ישראל – הראשונה בעולם שמטילה רגולציית סייבר על מפעלי חומרים מסוכנים

ישראל היא המדינה הראשונה בעולם שבמסגרת הנחיות לנושאי טיפול מפעלים בחומרים מסוכנים שילבה הנחיות שמטרתן לוודא את האבטחה שלהם מפני מתקפות סייבר והשלכותיהן על הסביבה והציבור – כך נודע לאנשים ומחשבים.

בהחלטת הממשלה מ-2015 על קיום אסדרה (רגולציה) לאומית בהגנת הסייבר נקבע שכל רגולטור במשק ינחה את הגופים המונחים שלו להגנה מפני מתקפות אלה. בעקבות כך, הוקמה במשרד להגנת הסביבה יחידת סייבר לתעשייה, שתפקידה להנחות את הגופים המונחים של המשרד, שכוללים מפעלים שמחזיקים חומרים מסוכנים ומקבלים היתר רעלים מהמשרד. במפעלים אלה, תקיפת סייבר על מערכות בקרה ממוחשבות, שמטפלות בחומרים מסוכנים, עלולה לגרום לדליפתם, ואף חמור מכך, מה שעלול לפגוע בסביבה, בבריאות הציבור ובחיי אדם.

תפקיד היחידה הוא להעלות את חוסן הסייבר של המפעלים. היחידה כפופה לאגף חירום וסייבר במשרד להגנת הסביבה, מונחית מקצועית על ידי מערך הסייבר הלאומי ופעילותה מבוצעת תוך שיתוף פעולה עם התאחדות התעשיינים.

המטרה: למזער נזק בלתי הפיך לסביבה בעקבות מתקפת סייבר

ראש היחידה, יוסי שביט, אמר ברב שיח שהתקיים בבית אנשים ומחשבים לקראת כנס ICS 2020, שייערך באוקטובר השנה, כי "פיתחנו מתודולוגיה ייחודית, ראשונה מסוגה. המתודולוגיה עוסקת בעריכת סקרי סיכונים במפעלים שמחזיקים חומרים מסוכנים ונשענת על ניהול הסיכונים מתורת ההגנה של מערך הסייבר".

הוא ציין כי "המתודולוגיה מותאמת לביצוע סקרי סיכונים בעולמות מערכות הבקרה התעשייתיות, ה-ICS וה-SCADA ככלל, ותעשיית החומרים המסוכנים בפרט. גרסה 1.1 שלה פורסמה החודש. מטרת מדריך הסייבר היא למזער, ככל האפשר, פגיעה ברמת נזק בלתי הפיך בהיבט הגנת הסביבה, כשזו קשורה לאירוע סייבר ולחומרים מסוכנים. המדריך הוצג על ידי בהרצאות שערכתי בשני כנסי סייבר לעולם התעשייתי באירופה ובאסיה, ועורר עניין. ה-OECD רוצה לקבל תרגום של המדריך".

"כשל במערכות הייצור עקב תקיפת סייבר על המערכות הממוחשבות של המפעל עלול לגרום לאירוע חומרים מסוכנים, לפגיעה בבריאות הציבור ובסביבה. חלק ממערכות הייצור מכילות חומרים מסוכנים, והן מופעלות ומבוקרות על ידי מערכות ממוחשבות כגון HMI (עמדות אדם-מכונה), בקרים, חיישנים ורכיבי שטח. לכן, אירוע סייבר במערכות אלה עלול לגרום לכשל או לשיבוש במערכות הממוחשבות שמטפלות בחומרים מסוכנים, ולהוביל לפליטת גזים מסוכנים, פיצוץ חומר מסוכן, דליקה של חומרים מסוכנים ועוד", אמר.

שביט הסביר ש-"נדרשים כמה שלבים ליישום ההנחיות: מיפוי התהליכים הממוחשבים, שמכילים חומרים מסוכנים; סקר סיכונים לכל המערכת; ניתוח פערים בין הבקרות הקיימות לאלה הנדרשות; בניית תכנית עבודה לסגירת הפערים; ביצוע הטמעת בקרות לפי תכנית העבודה; ופיקוח ומעקב שוטפים".

"במקרים רבים, הגישה מרחוק לא מתבצעת לפי פרקטיקות מאובטחות"

"אנחנו לא מוכרים רציפות עסקית, איננו שם", הסביר שביט. "אנחנו אמונים על בריאות הציבור, חיי אנשים והגנת הסביבה – זה הביזנס שלנו, המנדט הרגולטורי שניתן לנו במסגרת החוק. מדי יום אנשינו מסיירים בשטח, במפעלי חומרים מסוכנים, בדגש על מחשוב ברצפת הייצור – מערכות ה-ICS וה-SCADA. הם מסבירים לנציגי המפעלים, בליווי המחשות, איך התוקף יכול לתקוף את רשת רצפת הייצור במפעל וכיצד צדדי ג' בשרשרת האספקה 'עוזרים' להאקרים להיכנס אליו – למשל, באמצעות התחברות ישירה של ספקים מחו"ל לבקרים תעשייתיים, כי אותן חברות לא מאפשרות ללקוח לתחזק לבד את הבקרים המשתתפים בתהליך. במקרים רבים, הגישה מרחוק לא מתבצעת לפי פרקטיקות מאובטחות, בלשון המעטה".

"החשש הוא מאירוע סייבר שיכלול השתלטות על בקר תעשייתי, ששולט על חומר מסוכן זה או אחר. במקרים רבים, רצפת הייצור שכוללת חומרים מסוכנים נמצאת תחת שליטה של בקר מתוכנת. אם ההאקר השתלט על אותו בקר – חלק מרצפת הייצור נמצא 'בידיו', והוא עלול לגרום לאירוע חומרים מסוכנים, על ידי שינוי מדדים של לחץ, טמפרטורה וזרימה. יש בשנה הרבה אירועים כאלה, ואירועי סייבר על מפעלי חומרים מסוכנים", ציין.

"זהו הקשר בין חומר מסוכן ופגיעה בסייבר", סיכם שביט. "אנחנו הרגולטור הראשון בעולם שמנחה בנושא סייבר את תעשיית החומרים המסוכנים באופן ספציפי. במדינות אחרות מתייחסים בעיקר לתשתיות קריטיות. אנחנו מנפיקים היתרי רעלים ל-4,262 עסקים ומנחים אותם בסייבר: מפעלים לייצור חומרים מסוכנים, בתי חולים, תעשיות ביטחוניות, פרמצבטיקה, דשנים ועוד. הכלי לרגולציה הוא היתר רעלים, שניתן מכוח חוק, ומהווה כלי חזק וחשוב ליישום הנחיות הסייבר בגופים המונחים. אי ציות אליו הוא עבירה פלילית שגוררת גם קנסות כבדים, ובמקרים קיצוניים אף מביאה לביטול ההיתר. אנחנו משתמשים בכלי חזק זה כדי להכניס דרישות סייבר למפעלי החומרים המסוכנים".