטחה, "הממגורה" (Silo), צריכה לפנות מקום לחשיבה כוללנית. איך מאבטחים רשת הטרוגנית ויוצרים תשתית נתונים חסינה מיסודה. פתרונות נקודתיים הם רק פקקים ארעיים לפרצות, עד שהמערכת תלמד לנטרל את הסיכון.
4. חדשנות טכנולוגית. נכון להיום, במערבון הזה "הרעים" מקדימים את "הטובים" בניצול טכנולוגיות חדשות. זה מתאים לניגוד הקלאסי בין תוקפן למתגונן, בין יוזם חסר אחריות לבין גוף חוקי שאמור לתת דין וחשבון על מעשיו ומחדליו. צריך לשנות את מאזן האימה מיסודו, להחזיר את היתרון לטובים. ורק טכנולוגיה חדשנית עשויה לספק את התשובה.

בג'ונגל, הטובים שורדים בקבוצות

"עקרונות אלה עיצבו את הפלטפורמה שלנו", אומר תום נונאן. "התובנה הראשונה היא שמוגזם לצפות מכל מנהל IT להתגונן בכוחות עצמו מול כל גורמי הסיכון, שכיום אינם יודעים גבולות ואינם מרוסנים על ידי כוחות אכיפת חוק אפקטיביים. כפי שלא סביר לדרוש ממנהל האבטחה של בנק להגן על הסניפים שלו בטריטוריה בה לא פועלת משטרה ואין מנגנון שמירת חוק וסדר ציבורי. יש צורך להעביר לפחות חלק גדול מפעילות ההגנה לגופים מתמחים, גם אם הם חברות אבטחה פרטיות ולא משטרה לאומית או בינלאומית, ולבנות מערכת טכנולוגית שתאפשר אבטחה מרחוק. מסביב לקונספציה הזאת בנינו את מודל Managed Security Services של יבמ בשתי תבניות:

1. שירותי אבטחה מנוהלים. אלה נועדו לארגונים שרוצים להעביר את כל האחריות לידי ISS במודל "מיקור חוץ" מושלם. השירות יכלול: סינון תכנים נכנסים ויוצאים, בקרת תנועה פנימית וזיהוי חדירות לרשת הארגונית, ניהול הדואר האלקטרוני והגישה לאינטרנט, וניהול ההגנה ההיקפית. כל השירותים האלה מנוהלים מרחוק, מאתרי SOC שלנו, 24×7, כולל פעילות יזומה למניעת סיכונים (סריקת פרצות תקופתית, עדכוני תוכנה, הפעלת התראות מקדימות וכדומה).
2. שירותי ערך נוסף אבטחתיים. במסגרת זו הלקוח מתחזק בכוחות עצמו את אמצעי האבטחה הבסיסיים, ובוחר לרכוש מ-ISS רק את השירותים הייחודיים שתומכים בניהוליות. בין השאר הוא יכול לקבל שירותי ניהול "גבוהים" כמו: ניהול רגישויות (Vulnerability Management) לאנליזה וזיהוי נקודות תורפה, ניהול אירועים כולל ייעוץ בזמן אמת והתערבות בתהליכי התאוששות מהתקפות, ניהול יומן ודוחות סטטיסטיים-ניהוליים, ושירות X-Force של התראות עולמיות.

