להתכונן להוריקן שלנו

מודלים מתמטיים שהורצו על מערכות מיחשוב מרכזיות בארה"ב, לפני פרוץ סערת ההוריקן איירין בחוף המזרחי, העריכו כי הנזקים שהיא תגרום יסתכמו בכ-4.7 מיליארד דולרים. המספרים מדהימים: בפילדלפיה כמיליון בתי אב נותרו ללא כל אפשרות להתחבר לרשת החשמל, בצפון קרוליינה ההערכה, נכון לכתיבת שורות אלו, היא ש-63 אלף בתי אב מנותקים מחשמל.

סופת ההוריקן האחרונה בהיקף כזה הייתה הוריקן קתרינה, שפקדה את ארה"ב ב-2005 ופגעה בעיקר בעיר ניו אורלינס. כמה שבועות לאחר מכן פרסם העיתון CIO ראיון עם ריי ג'ונסון, מנמ"ר של אחת מחברות האנרגיה הגדולות בניו אורלינס, שסיפר על הלקחים שלו כאיש IT מההוריקן הקטלני ההוא.

החברה של ג'ונסון, שמגלגלת כ-10 מיליארד דולרים בשנה, הכינה תוכנית שנתית מפורטת כיצד להתאושש מאסון, כולל ביצוע תרגילים אחת לשנה. בסוף אוגוסט של אותה שנה החליפה הסופה האמיתית את התרגיל שתוכנן לאותו שבוע, וכל התוכניות היו אמורות לעמוד במבחן המציאות. האירועים שהתרחשו באותו שבוע, שכללו כמובן גם תסריטים שאיש לא חשב עליהם קודם, הוכיחו כי האסטרטגיה שנקט ג'ונסון במשך שנים הייתה נכונה.

כולנו יודעים שזה לא פשוט. כל עוד הסופות או רעידות האדמה לא אורבות מעבר לפינה, מרבית הארגונים דוחקים את ההערכות לשעת חירום למקום נמוך בסדר העדיפויות. הניהול השוטף והדחוף דוחק את החשוב. לכן דרוש מנמ"ר עם צוות חזק ביותר, בעל כושר מנהיגות, שיודע לשכנע את ההנהלה שלמרות הכול יש מקום להכין תוכניות מפורטות לשעת חירום. ה-ROI קל להוכחה כאשר מסתכלים על הנזקים האפשריים לארגון שלא יעשה את ההכנות הדרושות.

בעת כתיבת שורות אלו עדיין אי אפשר להעריך מי מהארגונים אכן הפיק את לקחי הוריקן קתרינה ונערך בהתאם. ארגון ISSACA הבינלאומי פרסם ערב פרוץ הסופה מספר עצות כיצד להיערך להגנה על מחשבים ומערכות מידע. העצות כוללות גם את הדבר הבסיסיים ביותר: ניתוק כל המחשבים מזרם החשמל והרחקת הציוד הרגיש מחלונות ומקורות. עצה נוספת היא לגבות את המידע בצורה יותר אינטנסיבית, ולבצע פעולות שונות להגנה על המידע החשוב. עצה נוספת אותה סיפק הארגון היא לוודא שישנה נגישות לסיסמאות חשובות, במקרה של תחילת התאוששות, כדי למנוע מצב בו המשתמשים נתקעים כי שכחו את קוד הזיהוי שלהם. כמו כן אומרים בארגון כי לא מזיק להכין תוכנית חירום, ואף לתרגל אותה: כיצד לחלץ מחשבים וציוד חשוב אחר במהירות, מהם דרכי המילוט, מה סדר עדיפויות ועוד. סביר להניח שהעצות הללו לא יעזרו למי שחיכה עד לדקה ה-90 ולא עשה כלום, אבל הן עדיין נכונות.

גם אצלנו בישראל עוקבים בדריכות אחרי ההשלכות של ההוריקן על מערכות המידע והמיחשוב. נכון הוא שכאשר מדברים על סופה כמו איירין הדאגה הראשונה היא לחיי אדם, אבל אי אפשר להתעלם מהעובדה שאותם בני אדם שיעברו בשלום את הסופה רוצים לחזור למקום העבודה שלהם, או לעיסוק היומי שלהם, ולמצוא את הכלים שבלעדיהם הם לא יכולים לתפקד. כאן נכנס ה-DRP. אז נכון שבישראל, למזלנו, אנחנו לא חשופים לסופות כמו איירין, אבל לא צריך להיות מומחה גדול כדי למנות שורה של תרחישי אימים שיכולים לגרום נזק לא פחות משמעותי מההוריקן. בשבוע שעבר קיבלנו רמז ברור לכך עם התחדשות ירי הרקטות לדרום ואיומים מפורשים על גוש דן. כבר היינו בסרט הזה. הכנת מערכות מיחשוב ומידע אינה מיועדת רק למקרים של אסונות פיזיים אלא גם להתקפות קיברנטיות, איום שמרחף מעל ראשינו כבר כמה שנים.

שורה תחתונה: סופת ההוריקן איירין צריכה לשמש זרז לארגונים בישראל לשוב ולבדוק את עצמם היטב ולשאול: האם אנחנו מוכנים להוריקן שלנו?