כל יום זיכרון לנספים באירוע קיצון, כמו למשל לנספים בפיגוע במגדלי התאומים בניו יורק, וכל אירוע עכשווי כמו תקיפת הסייבר על בית חולים הלל יפה, צריך להזכיר לכל מנהל ארגון עד כמה השגרה מסוכנת ולהציף אצלו מחדש את החובה לעסוק בניהול סיכונים כולל פיקוח ובקרה על רמת המוכנות שלו ושל כל מי שנמצא תחתיו. ולמרות זאת, כל מי שראשו במקומו ורגליו על הקרקע יודע שלא ניתן לחזות כל אירוע ושגם ארגון מוכן לאירועי קיצון יכול לפגוש "ברבור שחור".
מהו אירוע קיצון?
אירוע יוצא דופן שסיכוייו להתרחש מוערכים כנמוכים מאוד, אך לאחר שהתרחש, השפעתו על הארגון/מערכת היא מרחיקת לכת – סיכוי קטן להתרחשות והשפעה גדולה. זה לא עוד אירוע. תוצאות אירוע קיצון הן בדרך כלל בהקשר שלילי והוא מוגדר כאירוע "משבש" – מערער את הסדר הקיים. הטריגר לאירוע קיצון יכול להיות חיצוני (פוליטי, כלכלי, כוחות טבע) ויכול להיות פנימי (עובד). בשפת ראיית התוקף, על הארגון להיות מוכן לזעמו של היריב העסקי, זעמו של הטבע, זעמו של היריב המדיני וזעמו של היריב מבפנים.
מהו "ברבור שחור"?
אירוע שמתרחש בפעם הראשונה, ברמה עולמית, ומדגיש את אי הודאות ואת חוסר היכולת שלנו, בני האדם, להעריך מראש את הסיכוי להתרחשותו ואת מידת השפעתו. הפיגוע במגדלי התאומים הוגדר כ"ברבור שחור" למרות שפורסם של – FBI היה מידע מוקדם על חלק מהמפגעים שלא הפך לאיום ממשי.
הנחות העבודה:
אמנם אי אפשר להבטיח מענה לכל סיכון, אבל כן ניתן להכין ארגון טוב יותר למצבים משתנים ולמצבי חירום קיצוניים.
אירוע קיצון מתרחש מסיבות מסוימות ולכן הקפדה על ביצוע תהליך ניהול סיכונים תמידי תעלה את הסיכוי לחיזוי ולצמצום הנזק.
ניהול סיכונים:
תחום מקצועי שעל כל מנהל לעסוק בו על מנת לבחון לעומק את כל הסיכונים הרלוונטיים לארגון כחלק מתפיסה ניהולית לטווח ארוך וכדי לאפשר לארגון לעמוד ביעדים ובמטרות ללא הפרעות. מנהל יכול להחליט לבצע את ניהול הסיכונים בעצמו או להטיל את המשימה על בעל תפקיד מקצועי מתוך הארגון או מחוצה לו. ניהול הסיכונים מייצר תמונת מצב המתבססת על נתונים עובדתיים, אירועי עבר והערכה שהתוצאה שלה קובעת את סבירות המימוש של הסיכון ואת עוצמת הנזק שלו לארגון.
מה מוגדר כאירוע שגרתי ומה מוגדר כאירוע קיצון/"ברבור שחור"?
בשנת 2001, נראה שאף אחד לא יכול היה לדעת או לא היה מסוגל להאמין שארגון טרור ישתמש במטוסים אזרחיים כדי להתנגש איתם במגדלי התאומים בניו יורק ארצות הברית, ולכן באותה עת היה מדובר ב"ברבור שחור" – מאז כבר לא ניתן להגדירו ככזה ולכן יידרש לדון עליו כסיכון שיכול להתרחש שוב.
