חיזוק האבטחה והביטחון באמצעות תקינה רלוונטית

תאריך פרסום: 
21/05/2013

בעולם הביטחון והאבטחה (security) בו קיים מגוון רחב של מערכות שונות קיימת חשיבות לכך שהמערכות יתאימו האחת עם רעותה. ניתן להבחין בסוגים שונים של מערכות בתחום זה. לפניכם מאמר ראשון בסדרה של שלושה מאמרים, שיספקו לקורא הצצה לעולם התקינה בתחום הביטחון והאבטחה.

איך הייתה נראית החברה האנושית ללא תקנים? כדי להמחיש ולהדגים זאת, נדמיין את עולם הבידור הביתי ללא תקנים. האדם הממוצע הרוצה ליהנות משידורי טלוויזיה - מה יעשה? קודם כל, מאחר שצריך להבטיח שמכשיר הטלוויזיה יתחבר לחשמל, עליו לדעת איזה תקע לבחור כדי שיתאים לשקע שבביתו ואת מאפייני החשמל, שהרי איננו מעוניינים לפגוע במכשיר על ידי חיבורו למקור כוח לא מתאים. עניין נוסף הוא מאפייני השידור: מכשיר הטלוויזיה צריך להתאים לאותות המשודרים, וזה אינו ברור מאליו כלל (בתקופת הטלוויזיה האנלוגית הכרנו תקן שידור אמריקני - NTSC ותקן שידור אירופי - PAL; רק התאמה של שיטת הקליטה של המכשיר לשיטת השידור איפשרה קליטה של אותות טלוויזיה ברורים וצבעוניים). כך אנו מבינים שקיים היגיון בהסדרה של כל דבר בסביבה שבה אנחנו חיים. אפשר להעתיק דוגמה זו לתחומים אחרים, כגון מכולות ימיות: תקנים המגדירים את הממדים הפיזיים של מכולה ימית תקנית מאפשרים אמצעי העמסה מתאימים, הובלה על ידי משאיות, רכבות ואוניות, והנפה על ידי מלגזות ועגורנים - באופן סדיר, הדיר ומסודר.
גם בעולם הביטחון והאבטחה (security) קיימת חשיבות לכך שמערכות יתאימו האחת עם רעותה. תחום הביטחון והאבטחה מגוון מאוד ורב-מערכתי, וכדי לפתח את השוק כדאי שתהיה מידה זו או אחרת של סדר. ניתן להבחין בסוגים שונים של מערכות בתחום הביטחון והאבטחה: מערכות פיזיות כגון מחסומים, גדרות וכספות; מערכות וירטואליות כגון מערכות שליטה ובקרה (שו"ב); מערכות המשלבות אלמנטים פיזיים ווירטואליים, כגון התפיסה של "עיר בטוחה"; וכמובן מערכות ארגוניות, כגון מערכת השיטור העירונית.
מאמר זה כפי שציינתי קודם, הנו הראשון בסדרה של שלושה מאמרים, שיספקו לקורא הצצה לעולם התקינה בתחום הביטחון והאבטחה. המאמר הראשון יעסוק בתיאור עולם התקינה וההזדמנויות הגלומות בו. המאמר השני יציג בקצרה את תמונת המצב של התקנים בתחום הביטחון והאבטחה ואת ארגוני התקינה העמלים על הכנת תקנים אלה, והמאמר השלישי יוקדש להצגת התקן הישראלי ת"י 24001 - מערכות ניהול חוסן תפקודי של ארגון (מנחת"א) - דרישות והנחיות לשימוש.
למה תקן?
תקן הוא הסכמה (קונסנזוס) בין בעלי עניין לשם הגדרת דרישות למוצר, לתהליך או לשירות*. מידת העניין בתקן היא כרוחב הקונסנזוס לתקן והיקף בעלי העניין בו. התקן כולל, בדרך כלל, הגדרת דרישות למוצר (או לתהליך או לשירות), שיטות בדיקה, שיטות עבודה וכדומה. כל התפיסה בתקינה היא, שהתקן אינו קובע את האמת הצרופה בנוגע למוצר כך שחריגה ממנו היא בבחינת ייהרג ואל יעבור, אלא שהתקן מהווה בסיס לאסדרה וולונטרית בחברה כדי להביא לשיפור. בנוגע לדוגמות שהובאו לעיל, ניתן להניח שלא יימצאו מתנגדים רבים לתקנים לציוד בעולם הבידור הביתי או בעולם השינוע וההובלה; אך קשה לשכנע שתקנים נדרשים לכל תחום בחיינו, כולל ביטחון ואבטחה.
לא לכל מוצר, שירות או תהליך דרוש תקן. ככל שהמוצר, השירות או התהליך מחייב הסכמה רחבה, תיאום או אחידות בין בעלי עניין רבים או בין מגזרים (סקטורים) שונים ומישקים רבים ומורכבים, הן ארגוניים והן טכנולוגיים, כך גדולה הכדאיות ליצור תקן שיסדיר את העניין. במבט ראשון תיתכן רתיעה מקביעת תקן, וזאת בשל כמה חששות: החשש שהתקן לא יאפשר את מיצוי הפוטנציאל של המוצר; החשש מפני מבחן העמידה בתקן, המהווה מדד אובייקטיבי; החשש שהתקן ישמש כלי בידי הרגולטור, ושיימצא הרגולטור שיחייב את יישום התקן ואף יחייב בדיקה וניפוק תעודה על ידי גורם מוסמך, שכמובן יעלו כסף. היתרונות בקביעת תקן הם, לדוגמה: הציבור יכול להשפיע על הדרישות שיופיעו בתקן; התקן מהווה בסיס להשוואה ולאומדן וכן בסיס להתמודדות עם תביעה בנוגע לאיכות או לבטיחות של מוצר. היו מקרים שבית משפט הרשיע או זיכה בהתאם למידת העמידה של המוצר בתקן, אף שהתקן לא היה מחייב.

