אזעקת אמת במגזר העסקי

האזעקות שהושמעו היום (ג') ברחבי הארץ נועדו לתרגל את מערכות הצופרים, שבזמן אמת אמורות להתריע מפני הפגזות וטילים ולשלוח אותנו למרחבים המוגנים. על פי הערכות של מערכת הביטחון, בכל סבב אלים שיהיה באזור – מצפון, מדרום או משניהם ביחד – הנזקים לחיי אדם יעמדו על מאות הרוגים, ועל פי לקחי מבצעים אחרונים, קרוב ל-750 אלף תושבים יצטרכו לעבור ממקום למקום.

כל זה טוב ויפה, ואין ספק שתרגול העורף הוא דבר חשוב ומתבקש, אבל גם הפעם, כמו בכל השנים האחרונות, יש תחום אחד שלא מתורגל, והוא היכולת של המגזר העסקי להמשיך לתפקד במתכונת חירום. בין אם מדובר במגזר הציבורי או העסקי, בין אם הוא יספוג פגיעה ובין אם לאו.

תפיסת ההגנה האזרחית בישראל תקועה עדיין 10-15 שנים אחורה. היא מתמקדת רק באיום הקיומי, הפיזי, ומתעלמת ממערכות שלכל אחת מהן יש השפעה ישירה על אורח החיים של כל אחד ואחד מאיתנו – בעבודה, בדרך הביתה ובכלל בתפקוד היום יומי. נפילת רקטות עלולה לגרום גם לשיבוש של מערכות מחשב, תשתיות קריטיות מבוססות מערכות מידע ומערכות אחרות. יש מגזרים שלמים – כגון פיננסים, בריאות, קמעונאות ותחבורה – שפגיעה בתשתית המחשב שלהם יכולה לשבש מדינה שלמה.

מה לא תרגלו וככל הנראה גם לא יתרגלו? את מוכנות העסקים הגדולים והקטנים, את מוכנות החברות שמספקות שירותים או אחראיות על תשתיות חשובות, ואת היכולת שלהם להתאושש או להמשיך בפעילות, זמן קצר לאחר שקורה אסון. אין הכוונה רק לאסון כתוצאה ממתקפות – גם אסונות טבע ותקלות יכולים לגרום לנזקים חמורים.

כיום, מנחה את מקבלי ההחלטות תפיסת הגנה שמבוססת על שלוש רגליים: האחת היא התרגול של ריצה למקלטים והגנה על העורף במונחים שכולנו מכירים. ללא ספק, יש לזה חשיבות עליונה, זה תרגול שלנו, האזרחים.

הרגל השנייה נוגעת לתפקוד של מערכות קריטיות ותשתיות לאומיות. היא מהווה עוד הוכחה לכך שהקדמה באספקט הזה נעצרה לפני שנים רבות. תשתיות לאומיות מוגדרות בחוק בהיבט הכי צר שלהן – חברת החשמל, מקורות, חדרי מיון בבתי חולים ועוד. הגופים האלה מפוקחים בצורה זו אחרת, הם מונחי רגולציה, והתרגול שם הוא עניין של שגרה. אלא שזה לא מספיק.

שלישית מבין הרגליים היא רגל וירטואלית. מדברים עליה הרבה, מודעים לקיומה אבל לא ממש מטפלים בה: זוהי הרגל העוסקת במערכות הטכנולוגיות שיכולות להשתבש או אף להפסיק לפעול, בין אם כתוצאה מפעילות סייבר ובין אם מנזקים פיזיים.

המדינה מסתמכת על הארגונים שיגנו על עצמם

הממונים על הביטחון בעורף יוצאים מתוך הנחה שבמאה ה-21 כל ארגון מגן על המערכות שלו – בין אם זה מתוך אינטרס כלכלי או ציבורי, או הכרח חוקי. לכן, שום גוף ממלכתי, ציבורי או ממשלתי לא ממש אחראי עליהם, לא מפקח על ההיערכות שלהם.

מה קורה בשטח? תמונת המצב היא שמרבית הארגונים אכן ביצעו בעשור האחרון פרויקטי DR, יש להם מתקני גיבוי, הם מחוברים לדטה סנטרים וחלקים הולכים וגדלים מהם אף עוברים לענן, עם כל המשמעויות שלו. אבל החוליה החסרה בסיפור הזה היא התרגול, הניהול, הבקרה והפקת הלקחים. כאן יש ואקום שקיים כבר שנים, מאז ימי המחשב הראשונים, והוא הולך ומתרחב ככל שהתלות של ארגונים במערכות טכנולוגיות הולכת וגדלה.

התרגול הוא בין הנקודות החלשות בכל ארגון. מנמ"רים ומנהלי טכנולוגיות ברמות שונות יודעים לספר על דרך ייסורים שהם עוברים בכל פעם שהם מנסים לשכנע את ההנהלות שיש צורך לתרגל תסריטי חירום. ההוראות אינן מחלחלות ותרגולים מלאים עם השבתות אמיתיות של מערכות כמעט שלא נעשים, ואם כן – בצורה חלקית.

מה שנותר זה להאמין ולקוות שבזמן אמת הדברים יעבדו ולא ייווצר מצב של פגיעה בתשתיות לאומיות קריטיות שפחות מפוקחות כיום. בין אם זה שיבוש במרכז לוגיסטי של מפעל מזון גדול, שלא נערך כהלכה, שיגרום למחסור חמור באספקה ברחבי הארץ, ובין אם על תרחישים דומים בתחומי התחבורה או התקשורת.

אלה האחראים לכך בארגונים מודעים היטב לגודל האחריות וההשלכות, אבל הם לא מספיק חזקים כדי להניע לפעולה את המנהלים שלהם, שמונעים משיקולים כלכליים בלבד ולא משיקולים של השפעה על העורף במצבי חירום. הם מעדיפים לגלגל את הכדור לממשלה או לצבא, ושמחים מאוד שהמדינה, מסיבותיה שלה, לא עושה דבר כדי לעדכן את ההוראות.