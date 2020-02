(Techworld/Tel Aviv) Hur kommer det sig att Israel är så bra på it-säkerhet, att så många företag inom it-säkerhet kommer härifrån och att ännu fler företag väljer att lägga sin forskning och utveckling i Israel? Det enkla svaret är naturligtvis att landet är extremt utsatt på grund av den geopolitiska situationen och får ta emot många digitala käftsmällar varje dag, men det är faktiskt mycket mer än så som ligger till grund för framgången.

Fundamentet i det israeliska cyberförsvaret och avknoppningen i form av de många företagen, inte minst alla startups inom it-säkerhet, är värnplikten. Alla israeler, män som kvinnor måste, med få och djupt religiösa undantag, göra sin värnplikt – män gör lumpen i tre år och kvinnor i två.

Innehållet och längden på värnplikten gör att många dels får sin grundläggande utbildning inom it-säkerhet under värnplikten, och dels att många knyter de kontakter de kommer att ha nytta av längre fram i sin karriär. Det är också genom värnplikten som många kommer i kontakt med den it-infrastruktur och den bransch som är i behov av nya idéer och talanger. Bilden av värnpliktiga som rekryter i uniform är med andra ord bara delvis korrekt; det kan lika gärna handla om relativt civila utbildningar med karaktär av samhällstjänst.

Obligatorisk utbildning för alla värnpliktiga

Försvarsmakten i Israel har sedan länge insett vikten av att utbilda så många som möjligt inom cybersäkerhet. I takt med att samhället digitaliseras ökar också behovet inom den digitala säkerheten. Eftersom it-säkerhet är en obligatorisk del av utbildningen för alla värnpliktiga byggs en medvetenhet och kunskap upp som generellt ökar motståndskraften i hela samhället. Att en person har ”militär bakgrund” blir ett urvattnat uttryck i Israel – här har alla på sätt och vis en militär bakgrund.

De värnpliktiga som väljs ut till specialistutbildningen inom cybersäkerhet placeras i enheten IDF Elite Tech Campus, där IDF står för Israeli Defence Force. Denna enhet, som består av 7 000 anställda och värnpliktiga, är i dagarna på väg att omlokaliseras från de centrala delarna av Israel till Be'er Sheva, en ort i Negevöknen i södra Israel. Be'er Sheva var till för bara ett par år sedan en dammig och solstekt mellanstor stad där få ville bosätta sig. Men i dag har den israeliska staten stora, för att inte säga grandiosa, planer för Be'er Sheva.

I Be'er Sheva knyter den israeliska staten ihop det nationella cyberförsvaret med den civila it-industrin och näringslivet, samt även utbildningssektorn i form av Ben Gurion-universitetets forskning inom it-säkerhet. De företag som lockas till Be'er Sheva, inte minst startups, får de anställdas löner subventionerade med 20 procent i sju år.

Nya gröna och prunkande stadsdelar med svala kontorsbyggnader har uppförts, fler byggs under detta år och ännu fler områden och byggnader är planerade för de kommande åren. Be'er Sheva ska växa från dagens 700 000 invånare till en miljon de närmaste åren. De sammanlagda investeringarna i Be'er Sheva kommer att uppgå till minst en miljard dollar under kommande år.

Hjärtat i det nya Be'er Sheva är det nationella it-säkerhetscentret Cert-IL, som omlokaliserades till ökenstaden för bara ett och ett halvt år sedan. Cert-IL, Israels nationella cert (Computer Emergency Response Team) är spindeln i nätet inom det israeliska nationella cyberförsvaret och är en del av INCD – Israels Nationella Cyberdirektorat.

Stöttar även näringslivet och myndigheter

INCD, å sin sida, är den civila myndighet som koordinerar, leder och samordnar Israels civila cyberförsvar, men en minst lika viktig funktion för INCD är att direktoratet även är till stöd för näringslivet, myndigheter, civilbefolkningen och andra delar av det israeliska civilsamhället.