לצאת מטירוף המערכות

"אנו לא מצפים מהלקוח לקיים סביבה הומוגנית או להתאים את התשתית שלו לדרישות מוקדמות שלנו", אומר תום נונאן. "אנו תומכים בכל מוצרי האבטחה המקובלים, בחומרה ובתוכנה, ומסוגלים לשלב פתרונות נקודתיים של ספקים שונים במערך אינטגרטיבי של ניהול אבטחה מקיף. אומנם קבוצת ISS ממשיכה לייצר כלים ייחודיים לניהול אבטחה, כולל Security Appliances, אבל הדגש הוא על יכולת אינטגרציה ועל אספקת שירותים מנוהלים כחלק מהאסטרטגיה הכללית של יבמ. על פי מחקרי שוק, הלקוח הממוצע מפעיל היום פתרונות נקודתיים שנרכשו מ-36 ספקים שונים. זה טירוף מערכות. יבמ משקיעה השנה 1.5 מיליארד דולר בפיתוח המודל האלטרנטיבי, ההגיוני, של שירותי אבטחה מנוהלים. המטרה היא להגיע למצב בו נוכל למעשה להציע "פוליסת הגנה מפני סיכוני IT" ולא להסתפק בחוזה SLA, שמדבר בשפה טכנית על טיפול בבעיות ספציפיות. עם הגיבוי של יבמ נוכל לעשות זאת ולכתוב מחדש את חוקי המשחק בתחום האבטחה".

שרתי DNS משתפים פעולה עם המאפיה

כריס רולנד (Rouland) הוא מנהל טכנולוגיות ראשי (TCO) של ISS, תפקיד דומה לקצין המכונות בספינת הדיג שנקלעה ללב הסערה המושלמת. "הים האכזר נעשה אכזר יותר והמכונות החדשות נעשו רגישות יותר", הוא משלים את המטפורה. "האם אתם יודעים כי בסקר האחרון נמצא ש-2.4 אחוז משרתי ה-DNS פשוט משקרים? אתם מבינים את המשמעות? שרת DNS הוא מין קצין מודיעין וקישור של אינטרנט, זה שאתם שולחים לו כתובת מתחם (Domain) והוא מוצא עבורכם את כתובת ה-IP של השרת המבוקש. למשל, כאשר אתם לוחצים על ההיפרלינק www.iss.com, שרת ה-DNS אמור לדאוג לכך שתגיעו לאחד השרתים שנמצאים כאן בבניין, בקומת המרתף, מוגנים מפני חדירה של גורמים עוינים או פליליים. אבל מה יקרה אם שרת ה-DNS ירמה אתכם, ובמקום לייצר את כתובת ה-IP של שרת ה-Web שלנו הוא יחבר אתכם לשרת של רשת הונאות המנוהלת מרוסיה ומחזיקה את שרתים שלה ברפובליקת בננות קריבית, או בארץ אפריקאית הנשלטת על ידי המאפיונר המקומי? אם הייתם רואים בכתובת ה-Domain סיומת המעידה על מיקום גיאוגרפי חשוד, סביר שלא הייתם מתפתים לחשוב שמהאתר הזה אפשר להוריד עדכון תוכנה לאנטי-וירוס שלכם, נכון? אבל זה מה שתקבלו כאשר תתחברו לשרת המאפיה הרוסית – עדכון שיפרוץ כליל את כל ההגנות עליהן שקדתם בשנים האחרונות. אז נכון שתמיד ניסו לגרום לנו להתקין תוכנות זדון, אבל עכשיו זה שונה. עשרות אלפי שרתי DNS מזויפים אורבים לכם ברשת ולכם אין כל אמצעי לזהות את הרמאות".

"במקביל ראינו גידול עצום במספר הרגישויות שנחשפות חדשות לבקרים. בשנת 2006 התגלו בממוצע 20 רגישויות בכל יום, רגישויות שעשו את מערכות ההפעלה והיישומים הפופולריים ביותר לבלתי אמינים. ולא חסרים פושעים שמנסים לנצל את הרגישויות האלה. ספרנו למעלה מ-60,000 סוסים טרויאניים משוטטים באינטרנט ומחפשים פרצות למערכות ארגוניות רגישות. אתם יכולים לתאר לעצמכם מצב בו 60 אלף גנבים מנסים לחדור למשרדים שלכם בכל רגע נתון וקצין הביטחון מגלה בכל יום 20 נקודות חדירה חדשות? והמצב לאמיתו של דבר עוד יותר גרוע. כי כל אבזר קצה – מחשב נייד, התקן PDA, טלפון סלולרי חכם, נתב אלחוטי, רכיב Disk-on-Key הוא פתח לא מוגן בחומת האש שלכם. או לפחות סולם נוח שמאפשר לפורץ להגיע בקלות לפתח קורץ בחומה. כמה אבזרים כאלה נמצאים בשימוש יומיומי אצל עובדי החברה שלכם? על כמה מהם אתם יכולים לסמוך שלא יעשו שטויות – כמו כניסה לאתרים מפוקפקים או התקנה של תוכנות לא רצויות?".

