סיכון ממוחשב

ארגון ספג נזק כלכלי משמעותי כאשר מערכת קריטית שלו, אשר פותחה לפני למעלה מעשור בטכנולוגיה מיושנת שאינה נתמכת כיום, הפסיקה לעבוד למשך זמן רב עד שאותר מקור התקלה. בסכום שהפסיד הארגון ניתן היה אולי לפתח מערכת חדישה ומעודכנת, שלא לדבר על ביצוע הסבה של הטכנולוגיה המיושנת לטכנולוגיה חדשה.

זוהי אמנם דוגמה כללית אך היא מייצגת בעיה טיפוסית נפוצה. עדכוני אבטחת מידע המבוצעים באופן אוטומטי ושוטף במערכות ההפעלה והתשתית עשויים להתנגש עם טכנולוגיה מיושנת, ומונעים הפעלה תקינה של מערכות. בכך הם מותירים בפני הארגון דילמה קשה: האם להשבית באופן מלא או חלקי את המערכת, או לחילופין להותירה עם פרצת אבטחה מוכרת וידועה לכל.

אי ניהול סיכונים עקב התיישנות מערכות מחשוב הוא נחלתם של מרבית הארגונים בישראל במגזר הציבורי, הפיננסי וקרוב לוודאי שגם הביטחוני. מערכות הליבה בארגונים אלה פותחו בשנות ה-90' ואף קודם לכן, בטכנולוגיות שהיו אז המילה האחרונה ואורך חיי המדף שלהן הוארך כבר מספר פעמים. היום, החברות היצרניות, אם עדיין קיימות באותה מתכונת, מסירות בהדרגה את התמיכה מטכנולוגיות אלה וחלק מן הגרסאות כבר לא נתמכות כלל.

גם יחס עלות/תועלת של טכנולוגיות מיושנות הולך ופוחת בהשוואה פני לטכנולוגיות חדשות, וכדאיות הפיתוח והתחזוקה בסביבות המיושנות נשחקת. טכנולוגיות מתקדמות יעילות בהרבה מטכנולוגיות מיושנות, ומבצעות משימות שבעבר נחשבו למורכבות, בפשטות, בקלות ובמהירות. גם הקושי לאתר ולשמר מפתחים המתמחים בפלטפורמות מיושנות גוזל מארגונים משאבים משמעותיים.

בנוסף לפרקטיקה עסקית שגויה, נראה כי אי-התייחסות לסיכונים עקב מערכות מתיישנות עשויה להיחשב בחברות ציבוריות הפרה רגולטורית. חברות ציבוריות מחויבות על פי תקנות ניירות ערך לדווח על סיכונים מהותיים. במסגרת זו, מערכת מחשוב מיושנת הנמצאת בליבת העסקים של הארגון ומשפיעה על הדוחות הכספיים שלו, מתאפיינת בפרופיל סיכון גבוה ומחייבת דיווח. סביר להניח שגם ארגון המתהדר בתקינת ISO לא יכול להתעלם מן הנושא.

כיצד מומלץ להתמודד עם מערכות מיחשוב מיושנות? ארגונים רבים חוששים מסיבות מובנות להיכנס לפרויקט פיתוח ממושךויקר. תקורות הסיכון של פרויקטים אלו עשוי להגיע למאות אחוזים. דרך פשוטה וזולה בהרבה היא בניית תוכנית הגירה למערכות מסוכנות.

בשלב ראשון כדאי לבצע תהליך מיפוי סיכונים של כל המערכות והטכנולוגיות בארגון, במטרה לקבוע אורך חיי מדף לכל מערכת. מיפוי מסוג זה יציף את המערכות הקריטיות החשופות לסיכון. בעקבות ממצאי המיפוי ניתן לבחון האם מערכת ארגונית אחרת יכולה לתת מענה חלופי לצורך. במקרים אחרים ניתן להטמיע מוצר מדף חליפי או לבצע "הינדוס חוזר" של תוכן המערכת המיושנת, טרום פיתוח מחדש.

דרך יעילה נוספת הינה ביצוע הגירה באמצעות כלים אוטומטיים, הזמינים היום בשוק, וחוסכים לארגון חלק ניכר מעבודת השכתוב הידנית וכן את הסיכון המשמעותי הטמון בהקמת מערכת מחדש.

הכותב הוא מנהל מרכז התמחות APP Migration להגירת מערכות, חטיבת פתרונות פיננסים וטכנולוגיות במטריקס