המלחמה שפרצה ב 7.10.2023 שינתה פרדיגמות רבות במדינת ישראל: ביטחוניות, חברתיות וכלכליות. המושג "רציפות תפקוד" חזר להיות מושג שגור בתקשורת בעיקר בהתייחסות לתפקוד השירותים הציבוריים והממשלתיים, והיכולת להמשיך ולספק לאזרחים שירותים קריטיים ותשתיות.
בתחום של מתקני מחשב ומתקני פיקוד ושליטה המושג מוכר היטב והמתקנים אמורים להיות מתוכננים על מנת לאפשר את רציפות התפקוד שלהם בשגרה ובחירום. מתקנים אלה מתאפיינים לרוב בשילוב בין צורך בהבטחת המשך התפקוד של כוח האדם בשילוב התפקוד של מערכות טכנולוגיות והנדסיות מורכבות. המערכות כוללות את מערכות המחשוב, שמהוות כיום תנאי הכרחי לפעולת מערכות ולאספקת שירותים כמו גם המערכות האלקטרומכניות שמאפשרות את פעולת מערכות המחשבים.
מאמר זה יתייחס לרציפות התפקוד במספר
היבטים:
- מהו מצב חירום ומהם השירותים החיוניים הנדרשים במצב זה ?
- מרכיבי הרציפות
- תובנות מנקודת מבט אישית לאחר פרוץ המלחמה.
חירום
המושג חירום או שעת חירום אינו מוגדר היטב. המושג החל עוד בתקופת המנדט ומיד עם הקמת המדינה בתש"ח קבעה הממשלה הזמנית (21.5.1948) כי:
מאז 1948 התקדמנו במקצת ובחוק יסוד הממשלה נקבע:
אך יחד עם זאת המעבר ל "חירום" נגזר מהחלטת ממשלה שתלויה בשיקולים כלכליים ופוליטיים שאין בכוונתי להיכנס אליהם במסגרת זו.
אם מנסים למצוא מהי ההגדרה לחירום, ללא קשר להכרזה רשמית, משרד האוצר למשל מגדיר: " מצב חירום – מצב שבו התממש סיכון מתוך אחד או יותר מהמצבים המתוארים בפרק מצבי החירום". מצבי החרום במשק מוגדרים כמצב בו "…נמנעת באופן משמעותי פעילותו התקינה של המשק החיוני…" מצבי חירום נגזרים בנוסף גם ממצבים של: מלחמה, מצב מיוחד בעורף או אירוע אסון המוני.
ואז נשאלת השאלה מה מוגדר כ"חיוני". בשנת 2016 הועלתה הצעת חוק "מוכנות המרחב האזרחי למצבי חרום במשק", שחקיקתו לא הסתיימה, אך מתוך נוסח הצעת החוק ניתן לנסות ולהבין למה מתכוון המחוקק במושגים של רציפות תפקוד ומשק חיוני.
עד כאן גישת השלטון לנושא אבל ההתייחסות למצב חירום אינה רק בהקשרים פוליטיים היות ויתכן והפעולות שתנקוט המדינה יסייעו לו אבל יתכן ומסיבות כאלה ואחרות ההגדרות בפועל לא יספקו לו תמיכה מתאימה שכן הם אינם חד-חד ערכיים.
כל גוף חייב לבחון את עצמו לא רק אל מול תרחישים רשמיים אלא גם אל מול תרחישים שעלולים להיגרם לו כתוצאה של אירוע שמשפיע עליו נקודתית, למשל, אירוע מקומי, כשל טכני, או כנגזרת מדרישות של לקוחותיו.
הבחינה היא במספר ממדים:
- הממד הפורמלי – האם הוא מוגדר כחיוני:
- הגדרות במסגרת החוקים.
- הגדרות של רגולטורים (כדוגמת בנק ישראל כלפי הבנקים או משרד התקשורת כלפי ספקי תקשורת).
