תשתיות לאומיות בסיכון גבוה
מאת אריאל פלד, נשיא האיגוד הישראלי לאבטחת מידע
רעש האדמה ביפן והשלכותיו הטראגיות, שעדיין חקוקות בזכרוננו והיקפן טרם ידוע, מעלים את השאלה האם ואיך אנו בישראל ערוכים לסיכונים לתשתיות הלאומיות שלנו. מהן תשתיות לאומיות? תשתיות לאומיות כוללות תשתיות תעבורה (כגון נתיבי תחבורה, אוטובוסים, רכבות, מטוסים וכו'), מים, חשמל ואנרגיה, תקשורת, תשתיות חירום (משטרה, מד"א, מכבי אש, פיקוד העורף), מערכת הבנקאות ועוד.
ללא התשתיות הלאומיות (ודי אם רק אחת מהן חסרה) אין מדינה יכולה לתפקד כמעט בכלל. על כן, הגנה על יציבותן היא משימה לאומית ברמת חשיבות עליונה.
היציבות של התשתיות הלאומיות נבחנת בשעת משבר – רעידת האדמה ביפן והדליפה בכורים, השריפה בכרמל, מלחמה (כגון מלחמת לבנון השנייה), או אירועים נקודתיים כגון נפילות הרשת של סלקום ובזק. הסיכוי למעבר אירוע כזה בשלום (יחסי) הוא תולדה של רמת ההיערכות המוקדמת. ככל שההיערכות נעשית באופן מקיף ומעמיק יותר, ורמת ניהול התהליכים בשלה יותר, הסיכוי, כמובן, גדול יותר.
להיערכות בפני קריסת תשתיות יש פנים רבות, כגון BCP, בקרת תהליכים אפקטיבית, ניהול סיכונים ועוד. פן נוסף הוא ההתמודדות עם סיכוני אינטרנט (סייבר-סקיוריטי). התקפה קיברנטית כבר אינה תיאורטית כיום, וישנן כבר דוגמאות לנזקים מהותיים שהיא גורמת (לדוגמא, הכור באיראן).
כיוון שישראל היא מעצמת הייטק, ובפרט באבטחת מידע, ניתן היה לשער שסיכוני האינטרנט יהיו מטופלים בצורה מתקדמת ועפ"י מיטב הידע והפרקטיקה, אך אין הדבר כך. בארה"ב, למשל, מינה הנשיא אובמה את הנשיא של האיגוד הבינלאומי לאבטחת המידע (ה-ISSA, ארגון הגג של האגודה הישראלית) להיות האחראי על סייברסקיוריטי. סייברסקיוריטי בישראל, לעומת זאת, ובמיוחד בשוק האזרחי (שכן, למוסדות הממשלתיים יש ועדה ייעודית משלהם), אינו עומד על סדר היום כלל. זאת, למרות התקפות יומיומיות על אתרים וחברות ישראליות.
לאחרונה, במסגרת הוועדה למדע וטכנולוגיה, נערכה פגישה בכנסת בין מספר בעלי עניין (נציגי חברות פרטיות, ציבוריות וממשלתיות) לבין מספר חברי כנסת, שדנו בנושא והחליטו שיש לעשות משהו בנדון. למרות החלטה זו, לא נקבעו צעדי המשך מוגדרים או אפילו תאריכים לפגישות נוספות. אין זו הפגישה הראשונה שמתקיימת בנושא. בשנת 2006, כתוצאה ממלחמת לבנון השניה הנושא עלה בועדת המדע והטכנולוגיה (קובץ RTF להורדה מאתר הכנסת), וגם אז – ללא צעדים אופרטיביים (קובץ PDF להורדה מאתר משרד הבטחון), ומאז לא נעשה דבר. רמז לסיבה לכך ניתן למצוא בעובדה שאת מרבית התשובות לשאלות שהעלו הח"כים סיפק אריאל פיסצקי, סגן נשיא האיגוד הישראלי לאבטחת מידע ומנהל אבטחת המידע של נטוויז'ן בזמנו, ולא נציגי המדינה. כאשר נשאל נציג המדינה האם קיים שיתוף בין הידע הממשלתי ובין החברות המסחריות, ענה הנציג שיש שיתוף פעולה א-פורמלי. בתרגום מישראלית: הם (החברות המסחריות) ניסו לעניין אותנו בזה, אבל אנחנו מסמסנו את זה עד שנמאס להם.
בשנת 2004 נערכה פגישה דומה, וגם בה נקבע שהנושא חשוב, אך גם לפגישה זו לא נקבעו צעדי המשך. מה הסיכוי לשינוי? נראה שלא גדול במיוחד. אין הדבר נובע, לדעתי, מאג'נדה נסתרת או כישלון נקודתי. נראה שהדבר מהווה סימפטום לבעיה המוכרת של חוסר יכולת נבחרי הציבור בישראל לנהל את מוסדות המדינה במבנה השלטוני הקיים כיום, כלומר אי-יכולתם לתרגם מטרות לאומיות (גם כאלה שהן בסדר עדיפות גבוה) לתכניות פעולה ולאכוף את מימושן.