"לא יכול להיות שתוקף יחדור לארגון בלילה בלי ששמים לזה לב"

"מה שאנחנו רואים באירועי סייבר, במעל 90% מהמקרים, זה שהם מתחילים בספק עם גישה או דרך VPN. זה הווקטור הראשוני לתקיפה, וברוב הפעמים התוקפים חודרים דרך שימוש במחשבים פרטיים, או שאין זיהוי מספיק טוב בפורטל הארגוני – מה שמאפשר להם לחדור. ברגע שלתוקף יש גישה של ספק, עם התחברות למערכות ויכולות לבצע שינויים, הוא עלול להיות הרסני. גם אם בדרך כלל קל לטפל בזה, על ארגונים להפעיל מערכות שיודעות להבין הקשרים: לא יכול להיות שספק יוכל להתחבר למערכת מתי שבא לו, כולל באמצע הלילה, בלי ששמים לזה לב", אמר תומר דרורי, מנהל הטכנולוגיה הראשי במאדסק.

דרורי היה אחד הדוברים בפאנל שחתם את הכנס השנתי ICS CyberSec¹⁰ 2026 של אנשים ומחשבים, שנערך באחרונה באולם האירועים לאגו בראשון לציון. כותרת הפאנל הייתה "התייחסות ממוקדת לאירועי סייבר עבור מערכות תפעוליות" והנחה אותו, כמו גם את הכנס כולו, דניאל ארנרייך.

עידן מלעי, מנהל אבטחת מידע גלובלי באורמת טכנולוגיות. צילום: עמית אלפונטה

דובר נוסף בפאנל היה עידן מלעי, מנהל אבטחת מידע גלובלי באורמת טכנולוגיות, שציין שבטיחות וחיים נמצאים בחברה במקום הראשון, בעיקר כשמדובר במפעל הגיאומטרי שלה, שיש בו הרבה מערכות וטורבינות. "כל אירוע סייבר יכול לגרום למערכת כזו לצאת משליטה ולפגוע בחיי אדם, וזה לא מתקבל על הדעת", אמר. לדבריו, "אבטחה זה קודם כל דבר שצריך לשלוח לייצור, עוד לפני ה-IT – כי זה הדבר הכי חשוב כיום".

מלעי התייחס לכך שבהרבה מקרים, אנשי IT מטפלים בתחומי האבטחה ב-OT, כשאמר: "זה זמני ולא יהיה לנצח. איש IT שלא מבין את התהליך התפעולי – זו בעיה שאפשר לפתור אותה באמצעות הכשרות, אבל אנשי OT שלא מבינים את סיכוני האבטחה לא יכולים לטפל ב-IT. חייבים לסגור פערי ידע לטובת שני הצדדים. זה ילך רק ביחד, זה לא יכול ללכת בנפרד".

אורן יולביץ', יועץ אבטחת סייבר OT ותפעולי למפעלי ייצור, טען שאי אפשר לדעת בדיוק מהי השכיחות של אירועי הסייבר בעולמות הטכנולוגיה התפעולית. "אירוע סייבר 'טוב' נראה כמו תקלה תפעולית, ובכלל לא יודעים שמדובר במתקפה. לכן, אי אפשר לדעת כמה תקיפות היו בפועל", אמר. "מכיוון שכך", ציין, "הדבר הראשון שצריך לעשות הוא להגן על סביבת העבודה וההמשכיות התפקודית. מי שנמצא מחוץ למתקנים לא מוגן מאירועי סייבר, ומי שנמצא באזור התפעולי – יש הגנה עליו וגם על סביבת העבודה שלו. מדובר כאן ממש בהגנה על חיי אדם".

"כשמדברים על סייבר, מתייחסים רבות לתשתיות קריטיות, אבל חיי אדם והסביבה הם מעל לכל", ציין הדובר.

