שם המשחק: מודעות וקבלת אחריות אישית
ראש אכ"א, האלוף חגי טופולנסקי, עשה מעשה ראוי כשהודיע על פרישתו לאחר גניבת המחשב שלו ● זה לקח שגם הנהלות ארגונים במגזר האזרחי-עסקי צריכות ללמוד מהמקרה
פרשת גניבת המחשב מביתו של ראש אכ"א, האלוף חגי טופולנסקי, ולקיחת האחריות האישית שלו העלתה לסדר היום סוגיה קריטית – האחריות על שמירת המידע.
אין מישהו שחושד באלוף הפורש שלא היה מודע לקריטיות של המידע שהוא מחזיק במחשב שלו, אבל מודעות לבד אינה מספיקה. היא צריכה לבוא לצד שינון ואכיפת נהלים, שיהיו ברורים לכל אחד ואחד בכל ארגון ובכל רמה, כמו גם לצד תרגולים ובדיקות קפדניות.
העידן הנוכחי, שבו הגבולות בין העבודה לבית מיטשטשים, לא פסח גם על צה"ל ועל קציניו. גם הם לוקחים את העבודה הביתה, מפני שצרכי הביטחון של ישראל, הלחץ והמשימות הרבות מחייבים אותם להיות זמינים כל הזמן.
התופעה הזו אינה ייחודית לצבא – בעלי תפקידים רבים בארגונים רבים, מאחרון העובדים ועד למנכ"ל, נושאים איתם במכשירים ניידים חומרים רגישים. אלא שבצה"ל מדובר בחומרים שחשיפתם עלולה להזיק לביטחון המדינה. כשזה מגיע לצבא, לא מדובר באובדן מידע מסחרי, אלא בדליפה שיכולה להביא גם לאובדן חיי אדם.
הסברה ותרגול
מנהלי אבטחת המידע בארגונים, ואין ספק שגם בצבא, מוטרדים כיום הרבה יותר מבעבר מדליפת המידע מאותם מכשירים שהמשתמשים לוקחים איתם הביתה. באופן כללי, לא קיימת שליטה על המידע שמסתובב מחוץ לארגון, וכבר צוינו כאן המשמעויות כשזה מגיע לארגון כמו צה"ל.
אחת הדרכים החשובות להגנה על המידע היא הסברה והבהרה לכל אחד מהעובדים והמנהלים בארגון שיש לו על המחשב או הטלפון מידע שאינו פרטי, שהאחריות לשמירת המידע היא שלו ורק שלו. צריך לנתץ את האגדה שלפיה מנהלים הולכים לישון עם המחשב שלהם בבית ומרגיעים את עצמם שהמידע שלהם מוגן, כי הם מעסיקים את מנהלי האבטחה הכי טובים בעולם.
זה יכול להיות נכון, אבל מנהלי האבטחה עומדים בפני דילמה קבועה ולא חדשה: הם היו רוצים לנעול את כל המידע, כדי שאף אחד לא יוציא אותו, אבל הם חשופים ללחצים ולפעמים לדרישות של מנהלים בכירים, שרוצים להיות זמינים כל הזמן, עם נגישות לכל המידע הרגיש ביותר 24 שעות ביממה.
יש לא מעט מנהלים שאף לא מוכנים לשמוע אזהרות ודרכי הגנה על המידע ממנהלי האבטחה ואומרים להם: "אל תעסיק אותי בעניינים טכניים, לך תמצא פתרון". אותם מנהלים חוטאים לעצמם ולארגון שבו הם עובדים, כי פתרונות אבטחת מידע כוללים בתוכם מרכיב של ניהול סיכונים. רק מי שעומד בראש הארגון יכול להחליט שסוג מסוים של מידע, יישומים או גישה לנתונים יהיה נגיש לאנשים מחוץ למשרד והיתר לא. וגם אז, כאשר מעצבים את המדיניות, אסור לרגע לשכוח להסביר לכל אחד ואחד שמרגע שהמידע הגיע למחשב או הטלפון שלו, רק הוא יכול למנוע את זליגתו. זלזול בנהלים, רשלנות, נטרול תוכנות שיודעות להשמיד מרחוק מידע שיש חשש שנפרץ – כל אלה הן פעולות שלא תמיד נמצאות בפיקוח ורק המשתמש בעל המכשיר אחראי לביצוען.
דוגמה אישית
דרך נוספת היא לקיחת אחריות אישית. בעלי תפקידים שהארגון סומך עליהם ומאפשר להם גישה למידע רגיש, בין אם זה בצבא או באזרחות, צריכים לדעת שיש מחיר להזנחה או לשיקול דעת לא נכון.
הדוגמה של ראש אכ"א היא ההוכחה המצוינת לכך. הוא לקח אחריות, הבין שלא עשה את הכול כדי להגן על המחשב שלו וסיים בצורה עגומה קריירה מפוארת של קצין מוערך. אסור לזלזל וכל מנהל, מהבכיר ביותר ועד לאחרון שבהם, חייב להבין שזה יכול לקרות לו בכל רגע. הסקטור האזרחי-עסקי לא יותר סבלני מהצבא כלפי מי שנמצאים אשמים בתופעות כאלה. אף מועצת מנהלים או בעל מניות של חברה לא יכולים להרשות לעצמם לאפשר לאותו בעל תפקיד להמשיך בתפקידו, עם כל הצער שבדבר.
לצד לקיחת האחריות צריכה להיות אג'נדה ארגונית, ששמה את הנושא על סדר היום. צה"ל הוא דוגמה טובה לכך, מכיוון שזה חלק מליבת העיסוק שלו, אבל המדיניות הזו חייבת להיות מיושמת בכל ארגון, ולהיות מלווה בתרגול תקופתי. מספר הארגונים שמבצעים את התרגולים זעום ביותר – בעולם בכלל ובשוק הישראלי בפרט. הנהלות לא אוהבות להתעסק באיומים, הן לא אוהבות חריגה משגרת העבודה הנדרשת כתוצאה מהתרגול ומעדיפה לסמוך על המזל. אלא שבהעדר תרגול, לא יודעים מה לעשות כשהדברים המתורגלים בו קורים באמת.
השורה התחתונה: הנהלות ארגונים צריכות לראות במקרה של גניבת המחשב הצה"לי מראש אכ"א כעוד נורה אדומה, כקריאת השכמה דחופה, רגע לפני שהפורץ יגיע גם אל הארגונים שלהן.
יותר מ שאיבד מידע צבאי, קצין בצבא לא יכול לשפוט את פקודת על עבירות משמעת, כאשר הוא בעצמו לוקח מחשב הביתה, בניגוד להוראות. לא אתפלא אם עשה זאת בתדירות, עד הרגע שזה קרה. לכן ההתפטרות ערכית והכרחית, גם אם במחשב היו רק סרטים מצוירים.