אי אפשר לסמוך על הש.ג.

"אתם לא יכולים לעצור אותם בלי לעצור את החברה כולה. הפרצות שהפורצים מנצלים הם אותם פתחים שנוצרו על מנת לשפר את תהליכי העבודה, להגדיל את התפוקה האישית ואת יעילות העבודה בקבוצות. והפתחים האלה הולכים ומתרבים, הולכים ומתרחבים ככל שפרדיגמת העבודה המקוונת, הנסמכת על אינטרנט כמדיום תקשורת אוניברסלי, הולכת והופכת למרכזית בעולם העסקים. לכן כבר אי אפשר להסתפק בחומת-אש (Firewall) ולחשוב בנאיביות ש"בחצר הפנימית" הכל בסדר, הכל בטוח ואפשר לסמוך על הש.ג. אי אפשר. נקודת המוצא חייבת להיות פרנואידית, לחשוד בכל חבילת נתונים העוברת ברשת הפנימית, להסתכל על כל מחשב נייד שמתחבר לאחר תקופה של נתק כאויב בפוטנציה, ולדרוש מכל משתמש להזדהות בצורה שאינה ניתנת לזיוף".

השינויים באופי הסיכונים העבירו את מוקד האבטחה מה"פרימטר", חומת-האש, למרכז הרשת הארגונית. "הטכנולוגיה שידועה בשם מניעת חדירות, Intrusion Prevention, הומצאה כאן", אומר כריס רולנד, "וזו נשארה עדיין העוגן האמין ביותר לכל מערכת אבטחה ארגונית. האפקטיביות של מערכת IPS נקבעת על פי מספר המזיקים שהיא מסוגלת לזהות "בתעופה", On The Ply, כלומר תוך כדי מעברם ברשת, ולעצור לפני שהם מגיעים ליעדם. בדרך כלל החדירה מתבצעת במקום בו אמצעי ההגנה מינימליים או בלתי קיימים, כמו במחשב של עובד נייד או בסניף מרוחק שעוסק בנושאים לא קריטיים. מנקודת החדירה הקוד הזדוני מנסה להגיע לליבת המחשוב הארגוני או למקום ממנו אפשר לתחקר את הליבה ולשאוב נתונים חסויים. מערכת IPS יעילה אמורה לזהות את "ההתגנבות" הזאת ולחסום אותה בזמן אמת. ברשת עמוסה של ארגון גדול יש צורך במנוע אנליזה חזק מאוד, כזה שמסוגל לסנן בכל שנייה מגה-בייטים רבים של תעבורה פנימית. וזו המומחיות שלנו".