- האם הוא צריך לספק שירותים לגופים במסגרת משק לשעת חירום או ריתוק משקי
- הממד הא-פורמלי – האם השירותים שהוא מספק יהפכו להיות חיוניים מכוח הצורך או ההיגיון. וכן נכנסים למערך השיקולים לא רק תחומים שהם במעגל הראשון אלא לעיתים שירותים שנמצאים במעגלים משניים או שהם חלק משרשרת אספקה.
- כיום, כל שירות או מוצר תלוי במערך מחשוב התומך בו ולכן, זמינות מערכי המחשוב, בין אם הם תומכים ישירות בשירות חיוני או תומכים בצורה כלשהי בשירות הופכים להיות חיוניים עוד יותר בעת חירום.
- מצבי חירום מביאים איתם קשיים הנובעים ממגבלות התכנסות או תנועה ולכן גובר הצורך באספקת שירותים מקוונים למשל: בתחום הרפואי, בתחום הלמידה המרוחקת ואפילו ברכש מקוון ותמיכה בשירותים לוגיסטיים.
מרכיבי הרציפות
לאחר שגוף ניתח את השירותים שיידרש לספק במצבי חירום לסוגיהם הוא צריך להבטיח כי יהיה מסוגל לספק שירותים אלה.
תקינה
התקינה מתחלקת בין שני היבטים תקינה בעת תכנון והקמת המתקן ותקינה הנוגעת לתפעול המתקן לאחר הקמתו.
תכנון הנדסי
בתחום ההנדסי קיימים למתקנים תקנים בינלאומיים שתפקידם להבטיח את הרציפות באמצעות יתירות באמצעות כמות הרכיבים, נתיבי אספקה, הפרדה פיזית ומאגרים המאפשרים למתקנים לתפקד ללא תלות באספקה חיצוניות. בין תקנים אלה ניתן למצוא תקנים של ה Uptime Institute[1] או של ה TIA[2].
מיגון
ככל הנראה גורלה של מדינת ישראל מחייב אותה להתמודד לטווח הארוך גם כנגד איומים של מלחמה וטרור. תחום המיגון הפיזי אינו מכוסה במסגרת תקנים בינלאומיים. במגזר הביטחוני הישראלי קיימים תקנים למיגון אך הם מיועדים לגופי צבא וביטחון. גופי ממשל מאמצים תקנים אלה באמצעות מחלקות הביטחון שלהם אך במגזר האזרחי אין תקנים זמינים לתחום המיגון. בנוסף, חלק מהמרכיבים בתקני המיגון, הם הרחבה לתקני התגוננות עבור כ"א ואין בהם אבחנה מספקת לגבי מיגון מערכות או חללים טכניים בלתי מאוישים.
במגזר האזרחי התקנים של פיקוד העורף עוסקים אך ורק במיגון האוכלוסייה ואינם נוגעים ברציפות התפקוד לא של כוח האדם ולא של מערכות.
הערכות בתחום התכנון ההנדסי והמיגון
תחומים אלה מובנים בתכנון המבנה והם מגדירים בצורה חד-חד ערכית את זמינותו ורציפות פעולתו בשגרה, בתקלות ובמצבי חירום. תחומים אלה מחייבים השקעה ראשונית גבוהה ולרוב לא ניתן לדחות את ההשקעה המשמעותית בהם בעת ההקמה בהם ולהניח כי ניתן יהיה להוסיף אותם בעתיד. זאת ועוד, במתקן אסטרטגי פעיל שינוי מהותי או הרחבה של תשתיות כרוכה בסיכון תפעולי משמעותי בשל השילוב של עבודות קבלניות במקביל לפעולה של מתקן רגיש.
הסמכה
תהליכי הסמכה מיועדים להבטיח כי המבנה נותן מענה לצרכי המזמין. תהליכי הסמכה צריכים לכסות לא רק את בדיקת המערכות הטכניות בשגרה ובתקלה אלא גם לוודא את כשירות המתקן במעבר למצב חירום. תהליכי ההסמכה העיקריים הינם בשלב הקמה ושיאם בבדיקות אינטגרטיביות של המבנה ומערכותיו. תהליכי הסמכה צריכים להיות משולבים בתהליכי הדרכה של הצוות המתפעל שכן הסמכה בסיום ההקמה היא הזדמנות בלתי חוזרת לבצע במבנה דימוי של מצבי קיצון ובחינה של תגובת הצוות למצבים אלה.