בשנת 2021, התקפת סייבר, כפי שהתרחשה בבית חולים הלל יפה השבוע, מוגדרת ונחשבת כבר לאירוע שגרתי שיכול להתקיים בכל ארגון שעובד עם מערכות מחשוב ותלוי בהן. עובדתית ומבלי לדעת כיצד הצליחו ההאקרים לפרוץ למערכות המחשוב של בית החולים, ברור שבמעגל ההגנות שהופעל בו היתה פירצה שניתנת לזיהוי ושדרכה תקפו ההאקרים – במתן ההסברים, לא ניתן יהיה לטעון שמדובר באירוע קיצון או ב"ברבור שחור".
בשנת 2021, פגיעה בנבחר ציבור כפי שהתרחשה אתמול, יום שישי 15 לאוקטובר, כנגד חבר פרלמנט בריטי במהלך השתתפותו באירוע בכנסייה, לא נחשבת כאירוע קיצון ובטח שלא "כברבור שחור" ולכן מוגדרת כאירוע שגרה שבטוח נלקח בחשבון כחלק מניהול הסיכונים של המדינה – סביר להניח שעכשיו יבצעו ניתוח של הסיכון מחדש כדי לקבוע האם עוצמת הנזק למדינה מצריכה שינוי במדיניות אבטחת האישים.
האם בשנת 2021 שימוש במל"טים כנגד אוניות נחשב לאירוע קיצון/"ברבור שחור"? התשובה נמצאת במלחמת העולם השנייה שבה היפנים שלחו טייסים שהתפוצצו על אוניות האויב (קמיקזות) – בראיית התוקף, לא מדובר בהפתעה ולכן חייבים לדון בסיכון בתהליך ניהול הסיכונים.
למה צריך לדאוג מנהל ארגון כדי להגן עליו מסיכונים?
על כל מנהל ארגון חלה החובה לבצע תהליך ניהול סיכונים מקצועי ומסודר שבעזרתו יקבל החלטות לביצוע – מבוסס על שיתוף פעולה עם ארגונים ביטחוניים, בחינת אירועי עבר בישראל ובעולם ועוד. כחלק מהתהליך, יקבע המנהל מהם יעדי ההגנה של הארגון, יעדים כמו תשתיות קריטיות, נכסים, מידע וכו', שפגיעה בהם תקטע את רציפות התפקוד של הארגון ו/או יאיימו על המשך קיומו.
הקמת מנגנוני בקרה ופיקוח על יישום ההחלטות – הפקת לקחים ויישומם כחלק מהתרבות הארגונית.
הקמת מנגנון מקצועי שיבחן באופן סדיר האם קיימים סימנים הניתנים לזיהוי והמעידים על כך שמתקרב אירוע קיצון.
מינוי מנהלים שידועים ביכולתם לא להסכים מיד לכל החלטה או פעולה ואמיצים מספיק כדי להביע דעה המנוגדת לדעת הרוב ובטח שלדעת מנהל הארגון.
הפעלת גורם המוגדר כ"עין חיצונית" לארגון שיבצע בקרה אובייקטיבית, כולל הפעלת "צוות אדום" מקצועי שיבחן את מוכנות הארגון לכל הסיכונים הרלוונטיים.
תפקידו של המנב"ט בתהליך ניהול הסיכונים:
המנב"ט בארגון שותף לגיבוש תפיסת ההאבטחה שכוללת גם תהליך של ניהול סיכונים ואחראי למימוש תכנית האבטחה. מנהל חכם ישלב את מנב"ט הארגון בתהליך ניהול הסיכונים המלא בארגון והשתמש בידע המקצועי, בניסיון וביכולת שלו – מחייב את המנב"ט לדאוג לעמוד בציפיות המקצועיות ממנו בתחום ניהול הסיכונים.
לסיכום:
עובדתית, ניתן לחזות את רוב האירועים שיכולים להוות סיכון לארגון ולהחליט על פעולות יעילות למניעתו או למזעור הנזקים שנובעים ממנו. ניהול סיכונים מחייב עקביות והתמדה לאורך זמן בבניית תרחישים. הארגון חייב למנות גורם שיערער על דפוסים והנחות יסוד ויפעל להגדרת נסיבות שיגרמו לכשל מערכתי משמעותי.