U Turn על אוטוסטרדת המידע

ה-Convergence המפורסם, המיזוג של טכנולוגיות תקשורת וטכנולוגיות מידע, קיבל בשנים האחרונים פנים חדשות. פרוטוקול האינטרנט IP הפך לפלטפורמה עליה רוכבים יישומים שונים ומשונים – בעיקר כאלה שבאופן מסורתי היו מוגדרים כשירותי תקשורת ובעבר לא הייתה להם נגיעה בעולם הנתונים. "מה שקורה עכשיו זה תפנית חדה, U Turn, בכיוון הזרימה של סיכונים", אומר קלארנס מורי מנהל פיתוח עסקי בחטיבת ISS. "פעם חשבנו איך לחסום סיכונים שמגיעים מעולם התקשורת לפני שהם חודרים למערכות המידע. עכשיו צריך למצוא דרכים לחסימת הקוד המסוכן בכיוון ההפוך. שרתי הטלקו, שמחליפים את מערכות ניהול הרשת המסורתיות, נחשפים עכשיו לתכנים המסוכנים שקיימים בתוך זרם התמסורת וצריך להגן עליכם כפי שמגוננים על הנתבים בכל רשת IP. ההפרדה הישנה, בין מערכות הניהול והמיתוג מצד אחד לבין התוכן שזורם ברשת, נעלמה. שיחת טלפון אנלוגית או דיגיטלית לא יכולה להדביק מרכזית טלקו מסורתית בקוד זדוני. אבל זה בהחלט יתכן בסביבת IP. לכן חברות התקשורת מחפשות פתרון להגנת מערכות מפני תכנים מרושעים בראש ובראשונה להגנת התשתיות שלהן. ואם כך, מדוע שהן לא תצענה את ההגנה כשירות מנוהל ללקוחות שלהן?

חברות הטלקו מחפשות מקורות הכנסה חדשים אחרי שהתחרות הקטינה מאוד את הרווחיות של מכירת "זמן אוויר" או "רוחב פס". שירותי ערך מוסף, כמו אבטחה, הם מבטיחים במיוחד לאור הצורך הפנימי של החברות להגן על הרשת פשוט כדי לשרוד. אבל הן מעדיפות לרכוש את הידע והתפעול מחברות מתמחות ולהסתפק ברווחים הנובעים מתיווך. "עבור חברות אלה ניהול מערכות אבטחה מתקדמות הוא אתגר שקשה לעמוד בו", אומר קלארנס מורי. "המומחיות שלהן היא בניהול מספר עצום של לקוחות קטנים יחסית וגביית דמי שירות תמורת שירותים שכולם צורכים, Commodities. לכן חברות הטלקו מעדיפות להוציא את התפעול של מערכות האבטחה לחברה המתמחה, כמו ISS, ולהתמקד בשיווק השירות ותמיכה בלקוח הקצה. בסקר שערכנו לא מכבר התברר כי 80% מחברות הטלקו משוכנעות שמכירת שירותי אבטחה תהווה מקור הכנסה חשוב תוך 5 שנים. בחברות שמתכננות לעבור למודל Next Generation Network, כלומר להתבסס על פרוטוקול IP בכל השירותים, האחוז גדל ל-85. הטמעת הפתרונות תיעשה בשלבים, כאשר הראשון הוא ניהול איומים (Threat Management), כלומר הפעלת אמצעי התגוננות נגד כל איום מוכר, ואחריו יגיעו רבדים "גבוהים" יותר של אבטחה: ניהול זהויות ונגישות (Identity & Access Management), ניהול שליטה וציות לרגולציה (Compliance) – ובסוף גם אבטחת נתונים וסינון תכנים חשודים. הקטע של אבטחת נתונים וסינון תכנים נדחה לסוף משום שהחברות האלה מתמודדות עם זרמי נתונים מדהימים. אבל גם זה יגיע, משום שסינון הזרימה ברשת הגלובלית ("הענן", Security the Cloud, בז'רגון שלהם) ישחרר כל כך הרבה רוחב פס, שההשקעה תחזיר את עצמה תוך זמן קצר מאוד".