[1] UPTIME INSTITUTE – Data Center Site Infrastructure Tier Standard: Topology
[2] TIA 942B – Telecommunication Industry Association – Telecommunication Infrastructure Standard for Data Centers
תפעול
בתחום הרציפות העסקית קיימים תקנים רבים המנחים את בעלי העניין כיצד לנתח סיכונים, לשקלל אותם ולהתכונן למצבי חירום על מנת להבטיח את הרציפות של העסק, את חוסנו ואת המשך קיומו הכלכלי מחד ומתן מענה לדרישות רגולטוריות מאידך.
בתחום המתקנים הקריטיים קיים תקן של ה Uptime Institute[1] העוסק בהיבטים תפעוליים וכולל בתוכו מרכיבים של:
[1] Data Center Site Infrastructure Tier Standard: Operational Sustainability
- ניהול ותפעול, לרבות:
- ארגון ואיוש – לרבות היקף האיוש וסוג כוח האדם, הסמכות לכוח האדם וארגון כוח האדם, הגדרת תפקידים ושרשראות דיווחאחזקה – אחזקה מונעת, מדיניות אחזקה, ניהול האחזקה, תכנון מחזור חיים והבטחה של תמיכת ספקים.הכשרה – של כוח האדם לסוגיו ושל הספקים
- תכנון, תיאום וניהול – הגדרת מדיניות אתר, ניהול כלכלי, תיעוד והערכות למצבי חירום.
- מאפייני מבנה, לרבות:
- תכונות המבנה ותשתיותיו – תצורת מערכות המבנה שיבטיחו את רציפות פעולתו ומן יכולת אחזקה.תנאים לתפעול – הגדרת הספקים ונקודות עבודה וכיול של המתקן ומערכותיו, כולל מעקב שוטף אחריהן.
- קדם-תפעול – פעולות שמטרתן לוודא כי המתקן, בתום הקמתו או לאחר שינוי משמעותי מוכן ופועל בהתאם לצרכיו ולמטרותיו באמצעות תהליכי קליטה והסמכה.
- מיקום האתר
- בחירת מיקום כדי להקטין סיכונים מפני אסונות טבע
- בחירת מיקום כדי להקטין אסונות ידי-אדם.
התייחסות לכל אחד ממרכיבים אלה, בהתאם למתקן ולאופיו ,מאפשר בחינה מעמיקה של מרכיבי הרציפות, הערכות אליהם בשגרה ומתן מענה אליהם בשעת הצורך.
רציפות תפקוד של מתקנים חיוניים
כשירות היא הבסיס לרציפות התפקוד בעת חירום. מבחינה טכנית חייבים להבטיח הפעלה ואחזקה רציפים ללא פערים! תכנון מתקנים חיוניים מבוסס ברובו על יכולת התמודדות עם תקלה אחת. מצב אחזקה הוא מצב שקול לתקלה ולכן חובה לתקן תקלות במהירות האפשרית על מנת למנוע מצב של כשל בעת אירוע נוסף.
ככל שבמתקן יש מערכים בהם ידוע מראש כי הם המחייבים אחזקה ארוכה יש לוודא כי אירוע בודד של אחזקה ארוכה לא ייצר מצב של נקודת כשל בודדת.
מעבר להיבטים הטכניים כשירות כוח האדם היא המפתח לתפקוד המתקן בשגרה, בתקלה ובחירום. כוח האדם חייב להיות כשיר כל העת להתמודד עם תקלות או מעבר למצב חירום. מעבר להכשרה בסיסית יש להבטיח תרגולים תקופתיים.
