לקחים שכדאי להפנים

ביום רביעי (11.1.2023) חוויתי אירוע שההסתברות להתרחשותו כמעט לא קיימת. כהרגלי, עמדתי בפני תלמידיי באוניברסיטה, והרציתי במשך שש שעות על מערכות מידע, הפעם בנושא אבטחת מערכות המידע. בחלקה הראשונה של ההרצאה ניסיתי להבהיר את העובדה שהארגונים בעולמנו נעשים יותר ויותר תלויים במערכות המידע שלהם, ולכן כאשר מערכת המידע נפגעת, הנזק לארגון גדול והוא הולך ומתעצם במקביל לתלות הגוברת במערכות הללו. נתתי שלל דוגמאות: מהשבתה של פעילות סופרמרקט, דרך שיתוק בורסה לניירות ערך, ועד לביטול מאות טיסות בחברת תעופה – בכל אחד מהמקרים הכול בארגון קיים ויציב פרט למערכת המידע, ודי בכך כדי למנוע מהארגון לתפקד.

באותה עת לא ידעתי, כי במקביל להרצאתי, בשעה שאני מסביר לסטודנטים שלי בכיתה עד להיכן יכולה להגיע הפגיעה, התרחש בארה"ב אירוע קיצוני שהמחיש היטב ובזמן אמת את מה שניסיתי להסביר בתיאוריה. בשל תקלה במערכת הממוחשבת NOTAM שמאפשרת לאמת מידע על טיסות והבטיחות הקשורה בהן, הושבתו מעל 7,000 המראות בארה"ב, ומעל אלף מהן אף בוטלו לגמרי.

בהרצאה שלי ניסיתי גם להסביר שמקור הפגיעה במערכת המידע יכול להיות אחד משלושה: נזק תאונתי (שריפה, מים, מכת ברק, הפסקת חשמל וכדומה), נזק בזדון (פגיעות מצד מי שרוצה ברעתנו), וטעויות אנוש. המסר שביקשתי להעביר היה כי בין שהנתונים בארגון שלי הוצפנו על ידי האקר, בין שהם כלו בעקבות שריפה במחשב, ובין שעובד תמים ולא מתודרך כהלכה מחק אותם מתוך טעות אנוש – הנזק זהה: נותרתי ללא נתונים.

מייד כאשר התבררה הקטסטרופה בתעופה האמריקנית, התחילה חרושת שמועות באשר לסיבת הקריסה של מערכת המידע האמורה. תשומת הלב התמקדה באפשרות של מתקפת סייבר, ובמיוחד מכיוונה של רוסיה. טרם נמצאו הוכחות למקור התקלה, וכאשר גורמים מסוימים הכריזו שכלל לא בטוח שמדובר במתקפה זדונית, נשמעו משום מה אנחות רווחה לא מעטות, ואני תמה מדוע? הנזק קרה, היקפו אדיר. הוא מעיד על פוטנציאל נזק עתידי גדול עוד יותר. למה משנה אם הוא התרחש בשל חתרנות רוסית דווקא? נניח שיתברר כי הסיבה לאירוע נעוצה בנזק תאונתי או בטעות אנוש, האם עובדה זו תאפשר לנו להישאר רגועים? לו הייתי אני ממונה על הנושא, הייתי מודאג יותר מנזק כאמור שנגרם מתאונה או משגיאת אנוש מאשר ממתקפת סייבר.

כפי שאני מתריע מפעם לפעם כאשר מתרחשת פגיעה קיצונית במערכות מידע, על תוצאותיה, דרגי הניהול במחוזותינו אינם מבינים עד כמה ארגונם תלוי במערכות המידע. הם לא רוצים לדעת עד כמה ישירה אחריותם לנושא. כמו כולם הם מוכנים להקצות משאבים ללוחמת סייבר, מקושטת בקרני לייזר, ורצוי שתהיה מעוטרת גם בלוויינים. אולם מהדעת, המשאבים ותשומת הלב הנדרשים גם לכיוונים האחרים שמהם יכולה להיפתח הרעה, הם מנותקים לגמרי.