הווירטואליזציה מגבירה את החשיפה

הטענה, שכל מה שתעשו כדי לשפר את התפוקה בהכרח יגדיל את החשיפה שלכם לסיכונים דיגיטליים, מקבלת חיזוק נוסף מניתוח האספקטים האבטחתיים של אופנת הוירטואליזציה. קריס לאמב (Lamb) מנהל קבוצת X-Force, רואה את היתרונות שהפרדיגמה הוירטואלית מביאה, אך גם את הסיכונים. בעצם זו הגדרת התפקיד שלו, כמי שאחראי על המחקר והפיתוח של אמצעי הגנה חדשים מול סכנות חדשות. "על ידי וירטואליזציה אתם יכולים להעלים את השרת הפיזי – אבל לא את הסכנות האורבות למערכות שרצות עליו", הוא אומר. "גם אם הצלחתם להחליף את כל השרתים הפיזיים בשרתים וירטואליים על מכונה אחת, זה לא אומר שיש לכם נקודת סיכון אחת להגן עליה. עדיין כל שרת וירטואלי חשוף לכל הרגישויות של מערכת ההפעלה ושל היישומים שרצים עליו. ועליהם נוספה עוד שכבת תוכנה שיכולה להיות יעד להתקפות, ה-Hypervisor. אפשר אפילו לומר שהווירטואליזציה יוצרת נקודת תורפה חדשה, מסוכנת במיוחד, משום שבנפילתה היא תגרור אחריה את כל המכונות הוירטואליות שנתמכות על ידי אותו Hypervisor. וזו לא רק תיאוריה. הרגישויות שנחשפו בשנים האחרונות במערכת VMware הפופולרית מעוררות דאגה. בשנת 2004 נחשפו 10 רגישויות וב-2006 המספר כבר גדל לכמעט 120! זה נתון שצריך להדאיג כל מנהל מערכות מידע שחושב על וירטואליזציה".

מצד שני, וירטואליזציה מאפשרת להריץ יותר יישומי אבטחה על פחות פלטפורמות פיזיות – ואפילו להריץ את פתרון האבטחה במכונה וירטואלית במקביל לשאר השרתים ללא תוספת חומרה. "אנו נכנסים לטריטוריה חדשה מבחינת אבטחת שרתים", אומר קריס לאמב. "אנו זקוקים לפתרונות יצירתיים יותר כדי לענות על מספר בעיות חדשות. למשל:
• מכונה וירטואלית היא בסך הכל קובץ, אפשר להשתלט עליה בקלות, בלי לחדור פיזית לארגון, למשל לצורך ביצוע מעשה מרמה או התקפת DDOS.
• אין כיום כלים יעילים לניטור תנועת הנתונים בין השרתים שחולקים את אותה פלטפורמה פיזית, כפי שאפשר לנטור את התנועה ברשת.
• עקרונית אפשר לפתוח בתוך הסביבה הוירטואלית שרת שתוכנות ניהול האבטחה לא רואות וה-CIO בכלל לא מודע לקיומו.
• אפשר אפילו להחדיר למחשב Hypervisor לא מאושר ולהריץ עליו מספר כלשהו של שרתים וירטואליים ויישומים נסתרים מעיני המנהל.

הרגולציה העצמית של תעשיית כרטיסי האשראי

חובת הציות לחוקים ותקנות, Compliance, היא אחד הכוחות החזקים ביותר בהקצאת משאבים כיום. "זו טעות נפוצה לחשוב שהבעיה היא רק של חברות גדולות, בנקים ומוסדות פיננסיים", אומר טים מקורמיק (McCormick), סגן נשיא וראש קבוצת הפתרונות העסקיים של חטיבת ISS. "יש תקנות שאינן ממשלתיות, יש רגולטורים שיכולים להקפיא את עסקיכם בלי ללכת לבית משפט, ויש תקנות שחלות על כל עסק גם אם הוא בסך הכל חנות משפחתית. אני מתכוון בראש ובראשונה לתקן DSS (קיצור של Data Security Standard), שתוקנן על ידי ארגון תעשיית כרטיסי האשראי, ה-PCI. מי שהובילה את התהליך היא ויזה, אך תוך זמן קצר הצטרפו ליוזמה שאר חברות כרטיסי האשראי העולמיות וכיום הדרישה ל-PCI-DSS Compliance מתפשטת במהירות מארה"ב לאירופה ולאסיה. הרקע הוא פשוט: בכל פעם שמערכת המידע של עסק, בכל מקום בעולם, נפרצת ונגנבים נתוני כרטיס אשראי של הלקוחות – חברות האשראי יוצאות ניזוקות. גם אם הן לא צריכות לפצות את הלקוחות, הן מפסידות את העסקים שלא יעשו משום שהלקוחות מפחדים להוציא את הכרטיס מהארנק. ב-2006 הנזק הישיר לחברות כרטיסי האשראי היה למעלה מרבע מיליארד דולר והנזק העקיף גדול פי כמה".