לאון רפאלי, ראש מחלקת הנחיה לתחום ה-ICS במערך הסייבר הלאומי. צילום: עמית אלפונטה

בהמשך דיבר לאון רפאלי, ראש מחלקת הנחיה לתחום ה-ICS במערך הסייבר הלאומי. רפאלי אמר כי "כל מנמ"ר יודע איפה נקודות התורפה, היכן הבעיות אצלו, וצריך לדעת מה לעשות במקרה של תקיפה. יש כאלה שמעדיפים השבתה בכל במקרה של זיהוי תקיפה, כדי שלא תהיה פגיעה ולו בתהליך אחד במפעל, ויש כאלה שחושבים הפוך – שצריך לבדוק היטב, אבל לאפשר למפעל להמשיך לעבוד. כך או כך, הבטיחות היא בראש. אין ויכוח על זה".

הוא טען ש-"מי שחושב שהפתרון שלו למקרים כאלה הוא טכנולוגי לא מבין – לא בבעיות ולא בטכנולוגיה. הפתרון יכול להתאים לבעיות רק אם מבינים מה הן".

סער בן יהודה, ראש יחידת הסייבר המגזרית במשרד האנרגיה. צילום: עמית אלפונטה

סער בן יהודה, ראש יחידת הסייבר המגזרית במשרד האנרגיה, ציין כי הרציפות האנרגטית של המדינה עומדת בראש סדר העדיפויות של המשרד. "זו הסיבה שבתפקידי, שמתי את נושא ההשבתה ואת נושא שיבוש התהליכים בראש. ההשקעה הנדרשת ומעטפות ההגנה שצריך ליישם הן דבר ידוע, אבל נקודה חשובה אחרת היא נושא הניטור הפרו-אקטיבי, שלפעמים פחות שמים לב אליו. חשוב להתעמק דווקא בזה ולתחזק את זה באופן שוטף".

מה עם ה-AI? "זה מנגנון שכבר לא ניתן לעצור", אמר בן יהודה. "זה ברור לכולם והבינה המלאכותית תיכנס, והשאלות הן מתי ובאילו מערכות. היא אמורה להיות תומכת החלטה ולא מערכת שמבצעת פעולות אקטיביות, וצריך מאור להיזהר ממנה. אפשר להשתמש בבינה מלאכותית, אבל יש לזכור שמכיוון שמדובר במערכת לומדת, גם אותה אפשר לשבש, ולכן חשוב לא לתת לה לבצע פעולות אקטיביות".

יוסי מור, מנחה מגזרי לטכנולוגיות הגנת סייבר באגף חירום וביטחון מים, מידע וסייבר ברשות המים. צילום: עמית אלפונטה

יוסי מור, מנחה מגזרי לטכנולוגיות הגנת סייבר באגף חירום וביטחון מים, מידע וסייבר ברשות המים, הזכיר שאחת הסכנות הגדולות היא בקרים שחשופים לאינטרנט. לדבריו, "רואים כל הזמן ניסיונות חדירה לבקרים האלה, והדברים הללו עלולים לפגוע ברציפות התפקודית – מה שעלול להשבית שאיבת מים או זרימת ביוב, כמו גם את השירות לאזרח, ולהוביל גם לסיכון חיי אדם. מתקפות כאלה יכולות להביא להשבתת תשתית קריטית, ולשמחתנו עוד לא הגענו למקומות האלה".

מור סבור שהיחסים בין אנשי ה-IT לאנשי ה-OT טובים יותר ממה שחושבים, "אבל לא תמיד יש התייחסות לכל המכלול. בהרבה מקרים מגלים שחסרה בדיווח האבטחה ההשפעה על ה-OT. הדו"חות צריכים להיות מורכבים מהקונטקסט הארגוני, כולל מה עושה עובד כזה או אחר ומה יכול לגרום להשפעה. בנוסף, ההדרכות צריכות לכלול גם את שרשרת האספקה, כי ספקים מצד ג' יוצרים לא מעט פעמים טעויות של חשיפה מוגברת לרשת".