איך לבחור ספק שירות ליישום חוק - "איך אני נוהג?"

לבחירת ספק השירות בשיטת "איך אני נוהג?" אשר יבצע את העבודה עבור הארגון ישנן השלכות רבות ואסור שהבחירה תתבצע כלאחר יד

דורון רגב*
----------
*מנכ"ל תנועה נט

עם כניסתו במרץ 2012 של החוק החדש (הבא להחליף את "נוהל 6") אשר מחייב חברות שמחזיקות קצין בטיחות בתעבורה להפעיל את שיטת "איך אני נוהג" בעזרת מספר מקוצר (וללא שימוש בנתב שיחות), נוצר שינוי דרמטי שמחייב את כל החברות בישראל אשר מעסיקות "קצין בטיחות בתעבורה" להתארגן בהתאם לדרישות החדשות. כתוצאה מכך, חברות רבות שהפעילו את "נוהל 6" בצורה עצמאית, החלו לשקול את ביצוע הוראות החוק על ידי שימוש בספק שירות חיצוני. ישנם כמובן יתרונות לכאן ולכאן וכל חברה צריכה לשקול היטב אם עדיף עבורה לבצע את השיטה בצורה עצמאית, או לשכור את שירותיו של ספק אשר מתמחה בנושא. במקרה שהחברה בוחרת לעמוד בדרישות החוק על ידי השימוש בספק חיצוני, ישנה חשיבות אדירה לדרך שבה נבחר הספק ויש צורך לבצע תהליך בחינה ובחירה בצורה רצינית ומושכלת.

אבטחת נתונים? ספק שירות? מה כל כך קריטי?

לבחירת ספק השירות בשיטת "איך אני נוהג?" אשר יבצע את העבודה עבור הארגון ישנן השלכות רבות ואסור שהבחירה תתבצע כלאחר יד. השיקול הכלכלי הוא חשוב ביותר כמובן, אולם אסור שהוא זה שיכריע או יהווה את המדד היחידי לבחירת הספק. חברה שמציעה שירות זול עושה זאת בעזרת חיסכון בהוצאות שונות ולפעמים גם בעזרת מה שנקרא "קיצורי דרך", אשר יכולים בסופו של דבר לייצר סיכונים גדולים ביותר דווקא למידע החשוב ביותר של צרכני השירות. ומה הוא אותו מידע חשוב או קריטי שנמצא בסיכון? שמות העובדים של החברה ופרטי ההתקשרות שלהם נחשבים בחברות הייטק רבות כמידע בעל חשיבות עליונה, ונראה לי שאין צורך להסביר או לפרט מדוע. מעבר לכך, המידע על התנהלותם של כל מחזיקי הרכב או מי שנוהג ברכבי החברה תשמר מעתה על שרתי הספק ופריצה לשרת תאפשר העתקת נתונים אלו על כל המשתמע מכך. בחברות תחבורה לדוגמה או חברות שמשתתפות במכרזים, פרטים על צי הרכב נחשבים סודיים ביותר.
לאחרונה ארעו פריצות באתרי אינטרנט אשר מאובטחים ברמה הגבוהה ביותר בארץ ובעולם, כמו אלו של חברת ויזה ואחרים. חברת ויזה לדוגמה משקיעה מיליונים רבים מדי שנה לאבטחת המידע שהיא מנהלת ומאחסנת על שרתיה, ובכל זאת האתר שלה נפרץ. המסקנה מכך היא שלא קיים אתר שלא ניתן לפרוץ אותו ואין כיום הגנה הרמטית. אולם, חשוב מאד לדעת עד כמה קל למצוא (כן למצוא!) את האתר ומה נעשה כדי להגן על המידע שנימצא במאגר הנתונים.
האם ביררת מה עושה ספק השירות שבחרת ליישום חוק "איך אני נוהג?" כדי לאבטח את הנתונים החשובים שהחברה שלכם מזינה לתוך מאגר המידע שלו ולמי יש גישה למידע זה? האם השקעת מחשבה ובדקת את הנושא ברצינות כדי שתוכל לענות לשאלות שיעלו בפניך הממונים עליך - אם חס וחלילה יקרה דבר שלא ציפית לו?

