הכל פריץ

בישיבת ועדת המדע והטכנולוגיה של הכנסת שדנה אתמול (ג') במוכנות מערך המיחשוב במגזר העסקי והציבורי לשעת חירום, השתתפו גם נציגי חברת Comitari Techonology, המתמחה בהגנה על גולשים ברשת ומפתחת כלים להגנה מפני גניבת זהויות. שחר הררי, המנכ"ל, וקובי פרידמן, סגן נשיא לפיתוח עסקי, ערכו מעין הצגת תכלית, שבמסגרתה רצו להוכיח עד כמה אנחנו לא מוגנים מפני התקפות זדוניות ברשת, האורבות לנו בכל פינה.

במסגרת ההדגמה הראו השניים כיצד אחד מהם מקבל מהשני הודעת דואר ברשת החברתית, המכילה לינק תמים לכאורה. יש סיכויים סבירים שמי שיקבל את הלינק יפתח אותו שכן מדובר בחברים שמתראים כמעט כל יום. והנה בהדגמה, הסתבר שפתיחת הלינק על ידי אחד מהם, פתחה את הדלת בפני האקר אלמוני שמאותו רגע יכול היה לפרוץ לחשבונות האישיים שלהם בפייסבוק (Facebook), וכתוצאה מכך עשוי לגלות אף פרטים אישיים אחרים כגון מספרי הזהות וכרטיסי האשראי שלהם. אם מדובר באנשים שהם חלק מארגון, יכול היה אותו האקר לגלות את כל הסודות הכמוסים של הארגון. נשמע הזוי? קובי פרידמן הוכיח שזה כבר לא מדע בדיוני, אלא מציאות יום יומית. לדברי פרידמן, התפיסה הכוללת של ביטחון ואבטחת מידע כיום מתייחסת להגנה על המשתמש הבודד, בפעילות שלו בסביבת מיחשוב שבה כל מערכות ההגנה המוכרות והטובות כמו אנטי וירוס ופיירוול לא מסוגלות להגן עליו, או שההאקרים של היום יודעים לעקוף אותן בקלות.

המסקנה שמשתתפי הדיון התבקשו להסיק היא שלמרות שהארגונים משקיעים בכלי אבטחה שהספקים מוכרים להם, בהתאם למיטב המסורת, המשתמשים שלהם, בבית או במשרד, חשופים לחלוטין. החשיפה הזו מסוכנת הן למשתמש והן לארגון, והיא יכולה להסתיים בהשבתה מוחלטת של כל פעילות הארגון – בין אם הוא בנק ובין אם הוא רשת מרכולים במחוז מרוחק.

התחושה הכללית הייתה שההגדרה שנתן בתחילת הדיון ח"כ מאיר שטרית לפיה "הכל פריץ" היא ההגדרה הקולעת למציאות שבה אנו חיים כיום. מציאות שמערבבת בין הבית לעסקים, בין שימוש פרטי לבין שימוש לצרכים ארגוניים, מציאות שבה כל אחד מאיתנו נושא איתו בכיס מכשיר נייד חכם שיכול להכיל את כל הסודות הכמוסים שלנו, ובמחי יד אנו יכולים לאבד את הכל בגלל חוסר תשומת לב או הזנחה.

מפת האיומים וההגנה בעשור השני של המאה ה-21 משלבת את הטכנולוגיה עם הגורם האנושי והמימד הפיזי. המנמ"ר, שאחראי כיום על הגנת המידע והיכולת של הארגון שלו להמשיך לתפקד במקרה של אסון או תקלה, חייב להיערך לא רק ברמה הטכנולוגית אלא גם ברמה הפיזית. עליו להבין בנדל"ן, בתחזוקת מבנה, ולשרטט תסריטים בנוגע לשאלה כיצד יתנהלו החיים במבנה שבו אמורים לעבוד כל אנשי הארגון בשעת חירום.

ישראל, כפי שלמדנו מהדיון, רחוקה מאוד מלהיות מוכנה להתאוששות מיידית בעקבות אסון, ולא משנה איזה סוג של אסון. זה מתחיל באופן החשיבה, במודעות של ההנהלה ובעלי החברות ובמשאבים שהם מוכנים להשקיע בהגנה על מערכות המידע וחדרי המיחשוב שלהם. יצירת תרחישי איום ודיון עליהם הם נדירים מאוד בשיח במועצות מנהלים. הם לכאורה רחוקים מהשיח הפיננסי שמשרטט את יעדי הארגון הנראים לעין. נסים בראל, יו"ר קומסק, סיפר כי באנגליה נושא התרגולים לשעת חירום בארגונים מחויב ברגולציה. בישראל הסיכוי שזה יקרה מבלי שבג"ץ יתבקש להתערב הוא קלוש.

השורה התחתונה מהדיון בכנסת היא שארגונים פרטיים וציבוריים משקיעים לא מעט בהגנה על מערכות המיחשוב שלהם, גם בהגנה פיזית. אבל מעטים מאוד מסוגלים להתעורר בוקר אחד, לשמוע על תקלה או על אסון שפגע במערכות המיחשוב שלהם, ולדעת בוודאות שתוך זמן קצר הם יוכלו לאפשר לארגון לחזור לעבודה כמעט שגרתית. ייתכן שעתה זה הזמן להיערך טוב יותר לקראת הבלתי נודע, שיכול להגיע בכל עת.