לקראת אירוע | הגנה על חדרי מחשבים מול אסונות
בשנים האחרונות, ובמיוחד מאז אירועי 9/11 בארה"ב והצונאמי ביפן, נושא האבטחה והשרידות הפיזית של ה-Data Center מקבל תשומת לב שהייתה חסרה במשך זמן רב, רב מדי. לפעמים מוזר לחשוב שהיה צורך בטרגדיה בעלת עוצמה ויזואלית מהממת, המוקרנת על מסכי הטלוויזיה בכל העולם בזמן אמת כדי להזכיר לנו, שלכל דבר של ערך יש חורשי רעה ששמו לעצמם מטרה לפגוע בו. בזירה המקומית הישראלית, מבצע עמוד ענן, שהסתיים שבוע שעבר, מדגיש עד כמה חשוף העורף הישראלי לפגיעות הרסניות.
אבטחה היא חלק מהמתודה התכנונית
הגישה של BunkerSec אומרת שאת ה-Datacenter צריך לתכנן מראש כמתקן מאובטח, שמסוגל לתפקד במצבי אסון קיצוניים, אך גם להיות נוח בשימוש יומיומי ויעיל כמרכז שליטה להנהלת הארגון. מההבנה העמוקה של איך Datacenter עובד בעולם האמיתי נגזרות התובנות איך להבטיח את המשכיות עסקית גם כאשר המציאות בחוץ הפכה לכאוטית. בבונקרסק מחפשת מענה אמיתי לאתגר התפעולי בתסריטים שונים, חלקם קיצוניים. התסריטים שאנו נערכים מולם הם ריאליסטיים לחלוטין והפתרונות מגלמים ניסיון שעמד במבחנים קריטיים, ששום "בית ספר" אחר לא יכול לדמות בתרגיל תיאורטי.
מהניסיון שלנו בהקמת Data Center קיימות שתי תובנות מרכזיות שהנן שגויות:
• השרידות של Datacenter לא נמדדת בעובי הבטון או בעומק המרתף. בנייה תת קרקעית, קירות חזקים וארכיטקטורה הממזערת נזקים במקרה של חדירה הם רק דרישות הבסיס. אבל יש מספר עצום של פיגועים שיכולים להשבית את המערכות בלי לחדור למעוז התת-קרקעי שבניתם. החל בפגיעה במערכות הקירור וההספק שעל פני הקרקע, דרך שבירת הצנרת כתוצאה מרעידה או גל הלם בקרקע וגרימת הצפה פנימית, וכלה בחסימת האפשרות להביא עובדים למתקן. מתקנים מסוימים צריכים להיות חסינים גם לפולסים אלקטרומגנטיים (EMP), נושא הנדסי מורכב הדורש התמחות בפני עצמה. שוב, רק גישה הוליסטית המנתחת את כל התרחישים האפשריים, משקללת את סבירותם ומכמתת את מחיר המניעה, יכולה להבטיח הקצאה אופטימלית של תקציבים לכל אספקט של אבטחה.
• תוכנית התאוששות מאסונות (DRP) אינה המטרה אלא חלק מהאמצעים. המטרה היא הבטחת המשכיות עסקית (Business Continuation) וזה מה שדורש הרגולטור מארגונים מפוקחים. לדוגמה, הדרישה מבנק היא להמשיך לתפקד גם אחרי שמרכז העסקים הראשי שלו נפגע – וכדי לעמוד בדרישה זו עליו להכין מרכז תפעול חלופי, בו יהיה כמובן גם Datacenter חסין אסונות. אבל מחשבים לכשעצמם לא עושים בנק חי, ויש צורך לאפשר להנהלת הבנק לעבור לאתר הגיבוי ולהמשיך בניהול ממנו. אנחנו מאמינים שעלינו להגן על ליבת העסקים וזו כוללת אנשים, לא רק ציוד. כפי שפעולת המחשבים דורשת שרידות של מערכות סביבה ספציפיות – אספקת חשמל, מים, קירור וכדומה – כך גם צריך לדאוג לתנאי הסביבה של האנשים. החל במזון והגנת אב"כ וכלה באזור שינה ומנוחה, לתקופה שיכולה להתמשך יותר מימים ספורים. אבטחת שרידות עסקית דורשת הבנה של נושא שכמעט לא מכוסה בספרות המקצועית: מה הם תנאי הסביבה הדרושים לעבודה בתנאים של בידוד גמור.
המודעות להמשכיות עסקית מתרחבת
בעוד עיקר ההגנה בישראל מתמקדת במערכות שלטוניות, אך עלינו לזכור שבחברה מודרנית יש מאות ואלפי ארגונים עסקיים שפעולתם התקינה חיונית לכלכלה הלאומית לא פחות מעבודתם של משרדי הממשלה. כיום הרגולטורים באים בדרישות רק למגזרים ספציפיים במשק, אך אפשר בהחלט לצפות שבעתיד עוד ועוד מגזרים, שהיום פטורים חובת "המשכיות עסקית", ידרשו גם הם להוכיח את חסינות מערכות המידע שלהם
