““I am convinced that there are only two types of companies: those that have been hacked and those that will be. And even they are converging into one category: companies that have been hacked and will be hacked again.“ (Robert S. Mueller, 2012)”
במאמר זה הכותב סוקר את עולם משחקי המלחמה ותרגילי ההנהלה המדמים אירועי קיצון ומשבר עבור הנהלות בכירות.
מאז דבריו של ראש האף.בי.אי לשעבר רוברט מולר בשנת 2012, נרשמה עלייה מתמדת באירועי הסייבר השונים ברחבי העולם, ובתקופה האחרונה אף חלה נסיקה בכמות האירועים הכוללים פריצה, דלף מידע וכופרה, דוגמאת המתקפות ב-2017 של נוזקות WannaCry ו-NotPetya. אירועי סייבר כדוגמאת אלה, עשויים להביא ארגונים, גדולים וקטנים כאחד, למשבר הנדרש לסוג שונה של התמודדות ואשר מצריך כלים המצויים מעבר לתחום הגנת הסייבר ואבטחת המידע לבדם.
אולם, לצד העלייה התלולה בכמות המתקפות, עדיין, רוב העסקים הקטנים והבינוניים פועלים ללא תוכניות התמודדות עם משברים (לא בהכרח בתחום הסייבר). שתי הנחות העבודה הנפוצות (מדי) בקרב מנהלים הינן: מחד, ההנחה ש״לי זה לא יקרה״, ומאידך ביטחון המנהל או ההנהלה ביכולות ובנסיון של מנהלי הארגון ועובדיו להתמודד עם משבר זה, מוכיחות עצמן פעם אחר פעם כמוטעית ועסקים אשר לא נערכו היטב להתמודדות עם מצבי משבר נוטים להינזק קשות, עד כדי סגירה של העסק, בעקבות אותם אירועים.
אבל כדאי להתחיל מהבסיס - מהו משבר או סיטואציה משברית? משבר הינו אירוע, או סדרת אירועים, בלתי צפויים הגורמים לשיבוש דרסטי באורחות החיים. למשבר יש פוטנציאל נזק משמעותי לארגון, לעובדיו, לשותפיו ו/או ללקוחותיו. אירוע שכזה עשוי להוות סכנה ברורה ומיידית על יכולתו של הארגון לספק את המוצרים, השירותים ו/או הביטחון (והסודיות) שאליהם הוא מתחייב ו/או מחוייב לפי החוק. כפועל יוצא של פוטנציאל הנזק הגדול, אירועי משבר כמעט תמיד ינוהלו ברמת ההנהלה הבכירה או מי מטעמה. לכן, תחת הגדרה זו יש לראות במשברי סייבר מורכבים - משבר ניהולי המתקיים במתאר טכנולוגי ולא אירוע טכנולוגי גרידא.
מאות תרגילים המדמים מצבי קיצון ומשברים, העלו כי ישנן שתי דרכים לבדיקת מוכנות הארגון לשעת משבר. הדרך הראשונה (הלא מומלצת!) היא לבדוק את התמודדות הארגון בזמן אמת תוך כדי המשבר עצמו. מצבים אלו, המתאפיינים בהפתעה וחוסר וודאות, עשויים להכניס גם את המנהלים הטובים ביותר לשיתוק, הכחשה או פעולה אוטומטית המבוססת על ההטיה ש״מה שהיה הוא מה שיהיה״. למעשה אופן התמודדות זה מוביל להתעלמות מהמאפיינים הייחודיים של הסיטואציה מולה הם עומדים. הדרך השנייה (והמומלצת!) היא להיערך למצבי המשבר מבעוד מועד: לבחון את חולשות וחוזקות הארגון, לקבוע מדיניות הגנה ולנסח נהלי התמודדות לסוגים שונים של מצבי קיצון, כל זאת אל מול הרגולציה המחייבת (אם קיימת בתחום).
לפיכך, עולה ששלב מקדים וקריטי בניהול משברים הוא להקדים תרופה למכה באמצעות זיהוי חולשות הארגון והסכנות העומדות בפניו. מטרתו של שלב זה הינה ניתוח נכון של מאפייניהם של המשברים המסכנים את הארגון וביצוע הכנה נכונה אליהם. לעומת זאת, הסתפקות בהמתנה ללקחים ומסקנות שיתקבלו לאחר המשבר עשויה להיות הרסנית עבור הארגון.
אולם גם שלב ההכנה אינו פשוט. מחקרים מאששים את מה שכבר ניתן היה לחשוד בו בעבר – ניסיון חיזוי של תוצאות משבר תוך התבססות על חשיבה, ניתוח והערכה בלבד, לא מוביל לשיפור יכולות ההתמודדות עם סיטואציה משברית. בניגוד לכך, ביצוע תרגול באמצעות מתודולוגיה סדורה המבוסס על משחקי תפקידים, מחזק את ״שריר ההתמצאות״ במצבים המאופיינים בהפתעה וחוסר וודאות. חיזוק ״שריר״ זה, בהכרח מגביר ומשפר את יכולת ההתמודדות עם מצבי קיצון, ומקרב את המתורגלים לסיום טוב יותר של האירוע.
מה הם משחקי מלחמה? משחקי מלחמה הם סוג של תרגילים המבוססים על משחק תפקידים. ״משחקים״ אלו שוברים את שגרת העבודה ומעבירים את המתורגלים לסביבת מציאות תרגילית שנועדה לערוך בדיקה שיטתית של מוכנות הארגון. סוג של שריפה מבוקרת או חיסון ״חי-מוחלש״ המכיל את הגורם המזיק ומאפשר לגוף ללמוד את מאפייניו וחולשותיו. באמצעותם מבצעים ארגונים וחברות תרגול תרחישי קיצון אינטראקטיביים המדמים את האתגר/ים הניצב/ים בפני האדם או החברה והם מותאמים באופן ספציפי ללקוח. בדרך זו משחקי המלחמה מאפשרים הבניית ״תודעת מצבי קיצון״ בקרב בעלי תפקידים שונים בארגון. בנוסף, נועדים לייצר ״סינרגיה״ או סנכרון מיטבי בין כלל בעלי התפקידים, אשר לה חשיבות עילאית בשימור יכולת ניהול המשבר.
