סמוך אך ודא ופרשת Delve

חברת הסטארט-אפ Delve, שפעלה בתחום האוטומציה של תהליכי ציות ואבטחת מידע, נמצאת במרכזו של סקנדל חמור שהתפרץ במרץ 2026. החברה, שנחשבה להבטחה גדולה וזכתה לגיבוי מ-Y Combinator ולשווי של כ-300 מיליון דולר, מואשמת בזיוף שיטתי של דוחות אבטחה והונאת לקוחות ומשקיעים.

פרשת Delve העלתה לפני השטח את השאלה המטרידה: האם המסר המרכזי הוא שאי אפשר יותר לסמוך על בעלי מקצוע? וחשוב מכך, אם האמון העיוור מת, האם על כל מנכ"ל, מנהל או אדם פרטי להפוך למומחה סייבר כדי לבדוק את בודק החדירות, למשפטן כדי לבקר את עורך הדין, ולרופא כדי להטיל ספק באבחנה הרפואית?

רק מהפוסט של Tal Dolev גיליתי את הסקנדל של Delve. 

בפרסומים מסוף מרץ נטען שהחברה ייצרה ללקוחותיה מצג שווא של אבטחה, בעוד שבפועל לא התבצעה כל בחינה אמיתית של בקרות האבטחה שלהם. החברה הואשמה בכך שהיא מספקת ראיות מפוברקות לחלוטין לצורך מבדקים, כולל יצירה אוטומטית של פרוטוקולי ישיבות דירקטוריון שמעולם לא התקיימו, מסמכי מדיניות פיקטיביים ותוצאות של בדיקות טכניות ומבחני חדירות שלא בוצעו במציאות.

עוד נטען שפירמות הודיות ששימשו לסרטיפיקציה שימשו כחותמת גומי לדוחות האבטחה ללא בחינה בלתי תלויה, מה שהוביל למאות חברות שהחזיקו באישורי SOC 2 נטולי כל ערך מעשי, דבר שחשף אותן לאחריות פלילית ולקנסות בגין אי-עמידה אמיתית בתקנות הגנת הפרטיות.

בנוסף, ליבת הקניין הרוחני גנובה מפרוייקט קוד פתוח תוך הפרת הרישיון, כך נטען.

אז מה עושים? אמון עיוור זאת טעות, כך גם אפס אמון. זה אינו בר קיימא. הפתרון כנראה איפשהו בין השניים, אמון מיודע או כפי שהגדיר זאת במקור נשיא ארצות הברית לשעבר, רונלד רייגן, בהקשר של פירוק נשק מול ברית המועצות: "סמוך, אך ודא". 

אם אתם סטארטאפ שרוכש פתרונות אבטחה וציות, הנה 5 כללי זהב כדי לא למצוא את עצמכם עם דוח חסר ערך ומוניטין הרוס:

1. אל תתנו לחתול לשמור על השמנת. אם חברת התוכנה מכריחה אתכם לעבוד עם מבקר ספציפי זה משהו לבדוק. או שתתעקשו על מבקר חיצוני ובלתי תלוי שאתם בחרתם, או שתבדקו היטב במי מדובר, מה ההכשרות וההסמכות ומה המוניטין של אותו המבקר.

2. בדקו את הראיות הגולמיות. אם המערכת מנפיקה דוחות שנראים נקיים מדי, ללא מטא-דאטה טכני או קישור ישיר ללוגים שלכם, אז תתחילו לשאול שאלות. לא מזיק להעלות השערות ולבדוק מדגמית לעומק. אם ספק הפתרון אינו מאפשר זאת, להתעקש או לסרב. שקיפות היא ערך!

3. ציות אמיתי דורש זמן ועבודה. אם מבטיחים לכם SOC 2 מלא תוך שבוע בלחיצת כפתור אחת, אתם לא קונים ציות אלא אולי קונים נייר ריק מתוכן. שוב, אולי זה באמת יעיל וטוב, אבל במקום רק להסתכל על התוצאה, לבדוק מדגמית לעומק!

4. בפרשת Delve, ה-AI היה בעיקר שיווק. בקשו התעמקות טכנית בשיחת המכירה. היכן המודל רץ? איך הוא מאמת את הנתונים? איך מוודאים נכונות ועל סמך אילו ראיות התקבלו מסקנות? אם התשובות מעורפלות, תתרחקו.

5. לפני חתימה, חפשו ב-Reddit וב-GitHub, או בכלל מודיעין גלוי, OSINT. בפרשת Delve, סימנים להעתקת קוד וזיופים צפו שם הרבה לפני שהפרשה התפוצצה בתקשורת.

חוצמזה, בעלי המקצוע הכי טובים הם שקופים, אינם חוששים מביקורת ושמחים להסביר ולנמק אם התוצרים שלהם מלכתחילה אינם כבר שקופים מוסברים ומנומקים. 

הנה חמש שאלות שאפשר לשאול ספק פוטנציאלי בצורה מקצועית ובונה כדי לוודא את אמינות הפתרון:

1. האם המערכת שלכם מאפשרת לי לעבוד עם משרד רואי חשבון חיצוני שאבחר באופן עצמאי לצורך אישור הדוח הסופי?

2. האם תוכל להראות לי דוגמה לנתונים הגולמיים שהמערכת מושכת ישירות מהענן שלי וכיצד הם מוצגים בתיק הראיות?

3. כיצד המערכת מתריעה ומתעדת מקרים שבהם מתגלית חריגה מהגדרות האבטחה הנדרשות בזמן אמת?

4. האם ניתן לקבל פירוט טכני על אופן הפעולה של כלי האוטומציה שלכם וגישה לתיעוד הפעולות שהם מבצעים בסביבת העבודה שלי?

5. במידה שאחליט לסיים את ההתקשרות בעתיד מהו התהליך לייצוא מלא של כל הראיות והמסמכים שנאספו במערכת עד לאותו רגע?

איך אתם רוכשים פתרונות ועדיין עם היד על הדופק? איך אתם מוכרים פתרונות ונוסחים תחושה מוצדקת של אמון?

https://www.linkedin.com/feed/update/urn:li:activity:7446779977229856769/

אנחנו במתמטיקאי מחקר ופיתוח בע"מ מספקים שירותים של מחקר אלגוריתמי יישומי, שירותים של Fractional CTO / Chief Scientist ומייעצים בנושאים של מתמטיקה שימושית, תכן ניתוח שיפור ופיתוח של אלגוריתמים ומבני נתונים. אנחנו גם מבצעים בדיקות נאותות טכנולוגית.

דברו איתי:

שלמה יונה,

מייסד ומדען ראשי, מתמטיקאי מחקר ופיתוח בע"מ

053-7326360

shlomo.yona@mathematic.ai 

https://mathematic.ai

פודקאסט על החברה ועליי, שלמה יונה, ואופן העבודה שלנו ואיתנו: A technical deep dive about Mathematic.ai