חושבים BCP – אבל לא ממהרים ליישם
בעוד שבעולם גוברת המודעות להשקעות בפתרונות הגנה מפני התקפות על תשתיות IT, הרי בישראל רמת המודעות לא השתנתה והיא במגמת ירידה, עד כדי אדישות מסויימת ● אמנם חושבים BCP, אבל בין זה ובין ביצוע בקצב הנדרש, הדרך עדיין ארוכה ● המגזר הפרטי אינו מפוקח ומותיר את האזרחים לסכנה שלא יקבלו שירות של מרכולים או בתי מרקחת - בעת פגיעה עתידית ב-IT שלהם
ה-11.9.2001 היה ליום בו מדי שנה במועד האמור העולם עוסק בשני נושאים מרכזיים: המלחמה בטרור והיערכות של ארגונים להגנה על התשתיות שלהם, לרבות תשתיות ה-IT.
פיגוע הטרור במגדלי התאומים בניו-יורק חשף בצורה בולטת וכואבת מאוד את העדר המוכנות הנדרשת להתאוששות ממצבי אסון. הנזקים ממתקפת הטרור ההיא הם לא רק בשל אובדן חיי האדם הנורא, אלא גם מהנזקים שנגרמו בשל אובדן נכסי מידע, שגרם לקריסתן של חברות ענק.
אסון התאומים, האיום האיראני, וההתקדמות העצומה של עולם הלוחמה הקיברנטית שבמרכזו הרצון לפגוע בתשתיות הלאומיות של מדינות – כל אלו מחזירים את הדיון לשאלה המרכזית: האם וכיצד מערכות ה-IT הארגוניות במוסדות ממלכתיים ופרטיים ערוכות לקראת אסונות?
דו"ח של חברת המחקר פורסטר (Forrester) המתפרסם במהדורה זו, מעלה כי כמעט שליש מהמנמ"רים בארגונים השונים בארה"ב מעידים כי בשנים האחרונות הנהלות הארגונים שלהם משחררות יותר ויותר תקציבים לטובת פתרונות של המשכיות עסקית (BCP), לצד תקציבים לטובת גיבוי והתאוששות מאסון.
המעניין הוא שהמנמ"רים מנמקים את ההתעוררות של הארגונים, לאו דווקא בהקשר של ה-11.9, כפי שניתן היה לצפות, אלא על רקע הערכות סיכונים שנעשו בארגונים. אלה שעשו זאת, זיהו פוטנציאל לנזקים מאסונות טבע, דוגמת אלה שאכן אירעו בשנים האחרונות. הנה כי כן, פיגועי התאומים היוו זרז להגברת המודעות לצורך בשיפור ההגנה מפני אסונות, והאירועים הרבים שהתרחשו לאחר מכן, האיצו את תהליכי קבלת ההחלטות לגבי ההשקעות בתחום.
ומה בישראל? כמה שזה נשמע לא מפתיע ואולי נדוש, אצלנו הכל כרגיל. לדברי פיני כהן, סגן נשיא ואנליסט בכיר ב-STKI, בישראל כמו בישראל, המציאות היא שמכתיבה את רמת המוכנות וההיסטריה. "אם לפני 2001 רמת המוכנות בישראל ל-BCP ו-DRP היתה 5 בסולם 10", אמר כהן, "הרי שכמה שנים אחרי אסון התאומים, היא הגיעה ל-8, וכיום היא עומדת על 7 בממוצע". לדבריו, בדרך היו שני מיתונים, ובצידם, שקט יחסי בדרום המדינה, וגם הדיבורים על האיום האיראני הפסיקו להפחיד.
יצויין כי למרות האמור, דברים זזים ופרויקטים בתחום מבוצעים. יש לא מעט ארגונים שמתכננים ומתחילים ליישם פרויקטי BCP, אלא שזה מעט מדי ולפעמים גם מאוחר מדי. BCP ו-DRP כוללים כמה רבדים: העסקי, הלוגיסטי, ולבסוף הרובד הטכנולוגי. זהו איננו פרויקט IT טהור, אבל זהו פרויקט שהמנמ"ר מעורב בו מתחילתו, שכן לכל אחד מהרבדים האחרים יש השפעה מכרעת על אופי הפתרון הטכנולוגי. כמו בכל דבר אחר בחיים, הכל מתחיל ונגמר בכסף. מה כמות ההשקעה שמוכנה מועצת מנהלים להשקיע בהיערכות לאסון? זו כבר שאלה שתלויה במוכנות בעלי המניות לספוג נזקים אפשריים אל מול הצורך בהשקעות לא קטנות. זוהי הערכת סיכונים לכל דבר, והיא שונה בכל מגזר וארגון. המנמ"רים, כרגיל, צריכים לספק את הפתרון הטוב ביותר, במחיר הנמוך ביותר.
בישראל, בה המגזר הציבורי והפיננסי מפוקח על ידי רגולציה צמודה, המצב טוב בהרבה לעומת המגזר הפרטי. אבל במצב חירום, קשה לדעת מה יותר חמור וקשה: האם העובדה שמערכות המידע של משרד ממשלתי מסויים לא יתפקדו לזמן מה, או שרשת מרכולים או בתי המרקחת באזור המותקף יפסיקו לתת שירות לאלפי אזרחים, כיוון שמערכות ה-IT שלהן נפגעו.
נוצר מצב חמור, לפיו בעוד משרדי הממשלה חייבים לבצע ולהראות תוכניות הגנה והיערכות מפני אסון, הרי שהמגזר הפרטי למעשה מופקר. אין רשות לאומית אחת שמטפלת בנושא מאלף ואחת סיבות. תחת השב"כ פועלת הרשות הלאומית לאבטחת מידע, רא"ם, שמשמשת כגוף מנחה ומייעץ ל-14 ארגונים וגופים שהוגדרו בחוק, עליהם היא מפקחת, ביניהם חברת החשמל, שירותי הצלה וביטחון ודומים להם.
ב-2006, בשלהי מלחמת לבנון השנייה, נערך דיון בועדת המדע של הכנסת, בסוגיית המוכנות של העורף מפני התקפות טרור קיברנטיות. גם אז עלתה הסוגיה של היקף הכפיפות של רא"ם, ואף הובעה הערכה שיש צורך בגוף ממלכתי לאומי, שיטפל גם בגופים אזרחיים עסקיים, בשל הקריטיות של השירותים שהם נותנים. אף לא אחד מקוראי טור זה, לא יופתע לקרוא שדבר לא השתנה מאז.
שורה תחתונה: בעוד שבעולם גוברת המודעות להשקעות בפתרונות הגנה מפני התקפות על תשתיות IT, הרי בישראל רמת המודעות לא השתנתה והיא במגמת ירידה, עד כדי אדישות מסויימת. אמנם חושבים BCP, אבל בין זה ובין ביצוע בקצב הנדרש, הדרך עדיין ארוכה.
תגובות
(0)