מקרי הסלמונלה – הצד של המחשוב

התקלות שאירעו באחרונה בקרב יצרני מזון מלמדות שהם לא הפנימו את המטרות של המחשוב, הבקרה והגנת הסייבר ● מה עליהם לעשות?

דניאל ארנרייך, יועץ למערכות בקרה והגנת סייבר

אני לא פעיל בתחום המזון ופרט לצריכה של מוצרים אלה, אין לי קשר אישי לענף. אולם, הסיפורים שפורסמו בשבועות האחרונים על מוצרי מזון שנתגלה בהם חיידק הסלמונלה, או שנתגלה חשד להימצאותו, הזכירו לי תקופה לפני 45 שנים, כאשר עבדתי בחברה שייצרה טלוויזיות. מטעמי חסכון וכמדיניות ברורה, החברה לא ביצעה ביקורת קבלה על חומרי הגלם שרכשה.

השיטה הייתה ברורה: מה שלא תקין – נחליף, מה שיתקלקל בתקופת האחריות – נתקן, והיתר – אחרינו המבול. באותה התקופה, שבה היינו צעירים ופחות מנוסים, הייתה סיבה להבין את ההיגיון שבשיטה הזו, בין היתר כי לא דובר על מזון ולא היה סיכון לחיי אדם או למחלות כתוצאה מתקלה אפשרית.

נזכרתי בסיפור הזה כאשר שמעתי נציג בכיר של אחד מיצרני המזון אומר שלא מסרו לו באופן מסודר שבחומרי הגלם שהוא קונה יש הרעלה חמורה. אמירה זו מצביעה באופן ברור על כך שלאיש אין השכלה נאותה בתהליכי ייצור ושאנשי המקצוע באותה החברה לא מבינים לעומקן את מטרות המחשוב.

באמצעות רשלנות שאין לסלוח עליה, הם מסכנים את לקוחותיהם, את פרנסתם של עובדיהם ולא פחות מזה את התדמית שלהם. אני שואל: כמה זמן לקח לנו "לשכוח" את פרשת אבקת המזון לתינוקות?

כאשר מפעל יצרני עובד עם מחשוב, יש לו מערכות שליטה ובקרה. יש למערכות האלה מספר מטרות. אני בכוונה לא מפרט את כולן, אלא רק את אלה שקשורות לפרשות האחרונות:

•    לנהל את תהליכי הייצור באופן אמין, רציף, כלכלי, תוך השגחה על עלויות הייצור ועוד.
•    לפקח על איכות התהליך בכל אחד משלבי הייצור, כולל בדיקת חומרי הגלם ותיעוד.
•    לזהות מצבים חריגים שנובעים מתקלות במערכות הייצור: חיישנים, בקרים, תהליכים ועוד.
•    לזהות מצבים בהם פעולה שגויה של אדם מוסמך ומורשה גרמה לסטייה מתהליכים תקינים.
•    ולזהות מיידית מצבים שבהם עקב תקיפת סייבר נוצרה תקלה או סטייה מתהליכים תקינים.

הכלים כאן – צריך להשתמש בהם

מנהלים בקווי ייצור – במיוחד בענפי המזון והתרופות אבל למעשה בכל אחד מהענפים התעשייתיים – חייבים לבדוק את תהליכי האיכות בייצור וקבלת חומרי הגלם מספקי חוץ. האם זה מסובך? ממש לא! האם צריך להמציא את הגלגל? ממש לא! כל הכלים ומערכות המחשוב והתוכנה שמיועדים לכך כבר קיימים. נכון, שדרוגים בתהליכים עולים כסף, אבל זה בדיוק כמו דברים אחרים שעושים בשגרה: בדיקות כשרות, אריזות איכותיות ועוד.

בשעה שהלקוחות נתנו ליצרני המזון מהפרשות האחרונות כבוד, הם ייצרו מוצרים לא תקינים ולא בדקו כנדרש את התהליכים שנהוגים במפעלים שלהם, הגם שההנחיות ודאי כתובות במסמכים שמכוסים באבק. חשוב לציין שקיימת חובה לאסוף נתונים לצורך בדיקה למקרה של תקלה וגם לצורך חקירה של אירוע חמור (Forensic). על פי הפרסומים, לפחות אחד היצרנים עמד במבחן והגן עלינו.

אנחנו חיים בעידן שבו יש איומי סייבר מכל הכיוונים וההתמודדות עם אתגרים אלה דורשת משאבים רבים, אנשי מקצוע מעולים, הדרכות של כל הצוותים במפעלים, ספקי שירות ועוד. תקלה דומה יכולה הייתה לקרות עקב תקיפת סייבר, שבאמצעות חדירה למערכות המחשוב הייתה גורמת לסטייה מתהליכי ייצור תקינים ולסיכון לאזרחי המדינה. יישום של מערכות להגנה בפני תקיפות סייבר מסוג "זיהוי מצבים חריגים" ("Anomaly behavior intrusion detection systems") ופתרונות נוספים שניתן להשיג בעלויות סבירות, גם ממפעלים וסטארט-אפים בארץ, יכולים לזהות כבר בשערי המפעיל שמשהו לא תקין.

הממשלה, מטה הסייבר ולא מעט מוסדות לימודים לנושא הגנת הסייבר כבר עמלים כדי להכשיר אנשי מקצוע שיגנו עלינו מרוחות רעות שנושבות לכיווננו, כדי לאפשר הגנה לא רק על תחום המזון אלה על התשתיות החיוניות.

כנס ICS Cybersec 2016, שיתקיים ב-5 בדצמבר באולם האירועים LAGO בראשון לציון, יתמקד בהגנה על תהליכי ייצור, מתקני ייצור חשמל, טיהור מים ושפכים, זיהוי דליפות במפעלים כימיקליים ועוד. אנשי המקצוע שפעמון האזעקה העיר אותם כששמעו על התקלות במפעלי המזון מוזמנים להשתתף.

להרשמה לכנס לחצו כאן.

הכותב הינו יועץ למערכות בקרה והגנת סייבר.

תגובות

(1)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

  1. מודי

    מר דניאל ארנרייך היקר, להערכתי אין קשר בין המטרות של המחשוב בנושא בקרת תהליכים לבין בדיקות איכות המחשוב זה אולי יכול לעזור, אבל אם לארגון אין נהלים ותהליכי בקרה אזי המחשוב המתקדם ביותר לא יעזור בסופו של דבר מאחורי כל מערכת עומד אדם ואין מערכת מחשב שעובדת עצמאית ומה שקרה כאן בנושא היה רשלנות פושעת מצד הלקוחות שקיבלו את הסחורה הפגומה לא היו בודקים כל משלוח שמקבלים לפני הכנסתו ליצור אזי תקלה כזו לא הייתה נגרמת והכל זו שאלה של נוהל והאם וכיצד מיישמים אותו אילו הם היו חברת תרופות אזי כזה מצב לא היה קורא

אירועים קרובים