אבטחה זו לא רק טכנולוגיה

מחדל האבטחה המביש שאירע בלשכתו של הרמטכ"ל, רא"ל גבי אשכנזי, אינו שייך לכאורה לתחום עניינו: חייל ביחידה שתפקידה לאבטח את לשכת הקצין מספר אחת בצה"ל, החליט לבצע עבירה פלילית תמורת בצע כסף. לכאורה, אף מערכת מיחשוב לא יכולה היתה לנבות מקרה שכזה. האמנם?

כל אירוע אבטחה נושק כיום בדרך כלשהי לנושא אבטחת המידע, עליו אנו כותבים במדור זה רבות. ראשית, הוא מתייחס לפרק מאוד מרכזי בתורת אבטחת המידע, שנלמד בכל בית ספר שמכשיר אנשים בתחום: האיום הגדול ביותר בארגון הוא העובדים – אלו שנמצאים במעגל הקרוב ביותר לאובייקט המאובטח. התופעה מוכרת בעיקר בענף הפיננסי (מישהו אמר אתי אלון?).

אחת הדרכים בהן מלמדים בבתי הספר השונים להילחם בתופעה, היא שינון ועיצוב מתודולוגיה שתעצב תהליכי עבודה, נהלי בקרה ואבטחה שמרועננים באופן תדיר. זוהי תורה שלמה שמשלבת טכנולוגיה עם תפיסות ניהול, תרבות ארגונית ומשמעת פנים ארגונית. מנהלי אבטחת מידע בארגונים רבים משולבים במערך האבטחה הפיסי של הארגון ולאו דווקא באגף ה-IT. ההפרדה המבנית בין שני התפקידים אינה מקרית. קצין הביטחון מבין היטב באבטחה פיסית, בבקרת כניסה ובזיהוי איומים, ואילו מנהל אבטחת המידע תפקידו לספק לו את הכלים הנכונים כדי שיוכל ליישם את תפיסת הביטחון הכוללת של הארגון.

למה אנו טורחים ומסברים זאת? כי עם כל המאמץ בלא לאבד את הפרופורציות בפרשת הרמטכ"ל וכרטיס האשראי שלו, אי אפשר להתנתק מהתחושה הכוללת, שהחיבור שבין האבטחה הפיסית של הרמטכ"ל ולשכתו, ובין זו המיחשובית – כמעט שלא קיים. יכול להיות שיש קשר בין הגורמים, אבל הוא לא נראה לעין בעליל בפרשה זו. אם חייל – מצטיין ככל שיהיה – מסוגל להיכנס מתי שמתחשק לו ללשכתו של רא"ל אשכנזי ולעשות שם ככול העולה על רוחו מבלי שאף אחד ישאל אותו למה, אז משהו לקוי מאוד בתפיסת האבטחה הצה"לית.

פלזמה אינה בושה

אי אפשר גם להסתיר את התחושה שכל נושא התיקשוב בצה"ל אינו עומד בראש סדר העדיפויות של המטה הכללי. הרמטכ"ל הנוכחי קיבל את הצבא לידיו באחת התקופות הקשות שלו, ותפקידו היה להעמיד אותו על הרגליים, כלומר להכין אותו למלחמה הבאה. במעט הראיונות שנתן אשכנזי, הוא לא הסתיר את הכיוונים אליהם הוא רוצה לקחת את צה"ל – ובראשם החזרת כושר הלחימה הצה"לי. הרמטכ"ל העדיף לזהות את עצמו יותר עם חייל קרבי בגולני, שאוכל לוף ומכוון את הנשק לאן שצריך, למרות שאחד הכלים החשובים שבעזרתם הוא יכול להגיע למטרות שהציב, הוא נושא התיקשוב.

זה לא אומר שהתיקשוב בצה"ל נעלם. נעשו פרויקטים עוד לפני בואו של הרמטכ"ל והם ימשכו אחריו. המבחן של מנהיג ארגון אינו בדברים השוטפים שמתנהלים ממילא – אלא בחותם שהוא ישאיר אחרי לכתו בכל מה שקשור לקדמה שתעמיד את צה"ל ראשון בשדה הקרב העתידי.

כל זה לא קורה, כי הצבא עדיין עובד בסביבה עוינת ל-"פלזמות" המפורסמות ממלחמת לבנון השנייה. קצין בכיר שהוא כנראה לוחם מצטיין – אבל לא חכם במיוחד, אמר לאחר מבצע עופרת יצוקה שצה"ל ניצח הפעם בלי ה-"פלזמות" וכל הגאדג'טים האחרים (ציטוט לא מדויק). משום מה אף אחד לא קם והסביר לו שללא כל מה ש-"הפלזמה" כמטאפורה מייצגת – לא צה"ל ולא שום צבא אחר היו מגיעים להישגים.

ואם נחזור לקריה בתל אביב ולחורי האבטחה שנתגלו בה, יתכן והאירוע המביך והחמור הזה שקרה לרא"ל אשכנזי, יצוין כאירוע מכונן, שבעקבותיו לא רק יספרו לנו בתקשורת שתפיסת הביטחון בקריה "עודכנה", אלא נראה את זה גם בשטח. אבטחת מידע אינה רק מאבטח של השב"כ מחד, או תוכנת אנטי וירוס מאידך; היא אחד הנתיבים שלאורו צה"ל יכול להמשיך ולבנות את עצמו.