*ההגדרה של ארגון התקינה הבין-לאומי ISO מסורבלת מעט: תקן הוא מסמך שנוצר בקונסנזוס ואושר בידי גוף מוּכר, הקובע לשימוש משותף ונשנֶה כללים, קווים מנחים או אופיינים של פעילויות או של תוצאותיהן, שמטרתם להשיג דרגה אופטימלית של סדר בהקשר נתון.

ישנו מגוון רחב מאוד של בעלי עניין לתקן, ואציין חלק מהם בלבד. אתחיל בגורם משמעותי מאוד, והוא היצרן. ליצרן יש מגוון של אינטרסים בכל הנוגע לתקינה למוצר או לשירות. יש ליצרן אינטרס שהמוצר או השירות שהוא מספק יעמוד בתקן רלוונטי ושהתקן יהיה מוכר ומקובל בשוקי היעד (בארץ ובחו"ל); לכן הוא רוצה להכיר אותו כדי להבין את ההשלכות על מוצריו, וגם להשפיע עליו בעת הכנתו. היבט נוסף: תקן יכול לשמש חסם, ולכן יצרן ירצה להשפיע על הנכתב בתקן כדי למנוע תחרות. בעל עניין נוסף הוא הרגולטור, שהרי התקן מהווה את הנדבך הטכני לרגולציה. דוגמה לכך היא החוק מ-2005 הדורש הימצאות אפודים זוהרים (אחד לפחות) בתוך כל רכב; הרגולטור מסתמך על התקן הישראלי ת"י 1258 חלק 4 כדי להגדיר טכנית את האפוד הזוהר. עוד בעלי עניין הם יבואנים, גופי אקדמיה, גופים גדולים כגון חברת החשמל ו"מקורות", ואחרון וחשוב – הצרכן (ראו דוגמת מערכת הבידור הביתית בתחילת המאמר).
קיים מגוון של מסמכים המוגדרים "תקן", ואציין חלק מהם.
מסמך שהוכן על ידי גוף לאומי או בין-לאומי המקפיד על תהליך הכנת התקן בהתאם לקווים המנחים של ארגון התקינה הבין-לאומי;
מסמך שהוכן על ידי מַאֲגדים מִגזריים (סקטוריאליים) לקביעת כללים עבור המגזר, כגון תקני האינטרנט שהוכנו על ידי World Wide Web Consortium (W3C), הנחשבים מובילים בתחום האינטרנט;
תקנים דה-פקטו, שהם תקנים שהוכנו ללא תהליך סדור אך נקלטו במשק ואומצו בצורה רחבה בשוק.
מכון התקנים הישראלי הוא הגוף היחיד המוסמך על פי דין להכין תקנים ישראליים.
תקן איננו מסמך שהוכן על ידי קבוצת מומחים "מטעם", המכתיבים נורמות באמצעות תקנים, אלא מסמך הנכתב על ידי ועדות תקינה הפתוחות להשתתפות של הציבור. אחד היסודות בהכנת תקנים הוא שקיפות התהליך. הכנת תקנים ישראליים נעשית בוועדות ציבוריות שבהן נדרש ייצוג מאוזן של המגזרים המתאימים, כגון יצרנים, יבואנים, צרכנים, משתמשים מוסדיים, גופי ממשלה, גופי