כך מגנים על התשתיות הקריטיות מפני מתקפות סייבר

מתקפות סייבר והנזקים הפוטנציאליים שעלולים להיגרם כתוצאה מהן אלה דברים שמטרידים, או אמורים להטריד, כל ארגון. על אחת כמה וכמה נכון הדבר כשמדובר בארגונים שמספקים או אחראיים על התשתיות הלאומיות והחיוניות לכולנו, כמו מים וחשמל.

מומחים מחברת החשמל ומרשות המים דיברו בכנס ICS CyberSec של אנשים ומחשבים, שהתקיים אתמול (ב') באולם האירועים לאגו בראשון לציון, בהנחיית דניאל ארנרייך. הם הסבירו איך שומרים בחברות אלה על המערכות, כדי שהחשמל והמים ימשיכו להגיע לבתים ולמשרדים שלנו בצורה תקינה וללא הפרעה.

דני לקר, מנהל אבטחת המים וראש חטיבת החירום ברשות המים, אמר כי "אנחנו מבינים שאיום הטרור הרגיל, בדמות ניסיונות להרעלת מים, קיים, אבל גם טרור סייבר, איומי טילים, רעידות אדמה וסופות. יש בעולם ובארץ מתקפות קיברנטיות על מתקני מים וטיפול בשפכים, בין אם על ידי פושעי סייבר או עובדים לא מרוצים".

הוא ציין ש-"אנחנו, כאחראים על מערכות המים במדינת ישראל, מותקפים כמעט ברמה היומית, וגם הארגונים שאנחנו אחראים עליהם חווים מתקפות רבות. מתוך 56 תאגידי מים וביוב, 40 הותקפו במתקפות סייבר – רובם על ידי מתקפות כופר, חלקם על ידי בני נוער וחלקם האחר על ידי גורמים יותר מתוחכמים".

לקר אמר כי "ניתוח של מתקפות הסייבר שאירעו לנו עד היום מעלה שאנחנו חווים ניסיונות רבים להשחית אתרי אינטרנט, בעיקר בתקופות של מתיחות ביטחונית, ומתקפות על המערכות הקריטיות והתפעוליות שלנו, שזו נקודה בעייתית. מערכות כמו GIS ,ERP ו-CRM הן נקודות התורפה שלנו. כדי לתת מענה לאיומים, רשות המים משקיעה הרבה במודעות ובתרגילים".

הוא דיבר גם על תפקידה של רשות המים כרגולטור על הגופים המספקים את הנוזל החיוני, בכל הנוגע לסייבר. "רגולטור שמתעסק עם כל כך הרבה ספקים צריך להיות תובעני ולא מתפשר, ולדרוש את מילוי כלל הנהלים מעבר לכל ספק, להקפיד על קלה כחמורה", אמר לקר. "אלא שצריך לעשות זאת בחוכמה, והחוכמה ברגולציה היא לתת לאנשים את התחושה שהם מרוויחים משהו ממנה, כמו גם מהביקורות, התרגולים וההדרכות, שהרגולטור יהיה אתם בזמן אמת. בכל אירוע סייבר באחד מגופי המים, היחידה שלי מגיעה ראשונה לשטח".

לדברי לקר, רשות המים ערוכה לוודא אספקה שלהם אותם גם אם המערכות יושבתו, עקב מתקפת סייבר או כל דבר אחר, לזמן ארוך. כחלק מכך, אמר, "כשקולטים עובדים חדשים במשק המים, שחלקם יודעים לתפעל מערכות מורכבות כמו סלולר אבל לא יודעים לתפעל משאבה באופן ידני, אנחנו מלמדים אותם את התפעול הידני ואף חוזרים לעבוד ידנית. זאת, משום שאם חס וחלילה מערכות נפגעות – קיים צורך לחזור לעבוד באמצעים ידניים, כדי שאספקת המים לא תשתבש".

גבריאל מזוז, מנהל אבטחת סייבר בקבוצת האנרגיה של חברת החשמל. צילום: ניב קנטור

לסיכום הוא אמר ש-"כמו בדברים רבים, גם כאן – החוכמה היא לטרוח בערב שבת כדי שנוכל 'לאכול' בשבת".

איך מתרגלים מתקפת סייבר בצורה נכונה?

דבריו בכנס של גבריאל מזוז, מנהל אבטחת סייבר בקבוצת האנרגיה של חברת החשמל, עסקו בעיקר בשאלות איך לבצע תרגילים להגנה מפני מתקפות סייבר בארגון וכיצד להסתכל על הגנת המערכות התפעוליות (OT) שבו.

כשמזכירים שמירה על מערכות בארגוני תשתיות לאומיות, מיד חושבים על מערכות ותשתיות קריטיות. אלא שלדברי מזוז, הגנת המערכות הקריטיות אינה מספיקה. "גם אם הארגון מגן על המערכות האלה בצורה מושלמת – הוא לא מוגן לחלוטין", אמר.

ככלל, ציין, "הנהלות מתחילות להבין שמשהו קורה בתחום הסייבר, שזה דבר ממשי, שיכול לפגוע בארגונים שהן מנהלות. ההבנה הזו החלה לחלחל בפרט אחרי מקרי תקיפה כמו אלה שבוצעו על מערכת הרכבות של סן פרנסיסקו ועל בלק אנרג'י באוקראינה. כל זמן שזה נגע באתרי אינטרנט וכרטיסי אשראי, הנהלות חשבו שזה לא נוגע להן, וכשקרו המקרים האלה – הן הבינו שהסייבר נמצא גם במגרש שלהן".

הוא הוסיף ש-"ארגונים יודעים על מה הם שומרים, אבל לא תמיד יודעים מול מי הם מתמודדים. בנוסף, ההאקרים מתפתחים מאוד ויש להם כלים כבדים. הסכנה הלכה והתעצמה, ותמשיך להתעצם".

מזוז ציין כי תרגול של מתקפות סייבר הוא חיוני. "מטרת התרגול היא הגברת המודעות, המוכנות והכשירות של החברה להתמודדות מול תרחיש סייבר קיצוני, הכולל פגיעות רבות במערכות – ובמקרה שלנו במערכת החשמל – ותרגול ממשקים ומענה להשפעות האירוע", אמר.

"התרחיש שאותו מתרגלים", ציין, "חייב להיות פרופורציונאלי לזמן שמוקצה לתרגול, וחייב להיות מציאותי. אני ממליץ לארגונים לתרגל את התרחישים הכי רחוקים והכי קיצוניים, כי הם עלולים לקרות להם".

הוא עמד על יעדי התרגול: "צריך לבחון במסגרתו את התנהלות 'שרשרת הפיקוד' של החברה באירוע סייבר קיצוני, את תהליך הטיפול באירועים, את מוכנות מקצועני הסייבר בחברה, את הסינרגיה בין כלל הגורמים המטפלים בתחום ואת הקשר ושיתוף הפעולה עם גורמים מחוץ לחברה".

לדברי מזוז, קיים צורך שהתרגול ייעשה על הצד הטוב ביותר, גם מבחינת משך הזמן שלו. הוא ציין שהנהלות רבות מקצות זמן מועט, שאי אפשר לתרגל בו אירוע סייבר משמעותי על כל רבדיו. לדבריו, "יש לבצע תעדוף את מי לתרגל. אנחנו מתרגלים את כל האנשים הרלוונטיים בחברה – מי יותר ומי פחות".

לסיכום הוא אמר כי "תרגיל מהווה חלק ממכלול ההגנה של הארגון, ומשקף את היכולות ואת נקודות התורפה שלו. הוא חיוני לכל ארגון".