המבקר: החמרה באיומי הסייבר על מערכות ה-IT של המים והביוב

"בשנים האחרונות חלה החמרה באיומי הסייבר על מערכות המחשוב של משק המים והביוב בישראל, ובשנים 2020 ו-2021 נרשמו אירועים של תקיפת תשתיות מחשוב (במשק זה – י"ה)", כך קובע מבקר המדינה, מתניהו אנגלמן.

המבקר פרסם היום (ג') שישה דו"חות בנושאי סייבר ומערכות מידע, ואחד מהם דן ב-"היבטים באסדרה ובפיקוח בנוגע לספקי המים המקומיים בתחום הגנת הסייבר". כלל הדו"חות הועברו לראש הממשלה, יאיר לפיד, באוגוסט השנה, ולאחר שוועדת המשנה של הוועדה לענייני ביקורת המדינה לא התכנסה כדי לדון בו, המבקר החליט לפרסמו.

"בשנים 2019-2021 אירעו כמה מתקפות סייבר על מתקני מים בארצות הברית", כותב המבקר. "תקיפה בסייבר שכזו עלולה לגרום, בין השאר, לפגיעה ישירה בתשתיות ובמערכות מחשוב, להרעלת מקורות ומאגרי מים ולאיומים נוספים על איכותם. לפי רשות המים, משק המים מבוזר מאוד ויש פער באסדרה למגזר הכפרי, המתבטא בקושי בהטמעת הנהלים ובעריכת הבקרה במגזר".

מקורות – גוף תשתיות האנרגיה היחיד שמונחה על ידי מערך הסייבר

המבקר ציין לחיוב את העובדה שמשרד האנרגיה הקים אגף חירום, ביטחון מידע וסייבר, האחראי להיערכות המשרד לאיומי סייבר ואבטחת מידע. עוד הוקם במשרד מרכז קיברנטי מגזרי (מק"ם), שמנטר את תשתיות האנרגיה, מתכלל מידע המתקבל מהן ומשקף תמונת מצב בנושא הגנת הסייבר על משק האנרגיה. לדברי המבקר, "מקורות היא הגוף היחיד במשק המים המוגדר כגוף תמ"ק, שמערך הסייבר הלאומי מנחה אותו ומפקח עליו ישירות. יתר הגופים במשק המים מונחים בהנחיה מגזרית. נמצא כי סוגיית הגדרת גופי תשתית נוספים במשק המים כגופי תמ"ק טרם נבחנה ונדונה בוועדת ההיגוי הייעודית לכך". אנגלמן ממליץ למערך הסייבר "לבחון מפעם לפעם את הנתונים העדכניים של הגופים הגדולים והמרכזיים במשק המים והביוב, כדי לקבוע אילו מהם יובאו על ידו לדיון בוועדת ההיגוי".

לפי הדו"ח, "מועצת רשות המים לא אסדרה בכללים, בהתאם לסמכותה, את חובת ספקי המים להפעיל מערך ניטור ובקרה ומערך הגנה מפני אירועי סייבר, את חובותיהם להגיש תוכנית לאבטחת מידע לאישור הרשות ואת חובתם לחבר את מערכות ה-IT שלהם למק"ם. כמו כן, לא אוסדרה סמכות מנהל היחידה המגזרית ברשות המים לתת הנחיות לספקי המים, ולא אוסדרה סמכותם של הספקים לפעול לפיהן". הוא ציין כי "מומלץ שמועצת הרשות ורשות המים יפעלו לקידום של הליכי אסדרה אלה".

ממצא נוסף שהעלה המבקר הוא ש-"מערך הסייבר טרם קבע את היקף היחידה המגזרית ברשות המים, אך הוא גיבש טיוטה בנושא. בנוסף, מערך הסייבר לא קבע תקן של יחידה מגזרית ברשות המים, ובפועל היחידה המגזרית פועלת בעיקר באמצעות מיקור-חוץ. מומלץ שמערך הסייבר ישלים את הליך קביעת תקן כוח אדם הנדרש ביחידת המגזרית לסייבר ברשות המים. עוד מומלץ שרשות המים תפעל לתקנון כוח האדם הנדרש ביחידה המגזרית ולאיושו".

