סי ברה מז'ור

לחובבי המוזיקה הקלאסית שבינינו, מושג כמו "סי ברה מז'ור" מתקשר מיד ליצירות מופלאות של בטהובן, היידן, וזמרות כמו ג'סי נורמן ועוד. ל-"חובבי" הסייבר, המושג "סי ברה מז'ור", לרוב, לא אומר דבר. כיוון שלמזלי (או שלא), אני משתייך לשתי הקבוצות, המושג התקשר אצלי מיד לתחום ה-"סייברי", רק בחלוקת אותיות קצת אחרת – "סייבר המז'ור". וממש כמו שבתורת המוזיקה המילה מז'ור פירושה גדול, ראשי, כך גם בהקשר הסייברי. הנושא הפך לאחד מהתחומים הראשיים והעיקריים, לא רק בתעשיית התקשוב אלא גם בחיי היום יום של כל אחד ואחת מאתנו.

המושג הדיגיטלי, שרק לא מזמן שידר חדשנות מזהירה, הפך כבר מזמן ליומיומי ונורמלי. כמעט בכל תהליכי החיים שלנו משולבים רכיבים דיגיטליים ואפשר לטעון שלא רק משולבים, אלא תלויים בהם.

מסיבה זו בלבד, ההתמודדות עם איומי סייבר הפכה למרכזית. איומים אלה הינם בעלי פוטנציאל פגיעה בפרט, בארגון, בתעשייה, במדינה ואף בגוש מדינות. לאיומים אלה אין גבולות גיאוגרפיים, אין מגבלות מקום פיזי הנדרש להתארגנות התקיפה, אין צורך בהשקעות עתק ואפילו השורה "מלחמות כבר לא קורות בחורף" כבר לא כל כך מדויקת בהקשר זה.

התמודדות עם איום מסוג זה מחייבת שינוי במספר תובנות וגישות של כלל הגופים המתמודדים עימו, אך אתמקד בחברות עסקיות ותעשייתיות, על אף שהתובנות וההתנהגויות שאציג ישימות עבור כולם.

התובנה המרכזית היא שאיום הסייבר מצטרף לכל הנושאים אשר כל ארגון רואה בהם תחומים קריטיים להתפתחותו: חוזקו הפיננסי, יתרונו ובידולו התחרותי, מוניטין ובעיקר שרידותו. איום הסייבר חייב להיות ממוקם בין התחומים הנמצאים בעדיפות הגבוהה ביותר של הארגון. פגיעת סייבר עלולה לפגוע במהתחומים הקריטיים שהוזכרו לעיל. אך גם ההיפך הוא הנכון – ארגון שמטפל באיומי הסייבר באופן נאות עשוי לצבור נכסים נוספים וחוזקות נוספות, גם בתחומים הקריטיים האחרים.

תובנה נוספת היא שכמעט שאין גורם, תהליך עסקי או תהליך טכנולוגי בארגון שאינו מחייב תשומת לב בראיית איום הסייבר, גם אם הגורם עצמו אינו בהכרח מוצר תקשובי או דיגיטלי. לדוגמה, הגורם האנושי, מידע, גם אם הוא בניירת, מתחמים פיזיים, גורמי חוץ וספקים, משפחות העובדים ואחרים.

עוד תובנה חשובה היא שהפעילות מול איומי הסייבר היא פעילות מתמדת מול יצירתיות אין סופית של המאיימים. ארגון שהגיע למסקנהש עשה מספיק והוא מוגן נמצא בסיכון הגבוה ביותר והפגיעה בו היא רק עניין של זמן.

ובכן, מהן הגישות העיקריות שיש לנקוט בכדי להתמודד? ניתן לכתוב ספרים רבים בכדי לתת תשובה לשאלה זו. אפשר לסקור רבבות כלים טכנולוגיים הקיימים בשוק והמפותחים תוך כדי כתיבת שורות אלה. אתייחס לגישות ולפעולות שלדעתי הן המרכזיות (מז'וריות) ומהוות את הבסיס לפעולות משלימות או הנובעות מגישות אלה.

Cyber as Normal – יש להפוך את הפעילות של הגנה בפני איומי סייבר לחלק בלתי נפרד של כלל התהליכים הארגוניים והעסקיים. פעילות זו חייבת להיות משולבת ב-Workflow הרגיל של הארגון ולא להיות מטופלת כרכיב ייחודי מחוץ לתהליך. כך, לדוגמה, בתהליך ייצור של פריט במפעל, חייבות פעולות גידור איום הסייבר להיות משולבות ב-Workflow הכולל בנקודות השונות בתוך התהליך עצמו. התייחסות לפעולות הגנת הסייבר כמשהו ייחודי ויעודי, אשר הטיפול בו הוא דרך הגברת מודעות בלבד ופעולות ייחודיות וייעודיות אינו נכון, לא מספק ולא מביא לתוצאות הרצויות.

Cyber By Design – פעולות הגנת הסייבר חייבות להיות מוטמעות כבר בתהליכי התיכון (Design). גם בתיכון פרויקטים טכנולוגיים והן בתיכון של פרויקטים ארגוניים ותיכון תהליכים עסקיים ותהליכים פנים ארגוניים.

Cyber for the World – אף על פי שניתן לשייך זאת לפעולות הנובעות מגישת Cyber as Normal, מצאתי לנכון להגדיש גישה זו. פעילות רבה של הארגון היא בעלת ממשק אל מחוצה לו – לעולם. ממשק זה מתבטא בתהליכים עסקיים, טכנולוגיים וארגוניים שבזרימתם יוצאים מחוץ לארגון וחוזרים אליו. לדוגמה, תהליכים המשלבים לקוחות, ספקים, יצרנים,  רגולטורים, יועצים וכיוצא בזה. יש לטפל גם בתהליכים וגורמים אלה באופן אינטגרטיבי. הנושא אינו פשוט, כיוון ששליטת הארגון על גורמי החוץ קטנה יותר, אך למרות הקושי – פעילות זו מחויבת. ניתן להתמודד עם חולשת השליטה על ידי הפעלת מנופי עוצמה בהתאם לעיתוי ולשלבי התהליך. למשל, בשלב מכרזי, באמצעות תעדוף טכנולוגי . חשוב לזכור כי אי מתן טיפול לעולם החוץ ארגוני יהווה חולשה מהותית בהתמודדות הארגון באיומי הסייבר.

לסיכום, נושא הסייבר הפך להיות חלק מעולמנו, חלק מהרגיל – לטוב ולרע. ובכדי שאנחנו, חובבי המוזיקה וחובבי הסייבר, נוכל להמשיך וליהנות מה-"סי ברה מז'ור", עלינו לפעול בתובנה שהסייבר הוא כבר מזמן "סייבר המז'ור".

 הכותב הוא סמנכ"ל התקשוב של חברת החשמל