שאלות חובה לספק

● האם התוכנה ומאגר הנתונים של הספק נמצאים על שרת מקצועי מאובטח אשר יושב בחוות שרתים מוסמכת, או שהם נמצאים על מחשב פרטי בבית הספק, למשל? האם הספק יכול להציג הוכחה לכך שמאגר הנתונים מאובטח ויושב על שרת בחוות שרתים מקצועית?
● מה נמצא על השרת שעליו יושב מאגר הנתונים - האם יש שם דברים נוספים? האם האתר הפרסומי של החברה יושב גם הוא על אותו שרת? איזו אבטחה יש לשרת? איזה פרוטוקולים מיושמים?
● האם הכניסה לשרת מוצפנת?
● האם יש גיבוי של הנתונים והיכן, כל כמה זמן הוא נעשה וכמה זמן ייקח השחזור?
● האם פרטי המדווחים נשלחים בצורה אוטומטית למנוי? (קיים סיכון משפטי רב בחשיפת פרטי מדווח).
● למי בחברה יש הרשאות וגישה לנתונים? - חשוב לדעת למי בדיוק יש גישה ולאיזה נתונים בדיוק.
● האם יש אדם שתפקידו לקרוא כל דיווח שהתקבל ולהגיב במידת הצורך גם בזמן אמת? באיזו תכיפות?
● האם המוקדנים יכולים להיכנס למאגר הנתונים ולראות דיווחים שהתקבלו בדיעבד?
● כמה כלי רכב נמצאים במאגר הנתונים של הספק כעת? (זו היא האינדיקציה למחזור החודשי של הספק).
● איך הספק מתכוון לשלם את הוצאות המוקד, משרד, שירות הלקוחות, מספר מקוצר (מכל טלפון?), פיתוח תוכנה, אבטחת מידע, הנהלת חשבונות וגביה, שכר וכו' למשך שלוש השנים הקרובות?
● האם לספק יש ניסיון בשירות מסוג זה מלבד היותו חברת מוקד או יצרן תוכנה?
● האם לספק יש לקוחות מרוצים שמוכנים להמליץ עליו? (חובה לדבר עם מספר לקוחות כדי להבין מה היתה ההתנהלות מול הלקוח כאשר נדרשה עזרה או עלו בעיות).
● האם הספק קיבל את אישור גף קציני הבטיחות במשרד התחבורה שהוא עומד בכל הדרישות כ"ספק חיצוני"?

סיכום

שיטת "איך אני נוהג" היא אולי השיטה הזולה והפשוטה ביותר לקבלת אינפורמציה קריטית על תפעול כלי הרכב והתנהלות הנהגים - בזמן אמת. קציני בטיחות שמבצעים את "נוהל 6" בעזרת תנועה נט יעידו שהשיטה מאפשרת להם לבצע את תפקידם בצורה מקצועית ביותר ולהגיע לתוצאות אופטימאליות.
אין ספק שמדובר בהרבה יותר מפתק עם מספר טלפון על אחורי הרכב, אם רוצים להגיע לתוצאות מקסימאליות. קצין הבטיחות נדרש לתחזק את מאגר הנתונים ולהתייחס לדיווחים שמגיעים בזמן קצר. קצין בטיחות שמתעלם מהדיווחים או עובר עליהם רק אחת למספר ימים לא יוכל להגיע לאותן התוצאות.
מעבר לכך, כפי שהסברתי במאמר, יש סיכון של חשיפת הנתונים שנשמרים במערכת של הספק וקצין הבטיחות חייב להיות מודע לכך. לדוגמה, בלילה אחד בשבוע שעבר (סוף אפריל 2012) היו 26 ניסיונות פריצה לאתר הפרסומי של חברתנו ולבסוף הוא נסגר בצורה אוטומטית והכניסה אליו נמנעה. לו היה מאגר הנתונים של מערכת תנועה נט יושב על אותו שרת הוא היה בסיכון גבוה ביותר. מדוע נעשו ניסיונות לפרוץ לשרת של תנועה נט ומה הם המניעים? על כך אין לי תשובה כרגע אולם ברור שיש אנשים רעים וחסרי מצפון (ישראלים דווקא אם אתם תוהים מאין הם) שיעשו כל דבר כדי לגבור על התחרות בשוק.
קצין בטיחות אשר שוקל בימים אלו את העבודה עם ספק שירות חיצוני לצורך ביצוע דרישות החוק החדש של שיטת "איך הנהיגה שלי", חייב להיות עם רגליים על הקרקע ולהבין שספק אשר מציע לו את השירות במחיר לא סביר הוא בעצם סיכון מתקתק! עצור לרגע וחשוב, האם יתכן לדעתך לספק שירות אשר כולל: מוקד עם מענה מהיר 24/7, מספר מקוצר שעונה לכל טלפון נייד או נייח בישראל, פיתוח תוכנה (תהליך בלתי פוסק בעלויות גבוהות), אבטחת מידע!, שירות לקוחות זמין, החזקת משרד ועובדים, הנהלת חשבונות וגביה (ועוד ועוד) במחיר של שקל בודד? כמה עשרות אלפי כלי רכב יש לספק שמבטיח שירות במחיר כזה? האם הוא עונה לכל הדרישות שפרטתי במאמר והיכן הוא עושה את אותם קיצורי דרך שעלולים לפגוע בארגונך? כמה זמן הוא ישרוד? אם התשובה היא שהספק הוא חברת מוקד לדוגמה? הייתי משווה את זה ליצרן צמיגים שמבטיח למכור לכם מכונית חדשה... אין שום קשר בין היכולת לייצר צמיגים לבין ייצור מכונית, הצמיגים הם רק חלק אחד קטן ממה שנידרש כדי שמכונית תתחיל לנסוע. גם המוקד לצורך השוואה הוא רק חלק קטן ממה שנדרש כדי לספק שירות מקצועי ולהגיע לתוצאות מקסימאליות בהפעלת השיטה.


 


הרשם עכשיו לניוזלטרים של רכב ותחבורה: 
קצר, ממצה, איכותי, חינם - אצלך במייל
דואר אלקטרוני
שם פרטי
שם משפחה

+ הוסף תגובה חדשה
תגובות: (צפה ב-  תגובות בעמוד זה)
Loading בטעינה...

Go Back  Print  Send Page
[חזור למעלה]        [הוספה למועדפים]        [מפת האתר]        [יצירת קשר]        [קישורים]
 
 
     
לייבסיטי - בניית אתרים