לקראת אירוע | הגנה על מרכז המחשוב מפני אסונות
בשנים האחרונות, ובמיוחד מאז אירועים כגון 9/11 בארה"ב והצונאמי ביפן, נושא האבטחה מקבל תשומת לב שהייתה חסרה במשך זמן רב, רב מדי. לפעמים מוזר לחשוב שהיה צורך בטרגדיה בעלת עוצמה ויזואלית מהממת, המוקרנת על מסכי הטלוויזיה בכל העולם בזמן אמת כדי להזכיר לנו, שלכל דבר של ערך יש חורשי רעה ששמו לעצמם מטרה לפגוע בו. מבצע עמוד ענן שהסתיים שבוע שעבר מדגיש עד כמה חשוף העורף הישראלי לפגיעות הרסניות.
אבטחה היא חלק מהמתודה התכנונית
הגישה של BunkerSec אומרת שאת ה-Datacenter צריך לתכנן מראש כמתקן מאובטח, שמסוגל לתפקד במצבי אסון קיצוניים, אך גם להיות נוח בשימוש יומיומי ויעיל כמרכז שליטה להנהלת הארגון. מההבנה העמוקה של איך Datacenter עובד בעולם האמיתי נגזרות התובנות איך להבטיח את המשכיות עסקית גם כאשר המציאות בחוץ הפכה לכאוטית. בונקרסק לא מחפשת "פתרון בית ספר" לנקודת תורפה כזאת או אחרת, אלא מענה אמיתי לאתגר התפעולי בתסריטים שונים, חלקם קיצוניים. התסריטים שאנו נערכים מולם הם ריאליסטיים לחלוטין והפתרונות מגלמים ניסיון שעמד במבחנים קריטיים, ששום "בית ספר" אחר לא יכול לדמות בתרגיל תיאורטי.
בנקודה זו כדאי לסלק שתי תובנות שגויות:
• השרידות של Datacenter לא נמדדת בעובי הבטון או בעומק המרתף. בנייה תת קרקעית, קירות חזקים וארכיטקטורה הממזערת נזקים במקרה של חדירה הם רק דרישות הבסיס. אבל יש מספר עצום של פיגועים שיכולים להשבית את המערכות בלי לחדור למעוז התת-קרקעי שבניתם. החל בפגיעה במערכות הקירור וההספק שעל פני הקרקע, דרך שבירת הצנרת כתוצאה מרעידה או גל הלם בקרקע וגרימת הצפה פנימית, וכלה בחסימת האפשרות להביא עובדים למתקן. מתקנים מסוימים צריכים להיות חסינים גם לפולסים אלקטרומגנטיים (EMP), נושא הנדסי מורכב הדורש התמחות בפני עצמה. שוב, רק גישה הוליסטית המנתחת את כל התרחישים האפשריים, משקללת את סבירותם ומכמתת את מחיר המניעה, יכולה להבטיח הקצאה אופטימלית של תקציבים לכל אספקט של אבטחה.
• תוכנית התאוששות מאסונות (DRP) אינה המטרה אלא חלק מהאמצעים. המטרה היא הבטחת המשכיות עסקית (Business Continuation) וזה מה שדורש הרגולטור מארגונים מפוקחים. לדוגמה, הדרישה מבנק היא להמשיך לתפקד גם אחרי שמרכז העסקים הראשי שלו נפגע – וכדי לעמוד בדרישה זו עליו להכין מרכז תפעול חלופי, בו יהיה כמובן גם Datacenter חסין אסונות. אבל מחשבים לכשעצמם לא עושים בנק חי, ויש צורך לאפשר להנהלת הבנק לעבור לאתר הגיבוי ולהמשיך בניהול ממנו. אנחנו מאמינים שעלינו להגן על ליבת העסקים וזו כוללת אנשים, לא רק ציוד. כפי שפעולת המחשבים דורשת שרידות של מערכות סביבה ספציפיות – אספקת חשמל, מים, קירור וכדומה – כך גם צריך לדאוג לתנאי הסביבה של האנשים. החל במזון והגנת אב"כ וכלה באזור שינה ומנוחה, לתקופה שיכולה להתמשך יותר מימים ספורים. אבטחת שרידות עסקית דורשת הבנה של נושא שכמעט לא מכוסה בספרות המקצועית: מה הם תנאי הסביבה הדרושים לעבודה בתנאים של בידוד גמור, כאשר קבוצה קטנה של אנשים נשארת לנהל את הארגון מתוך "בונקר", אי של הי-טק בתוך ההריסות והכאוס שנוצר בעקבות האסון.
המודעות להמשכיות עסקית מתרחבת
ההגנה על מערכות שלטוניות היא נושא שכל פרלמנטר אמור להיות אמון עליו, אך עלינו לזכור שבחברה מודרנית יש מאות ואלפי ארגונים עסקיים שפעולתם התקינה חיונית לכלכלה הלאומית לא פחות מעבודתם של משרדי הממשלה. כיום הרגולטורים באים בדרישות רק למגזרים ספציפיים במשק, אך אפשר בהחלט לצפות שבעתיד עוד ועוד מגזרים, שהיום פטורים חובת "המשכיות עסקית", ידרשו גם הם להוכיח את חסינות מערכות המידע שלהם.