נפט, רעל והייטק: איך ישפיע רצח העיתונאי הסעודי על עמק הסיליקון?

כסף רעיל

רצח העיתונאי הסעודי ג'מאל חשוקג'י - לפי הערכות, בידי ממשלת סעודיה, שהיה מבקר בולט שלה - יצר גלים של ביקורת על הסובלנות שמפגין העולם המערבי למעשי מנהיגה, הנסיך מוחמד בן סלמאן. מקרה הרצח היה גרוטסקי במיוחד, והגלים מתחילים להתנפץ על עמק הסיליקון ותעשיית הטכנולוגיה בכללה - ושמים אותה במצב טעון, כמעט בלתי אפשרי.

הנסיך בן סלמאן מעורב בהייטק הרבה יותר משנהוג לחשוב: הוא מנסה לשפר את כלכלת סעודיה, ולהפוך אותה מכזו שנשענת על נפט לכזו שניזונה גם מטכנולוגיה. החלטה מובנת, בעידן בו מנסות מדינות לעבור לאנרגיה מתחדשת, ופחות מתלהבות מהזהב השחור ומהכוח שהוא מקנה למי ששולט בו. לכן, מקדם בן סלמאן השקעות ענק (למשל, 50 מיליארד דולר בקרן ויז'ן של סופטבנק, אליהם צפויים להצטרף כ-50 מיליארד נוספים), כנסי הייטק בינלאומיים, ומעורבות במיזמי סטארט-אפים שנבחנים ונתמכים בממלכה. הרבה הון זר שמגיע לארה"ב ומתדלק חברות קטנות ותאגידים כאחד יוצא מהכיס הסעודי.

חשיפת הרצח יצרה בעיה עבור מי שמקבל את הכסף הזה. מגזר ההייטק אוהב כסף יותר מכל דבר - עד שמקור הכסף הופך לרעיל; כל חברה יודעת שיקר וקשה לבנות ולשמר מותג, וששווה לפעמים לוותר על הון אם תצטרך להסביר למה בחרה לקחת אותו ממישהו שנתפס כמקור רוע. חברות טכנולוגיה מואשמות בעצמן ברוע לעיתים קרובות (לרוב, בצדק), כשהן משתפות פעולה עם משטרים דכאניים, ותורמות לפגיעה בזכויות אדם. ולפי עדות שהגיעה מהשגרירות בטורקיה, בה השיג המוות את חשוקג'י, הרוע הזה מסנוור: העיתונאי נחטף ברגע שנכנס למבנה, נחקר ועונה תוך שחוטפיו חותכים לו את האצבעות, ואז ראשו נערף וגופו בותר. חניבעל לקטר היה מצטמרר.

זמן רב התעלמה התעשייה ממעשי סעודיה, שכן בן סלמאן אינו רשע קלאסי; הוא אמנם גדל בדיקטטורה דתית, אך חולל בה רפורמות חשובות; למשל, הרשה לנשים לנהוג וללכת לקולנוע, משהו שהיה מלבין מזעם כל שפם במשפחת המלוכה רק לפני כעשור. בנוסף, הוביל קמפיין למיגור השחיתות בשלטון - שחיתות שמשפחתו יצרה, לאור הנפוטיזם המסורתי במגינה.

אבל הוא עדיין מנהיג מעצרים המוניים, רדיפת מתנגדים, סתימת פיות וחוק המדינה נשען על שריעה סונית. למשל, עריפת ראשים פומבית בחרב היא משהו שקורה שם הרבה מאוד; בשנה שעברה הוצאו להורג 146 אזרחים, ולפי ארגון זכויות האדם ESOHR, בחציה הראשון של 2018 חל זינוק של 70% במספר העריפות בהשוואה לתקופה המקבילה אשתקד. לך תעשה עסקים עם מנהיג כזה, תוך שאתה נותן לו אחזקות - כוח מעשי - בחברה שלך; לך תטען שאתה אתי כשזהו השותף שלך.

אז מגזר ההייטק יושב בפחד, ומחליט שלא להחליט: אף מנכ"ל לא גינה את סעודיה, וגם מעצמות טכנולוגיה כסופטבנק ממלמלות "אין עדיין הוכחה שהסעודים רצחו אותו", אותו מסר שהוציאה הממלכה עצמה. ובאמת אין הוכחות - כלומר, חוץ מהעובדה שמצלמות אבטחה זיהו את החוטפים כסעודים, שהגיעו לשגרירות שעות ספורות לפני שנכנס אליה חשוקג'י המסכן, וכולם טסו בחזרה לסעודיה שעות ספורות אחר כך, בצירוף האינטרס הברור, איומים שספג הקורבן ועוד. אבל הכל נסיבתי, וכמובן שלא יהיה פה משפט. אם יצוצו הוכחות חד משמעיות, יישמעו קריאות התסכול של המנכ"לים מקליפורניה עד ריאד.