חשוב להדגיש כי תרגולים, בעת שגרה, עלולים להגביר נקודתית את הסיכון למתקן (למשל בעת דימוי תקלה או דימוי הפסקת חשמל). יחד עם זאת ללא תרגול אמיתי כוח האדם לא יהיה כשיר והמערכות האלקטרומכניות עלולות שלא להיות כשירות. למשל, חובה להפעיל גנרטורים בעומס אחת לחודש על מנת לוודא את תקינותו ואת יכולתו לתמוך בצרכנים הקריטיים בעת אירוע שגרתי יחסית של הפסקת חשמל.
כאמור, מבנים נבדקים לעומק בעיקר בסיום הקמתם. יחד עם זאת הם עוברים שינויים ומותקן בהם ציוד לאורך חודשים ושנים. הסמכה תקופתית המשולבת בתרגולים, בוחנת את פעולת המבנה ברציפות ומסייעת לוודא כי המתקן וכוח האדם המתפעל אותו כשירים ויוכלו להתמודד עם מצבי חירום.
תובנות ה- 7.10
אמנם אנו נמצאים עדיין בעיצומה של הלחימה אך כבר כעת ניתן לגבש מספר תובנות ראשוניות:
- האירוע התרחש ללא התראה מוקדמת ולפיכך המוכנות לחירום חייבת להיות בכשירות להפעלה מיידית. בחלק מהתחומים אין מרחב התראה והמעבר למצב חירום חייב להיות "בלחיצת כפתור".
- תגובת גורמי השלטון היא איטית ולא ברור במה יתמקדו גופי השלטון, בוודאי בתחילת מצב החירום. על כן, על כל גוף להיערך בעצמו לפעולה אוטונומית.
- סוגי הסיכונים ככל הנראה לא השתנו. יחד עם זאת ההסתברות לאירועים מסוג זה עולה ולפיכך ההערכות לסיכונים, שבעבר היו נמוכים מכדי להשקיע בהם, הפכה להיות השקעה חיונית.
- משך הזמן של מצב החירום בין אם הוא פורמלי או א-פורמלי עלול להתארך וגופים שיתכן ובעבר לא היו נחשבים כחיוניים יהפכו לכאלה בין אם מתוקף הוראות וחוקים ובין אם מתוקף המצב בפועל. על כל גוף לשקלל תובנה זו בשיקוליו הכלכליים והמשפטיים.
- צוותי התפעול של מתקנים חייבים להיות כשירים למתן מענה מידי במצבי חירום. הצוותים צריכים להיות כשירים בראיה רב תחומית.
- מבנה צוותי החירום והתפעול צריך להיבחן מתוך ראיה של תקופת חירום ארוכה המשולבת בשירות מילואים משמעותי במשק. זאת ועוד, אם בעבר נשים כמעט ולא שירתו במילואים כיום שירות נשים הוא משמעותי וגם הן עלולות לא להיות זמינות בצוותי התפעול.
- החשיפה של כמעט כל שטח מדינת ישראל למתקפות של רקטות וטילים גורר אחריו לא רק צורך באספקת מרחבים מוגנים אלא במיגון של חללי עבודה על מנת לאפשר להמשיך לספק שירותים גם בעת מתקפות. יש צורך במרחבים ייעודים להמשך עבודה ואספקת השירותים לסוגיהם.
- הביקוש למתקנים יכול לגדול – מתוך הבנה של לקוחות לצורך במתקני גיבוי בכלל וממוגנים בפרט. בנוסף, המלחמה עצמה עלולה לעכב מימוש של מתקנים בשל האטה בשרשרת האספקה ובזמינות כוח אדם.
לסיכום, המוכנות למצבי חירום ולהמשך אספקת שירותים חיוניים הוא ברור וחייב להיות חלק מהיעדים העסקיים של גופים רבים ובוודאי של מתקני מחשב. הסיכון למצבים אלה עולה, ולהערתי, אינו צפוי לרדת בטווח הנראה לעין. ולכן, ההשקעה בתחום המיגון והרציפות צריכים להיות בשלב ההקמה ולא כאופציה למימוש, שקשה להניח שניתן יהיה לממשה במתקן פעיל. ככל הנראה גם לקוחות של מתקני מחשב ידרשו רמת מיגון ורציפות גבוהים יותר מכפי שדרשו עד היום.