Under vårt studiebesök på Cert-IL är vi en grupp journalister från olika delar av världen som visas runt i lokalerna av den operativa chefen på Cert-IL, Levi Stockhammer, som inte låter sig fotograferas. Vi befinner oss i ett rum där operatörer övervakar en vägg av skärmar som i realtid visar information från diverse övervakningssystem och detektorer. En av journalisterna, Vasilios från Grekland, frågar pekande på en av skärmarna vad en stor illröd siffra 3 betyder.

Artikelförfattaren Lars Dobos under besöket på CERT-IL.

Levi Stockhammer vänder sig om, tittar på skärmen och säger som om det gällde en kopp kaffe att siffran visar hur många missilattacker som riktats mot Israel de senaste 15 minuterna.

– Jag förstår att ni är bekymrade, men det här händer varje dag. Det är ingen fara, missilerna kommer hamna i havet, annars skjuter vi ned dem. Vi har ju vår 'iron shield', säger Levi Stockhammer.

På Cert-IL arbetar för närvarande 80 personer med att skydda det israeliska samhället och dess infrastruktur från cyberattacker. Organisationen är operativt uppdelad i flera enheter som fokuserar på sina samhällssektorer, till exempel offentliga organisationer, energisektorn, teleoperatörer och finansindustrin. Alla dessa enheter sitter i samma byggnad med ett, bara ett, gemensamt fikarum. Det senare är inte oviktigt, poängterar man, för det är där personalen från olika enheter möts och utbyter information och erfarenheter.

Cert-IL och INCD kan direkt kontakta företag som de ser är sårbara för en attack och hjälpa dem att komma bort från farozonen. De kan gå ut med varningar till allmänheten via tv och radio, och på nätet givetvis, om pågående attacker och uppmana till att uppdatera sårbara system. Detta hände exempelvis under de attacker som nyligen riktades mot en populär vpn-tjänst, och samma sak hände nyligen när system från Citrix var sårbara och Cert-IL såg aktiva attacker mot sårbara Citrix-system i Israel. Tack vare dessa proaktiva metoder kunde man se till att inte en enda attack mot ett israeliskt system lyckades.

Larmnummer för allmänheten

INCD har även upprättat ett larmnummer, 119, dit allmänheten kan ringa om de upplever någon form av it-hot eller andra incidenter, eller om de till exempel blivit utsatta för nätfiske. En av våra guider berättar att han ringde 119 när hans Google-konto plötsligt hade bytt språk till arabiska – en minst sagt misstänkt upplevelse för en israel. Han fick då omedelbart hjälp av Cert-IL för att lösa situationen, och CERT-IL kunde även varna och instruera andra som kunde vara utsatta för samma problem.

Vid allvarliga incidenter kan Cert-IL till och med sätta in ”boots on the ground”, alltså personal med expertkunskaper som skickas ut till den hjälpsökande för att ta hand om situationen. Man har tillgång till fem sådana grupper som står beredda dygnet runt. Cert-IL får ungefär 120 samtal från allmänheten per dag, varav cirka 20 är äkta incidenter. Och jo då, det ringer en hel del tokstollar, men faktum är att man varje vecka får in incidenter som man annars inte hade upptäckt.

Cert-IL samarbetar givetvis med andra organ inom it-säkerhet. Israel har utvecklat ett socialt medium – Cybernet – en plattform dit alla med en god anledning kan få ett konto och utbyta information och erfarenheter via en chatt, ett diskussionsforum och även via ett api. I dag kan alla CISO:s på it-säkerhetsenheter med fler än 10 anställda få ett konto till denna plattform.

Cybernet öppnades 2018 och har i dag cirka 1 000 medlemmar. Det har blivit en mycket viktig plattform för att knyta ihop de operativt ansvariga inom it-säkerhetsorganisationerna i Israel och för att snabbt dela information om pågående attacker. På så sätt sprids informationen snabbt inom den krets som måste kunna reagera i tid. Plattformen är på väg att översättas till engelska och man är på gång att ta fram en mobilapp. Tanken är att även vissa utländska myndigheter ska få tillgång till Cybernet i framtiden.

