לקחי נפאל בהגנה על המידע: להיערך ליום שאחרי רעידת האדמה

האסון בנפאל כתוצאה מרעידת האדמה מעלה שוב לסדר היום את היערכות הארגונים לשעת חירום, גם בכל הנוגע לאבטחת מידע, כולל גיבוי ושחזור. נכון, בעת רעידות אדמה, שגורמות לקריסת מבנים והורסת אזורים שלמים, אין מה לעשות חוץ מאשר להתפלל ולקוות שלא יהיו הרבה נפגעים בנפש. הדבר נכון על אחת כמה וכמה בכל מה שקשור לתשתיות המחשבים שנמצאות באותו אזור. הדיון מתחיל ביום שאחרי, כשהחיים שבים למסלולם – במיוחד במדינה כמו שלנו, שלצערנו הרב מורגלת בשגרת חירום.

בכל מה שקשור להגנה על תשתיות המחשוב בזמן חירום נוטים לדבר בעיקר על מתקפות סייבר, טילים וכדומה. הדיבורים על רעידות אדמה נדחקים הצידה, כמעט אל מחוץ לשיח המקצועי, והם בוודאי שלא נמצאים על סדר היום של מנהלי המחשוב ומנהלי אבטחת המידע.

בישראל, מרבית השרתים הארגוניים מאוחסנים בחדרי מחשב, חלקם מתחת לאדמה. אבל גם עובדה זו לא מבטיחה שלא יהיו נזקים. הנחת העבודה המקצועית היא שבמקרה של רעידת אדמה חלילה בעוצמה דומה לזו שהייתה בנפאל (מעל 7 בסולם ריכטר), מרבית חדרי המחשב באזור יקרסו ואם לא, ייגרם נזק חמור לארונות השרתים הכבדים שמוצבים בדרך כלל על רצפה צפה, שהסיכוי שתשרוד בזמן רעידה קלוש ביותר. גם במקרים בהם מבריגים את הארונות לרצפת הבטון, הסיכוי שלא ייגרם נזק חמור שואף לאפס.

ההשלכות של פגיעה מסוג זה בחדרי מחשב הן קריטיות ביותר. רמזורים, שירותי בנקאות, תקשורת, בנקים, משרדי ממשלה ומערכות הצלה לא יוכלו לתפקד. אזורי הגישה למקומות אלה ייחסמו, הנזק לחומרה עלול להסתכם במאות מיליוני דולרים והנזק למשק הישראלי – במיליארדי שקלים.

קריאת השכמה דחופה

על אף שמציאות זו ידועה לכל הגורמים המקצועיים בעולמות המחשוב והתשתיות, ארגונים לא משקיעים יותר מדי מחשבה בנושא זה. לכן, רעידת האדמה בנפאל צריכה להוות עבורם קריאת השכמה דחופה.

יגאל שניידר, מנכ"ל אלכסנדר שניידר. צילום: קובי קנטור

יגאל שניידר, מנכ"ל אלכסנדר שניידר, הוא אחד ממנהלי החברות הוותיקות בתחום שמזהירים מפני אדישות זו. החברה מספקת פתרונות לארגונים שפונים אליה ומוכנים לשמוע. במאמרים בבלוג המקצועי שלו אותם פרסם בשנים האחרונות הוא מנתח את הסיבות לאדישות של הארגונים: חוסר מודעות לסיכון, חוסר ידע כיצד למגן את חדרי המחשב, חשש מכניסה להוצאות מיותרות והנחה שגויה שלפיה כדי למגן את חדרי המחשב מפני אסונות כמו רעידות אדמה יש להשבית את המערכות. בארגונים בהם המידע הוא קריטי לא קיימת בכלל אופציה כזו. הנחת יסוד שגויה לחלוטין אחרת היא שארגונים סבורים שאם הם עשו עסקת נדל"ן טובה ושכרו שטח לחדרי מחשב מתחת לאדמה, הם קנו תעודת ביטוח. בשנים האחרונות מנהלי חברות ובעלי מניות החלו להפנים את הסיכון, אבל הם שקועים בסברה כי זהו כוח עליון ואי אפשר לעשות שום דבר.

שניידר מציין שהגישה הזו לא נכונה ושהעולם הטכנולוגי והלוגיסטי ייצר לא מעט פתרונות. במאמר שפרסם באתר של החברה הוא מציע את הפתרונות הזמינים המידיים: "ניתן להציב מתקן שמאפשר לבודד את ההשפעות של רעידת אדמה מארון השרתים, גם אם זה ארון סטנדרטי", כתב. "בסיס הבידוד נבחן לפי תקן אמריקני מחמיר ביותר, והוא מאושר למרכזי חירום 911. בעת רעידת האדמה, בעוד שהלחץ הכבד של השרתים על כל נקודה ברצפה יכול לגדול פי 2.5, הרי שבשל הבסיס המיוחד, הלחץ על נקודת הרצפה יורד לעשירית".

זהו כמובן רק פן אחד של ההיערכות לשעת חירום בעקבות אסון כמו רעידת אדמה, והוא מתייחס לתשתיות הפיזיות. רצוי תמיד לפנות ליועצים ומומחים, וכאלה יש לא מעט בישראל, רגע לפני שיהיה מאוחר.

ההגנה על הנתונים

נושא לא פחות קריטי הוא איך שומרים על המידע הקריטי של הארגון מרגע שקורה האסון ועד אחרי התאוששות. זאת, במסגרת מדיניות ההמשכיות העסקית שלו. כאן, התהליכים הנדרשים במקרה של רעידות אדמה אינם שונים מהכללים לכל מקרה חירום אחר, או תקלה חמורה. מדובר במדיניות של גיבויים, חמים או לא חמים, שיטת האקטיב-אקטיב ועוד פתרונות שנדונו לא מעט בפורומים ובמאמרים מקצועיים.

האתגר של הארגונים בהקשר זה אינו המודעות ליישום הפתרונות אלא תהליכי התרגול וההתכוננות. כאן אנחנו נוגעים בנקודה רגישה וחלשה בשוק הישראלי: היקף התרגולים המלאים הוא קטן יחסית ומבוצע בתדירות די נמוכה ולא מספיקה. במעט מאוד ארגונים, בוודאי באלה שלא נתונים לרגולציה כלשהי, היערכות להתאוששות אחרי רעידת אדמה היא נדירה ביותר.

לאור העובדה שגורמים מקצועיים וגורמי חירום חוזרים ומתריעים באחרונה על כך שישראל קרובה יותר מתמיד לאסון טבע כמו רעידת אדמה, מן הראוי שארגונים יגבירו את ההיערכות למצבים כאלה. הרשויות מצידן צריכות לקדם תוכניות שתעודד את חלקו של המגזר העסקי שלא מצוי תחת רגולציה להיערך לגרוע מכל. כשם שהמדינה המציאה את תוכנית הבנייה תמ"א 38, שמטרתה חיזוק מבנים מפני רעידות אדמה, מן הראוי לחשוב על תוכנית לאומית דומה להגנה על נכסי המידע היקרים של הארגונים. ויפה שעה אחת קודם.