דף הבית / מאמרים ומחקרים / תאגידי מים בישראל נדרשים ליותר השקעה בתחום הגנת סייבר
קרדיט ניב קנטור. דניאל ארנרייך בסייברסק 2018

תאגידי מים בישראל נדרשים ליותר השקעה בתחום הגנת סייבר

אינדקס חברות וספקים

המחבר: דניאל ארנרייך, יועץ ומרצהSCCE ,

פרסום

מבוא

בשנת 2016 פורסם בעולם על אירוע של תקיפת סייבר על מתקן לטיפול במים, שבמהלכו התוקפים שינו את רמות הכימיקלים בתהליך זה. זהו כמובן אירוע חמור ביותר, כי פגיעה במערכות המפקחות על תהליכים כימיים עלולה לסכן חיי אדם. לאור איומים אלה, מופיעות הנחיות חדשות  בעולם שנועדו לעזור לתאגידי מים להתגונן טוב יותר מפני תקיפות סייבר. במאמר זה מפורטות פעולות ישימות  להתגוננות יעילה שעשויות להקטין את הסיכון של תקיפת סייבר נגד תאגידי מים וכמובן ארגונים אחרים.

א)     הגנה על נכסים בארגון

נהוג לאומר, "אתה לא יכול להגן על מה שאתה לא יודע שיש לך", וכאן הכוונה לכל המרכיבים ואזורי מחשוב השייכים למערכות שליטה ובקרה (שו"ב) ותקשורת . לכן חובה כי תאגידי מים יכירו את מערכות אלה וגם את התוכן ומיקום שמירה של המידע אותו הם אוגרים. מאמץ זה כולל סריקה יסודית ברשת שלהם, איסוף מידע מהשרטוטים ותיעוד של הנכסים ברשותם.

ב)     הערכת סיכונים

תאגידי מים חייבים לבצע הערכות סיכונים תקופתיות ולהיות ערוכים לזהות פגיעויות במערכות שו"ב ומחשוב שלהם. פעילות זו דורשת מיומנויות ייחודיות בתחום והם יכולים לעזר בחברות חיצוניות בנושא זה.  הערכת סיכונים היא פעולה חשובה ואם יעשו זאת היטב, היא תספק תמונה ברורה לגבי רמות הסיכון הנוכחי ותעזור להם לשפר את רמות האבטחה.

ג)      חשיפה של מערכת שו"ב

המנהלים האחראים על מערכות מידע בתאגידי המים חייבים להכיר את מסלולי המעבר הקיימים בין מערכות שו"ב  לרשת מערכות מידע. בתהליך זה הם עשויים לגלות כי לא קיימים מחסומים המפרידים בין רשתות אלה. אם הם יתקלו מעבר בין הרשתות שאינו מאובטח, עליהם לתקן בהקדם פגם זה. בנוסף, עליהם גם לחסום את כל ערוצי תקשורת הלא חיונית לתפעול המערכת.

 

ד)     בקרות על הגישה למשתמשים

בדרך כלל נדרש לאפשר גישה למערכת שו"ב רק למי שמורשה בארגון. עם זאת, יכולים להשתמש בהרשאות גישה כדי להגביל את הגישה על סמך התפקיד בארגון ותחומי האחריות של העובדים. יתכן כי בארגון יפעילו אכיפת בקרות על בסיס העיקרון של "מזעור  הרשאות גישה" לכולם, במקביל לאכיפה קפדנית על השימוש בסיסמאות ואימות של המתחברים לרשת.

ה)     הגנה פיזית למערכת שו"ב

חשוב שתאגידי מים יגבילו את הגישה הפיזית לסביבות של מערכות שו"ב ורכיבי בקרה המותקנים באזור לא מאובטח. לשם כך עליהם להתקין חסמים פיזיים ומצלמות אבטחה כדי למנוע גישה מאנשים בלתי מורשים. עליהם גם להשתמש במגוון אמצעי אבטחה אלקטרוניים כגון שערים וחיישני נפח כדי להרתיע אנשים מגישה לאזורים אלה.

ו)        התקנה של הגנות בטיחות

אמצעים הנדסיים שאינם מבוססים על מחשוב יכולים לספק פתרון הולם לצורך הגנה מפני נזק פיזי למערכות מכניות גדולות. במקרה של פגיעה באחד מהמתקנים האלה באמצעות שיבוש פעולתה של מערכת שו"ב, פתרונות אלה יכולים להגביל את עוצמת הפגיעה במשתמשים על ידי העברת המערכת להפעלה ידנית וכך לשמר רציפות תפקודית במשך זמן התיקון.