לאור זאת החליטו מנפיקי הכרטיסים להגדיר ולהשליט מערכת פורמלית של תקנות מרצון לניהול מאובטח של מערכות מידע בהן נעשה שימוש בכרטיסי אשראי, כרטיסי חיוב, או אמצעי תשלום אלקטרוני דומה. המערכת בנויה רבדים ומוגדרת במספר רמות, על פי מחזור המכירות של בית העסק ומספר הפעולות שהוא מבצע בשנה. אכיפת התקנות היא במערכת היררכית, כאשר חברות הכרטיסים בודקות את הבנקים, אלה בוחנים את בתי העסק שקיבלו מהם הסמכה לחייב בכרטיסי אשראי, והאחרונים אחראים על מה שקורה בכל סניף של כל זכיין – חנות ברשת שיווק, בית מלון, סוכנות נסיעות, מוסד רפואי וכדומה. אי עמידה בתקנות גוררת קנסות כספיים כבדים, בפרופורציה לגודל העסק. אתם לא יכולים להתווכח עם הרגולטור, משום שהתקנות והקנסות מהווים חלק מחוזה שאתם חופשיים לקבל וחברת האשראי חופשית לבטל. ארגון PCI-DSS היא גוף וולונטרי, שקובע את הסטנדרטים, וחברות הכרטיסים החברות בו מחויבות להקים ולתפעל מערכת בחינות, אישורים, ניטור וכפיית ציות על כל בתי העסק איתם יש להן הסכמי חיוב. בשלב הראשון של הטמעת תקן PCI-DSS, שהתחיל בספטמבר 2006 בארה"ב נבחרו מספר חברות שיפעלו כבוחנות ומיישמות בקרב העסקים. חברות אלה הוסמכו להוציא תעודות Compliance, אותן העסקים צריכים להציג על מנת לשמר את הקשר העסקי עם חברות כרטיסי האשראי.

"גם אם העסק שלך קטן מכדי למשוך תשומת לב של האקר, אתה לא יכול להתחמק מהתקן. הבנק, באמצעותו מתנהל חשבונך ומתקבלים התשלומים של חברות הכרטיסים, אחראי על כך שהמערכות שלך מוגנות", אומר טים מקורמיק. בארה"ב הבנק נקנס בסכום שבין 5,000 ל- 25,000 דולר לחודש על כל בית עסק שלא עומד בתקנות – ותסמכו על כך שהבנקים יודעים איך להעביר את הקנס הזה לחובת הלקוח. באירופה התקנות מגדירות יחס בין מספר החשבונות שנגנבו לבין הקנס. זה מתחיל ב-25,000 יורו, אפילו אם נגנב בסך הכל מספר כרטיס אשראי אחד, ויכול לעלות עד 750,000 יורו בגין פריצה גדולה. "ISS הייתה החברה הראשונה לזכות בתעודת הסמכה של PCI-DSS וכבר סיפקנו שירותי בחינה והרשאה ליותר מ-2,000 עסקים, רובם גדולים. בימים אלה מתחיל המאמץ השיווקי באירופה, באמצעות זרוע השירותים העסקיים של יבמ, ואני מניח שנציע את הפתרון בכל ארץ בה תונהג חובת ציות ל-PCI-DSS. מאחר ומדובר בחברות בינלאומיות, סביר כי זה יהפוך לתקן עולמי תוך זמן קצר. בסופו של דבר, מבחינת ויזה אין הבדל אם פרטי הלקוחות נגנבו בניו-יורק או בזימבבווה. מותר להניח כי גם בישראל ISS תרצה להוביל את השוק בתאימות DSS.

