רעידת אדמה – האם אנו מוכנים?

ועדת המדע והטכנולוגיה של הכנסת דנה השבוע במוכנותה של ישראל לרעידות אדמה. העיתוי היה מקרי לחלוטין והדיון בתוך הוועדה התנהל במקביל לרעידת האדמה הפוליטית, שנוצרה כתוצאה מפרישתו של אהוד ברק ממפלגת העבודה. הדיון בוועדה, בראשותה עומד ח"כ מאיר שטרית, היווה המשך לדיונים קודמים בנושא, ועסק בעיקר בהיערכות הפיסית לרעידות אדמה ובחיזוק מבנים במרכז הארץ ובפריפריה.

לא מדובר רק במבני מגורים, שהרי מבנים רבים במדינה מאכלסים את פעילות המגזר העסקי. יש מגזרים מסוימים כמו פיננסים, קמעונאות, בריאות וממשלה – שפעילותם תלויה במידה רבה במערכות מידע ומיחשוב. יכולת ההגנה על מערכות המידע והמיחשוב הללו, היכולת ליצור סביבה פיסית וטכנולוגיות שמבטיחה שרידות פחות או יותר, היא שאלה לא פחות קריטית מאשר חוזק המבנה הפיסי.

הנושא הזה אמנם לא עלה בדיון הפעם, אבל הוא מעסיק במידה גוברת והולכת את המנמ"רים והנהלות הארגונים במשק. הקריטיות של המידע והתלות של ליבת העסק בטכנולוגיה, מעלות את סוגיית אבטחת מרכזי הנתונים בארגונים לראש סדר העדיפויות. מן הראוי, לטעמנו, שהסוגיה הזו תועלה בדיון נפרד בוועדה זו או בוועדות אחרות בכנסת.

גילוי דעת 58 של לשכת רואי החשבון, אומר בין היתר, כי "התלות במערכות מידע יכולה להשליך על יכולת הארגון להמשיך בפעילות כ-'עסק חי'". בעבר נהגו להשוות את ההערכות לשעת חירום בדומה לנחיצות של גלגל רזרבי ברכב. כל נהג יודע למה צריך להחזיק גלגל נוסף תקין, והשאיפה היא שהמודעות הזו תחלחל לכל הארגונים הנערכים לשעת חירום.

עקומת המודעות למוכנות לשעת חירום בישראל, לפחות בנושא מערכות המיחשוב, תלויה בקצב האסונות או התקלות החמורות שמזעזעות מדינה שלמה. למרבה הצער, בסוף השנה שעברה למדנו על בשרנו, כי יש איומים וסכנות שמדינת ישראל לא ערוכה אליהן, כמו למשל בשריפה בכרמל. יש לקוות, כי מנהלי המיחשוב בארגונים לא ממתינים לאסון דומה בהיקפו כדי לבחון שוב את היכולת שלהם למתן מענה מהיר במקרה של פגיעה במערכות המידע.

בעולם מקובל לחשוב שתוכניות ההישרדות מתחלקות לשתי רמות: תוכנית המשכיות עסקית ותוכניות DRP – שנועדו לגרום לארגון להמשיך לעבוד עם מערכות המידע שלו במקרה של פגיעה ישירה. הפתרונות כמובן אינם אחידים ותלויים באופי הארגון, הקריטיות של הפעילות, ניהול סיכונים והערכה לסיכוייהם של תרחישים קיצוניים, והיכולת ליישם את ההתאוששות ככול האפשר מהר.

בשנה האחרונה חל שיפור מסוים בהתייחסות של ארגונים לנושא. מנמ"רים במגזרים בולטים במשק מספרים על תרגילים לשעת חירום שהם מבצעים אחת לשנה בתוך הארגון – תרגילים בהם מבצעים סימולציות של קריסת מערכות מידע ומיחשוב. ארגונים אחרים, שמוגבלים יותר בתקציבים אבל מודעים לדחיפות הטיפול בנושא, מצאו פתרונות משולבים, במסגרתם אתרי ה-DRP המגובים מנוצלים במשך כל ימות השנה למשימות ארגוניות, כמו פיתוח או שירות – ובעת חירום עוברים מיד למצב עבודה מלאה מאותו אתר. יש גם לא מעט ארגונים, חלקם בבעלות חברות בינלאומיות, שמיקמו את הדטה-סנטר שלהם מחוץ לגבולות ישראל – מסיבות ביטחוניות וכלכליות.

הבעיה המרכזית נותרה בעינה: בעוד שלמגזרי הממשלה, הביטחון והפיננסים יש רגולטורים ומפקחים המחייבים את הארגונים לבצע שורה של פעולות להגנה על המידע שלהם, חלקים רבים בסקטור העסקי מצויים ללא שום פיקוח או הכוונה. הרשויות הממלכתיות כמו רח"ל, למשל, נמנעות מלהתערב בתחום זה בסקטור האזרחי. לכאורה, מסיבות הגיוניות – כי אף אחד לא רוצה את האח הגדול בחדר הישיבות של ההנהלה, אבל העובדה שנושא כל כך קריטי נותר לשיקול דעתם של גורמים פרטיים ועסקיים שאינם רואים תמיד את התמונה הכוללת, עלולה חלילה להתברר יום אחד כהחלטה שגויה.

בדיון בוועדת המדע קיבל השר בני בגין, יו"ר ועדת השרים לרעידות אדמה, מחמאות מיו"ר הוועדה על כך שאמר, כי "מדינת ישראל לא תיערך לתרחיש קיצוני ביותר של רעידת אדמה, אלא תדאג למיגון סביר של האוכלוסיה". יש לקוות שלפחות בתחום מערכות המידע והמיחשוב, המנמ"רים ומנהלי הארגונים יגלו אחריות ויצמצמו את מימד האקסטרים בכל מה שקשור להערכות לשעת אסון.