מה יקרה בהמשך? אם לא יופיעו הוכחות, אני מהמר שאהבת הכסף של ההייטק תנצח את האתיקה בתחום, ושכל חברה רק תתפלל שאיזה מתחרה יגיד מילה על סעודיה והיא תוכל לרוץ ולהציע שם פיילוט. אבל אם תצוץ הוכחה? יהיה על מגזר ההייטק להחליט אם לעשות צעד גדול וקשה אך מוסרי - או להמשיך למלמל "אני מאמין לו" ו"אתיקה" ולשבור את שיא שביל החלב בצביעות.

פרפרי הסייבר

כשהייתי בן שלוש, טיילתי עם הורי בצפון ובעודי יושב על גדת הירדן חת לי פרפר על היד. התרגשתי, וגם ההורים שלי שמחו. ואז חטפתי אותו בידי השנייה ותחבתי אותו בכיס; להורים המזועזעים הסברתי שהוא כל כך יפה שאני רוצה לשמור אותו גם לאחר כך. זו הצורה בה תאגידים גדולים מסתכלים על סטארט-אפים קטנים וזריזים: זה יפה, אני רוצה את זה - ובמקרים רבים מועכים את החברה בנפתולי התרבות, קצב הפעולה והאילוצים הארגוניים. אתמול קרה משהו משמח, שמראה שחברות גדולות מבינות מה מקומו של הפרפר: נודע שענקית השבבים ARM, חברה שיוצרת ארכיטקטורות צ'יפים לכל עולם המובייל, תישען על טכנולוגיות של סייבריזן הישראלית. ביחד, יבנו את הדור הבא של שבבי אינטרנט הדברים - כך שהשוק הזה יוכל לנצל את הפוטנציאל האסטרונומי שלו גם בלי שהאקרים יקצרו רווחים.

הרעיון הוא לבנות שבב שתוכנן מראשיתו לעבוד עם שכבת אבטחה שמסוגלת לייצר אינדיקציה לאיומי פריצה שונים - ואז להביא אותו למערכי ייצור, תשתיות תחבורה, ערים חכמות ואפילו בתים חכמים - מיליארדי מוצרים עד 2035. עניין אבטחת אינטרנט הדברים הוא חתיכת Pain, שמומחי אבטחה מזהירים מפניו כבר שנים: מוצרים שמחוברים לרשת אך אינם כוללים רכיב אבטחה מתאים הם בגדר נקודת זינוק למתקפות DDoS שמפילות אתרים ואפליקציות, נקודת פריצה לרשתות של חברות ומשתמשים פרטיים, ורוב מוצרי ה-IoT של ימינו הם כאלה.

תאגידים אוהבים להיעזר בסטארט-אפים כדי לסגור פינות או להריץ פרויקטים, אך כשמדובר בפעילות ליבה או פלטפורמה גדולה חדשה, יעדיפו לשמור את השליטה אצלם בבית; לא פעם שמעתי יזמים מקטרים על כמה לאט זז הלקוח התאגידי שלהם, רק משום שהוא מתעקש להסתמך על הבירוקרטיה שלו, האנשים שלו, השיטה שלו. לפעמים קונה התאגיד את הספק הקטן והזריז, שמהר מאוד הופך לבן דמותו של בעל הבית: הכוונות טובות, אך נגרסות בגלגלי הארגון.

המקרה של ARM שונה: לחברה יש משאבי סייבר לא מבוטלים, כמו של כל יצרנית בסדר גודל כזה. אך היא השכילה להבין שלושה דברים: הראשון הוא שכדי לבנות שכבת אבטחה מתאימה לפרויקט של מיליארדי מכשירים, צריך ידע שנצבר בשוחות - מתכנתים היסטריים שרצו בין לקוחות ושלפו מקטעי קוד זניחים כדי ללמוד עוד שמינית דבר על מתקפת סייבר, חוקרים שיודעים שבלי יירוט מוצלח תאבד החברה את הלקוח והמימון, אנשים רעבים; השני הוא שאנשים כאלה מוצאים רק בסטארט-אפים; והשלישי - שכדי שיעשו את העבודה, הם חייבים להישאר חופשיים ולא מקופלים לשמיניות באיזה כיס תאגידי. אינטרנט הדברים הוא תחום כל כך רחב, שישפיע על כל כך הרבה תעשיות, שפיתרון סייבר עבורו חייב להגיע מהשטח ולא ממסדרונות מנומנמים של חברה גדולה.

