אתגרי ההגנה מפני סייבר על תשתיות קריטיות: האם אנחנו מוכנים?

הידיעה שפורסמה על חברי קבוצת ההאקרים האיראנית שהצליחו לחדור למצלמות האבטחה בזירת הפיגוע אתמול (ד') בירושלים, הבהירה בפעם המי יודע כמה עד כמה תחומים שקשורים בתשתיות קריטיות של תקשורת, מיחשוב ומידע, אינם מוגנים כמו שצריך, ואיזה פוטנציאל לאסון גלום במצב זה.

בשבועיים האחרונים נערכו שני אירועים שאחד הנושאים המרכזיים בהם היה הגנה מפני סייבר בתשתיות קריטיות. ביום א' השבוע נערך כנס ICS, שעסק בין היתר בהגנת מערכות תפעוליות, שהן למעשה תשתיות קריטיות, במפעלי ייצור, במתקנים לאומיים רגישים, מתקני אנרגיה ועוד.

יו"ר הכנס, דניאל ארנרייך, אמר בדברי הפתיחה שלו כי למרות שבאופן יחסי תקיפות מלאות על מתקנים קריטיים, כמו מתקני הגרעין של איראן, הן במספר יחסית קטן לעומת התקפות אחרות, הנזק הפוטנציאלי שלהן הרבה יותר חמור מאשר התקפות לצורכי כופר, ראווה או כל סיבה אחרת. 

השטח הפרוץ הוא הבקרים

השטח הפרוץ בארגונים הוא הבקרים, שהם התשתיות הקריטיות שבלעדיהן שום מפעל ייצור לא יכול לעבוד. שיבוש עבודת בקרים יכול לגרום לנזקים ואף לאובדן חיי אדם, עקב תקלות בייצור, ובנוסף לנזקים כספיים שעלולים להשבית מפעל שלם.

תשתיות אחרות שנתונות כעת בסכנה יותר מתמיד הן מתקנים שנוצרים לטובת אנרגיה מתחדשת. הסביר על כך ליאור עטר, ראש יחידת סייבר מגזרית במשרד האנרגיה, שדיבר גם הוא בכנס.

לדברי עטר, האתגרים של הסייבר נובעים מכך שלתחום האנרגיה המתחדשת נכנסו שחקני IoT חדשים, כמו מונים חכמים, ממירים סולאריים ועוד. זאת בנוסף לסכנה מוחשית אחרת: עמדות טעינה רכב חשמלי, שחדירה למערכות הבקרה שלהן עלולה לגרום לתאונות ופגיעה בנפש.

כל אלו מצטרפים לאיום המרכזי, "הוותיק" של פגיעה בתחנות כוח, אם כי שם יש מקום להניח שהמודעות רבה יותר ואמצעי ההגנה מובנים יותר.

המסר בכנס היה שארגונים חייבים לתת את הדעת בצורה רחבה יותר לגבי הגנה על תשתיות, שהן הבסיס לכל הפעולות של הארגון, ולהעלות את נושא ה-OT לרמה גבוהה לפחות כמו ה-IT. בפאנל סיכום שנערך באותו כנס נשמעו דעות שונות בנוגע לשאלה האם אחריות ההגנה על OT צריכה להיות אצל המנמ"ר או אצל מנהל מוסמך, אבל כולם הסכימו ששני הגורמים אלו צריכים לפעול יחד, כי הכל חשוף להתקפות.

תשתיות קריטיות גם ברשות המקומית 

אבל סכנת התשתיות לא קיימת רק ברצפת הייצור או במתקנים רגישים. ביום ה' שעבר ננעלה בברצלונה התערוכה הבינלאומית לערים חכמות. 25 אלף המבקרים, ביניהם 400 ישראלים, נחשפו לשני סוגי מגמות שאינן סותרות אחת את השנייה: האחת – המעבר לניידות, רכבים חכמים ואוטנומיים; והמגמה השנייה – פתרונות הגנה על תשתיות קריטיות מסוגים שונים.

רשות מקומית מחזיקה מאגרי מידע רגישים ומפורטים ביותר על כל אחד ואחד מאיתנו שגר באותו ישוב או עיר. הרשויות מרחיבות מאוד את הערוצים הישירים במגע עם התושבים. אפליקציות שונות מאפשרות שיתוף תושבים, ביצוע פעולות מול העירייה וגם מידע רב. האפליקציות האלו מחוברות לתשתיות המיחשוב של הארגון. הרשויות מבינות כי תשתית דטה סנטר או תקשורת מחוררת תפגע ותהרוס את כל היישומים הכי חכמים שהיא תתקין ותציע לתושבים.

ולכן אך טבעי היה שאחד הדברים שעיריית תל אביב יפו – שהציגה בביתן גדול ויפה בתערוכה – היה פרויקט הקמת דטה סנטר שני, לגיבוי חם, בצפון העיר, לא רחוק מבניין העירייה הנוכחי. באמצעות ההכרזה חלחלה התובנה המוזרה שעד היום לא היה לעירייה דטה סנטר נוסף, לגיבוי, במתכונת החדשה כפי שעכשיו נבנית, וכל פעילות העירייה התבססה על מרכזי מיחשוב שנמצאים בעירייה, שכמובן מאובטחים.

נושא התשתיות קיבל תאוצה בשנתיים האחרונות בזכות מכרז נימבוס הממשלתי, שבמסגרתו שתי ענקיות ענן בונות פה מרכזי מיחשוב בתוך מפלצת נדל"ן במקומות שונים בארץ. גם שתי הענקיות האחרות שלא זכו במכרז, נערכות לפתרון דומה, שיאפשר למגזר ממשלתי ולמגזרים אחרים, שעד היום לא היו בענן, להעביר לשם חלק מהיישומים, בכך להקטין את הלחץ מהתשתיות הפיזיות.

הממשלה מתנערת מאחריות?

וכאן נשאלת השאלה האם חשיבות התשתיות הקריטיות מקבלת עדיפות ברמה הלאומית? ארז קריינר, לשעבר בכיר במערך הסייבר הלאומי, שדיבר בכנס ICS, סבור שהתשובה היא שלילית. לשיטתו, האחריות על הגנת סייבר ברמה ארגונית מוטלת אמנם על הנהלת הארגון, אבל ברמה משקית רוחבית, זו תפקידה של הממשלה. בדיוק כמו שהצבא מגן על הגבולות שלנו ובזמן מלחמה לא אומר לנו להקים צבא פרטי, כך גם בסייבר הלאומי, במיוחד על תשתיות, המדינה צריכה להקים זרוע אחת, שתפקידה לתכלל, לסייע וגם לאכוף משמעת סייבר בתשתיות. האם הממשלה החדשה שתקום בקרוב תכניס את הנושא לסדר היום שלה? ימים יגידו.