"החיסון נגד האיומים – הזרקת הגנת הסייבר מתחילת הפרויקט"

"משך הזמן שלוקח לתכנן, לפתח, לבנות ולתפעל מפעל ייצור תעשייתי, או מאגר גז ונפט מורכב, עומד על חמש שנים, ולעתים 10 שנים ואף יותר. בשל העלויות הגבוהות של בניית מערך שכזה, נדרש גם להתייחס להטמעת אמצעי הגנת סייבר בעולם התשתיות הקריטיות כמה שיותר מוקדם. ככל שהזרקת אמצעי ההגנה תיעשה בשלב מוקדם יותר, קרוב לתחילת הפרויקט – כך פוטנציאל ההגנה יגדל פלאים", כך אמר איימן אל עיסא, יועץ בכיר להגנת סייבר לארגונים.

לדבריו, "הטמעת מערכי אבטחה כבר עם שלב התכנון, בתחילת הפרויקט, משולה לביצוע חיסון לפני מגיפה. היא מצמצמת את סיכוני ה-'תחלואה' בהיקפים נרחבים, ומניבה מערך הגנה מוכלל, מתוכנן מראש, שמביא לגוף המוגן חוסן סייבר ברמה גבוהה יותר".

אל עיסא דיבר בכנס ICS CyberSec 2022 של אנשים ומחשבים, שנערך שלשום (א') באולם האירועים לאגו בראשון לציון, זו השנה השביעית. בכנס השתתפו מאות מקצוענים בתחום והנחה אותו היו"ר שלו, דניאל ארנרייך, יועץ ומרצה בתחום אבטחת סייבר לתעשייה.

יש לציין שאל עיסא משמש שותף-עמית במק'ינזי אבו דאבי, והוא מתמחה באבטחת סייבר של מערכות תפעוליות (ICS-OT). לדבריו, "יש הבדלים מהותיים בין הגנה על מערכות מידע, IT, להגנה על מערכות טכנולוגיה תפעוליות, OT, ועל מערכות בקרה תעשייתיות, ICS. בשנים האחרונות, המיקוד באיומי הסייבר על המערכות התפעוליות גדל, בין השאר בשל כמה אירועים שקרו. בעקבות זאת, ארגונים רבים החלו להפנות משאבים לטובת ביצוע סקרי סיכונים, כדי לחשוף חולשות בתחום שעלולות להיות מנוצלות על ידי התוקפים".

"חשוב להבין את מחזור החיים של פרויקטי מיכון EPC (ר"ת הנדסה, רכש ובנייה)", הסביר אל עיסא. "נדרש לתכנן, ליישם ולבדוק את בקרות אבטחת הסייבר כבר במהלך התכנון והפיתוח של מערכת הבקרה. בדרך זו, היעילות של ההגנה תגדל משמעותית".

שישה כללי אצבע

אל עיסא ציין שישה כללי אצבע: "יש להגדיר את דרישות אבטחת הסייבר במהלך שלבי העיצוב הרעיוני והמפרט הראשוני; להשלים את ארכיטקטורת ההתייחסות לאבטחת הסייבר ולעיצוב הרשת עוד בשלב התכנון ההנדסי; התכנון ההנדסי המפורט יספק את אמצעי אבטחת הסייבר – אף הם באופן מפורט; דרישות אבטחת הסייבר, עיצוב הרשת ופירוט המבנה הארכיטקטוני והרכיבים יוגדרו לפני שלבי הרכישה של החומרה והתוכנה בפרויקט; הליכי הבדיקות של רכבי בקרת הסייבר ייעשו ככל הניתן בשלב מוקדם, בטרם המעבר לשלב המיכון; ואז ניתן להגיע לשלב האחרון: בדיקת כלל אמצעי הגנת הסייבר, לרבות בקרות אבטחת הסייבר, תיעשה באתר הייצור והתפעול, וכל זה יבוצע לפני המעבר להפעלה של תהליכי הייצור".

לסיכום הוא אמר כי "העולם משתנה ונמצא תחת מתקפה מתמדת. ארגוני תשתיות קריטיות נדרשים לנתח, לאפיין ולהוביל את הטמעת פתרונות הגנת הסייבר שלהם בשלב מוקדם ככל האפשר, על מנת לתת מענה הולם לצרכי אבטחת המידע שלהם ולספק שורה של קווי הגנה משמעותיים ביותר אל מול איומי סייבר מודרניים, שתספק יכולת עמידות טובה יותר".