ויש עוד דבר משמח שעולה מהסיפור הזה: שתאגידים סוף סוף קלטו שאבטחה זה לא משהו שעושים לאחר מעשה. קחו למשל את אינטל, כמה גדולה, כמה חכמה, כמה מאורגנת; פרצות האבטחה מלטדאון וספקטר שהתגלו השנה השפיעו גם על מעבדים בני שנים. החברה, שיש לה צוותי סייבר עצומים, כנראה הכניסה אותם לתמונה קצת באיחור. הקשיים נפתרו ודורות מעבדי Core החדשים כבר לא מגיעים עם בילט-אין חור, אבל מדובר בטעות שחברה רעבה ומודאגת לא היתה מרשה לעצמה לעשות. אני בטוח שגם באינטל השתנו פרקטיקות תכנון המוצר כך שאנשי הסייבר נכנסים לתמונה בשלב מוקדם מבעבר, אך הנזק של פרשת הפרצות כבר נעשה.

אני מקווה שכל תאגיד שמבין את חשיבות האבטחה בשלב העיצוב הראשוני ימצא לו סטארט-אפ זריז ומשופשף שיעזור לו, מבלי לבלוע או לעכב אותו. בסופו של דבר, נרוויח כולנו.

קצרצרים

1. בחירות אמצע הקדנציה בארה"ב ממשמשות ובאות - ופייסבוק הבטיחה שתאסור על שיגור קמפיינים פוליטיים אנונימיים, כאלה שאפשר להסתיר מאחוריהם מעורבות של מדינות זרות. אז זהו, שלא:  בווירג'ינה זוהה קמפיין הסתה קיצוני שתוקף את המועמדת הדמוקרטית ג'ניפר ווקסטון, ומציג אותה כגזענית שונאת-אדם בליווי תמונות מעידן הנאציזם באירופה. לכל קמפיין צריכה להיות הודעת הבהרה שמראה מי שילם עליו. אך בקמפיין הזה נכתב פשוט "אזרח אמריקאי אוהב-חירות שמממש את זכותו המוגנת בחוק". פייסבוק, באופן לא מפתיע, טענה שהקמפיין ההסתה לא עובר על תנאי השימוש שלה, אך שהיא תתקן את עניין השקיפות ותציג את מי שמאחוריו. היי, פייסבוק? אולי הגיע הזמן לתנאי שימוש חדשים?

2. ואם כבר שקיפות, פייסבוק צריכה לקבל שיעורים מאפל: ענקית הטכנולוגיה שדרגה את כלי ניהול הפרטיות שלה והיא מציגה למשתמשים איזה מידע נאסף עליהם, ומאפשרת למחוק ולהוריד אותו למכשירים. הוא זמין בשלב זה בארה"ב, אוסטרליה, ניו זילנד וקנדה. אפל משתמשת במדיניות כיבוד הפרטיות כאלמנט שיווקי; חברות אחרות אוספות המון מידע, בעוד מנהליה טוענים שלרוב אין צורך בכך ואף מותחים ביקורת על מי שגומע בלי די מידע אישי של משתמשים. שיווקית או לא, זו מדיניות מבורכת, שאשמח לראות חברות נוספות מאמצות.

3. שיעור חשוב לכל משקיע שמתלהב מטכנולוגיה משבשת חדשה: התובע הכללי של מדינת ניו יורק פתח בחקירה נגד חברת האחזקות Helios and Matheson, שבבעלותה אתר MoviePass. מוביפאס החלה את דרכה כשירות מקוון שמעניק למשתמש כרטיס קולנוע אחד ביום, תמורת מנוי חודשי. היא נתפסה כגורם משבש במיוחד בתעשיית הקולנוע, וצברה פופולריות רבה בארה"ב - אנשים אהבו את הרעיון של לשלם עשרה דולר בחודש וללכת לקולנוע מתי שרק יתחשק להם. ואולם, מישהו היה צריך לשלם על הכרטיסים כולם, ממומשים או לא. והמישהו הזה היה מוביפאס: החובות שצברה הרקיעו שחקים והגיעו ל-100 מיליון דולר באוגוסט. Helios and Matheson, שהפכה לחסרת ערך, חשודה שניסתה להטעות נושים ומשקיעים ולהציג תמונה קצת יותר אופטימית משהיתה במציאות.