לא מתכוננים כהלכה
סקר שערך DailyMaily בקרב קוראיו העלה, כי 70% מהארגונים בארץ לא ביצעו ולו תרגיל חירום אחד כדי להיערך לסכנות המאיימות עליו ● עם כל הכבוד לשר איתן ולדוברים המכובדים האחרים שמנסים להרגיע אותנו, מוטב שהמגזר העסקי ישנס מותניים ויתחיל להכין את עצמו לבאות - ויפה שעה אחת קודם ● הגיע הזמן להתעורר
ההתקפות על אתריהם של הבורסה לניירות ערך, אל על והבנק הבינלאומי שאירעו אתמול (ב'), ממשיכות לעורר מחלוקת בזירה הפוליטית. השר מיכאל (מיקי) איתן, הממונה על שיפור השירות לאזרח, הביע עמדה מפתיעה וטען, כי הפריצות מעוררות היסטריה מיותרת, שעלולה להביא לתגובה קיצונית, שתגרום נזק חמור יותר.
בראיון ליומן הבוקר של קול ישראל, תקף הבוקר השר איתן את ח"כ רונית תירוש, יו"ר ועדת המדע והטכנולוגיה של הכנסת, שסבורה כי ההתקפות מהוות חלק ממלחמת סייבר שהוכרזה על ישראל, וכי יש לטפל בהן ברמה הלאומית. ח"כ תירוש ביקשה לכנס בדחיפות דיון משותף של ועדת המדע והטכנולוגיה ו-ועדת החוץ וביטחון, כדי לדון במצב.
היסטריה לא הועילה מעולם לאיש, בוודאי לא במצבי חירום, אולם טועה השר איתן בנסותו לשוות לאירועים האחרונים מימד של פעילות שגרתית, שמדי פעם צצה לכותרות. הטענה הבסיסית של השר היא, ששום נזק ממשי לא נגרם לאף אחד כתוצאה מהתקיפות וכי המדינה והמשק יכולים לעמוד בזה.
מנגד, השתתפו באותו משדר שני מומחי אבטחה שאמרו, כי תהיה זו טעות חמורה למסגר את האירועים האחרונים כמקריים ולא לייחס אותם לאיומים האזוריים על המדינה. המומחים צודקים. ככול שנמעיט בחשיבות האירוע, ונשכנע את עצמנו שמדובר במשהו חולף, כך נגביר את הסכנה שנמצא את עצמנו חסרי אונים אל מול התרחיש שבו השר איתן טועה, ואכן מדובר במלחמה קיברנטית כוללת.
הוכחה קטנה ונקודתית לכך ניתן לקבל מסקר מהיר שערכנו ב-DailyMaily בשבוע האחרון. מנהלי אבטחת מידע ומנמ"רים נתבקשו להשיב על כמה שאלות הקשורות להיערכות לחירום בארגוניהם. בתשובה לשאלה, האם לדעתכם ארגונכם מוכן להתקפות סייבר, התפלגו התשובות באופן הבא: כשליש מהנסקרים השיבו בחיוב, שליש אחר הודה שיש עוד הרבה מה לעשות ושליש אחרון העריך שארגונו ערוך בצורה חלקית.
התשובה החשובה ביותר, שמלמדת יותר מכל על האדישות הקיימת בענף, היתה על השאלה, מתי ואם בכלל ערכו בארגונך תרגילים חירום? כלומר: מתי בפעם האחרונה תרגלו המנמ"רים ומנהלי אבטחת המידע מצבי קיצון שבהם כל מחשבי הארגון מושבתים ועליהם לעבור לאתרים חלופיים או לממש פתרונות חירום אחרים? התשובה: 70% מהנסקרים הודו שלא ביצעו ולו תרגיל חירום אחד בשנה האחרונה. כ-25% מהמשיבים ערכו תרגיל אחד בשנה שעברה והשאר העדיפו שלא להשיב על השאלה הזו, אולי מטעמי בושה.
הנתון החשוב הזה צריך להדליק נורה אדומה אצל מועצות המנהלים של אותם ארגונים, כמו גם אצל זרועות הביטחון, שבעת חירום אחראיים גם על העורף. חברי הדירקטוריונים יעשו טובה גדולה לעצמם ולארגונם אם יתעוררו מהתרדמת שנפלה עליהם. שום ועדת חקירה שתקום בשש אחרי המלחמה (ויקומו לא מעט) לא תקבל את התשובות "לא ידענו", "לא הזהירו אותנו" או "לא היה לנו תקציב". הוועדה גם לא תקבל זאת בהבנה אם בשעת חירום רשתות המזון הגדולות לא תוכלנה לספק לחם לתושבי קריית שמונה או באר שבע, כי המחשבים שלהן נפלו.
הממשלה, שהעומד בראשה הכריז על הקמת מטה סייבר לאומי, חייבת למצוא דרכים לפקח על הסקטור האזרחי, ולעודד אותו להיות מוכן טוב יותר. אין ספק שמנהלי אבטחת המידע והמנמ"רים לא אדישים; הם מכירים את הנושא, מודעים לבעיות ולא לוקחים ברצינות יתרה את ניסיונות ההרגעה של שרי הממשלה. האחריות כאן היא על מקבלי ההחלטות ועל הממשלה, שבמקום לנסות לפרשן את המציאות, עליה להיערך במהירות להגן טוב יותר על אתרי האינטרנט של אותם ארגונים שמחר בבוקר עלולים להיות מותקפים ולמחוק לכולנו את החיוך מהשפתיים. ויפה שעת אחת קודם.
רוצים לשמוע עוד? הירשמו עכשיו לכנס CyberSec של אנשים ומחשבים
יהודה, כמה שאתה צודק. כולם מבטיחים, כולם מרגיעים, כולם מתרצים אבל לא עושים כמעט כלום