אולם לתרגילים אלו תפקיד משמעותי נוסף על שיפור יכולת ההתמודדת של השחקנים בארגון. ביכולתם להעיד על כשלים וחולשות הן בהיבטים הטכניים אך בעיקר יכולים לבחון את התהליכים הפנימיים של הארגון - תהליכי דיווח, תהליכי קבלת החלטות, אופן ביצוען ועוד. זאת בעיקר הודות לתהליך בניית משחק המלחמה.
בניית משחקי המלחמה והכנת השחקנים אליהם הוא תהליך מורכב בפני עצמו. היות ועל המשחק לדמות בצורה מציאותית ומיטבית את הסיטואציות הרלוונטיות עבור הארגון, התהליך כולל בחינה מקיפה של הארגון, תהליכי העבודה שלו, יתרונות, חסרונות והזדמנויות באופן עבודתו, היכן דברים יכולים להשתבש ועוד היבטים רבים נוספים. כך למעשה, בוני התרגיל עורכים ניתוח סיכונים נוסף כחלק מבניית התרגיל עצמו, וחשיפתו בפני המתורגלים נעשה במסגרת משחק המלחמה.
בהקשר זה חשוב לציין כי חשיבה פנימית (בקרב עובדי החברה לבדם) על אותן נקודות או היבטים יכולה להעניק תובנות חלקיות בלבד. זאת, בעיקר, מפני שאנשים אשר "נושמים" את העשייה היומיומית בארגון נוטים לפתח עיוורון תעשייתי עבור חלק מאותם רכיבים או תהליכים הנדרשים בחינה. כך שיכולתם לזהות חולשות והזדמנויות עבור גורמים מזיקים עשויה להיות חלקית. לפיכך, הפתרון המועדף הוא הכנת משחק מלחמה אפקטיבי וממצה תוך שימוש בגורמים חיצוניים המסוגלים לבחון את הארגון באופן בלתי תלוי וללא הטיות.
במהלך משחק המלחמה נדרשת ההנהלה (ושאר השחקנים המשתתפים בתרגיל) לגבש מספר תמונות מצב במשך כל התרגיל (ואף להבין שעליהם לקיים כאלו), למפות את הגורמים המעורבים בתוך החברה, לחשוב בצורה רב-מימדית ולקבל החלטות במספר רב של זירות פעולה: הזירה הטכנית, הזירה התדמיתית, הזירה הרגולטורית ועוד רבות. במצב זה, ניהול נכון של המשבר יתבסס על הבנה שחייבת להתקיים ״סינרגיה״ אסטרטגית וניהולית על מנת לקבל החלטות שישפיעו על כל הזירות באופן מייטבי ויובילו לסיום מוצלח ככל האפשר של המשבר.
בסיום משחק המלחמה מקבלת ההנהלה (והשחקנים המשתתפים) תמונת ראי לאופן ההתמודדות שלהם ושל כלל הגורמים שנבחנו בתרגיל עם התרחיש. בנוסף, משחק המלחמה מספק בחינה ליעילותם ותוקפם של הנהלים שנכתבו על בסיס ניתוח הסיכונים טרם התרגיל. באופן זה, המסקנות והלקחים שעולים ממשחק המלחמה מתורגמים לאחר מכן לפיתוח אסטרטגיות תומכות לתהליך קבלת ההחלטות, אך גם לעריכת ועדכון של נהלי הארגון באופן מייטבי.
בשורה התחתונה, וכמשתמע מדבריו של ר. מולר, אין זו שאלה של ״אם״ הארגון יחווה אירוע משברי, אלא ״מתי״! לכן, בבואכם להיערך למצבי משבר יש לעשות זאת בשני צירי פעולה המזינים זה את זה. ציר אחד הינו ציר ההיערכות במסגרתו עליכם לבחון את הנהלים הקיימים, לבחון את ההגנות הקיימות, לבחון את תהליכי קבלת ההחלטות ולסיום להכין ולנסח נהלים לשעת משבר. הציר השני הוא ציר התרגול אשר במסגרתו תוכלו לבחון את הנהלים והתהליכים שנוסחו על מנת לאמת את תוקפם לאירועי קיצון שונים. בכל מקרה, חשוב לדעת שתמיד נכון להיוועץ בגורמים שזו התמחותם ומסוגלים לתרום לכם לאחד או לשני צירי העבודה וביתר שאת אם אתם חווים אירוע משברי ברגעים אלו.
הכתבה בחסות קריטיקל אימפקט בע״מ
קריטיקל אימפקט בע״מ הינה יחידת עלית לניהול משברים. מייסדיה וצוותה, הינם מומחים בעולם המשברים, בעלי יותר מעשרים שנות מומחיות וניסיון בתחום. חוזקה של היחידה נובע מהידע המקצועי המצטבר והנרחב של צוותה וכן של מאגר מומחים בעלי ניסיון רב אותם היא מעסיקה. החברה פיתחה מתודולוגיה ייחודית של משחקי מלחמה וסימולציות של מצבי קיצון במתארים מגוונים בהם נתקלים ארגונים בארץ ובעולם. בניהם גם מתארים של מתקפות סייבר וכופרה בהם מחיר הטעות ואי-הכשירות גבוהים מיוחד.