זמן לחשבון נפש
יום הכיפורים הוא יום של חשבון נפש - אישי וכללי. ברמה הכללית, אחד הנושאים שבהם צריכים מנהלים, בעלי תפקידים ודירקטורים לעשות מעין חשבון נפש, הוא נושא אבטחת המידע. בשנה העברית שחלפה היו לא מעט אירועי אבטחה שגרמו לנזקים רבים בארגונים בארץ ובעולם. פרשנויות שונות של אנליסטים וחברות מחקר קבעו, כי לא רק שמגמת האיומים על מערכות מיחשוב ארגוניות וביתיות הולכת וגדלה, אלא שזהות התוקפים ומניעיהם השתנו. מאחורי ההתקפות עומדים גורמים שהמניע שלהם הוא כלכלי טהור. מטרתם היא לגרום נזקים ולגרוף רווחים מאותם נזקים שייגרמו בצורה זו או אחרת. אבל בכל פעם שקורים אירועי אבטחה מתוקשרים ברחבי בעולם, כולל בישראל, יש התרגשות מסוימת. חברות אבטחה ויועצים מספרים על גידול ניכר בפניות של הנהלות ארגונים ומנהלי אבטחה כדי לברר מה ניתן לעשות, אבל לא יותר מזה.
אחרי אסון התאומים, ב-11 בספטמבר 2001, דיברו בכל מקום על החשיבות של DRP, גיבויים, אחסון ועוד. אבל דווקא בשנה-שנתיים הראשונות שאחרי האסון, מניותיהן של חברות איחסון גדולות כגון EMC או היטאצ'י צנחו. ההמונים לא רצו לבורסה להשקיע בהן כשם שהם לא צלצלו למוקדי ההזמנות כדי להזמין הצעות מחיר. כך גם בתחום של אבטחת מידע.
זמן קצר לאחר האירועים, הכל חוזר לקדמותו. מפגשים של מנהלי אבטחת מידע הופכים במידה מסויימת למפגשים של פריקת תסכולים וסיפורים כמעט זהים בכל ארגון וארגון. המכנה המשותף הוא אדישות כמעט מוחלטת של ההנהלות לנושא של אבטחה, הפגנת שלווה וחוסר עניין בכל מה שקשור לאובדן מידע שאורב לחברה כמעט בכל מחשב נייד. בנושא הזה ישראל אינה יוצאת דופן. סקר עדכני שנערך בקרב מנהלי אבטחת מידע בארצות הברית, גילה כי נושא אבטחת המידע ירד בסדרי העדיפויות של הארגונים למקום העשירי בעיני ההנהלה ומקבלי ההחלטות שמתבקשים להשקיע באבטחה בצורה זו או אחרת.
הנהלות רבות עושות את החשבון הקר של ניהול סיכונים בהיבט של רווח והפסד: "כמה כסף נצטרך להשקיע במיגון מערכות המיחשוב והמידע שלנו, ומה הנזק שיגרם לנו אם וכאשר יפרצו לנו למערכות המחשב". בחלק מהארגונים, כנראה שמנהלי הכספים מצליחים למצוא נוסחה שמשכנעת את ההנהלה שהפשע משתלם בשני הכיוונים: מצד אלו שעושים אותו ומצד שני - הקורבנות. הנזק יכנס לאחד מסעיפי הדיווח החשבונאי של החברה ויהיה בו הסבר משכנע על האיומים הכלל עולמיים שקיימים כיום ועוד תירוצים שונים ומשונים.
זה נשמע קפקאי ואולי גם שטחי, אבל מי שישב אתמול במפגש עם מנהלי אבטחת מידע במסגרת מועדון CISO ושמע את הדיון הקצר שהנחה אופיר זילביגר, לא יכול היה להגיע למסקנה אחרת מאשר: בעל הבית השתגע. אבל כמי שמופקדים על תחום האבטחה בארגון, שהולך ונעשה יותר צמוד לאבטחה הפיסית, אסור למנהלי אבטחת המידע להישאר שאננים, להרים ידיים ולהגיד שההנהלה אשמה. ראשית, משום שביום פקודה, במקרה של חלילה אסון אמיתי, הם יצטרכו לתת את מלוא ההסברים, גם אם הסברים אלו יכללו הפניית אצבע מאשימה, צודקת, לממונים עליהם מלמעלה. האחריות היא של ה-CISO.
אבל מנהלי אבטחת המידע צריכים לעשות גם הם בדק בית ולראות האם באמת עשו את כל הנדרש כדי להסביר למנהליהם את מהות האיומים. האם לא נכשלו בהסברה כוללת, בהצגת הבעיה ואולי לא תקפו אותה מהצד הנכון?
גם המנכ"לים צריכים לעשות חשבון נפש: "מה עשינו היום כדי להגן טוב יותר על הארגון שלנו, שמשרת לקוחות רבים? מה עשינו כדי שההון האנושי שלנו, שחלקו טמון בידע ובמידע שלנו, לא ילך לטימיון. מה עשינו כדי שהמודיעין של המתחרה יצטרך לעבוד קשה יותר כדי להשיג עלינו מידע".
מנהלי האבטחה חייבים לקחת את היוזמה בידיהם. הם יכולים להיעזר בספקים השונים, כדי לצייר בפני המנהל הרלבנטי תמונה אמיתית, נכונה וחדה בנוגע לאילו סיכונים הוא נוטל על עצמו ועל החברה שלו, בכך שהוא מחליט לא להשקיע באבטחת מידע או להשקיע פחות משנים קודמות.
גם במלחמת לבנון השניה, כאן בישראל, חלק גדול ממחדלי העורף ברמה הארגונית-עסקית נבעו מהעדר מודעות לאבטחת מידע והשקעה ראויה בכלים ובמתודולוגיה שתגן על הלקוחות. ארגונים, בעיקר ממשלתיים, פיננסים וביטחוניים, שמכוח החוק מגנים על עצמם בכלים ובשיטות הכי נכונות, הדפו את כל ההתקפות של ארגוני הטירור שניצלו את המלחמה לנסות ולפתוח חזית נוספת נגד ישראל. אבל החלק האחר של העורף - המגזרים המסחריים והעסקיים - נותרו במידה רבה חשופים. על חלק מהם לא נדע לעולם - גם כי הם עסקים פרטיים וגם בגלל העובדה שלמרבה המזל הם לא נפגעו, למרות שלא היו מוגנים.
בערב יום הסליחות והכיפורים, מן הראוי שכל אותם בעלי תפקידים - מנכ"לים, דירקטורים ומנהלי אבטחה - יעשו את חשבון הנפש העסקי והמקצועי שלהם.