מבקר המדינה, מתניהו אנגלמן. צילום: דוברות מבקר המדינה

"לביצוע בדיקות חדירה יש חשיבות רבה בנוגע לבחינה של מימוש הבקרות בפועל ושל אפקטיביות ההגנה", קבע המבקר. "בביקורת נמצאו פערים בתחום זה". עוד הוא ציין כי "להקמת סביבת בדיקות להיבטי סייבר נודעת חשיבות רבה, בין היתר כדי לאפשר בחינה מוגנת של תוכנות חדשות ושל עדכוני אבטחה וגרסאות תוכנה לתוכנות קיימות קודם העלאתן לסביבת הייצור. מוצע כי רשות המים תבחן העלאת עדכוני תוכנה ועדכוני אבטחה הרלוונטיים לכלל תאגידי המים והביוב לסביבה שונה מסביבת הייצור וההפעלה… מומלץ כי מערך הסייבר הלאומי ינחה את רשות המים בעניין הכנת תוכנית עבודה רב שנתית לביצוע בדיקות חדירה, ושהוא יפקח על התקדמות יישומה".

כמו כן, אנגלמן מצא כי "רק חלק מכלל ספקי המים שלדעת הרשות יש לחברם חוברו למק"ם משרד האנרגיה עד מאי 2022,". הוא המליץ לרשות "לפעול לחיבור כל ספקי המים שלדעתה נדרש לחברם".

רשות המים עושה מפעם לפעם ביקורות סייבר בתאגידים. אנגלמן כתב כי "נמצא שבשנים האחרונות בוצעו ביקורות סייבר בחלק מכלל התאגידים. המבקר רואה בחיוב את פעולות רשות המים בנושא הבקרה על מוכנות תאגידי המים בתחום הסייבר. עם זאת, עלה כי חלק מתאגידי המים שנבדקו בידי הרשות ב-2021 קיבלו ציון נמוך על מוכנותם למתקפות סייבר. נוכח החשיבות של תגובה מהירה באירועי סייבר, מומלץ כי רשות המים תשלים את ביקורות הסייבר בתאגידים ובספקי מים אחרים, שטרם נבדקו בשנתיים האחרונות, כדי להביא לשיפור מוכנות ספקי המים למתקפות סייבר… מומלץ שהרשות תפעל להגברת המוכנות למתקפות סייבר ושהיא תתמקד בתאגידים שקיבלו ציונים נמוכים… כדי למנוע נזקים אפשריים לתושבים שאותם הם משרתים".

"קיימת חשיבות רבה להגנת סייבר עבור כלל הגורמים במשק המים, ובכלל זאת הספקים הרבים", סיכם מבקר המדינה.

תגובות

רשות המים מסרה כי "הליך השימוע של כללי ביטחון מים שפורסמו בינואר האחרון הסתיים בחודש מרץ. לאחר השלמת השיח עם הגורמים הרלוונטיים בנוגע לסוגיות שעלו, יובאו הכללים לאישור". עוד הגיבה הרשות כי היא "תבחן, בשיתוף מערך הסייבר, אפשרויות פעולה נוספות לשם בדיקת מערכות המופעלות במתקני מים וביוב… כמה ספקים חוברו למק"ם וכמה ספקים נוספים נמצאים בתהליך טיוב לקראת חיבורם למק"ם".

עוד נמסר מהרשות כי "משק המים הישראלי הוא משק בטוח, הערוך היטב לשעת חירום, כולל התמודדות עם נושא הסייבר, על היבטיו השונים. מזה מספר שנים הרשות נערכת להרחבת מערך ההגנה מפני מתקפות סייבר עתידיות על תשתיות המים בישראל, ובתוך כך מנחה ומתרגלת את ספקי המים לעמידה באתגרים אלה. כחלק מההיערכות, מתקיימת פעילות נרחבת בהובלת הרשות ובשיתוף רח"ל (רשות חירום לאומית – י"ה) ופיקוד העורף להבטחת הגנה מרבית על מתקני המים ומערכות התפעול, לרבות שדרוג מערכות הבקרה הטכנולוגיות, וכן הקמה ותפעול של שולחן מים ייעודי במרכז הסייבר הלאומי בבאר שבע".

"חשוב לדעת", צוין בתגובה, "כי השילוב בין חיזוק מערך ההגנה מפני התקפות סייבר, גיבוי המערכות, העובדה שמשק המים בישראל בנוי בצורה מבוזרת וריבוי מקורות המים מצמצם את האפשרות להפרעה באספקת המים, וזאת גם במקרה של פגיעות נקודתיות. עד היום, למרות מספר ניסיונות לפגוע במשק המים, לא הייתה הפרעה באספקתם, באיכותם או בסילוק הביוב. רשות המים תמשיך להיערך ולפתח את תחום הסייבר, במטרה להבטיח לתושבי ישראל אספקת מים רציפה ובטוחה".

מערך הסייבר הלאומי מסר כי "יש קריטריונים שלפיהם נבחנת מידת התאמתם של גופים להיכלל בהגדרת גופי תמ"ק, ואלה נידונים בוועדה. טרם נבחן הצורך לקבוע מתקנים נוספים במשק המים והביוב כגופי תמ"ק".