Besöket i Be'er Sheva och Cert-IL ger en bra grund för att förstå varför även det israeliska näringslivet inom cybersäkerhet är så framgångsrikt, inte minst vad gäller den rika floran av startups. Den israeliska staten, genom till exempel försvaret, stödjer aktivt bildandet av nya företag med innovativa idéer. När vår grupp av journalister guidas runt till olika möten och presentationer av israeliska it-säkerhetsföretag är berättelsen om den militära bakgrunden allestädes närvarande. Vi presenteras inte för ett enda företag vars grundare inte har en militär bakgrund på en nivå som går långt bortom bara värnplikten.

Samtliga grundare eller vd:ar tar utan omsvep upp sina bakgrunder inom det militära och/eller säkerhetstjänsten – det verkar vara en obligatorisk del av presentationen av dem själva. Om sedan försvarsmakten även direkt har finansierat företaget i fråga låter vi vara osagt, men staten är i många fall en av finansiärerna.

Statlig finansiering långt ifrån gratis

Men det finns ett par hakar, och de ligger i att finansiärerna, även staten, vill göra en så kallad exit - det vill säga att företaget förr eller senare, oftast förr, säljs till ett större bolag, eller att de helt enkelt inte lyckas. I vilket fall som helst är den statliga finansieringen inte gratis. Framgångsrika företag, som inte köps upp eller går under, behöver betala tillbaka pengarna. Detta får till följd att det är förhållandevis få israeliska startups som når en kritisk massa.

Vid sidan av it-säkerhetsjätten Checkpoint, som i sammanhanget är en veteran och fortfarande det största företaget i Israel inom it-säkerhet, är det bara en handfull företag som tagit sig förbi exit-döden under senare år. Till dessa hör till exempel Cyberarc som enligt dem själva är det näst största it-säkerhetsföretaget i Israel. Cyberarc började sin bana med utveckling av digitala valv, men har sedan dess mest fokuserat på system för accesskontroll, så kallad Privileged Access Management eller PAM och zero-trust-lösningar.

Cyberarcs medgrundare och vd Udi Mokady är ett typiskt exempel på en grundare med militär bakgrund, ospecificerat vilken, men Cyberarc är atypiskt i det att företagets grundare från början undvek statlig finansiering just för att kunna växa bortom startup-nivån.

Udi Mokady.

– Våra första kunder krävde en långsiktighet som vi inte kunde garantera på annat sätt än genom icke-statlig finansiering, så vi har jobbat enbart med affärsänglar och privat riskkapital. För många startups är det jobbigt att man måste betala tillbaka till staten, och därför är det inte många som lyckas växa sig stora. Å andra sidan behöver man inte betala om företaget går omkull eller köps upp, säger Udi Mokady.

Men när det kommer till it-säkerhet i Israel är militären aldrig långt borta. Cyberarc gick nyligen ut med att de blir ett av de företag som flyttar sitt huvudkontor till Be'er Sheva. Anledningen är flera: lägre kostnader för lokaler och löner, samt närheten till forskning och utveckling, inklusive den militära sektorn.

Mycket kommer från den militära sidan

– Stora delar av vår forskning och utveckling kommer från den militära sidan, vi jobbar mycket med attacker för att utveckla nya produkter. I Be'er Sheva kommer vi närmare den miljön och akademin, säger Udi Mokady.

Ett annat företag som vuxit sig stort är Checkmarx som utvecklar verktyg för att hitta sårbarheter i källkod. Checkmarx finansierades delvis med statliga pengar, men har trots det lyckas nå en respektabel storlek. Förra året omsatte företaget 100 miljoner dollar och växer enligt sin egen pr med 40 procent per år.

Checkmarx plattform stödjer många olika programmeringsspråk och läser igenom källkoden för att hitta buggar och sårbarheter på ett tidigt stadium. Ju tidigare desto bättre säger vd:n Emmanuel Benzaquen, som inte direkt överraskande ägnade nio år i det militära innan han kom till Checkmarx.

Benzaquen är dock en av dem som gärna håller viss distans till militären och den offensiva sidan av cybersäkerhet – företaget sitter ju annars på en guldgruva i det att man har en produkt som hittar tidigare okända sårbarheter.

