צרות מבית

פרשת השבוע עוסקת בחברת בלומברג (Bloomberg), שמעדה בשמירה על צנעת הפרט של לקוחותיה. מדובר בחברה הגדולה בעולם בתחום המידע הפיננסי, שזרועותיה עוסקות בניתוח מידע כלכלי וכוללות מערכות ממוחשבות, ערוץ טלוויזיה, תחנת רדיו ושלוחות בעיתונות המודפסת. היקף פעילותה עומד על מיליארדי דולרים. את עיקר ההכנסות והרווחים שלה מחוללת מערכת ממוחשבת, שמספקת, תמורת תשלום לא צנוע, מידע ממוחשב ומתעדכן למאות אלפי לקוחות ברחבי העולם. התקלה אירעה בליבה של מערכת זו.

מסתבר שמזה זמן רב, עיתונאים ברשת בלומברג צופים דרך קבע בהתנהגות הלקוחות המנויים על השירות של החברה. מעקב אחרי אנשים מסוימים, לאן הם נכנסים ומה הם מבקשים ללמוד, יכול להוליד מסקנות מעניינות. במידע זה נעשה שימוש במאמרים וניתוחים כלכליים רבים. הפרשה יצרה רעש מתגלגל, כאשר חלק מהתהודה הגדולה יש, לדעתי, לייחס לעובדה ששחקנים לא מעטים במדיה המנגחת הם מתחרים של החברה הכול כך מצליחה. סביר להניח שבעוד ימים ספורים תישכח הפרשה ואת הכותרות תמלא מחליפתה התורנית. עד אז ראוי לפחות להפיק לקחים ומשמעויות, מבלי להתעכב אפילו על פרטי האירוע החולף.

ככל שנוקפות השנים גדלה תשומת לב המנהלים לאבטחת מערכות המידע בארגוניהם. אולם, שלא בצדק, היא מתמקדת באיומים שמקורם מחוץ לארגון. בפועל, החשיפה הגדולה היא כלפי פנים, הצרות מתחילות בבית. מי בחברה פנימה מגיע לאיזה מידע? מי מהעובדים נוקט באיזו פעולה? אנשי הטכנולוגיה יגיבו מיד ברפלקס ויסבירו שקיימות מערכות מידור והרשאה. בחלק מהמקרים זה אמנם נכון, אבל גם אז, זה לא פותר את כל הבעיה. כאן עולות השאלות: האם בתוך הארגון פנימה קל לשמור על סודיות הסיסמאות? ומה באשר לנוכחות צד ג' בשעה שמישהו בעל הרשאה גולש?

בעיה גדולה עוד יותר מתקיימת כשבעל היתר גישה מועל בתפקידו. הרי כבר שמענו על חיילת זוטרה מורשית כניסה למערכת מידע שנטלה אלפי מסמכים סודיים. האם קיים מנגנון שיכול לאבחן חריגות של אנשים מורשים? האם מנגנון זה בכלל מופעל ונאכף? האם אנשים לוקחים הביתה מסמכים מסווגים ומתעלמים מאיסורים מפורשים? ידוע, למשל, כמה קל וזול יחסית בארץ לקנות מידע שהושג בדרך לא חוקית ושמקורו במערכות מידע בארגונים מכובדים. לפחות בחלק מהארגונים האלה קיימות לכאורה הגנות לא מעטות, על מערכות המידע שלהן.

מידע שווה כסף, לפעמים סכומי עתק. כסף עלול להטות התנהגות של עובדים, כאלה שגישתם לבסיסי הנתונים לגיטימית לכאורה. כמו בכל נושא, הכול מסתכם בניהול. הבנת הקושי, בחירת הפתרונות האופטימאליים, יצירת אווירה הולמת, אכיפה ובקרה. עבודה סיזיפית ונטולת ברק, לא משהו ששובה לב מנהלים. ביותר מדי ארגונים שאני מכיר מסתפקים בדיבורים על האקרים, מתקפות בינלאומיות ומלחמות בין כוכבים. בינתיים, בתוך אותם ארגונים יש הפקרות מוחלטת. הפגיעות מבית מתרחשות באין מפריע.