ביקור בחדר המבצעים

סיור העיתונאים באטלנטה הסתיים, כמצופה, במרכז פעולות האבטחה (Security Operations Center) ממנו ISS מספקת שירותי אבטחה מנוהלים ללקוחותיה. "זה אחד מ-7 מרכזים כאלה, שפזורים סביב העולם ועובדים מסביב לשעון", אומר דייב מקגיניס (McGinnis) ארכיטקט רשת השירות הגלובלית. "בכל רגע נתון לפחות 4 מרכזים נמצאים בעיצומה של פעילות ניטור ותגובות לאירועים חריגים. 120 מומחי אבטחה עובדים במשמרות כדי לספק הגנה 24×365 ליותר מ-2,200 לקוחות". כדי לקבל מושג על עומס האירועים מספיק לספור את שורות היומן (Log) הגלובלי: למעלה מ-700 מיליון ביממה! אף אחד לא מסוגל להתמודד מול הזרם הזה ללא אמצעים מתוחכמים במיוחד של סינון, קטגוריזציה (אבחון דרגת הסיכון), אגרגציה (זיהוי מספר אירועים כאספקטים שונים של אותו אירוע בסיסי), יצירת תגובות אוטומטיות והכוונת המומחים להתמקדות באירועים המשמעותיים ביותר. אפשר לומר שפה בא לביטוי היתרון הבסיסי של ספק שירותים מנוהלים על פי המשאבים הפנימיים שיש בידי הלקוח. גם אם הוא מעסיק את מומחי האבטחה הכי טובים בעולם, הלקוח לא יכול להפיק מהם את אותה תועלת שאנו מפיקים מהמומחים שלנו. זה עניין של מתודת ניהול, של מערכות תומכות, מיקוד מקצועי ורוח צוות. בהרבה מקומות אנשי האבטחה חשים שנוהגים בהם בפחות מהכבוד המגיע להם. לא אצלנו. כאן הם יודעים כי הם משתייכים לעילית מקצועית והדבר מתבטא ביציבות התעסוקה ובמחזור האיטי של התחלפות אנשים. בתמורה אנו משקיעים בהם הרבה מעל ומעבר למה שעסק רגיל יכול להרשות לעצמו – וכולם יוצאים נשכרים מכך".

ומסכם דניאל אינגוולדסון (Ingevaldson), מנהל אסטרטגית המוצרים של ISS: "אבטחה היא תנאי מוקדם לאפשור עסקים ואנו רואים את היעוד הראשוני שלנו כמאפשרי אסטרטגיית השירותים העסקיים של יבמ. כמובן שברמה הבסיסית מדובר על שירותים טכניים ש-ISS מספקת, אך בתמונה הכללית של יבמ מדובר על משהו בעל אופי עסקי מובהק – מיזעור סיכונים. בעבר התייחסו לניהול סיכונים כאל סוג של אומנות, אבל אנו הוכחנו כי מדובר במדע. או לפחות הנדסה. הודות למתודה המדעית ולכלים הנדסיים מתאימים אפשר לנהל את הסיכונים על בסיס כמותי ולהבטיח תוצאות ברות-מדידה. פעם חשבו שמודל השירותים המנוהלים לעולם לא יעלה מהמדרגה של "נעשה את הטוב ביותר שביכולתנו". היום אנו יודעים שללקוח מגיע יותר מהבטחות. אנו מוכנים להתחייב על אפקטיביות ועל השגת רמות אבטחה ספציפיות. המושג SLA התקבל ברוב התחומים של שירותי "מיקור-חוץ" והביא לשיפור מוחשי בשביעות רצון הלקוחות. אנו יישמנו את אותם עקרונות על מיקור חוץ של שירותי אבטחה – וגם הלקוחות שלנו מרוצים. עכשיו הגיע הזמן להרחיב את מעגל הלקוחות ולפנות לקהל העולמי, וזאת נעשה באמצעות נציגויות יבמ המקומיות. עוד תשמעו עלינו רבות בעתיד הקרוב".