– Visst, jag jobbade för armén i nio år, men vi är mycket noga med att inte blanda in den offensiva sidan, det vore inte bra för tilliten till oss som partner. Vi hjälper inte offensiva produkter eller företag. Det har hänt flera gånger att vi tackat nej till att få mer betalt för sårbarheter utan att rapportera dem, säger Emmanuel Benzaquen, som istället vill betona att en av de stora fördelarna med att verka i Israel är att det är relativt lätt att få tag på duktiga utvecklare.

Raka motsatsen mot den relativt ödmjuka och vänliga atmosfären på Checkmarx och dess vd, möter oss på företaget Deep Instinct. Grundaren och vd:n Guy Caspi är karaktärsfull för att uttrycka det milt. Caspi med 10 år i den ökända säkerhetstjänsten Mossad, flankeras av ett par personer ur sitt pr-team vilka närmast ser ut som och beter sig som dörrvakter. Caspi presenterar inte Deep Instinct, han håller tal.

Stoppar cyberattacker med djupinlärning

Mellan verbala aggressioner i stil med att ”vi är det enda företaget på Jorden som kan stoppa cyberattacker” och ”den gamla antivirusindustrin är döende och deras produkter värdelösa” och ”ni är alla hackade” lyckas följet av journalister snappa upp att Deep Instinct utvecklar tekniker som med hjälp av djupinlärning stoppar cyberattacker utan någon form av signaturdatabaser eller liknande klassiska metoder.

Guy Caspi.

Exakt hur får vi inte reda på, men ordet beteende dyker upp här och där under anförandet, samt att Nvidias kretsar är de enda som effektivt kan användas till företagets produkter. Jo, det är så sant, klienterna är små till sina beräkningsmässiga fotavtryck och kan utan vidare köras på till exempel mobiler. Jag stänger diskret av min.

En av journalisterna dristar sig till att fråga om Deep Instincts produkter kan användas på ett offensivt sätt?

– De kan inte användas till attacker, även om jag inte kan garantera det till 100 procent. Deep learning är så komplext att vi själva inte kan veta vad som händer ”under huven”, säger Guy Caspi innan mötet är över och vi klart lättade förvisas ut ur kontoret.

Nu vore det orättvist att förklara det israeliska it-säkerhetsundret enbart som ett resultat av statlig finansiering och den militära närvaron. Klart är att den nationella it-säkerheten är mycket högt prioriterad och att säkerheten till stora delar är beroende av att landet producerar företag med hög kompetens inom området. Men nästan alla man talat med håller gärna fram andra komponenter också.

Är tidigt fokuserade på global export

En aspekt är att Israel är ett litet land med ungefär samma folkmängd som Sverige, och en liten inhemsk marknad, fast med den fundamentala skillnaden att de absolut inte kan exportera sina digitala produkter till de närmsta grannarna, alltså återstår en exportmarknad, framförallt USA och i andra hand andra Natoländer. Vilket på sätt och vis gör situationen ganska lik den vi har i Sverige eftersom företagen, från startups och uppåt, tidigt är fokuserade på export till den globala marknaden.

En annan faktor som israelerna gärna framhåller är det multikulturella samhället. Israel är en immigrantnation, med i synnerhet judiska immigranter från världens alla hörn, plus att de tre monoteistiska religionerna ryms inom Israels gränser.

En tredje faktor som av vissa i Israel kallar för produktiv paranoia. Den geopolitiska situationen kan förstås inte viftas bort, fattas bara annat, men den för också med sig att man är extremt skickliga på cybersäkerhet. Detta resulterar i att antalet faktiska lyckade attacker och incidenter är förvånansvärt få, egentligen knappt några alls om man får tro israelerna själva.

It-industrin i Israel är i hög grad fokuserad på just it-säkerhet, och inte så mycket annat. I fredligare regioner som i Skandinavien har vi ur israelernas synvinkel lyxen att kunna utveckla produkter och tjänster som gör livet enklare, billigare, smartare och mer bekvämt. Det vore trist om allt handlade om it-säkerhet, men nog har det svenska samhället ändå en del att lära.

