כך השפיע אסון ה-11 בספטמבר על עולם ההמשכיות העסקית
ארגונים רבים נפגעו קשות ב-11 בספטמבר, וחלקם אף קרסו - לא רק בגלל הפגיעה במשרדים שלהם במגדלי התאומים, אלא גם, ואף בעיקר, מפני שלא נערכו להמשכיות עסקית ● מאז עלו תובנות רבות בנושא, ויש לקוות שכל מי שצריך הפנים אותן
בארצות הברית ובמדינות רבות נוספות התייחדו אתמול (ש') עם זכרם של קורבנות פיגועי ה-11 בספטמבר – מתקפת הטרור הגדולה ביותר שאמריקה ידעה. בהתאם, ההלם שפקד את העולם היה בממדים שלא נודעו קודם. מה שחיזק את הטראומה היה ממד ההפתעה – העובדה שלא היה כל מודיעין שיזהיר מפני האסון ואולי אף יביא למניעתו. שר הביטחון, רא"ל (מיל') בני גנץ, שפתח היום כנס שנערך באוניברסיטת רייכמן לציון ה-11 בספטמבר, סיפר שכאשר נודעו ממדי האירוע, הוא אסף את החיילים שלו, שהיו באמצע תרגיל, ואמר: היום החלה מלחמת העולם השלישית, והיא לא תהיה דומה לקודמתה.
מלחמת העולם השלישית אמנם לא החלה וממדי ההרס וההרג מאז קטנים בהרבה מאלה שידע העולם במלחמה ההיא שבין בעלות הברית למדינוחת הציר, אבל הטרור לא פסק מאז ה-11 בספטמבר, והוא מתבצע בזירות שונות, כולל זירת הסייבר. טרור זה מונע על ידי גורמים קיצוניים, אסלאמיים בחלקם הגדול – בדיוק כמו הטרוריסטים שביצעו את המתקפה ההיא, לפני 20 שנה.
בעקבות האסון היו לא מעט לקחים. אחד מהם הוא שינוי הדרך שבה ארגונים וחברות מנהלים את המידע שלהם, שומרים אותו ומגבים אותו למקרה חירום. אז, הנזקים העקיפים הכי קשים היו כתוצאה מכשל חמור בגיבוי המידע. אחד העקרונות הבסיסיים בעולם הגיבוי הוא שצריך לגבות את המידע הארגוני מחוץ למתחם שבו הוא עובד. באסון התאומים, מערכות הגיבוי – אלה שבכלל היו – מוקמו במשרדים של החברות שהמשרדים שלהן נפגעו באירוע, או ממש קרוב לשם, ובכל אופן במתחם הגראונד זירו. בנוסף, הדטה סנטרים ששימשו את אותן החברות לא היו מוגנים מספיק.
ההערכה הרווחת אז הייתה שצריך לגבות את המידע עקב החשש מתקלות שקשורות במחשבים, ברשת האינטרנט ובתקשורת. הסייבר היה אז מאוד בחיתוליו, ועד ה-11 בספטמבר איש לא נתן את דעתו לתסריט שבו לא רק מערכות המחשוב של הארגון קורסות, אלא גם המבנה שבו הוא יושב, ואתו כל המערכות שיש בו. אך כאשר רוב מנהטן נסגרה, ארגונים שמיקמו את מרכזי הנתונים והגיבוי העיקריים שלהם באותו אזור גילו שהם לא יכולים לחדש את העסק.
מורגן סטנלי היא אחת הדוגמאות לכך. רק אחרי ה-11 בספטמבר, חברת הענק הפרידה בין מתקני המסחר והגיבוי שלה, שעד אז היו קרובים ותלויים באותן תשתיות.
ככלל, בעקבות האירוע התחדדה ההבנה, ובצידה מעשים ופעולות בהתאם, שההמשכיות העסקית היא חלק בלתי נפרד מהתמודדות עם אסון. כלומר, שבכל מקרה של אסון – בין אם הוא תקלת תקשורת או אינטרנט, מתקפת סייבר או קריסה פיזית של בניינים – השלב הכמעט מיידי צריך להיות חזרה מהירה לפעילות, ומניעת עצירת תהליכים ועבודה. לעתים, הנזק שנגרם כתוצאה מחוסר יכולת להמשיך לעבוד גדול יותר מכל נזק שכל האקר יכול לגרום לארגון.