אקדמיה, מערכת הביטחון. הזכות ליזום הכנת תקן ישראלי שמורה לכל אחד. התהליך מחייב הגשת בקשה מנומקת, עם מרב הפרטים הרלוונטיים, לבחינה ולאישור בוועדה במכון התקנים. לאחר אישור הבקשה מתחיל תהליך סדור, המפורט בתקנות הנקראות "כללי התקנים". במהלך התהליך נכתבת טיוטה לתקן, הטיוטה מעובדת על ידי ועדת מומחים עד להגעה לקונסנזוס, הטיוטה מופצת לציבור לקבלת ביקורת, ורק בתום תהליך זה מועברת הטיוטה הסופית לוועדה טכנית לאישורה כתקן ישראלי.
לתקן שאושר אין מעמד מחייב והיישום שלו הוא וולונטרי. המעמד החוקי של תקן יכול להשתנות ולהפוך למחייב במִתארים האלה:
• הכרזה כתקן רשמי (מחייב) - שר התעשייה, המסחר והתעסוקה רשאי, לאחר התייעצות עם נציגי היצרנים והצרכנים, להכריז בהכרזה שתפורסם ב"רשומות" על תקן מסוים, כולו או חלקו, כעל תקן ישראלי רשמי (מחייב), אם נוכח כי הדבר דרוש להשגת אחת המטרות האלה: שמירה על בריאות הציבור, שמירה על בטיחות הציבור, הגנה על איכות הסביבה, אספקת מידע כאשר אין מידע או מנגנון חלופי העשוי להקנות הגנה לצרכן, הבטחת תאימות או חליפיוּת של מוצרים, מניעת נזק כלכלי משמעותי העלול להיגרם לצרכן כתוצאה משימוש במערכות, בחומרים או במוצרים המשמשים לבנייה, הגלויים לעין ושאינם גלויים לעין.
• אזכור בתקנות – אם הרגולטור בחר לאזכר תקן מסוים בתקנות או בכל מסמך רשמי מחייב אחר, המעמד של התקן משתנה למחייב.
• אזכור במכרזים על ידי גופים גדולים כגון משרד ממשלתי או חברות ארציות כגון חברת החשמל.
החברה במדינה מוקפת ושזורה במערכות, מכשירים, אמצעים ותהליכים המוגדרים ומוסדרים בתקנים כדי להבטיח את ביטחונה, רווחתה וקיימותה, ועם התפתחות החברה יש להגדיל ולהרחיב בהתאם את התחומים שבהם יעסקו התקנים.
האם אפשר לתכנן לאורך זמן ערים בטוחות, להתאימן ולתחזקן - ללא תקנים? נראה שלא. במאמר הבא בסדרה אביא פירוט של גופי התקינה העוסקים בהכנת תקנים בתחומי האבטחה וביטחון האומה (homeland security) ושל ההזדמנויות לבעלי העניין הישראליים.

 

הכותב הנו מנהל מחלקת HOMELAND SECURITY במכון התקנים הישראלי.

אבטחה דיני עבודה חירום והמשכיות תפקודית טכנולוגיה באבטחה מהימנות מערכות מחשוב ושוב באבטחה מערכי אבטחה ניהול כללי