מוכנות העורף לשעת חרום: אפקט תיבת נוח

המנכ"ל לשעבר של המשרד להגנת העורף, ומי שהיה בין מקימי רח"ל, רשות החרום הלאומית, אלון רוזן, פתח (יום ג', 29.5.18) את כנס Data center 2018 של אנשים ומחשבים, בתחזית פסימית. כאחד שהיה שם, הוא אמר בדבריו כי מדינת ישראל אינה ערוכה כהלכה להתקפות סייבר ובכלל לא ערוכה כפי שצריכה להיות לשעת חרום בכל מה שקשור להגנת העורף.

הדברים קיבלו משמעות הרבה יותר חזקה, משום שבעיתוי מקרי כמובן, הם נאמרו בסביבות השעה 09:00 בבוקר, מעל במת מרכז הכנסים בלאגו שבמערב ראשון לציון, בדיוק שבמרחק של פחות משעתיים נסיעה דרומה משם, נורו עשרות מטחי פצמ"רים על תושבי עוטף עזה, שנאלצו לבלות חלק גדול משעות היום במרחבים המוגנים.

ממתקפה פיסית למתקפה על דטה סנטר

רוזן ערך בהרצאתו המרתקת לינק ישיר וברור בין מוכנות פיסית של העורף, לבין מוכנות להתמודד עם איומים לא פחות חמורים, שנכללים תחת המעטפת של סייבר ושממוקדים לרוב בדטה סנטר.

הדבר משול לזירת קרב פיסית - צה"ל וזרועות הביטחון השונות אמונים על הגנה על גבולות המדינה. בזירה הקיברנטית הכוונה היא לתשתיות הפיסיות הלאומיות. תפקידו של הצבא הוא לייצר שכבת הגנה מספיק חזקה כדי שהעורף ימשיך לתפקד גם כשהטילים עפים באוויר. אבל הצבא, שום צבא, אינו יכול להגן על התשתיות האזרחיות הפרטיות של כל אחד ואחד מאיתנו.

התשתיות האלו הן חלק מהעורף הכלכלי, שאמור לאפשר לישראל לממש את האסטרטגיה שלה הקובעת שכאשר יש מצב חרום, ולא משנה לצורך העניין האם זה בעקבות ירי טילים או התקפה קיברנטית, השגרה צריכה להימשך ככל האפשר. שיגרה אינה רק ריצה למרחב המוגן, שהיא כמובן חשובה ובסדר עדיפות. אבל כאשר יוצאים מהמרחב המוגן, שגרת חיים פירושה המשכיות עסקית בזירת המסחר, הכלכלה, היכולת להמשיך לקבל שירותים כמעט כרגיל, אספקת מזון, תרופות ותנועה סדירה ככול האפשר.

כיום, יותר מבעבר, היכולת לממש את החלק הזה של המשוואה - עורף-חרום - תלויה במערכות דיגיטליות, שמאוחסנות על גבי שרתים, פיסיים או בענן, ומנוהלות בחדרי מחשבים. סביר להניח שהמדינה תתן הגנה גם על תשתיות פיסיות שנמצאות ברחבי הארץ. אבל מה לגבי המידע, היישומים וכל המערכות מבוססות תוכנה ואפליקציה, שעלולים להיפגע מסייבר, או כל מתקפה קיברנטית, על-רקע לאומני, על-רקע טרור, פשע כלכלי או סתם האקר משועמם? ההתקפות האלו, אגב, מתחרשות מתחת לפני השטח בכל ימות השנה, והן אינן בהכרח קשורות לסכסוך עם החמאס או עם סוריה בצפון.

רק אתמול שמענו בוועדת המדע של הכנסת כיצד הרשויות המקומיות בישראל אינן ערוכות, שלא לומר מפקירות, את ההגנה על מערכות המידע שלהן.

בכדי להגן על המערכות האלו נדרשת תפיסה רחבה המבוססת על מתודולוגיות ידועות, שיש להן שתי רגליים מרכזיות: האחת, מוכנות פיסית, שמתבטאת בבנייה ותכנון נכון של מרכזי הנתונים, ורגל שנייה, כתיבת המתודולוגיה ותרגולה יותר מפעם בשנה. בכל מה שקשור לרגליים אלו, אפשר לומר שחלק גדול מחדרי המחשב בארגונים, אינם ערוכים.

רוזן הסביר שהתפיסה שחדרי מחשב, שיושבים בדרך כלל במקומות מוגנים, חסינים מפני פגיעה פיסית, נכונה בחלק מהמקרים, אבל אסור שהיא תהיה בסיס לשאננות וחוסר מעש.

ההיערכות לסייבר - חור שחור

אשר להערכות לסייבר, כאן נכנסים לתחומים הרבה יותר מעמיקים שקשורים קודם כל ברמת מנהלי הארגון, בעלי המניות שלו ומנהליו. הם חלק מניהול סיכונים שכל ארגון עסקי או ציבורי לוקח, כאשר הוא מחליט איך להגן על הנכס היקר ביותר שלו אחרי ההון האנושי.

כאן בעצם נפער אותו חור שחור שרוזן התריע עליו אתמול, ולא תהיה זו קלישאה לומר שהוא לא הפתיע אף אחד - כל אחד ממשתתפי הכנס של אתמול יודע היטב מה קורה אצלנו במרכז הנתונים, עד כמה הוא מוגן ועד כמה הוא חשוף לסיכונים.

קריאת ההשכמה של רוזן נועדה לעורר את אלו שלא מוכנים להתכונן לתסריטים קיצוניים, ולא מוכנים, למשל, להישאר לעולם בצד אחד של הדילמה הנצחית: האם חדרי מחשב כדאי שיהיו מאוחסנים בתוך הארגון עצמו או שעדיף להוציא אותם לאירוח, חלקי, מלא, מבוקר או כל דרך אחרת, כולל ענן.

בכנס השתתפו נציגי ארגונים גדולים ומשמעותיים במשק, שהמילה 'ענן' או הרעיון למעבר למיקור חוץ הם מחוץ לתחום בעבורם. יש להם נימוקים טובים, ובדרך כלל בעלי מניות או שליטה עם כיסים עמוקים (במיוחד ארגונים ציבוריים, שמממונים על-ידי משלם המיסים). הם יודעים להציג נוסחאות כלכליות של ROI, נדל"ן מניב, הורדת עלויות וכל הדברים היפים האחרים שכל מנהל כספים אוהב לקרוא ולשמוע. אבל השאלה שצריכה להישאל בעקבות דבריו של רוזן, ושל רבים אחרים כולל מבקר המדינה, ובעקבות הדיונים שהיו בנושא היא - האם, כאשר עורכים את השיקול לגבי מבנה חדר המחשב, התצורה שלו, ואחרי שמקבלים את כל הנתונים על היתכנות הכלכלית של מרכיב ההגנה, נלקח בחשבון נושא המוכנות לתרחישים שמעבר לאיומים הפיסיים, אלא גם לאיומים קיברנטיים? התשובה היא - כנראה לא.

בסיום הרצאתו הביא רוזן כמסקנה, כמשל, את "חוק נוח", שבנה את התיבה לקראת המבול כי הייתה נבואה כזו. אצלנו, למרבה הצער, לא רק שאין יותר נביאים, אין גם הערכות מספיק טובה, ואנחנו מחכים שהמבול יבוא ואז, אולי, נערכים טוב יותר. חבל.