ההון האנושי
ה-11 בספטמבר המחיש לעולם את מה שכיום הוא מובן מאליו: שהמידע הוא הנכס הכי חשוב לארגון. חברות רבות פשוט נעלמו לאחר האסון כי לא היה להן כל גיבוי של המידע, שנמחק בעקבות קריסת המגדלים. התובנה הזו, והפעולות שבעקבותיה, היו מנת חלקם של ארגונים גדולים ועסקים קטנים, ושל מגוון רחב של מגזרים – לאורך ולרוחב.
לצד זה נולדה תובנה נוספת, והיא קשורה בהון האנושי: מאז ה-11 בספטמבר, תפיסת ההפעלה של ארגונים גדולים, ובפרט במגזרים מוטי רגולציה וכאלה שההמשכיות העסקית יכולה למנוע אסונות כמו הפיננסים והביטחון, אומרת שלא יכול להיות שכל המידע הקריטי לתפעול, ניהול מערכות המידע והתשתיות יהיה בידיים של כמה בעלי תפקידים, שיכולים לגבות האחד את השני – ותו לא. כלומר: שצריך לבזר את המידע. הקריטיות של זה באה לידי ביטוי באסון ההוא, משום שבין הקורבנות היו עובדים של ארגונים שונים, לאו דווקא בצמרות שלהם, שרק הם ידעו דברים מסוימים שבלעדיהם הארגון לא יוכל לתפקד.
הטרור הדיגיטלי
גם הטרור שינה צורה ב-20 השנים האחרונות: לצד ההשתכללות של הטרור הפיזי פרץ טרור הסייבר, על סוגיו השונים. כללי ההגנה מפני סייבר לא שונים בהרבה מהגנה מפני קריסת מגדלים כמו התאומים. גם כיום יש יותר מדי ארגונים שלא מספיק ערניים ולא ערוכים למצבי חירום, על אף שלכאורה קיימים בהם מתודולוגיה, נהלים ואפילו בעלי תפקידים רלוונטיים. אלא שלרוב, המתודולוגיה הזאת לא מתורגלת, ובאופן כמעט עקבי היא גם לא מתוקצבת כמו שצריך.
בשנה האחרונה ראינו שלל דוגמאות לארגונים שהתקשו לחזור להמשכיות עסקית לאחר מתקפת סייבר, משום שהם לא שמרו היטב על המידע ובכך הגדילו את הנזק שנגרם להם. זה קרה בעיקר במתקפות כופרה. המקרים האלה מלמדים שחיסכון בהשקעה בהגנה על מערכות מחשוב מוביל לנזקים חמורים ביותר כשהמתקפה קורית.
הענן
מאז אסון התאומים נכנס לעולם הגיבוי אלמנט נוסף, שלדעת מומחים רבים מגביר את רמת אבטחת המידע בארגונים – הענן. רוני שדה, מנכ"ל MedOne, אחת החברות הדומיננטיות בישראל בתחום, אומר שהמשכיות עסקית מבוססת ענן היא פתרון נכון בימים אלה ומהווה תשובה אפקטיבית למציאות של היום. "מדובר בתשתית מחשוב התואמת לאתר הראשי, שכוללת אחסון המגבה בזמן אמת את כלל שרתי הארגון, שרתים וירטואליים, תקשורת ומערך אבטחת מידע עדכני. ביום פקודה ובתוך שניות, ללא תלות בכל גורם אחר, הארגון יוכל להפעיל את כלל תשתית המחשוב שלו, באופן עדכני לנקודת הזמן שיבחר. באירוע כופרה, תהיה זאת נקודת הזמן האחרונה שבה הארגון נדבק אך טרם הוצפן", הוא מציין.
בשורה התחתונה ניתן לומר שה-11 בספטמבר היה קריאת השכמה לארגונים לשנות את תפיסת העולם שלהם בכל מה שקשור להמשכיות עסקית. לא מדובר רק בטכנולוגיה, אלא גם באנשים, רגולציה ומתודולוגיה. או, כפי ששדה מגדיר זאת נכון: המשכיות עסקית בעולם הדיגיטלי היא ההבדל שבין להיות או לא להיות. וזאת השאלה. ואם כבר פרפראזה על ויליאם שייקספיר, יש לקוות שבניגוד לממלכת דנמרק של ימיו, שהמחזאי האגדי כתב בהמלט שמשהו רקוב בה, ה-"ריקבון" בתחום ההמשכיות העסקית הוסר במלואו.
תגובות
(0)