ז)      איתור של פגיעויות

שירותי אספקת  מים במדינה נחשבים לתהליך קריטי. איתור פגיעויות אבטחה במערכת שו"ב אלה צריך להיות חלק חשוב בתפיסה של הגנת סייבר. לכן תאגידי מים נדרשים לבצע בקביעות סריקות והערכות סיכונים, כדי לסייע בזיהוי נקודות תורפה וחולשות אבטחה. באמצעות איסוף מודיעין לגבי פגמים ידועים, תאגידי מים יוכלו להגיב ביעילות ולבטל את חולשות האבטחה.

ח)     תרבות אבטחת סייבר בארגון

בכל ארגון מסודר, אבטחת סייבר חייבת להיות תחת אחריות משותפת בין כל הגורמים המקצועיים. על פי התקן 27001-2013 סעיף 5 פסקה 1, אבטחת סייבר היא באחריות ההנהלה הבכירה. תאגידי מים נדרשים לבצע הדרכה מקצועית, תרגול ואימון לצורך הגברת המודעות  בקרב כל העובדים שתפקידם לתפעל, לתחזק ולהבטיח פעולה בטוחה ותקינה של מערכות המים.

ט)     אכיפת הנהלים בנושא אבטחת סייבר

מדד זה הוא אחד הקשים ביותר ליישום בגלל שמעורבים בו אנשים שלא מקפידים על הנהלים. מכיוון שכך, הם מטרפדים את היכולת של הארגון להתגונן בצורה יעילה ולעמוד בדרישות האבטחה. לאחר שהנהלים נכתבו ואושרו על ידי ההנהלה של תאגיד המים, על המנהלים בארגון להפעיל אותם באמצעות הפצה, תקשורת, חינוך ואכיפה. זו לא פעולה חד-פעמית ולכן חייבים לשמור על משאבים זמינים כבור פעילות מתמשכת.

י)        איתור ומעקב אחר איומים

על מנת לספק רציפות תפעולית ברמה גבוהה, תאגידי מים חייבים לפעול בהתמדה לגילוי פגיעויות ומניעה של תקיפות סייבר. לשם כך, הם נדרשים להשתמש במערכות ייחודיות לניטור חדירות למחשבי שו"ב שלהם, ולבצע בקרה מתמדת על התהליכי התפעול. עליהם גם להעביר את הנתונים שנאספו למרכז שבו יושבים מומחים עם מיומנות באיומי אבטחה על מערכות שו"ב.

יא)   התארגנות למצבי חירום ואסונות

חשוב ביותר שלתאגידי המים תהיה יכולת להגיב במהירות לכל סוגי אירועים. על מנת להיות ערוכים לאתגרים אלה, נדרשת תכנית מוכנה מראש להתאוששות ממצבי השבתה חמורים ותקלות מערכת שו"ב. הערכות זו תבטיח מענה הולם וזמינות של משאבים ארגוניים כולל במקרים של אירוע ביטחוני.

פרסום

יב)   התמודדות עם איומי פנים

חבלה מכוונת על יד עובד במתקנים של תאגידי המים מווה סיכון חמור כי תוך שימוש בידע שלהם תוקפים אלה יכולים לפגוע באמצעי אבטחה המובנים במערכות שו"ב וגם  באמצעות גישה פיזית לאזורים רגישים. תאגידי מים נדרשים להדריך את עובדיהם על איומי סייבר, כולל כאלה שמאימים על הארגון מבפנים. פעולה זו תסייע להרתיע אותם מגרימת נזק למערכות של הארגון.

יג)    אבטחה של שרשרת האספקה

כידוע, ספקים, קבלנים, יועצים וטכנאי שרות עלולים להפוך לאיום על הארגון. לכן, ההנהלות של תאגידי מים חייבים להתייחס לסיכונים אלה, ולמזער את האפשרויות שגורמים אלה יפעלו נגד הארגון. עליהם גם לבדוק בהתמדה את הנהלים שלהם כדי לזהות תוקפי סייבר עלולים לחדור לרשת של התאגיד, להשתמש בהתקנות תוכנה פגומות וכך לגרום נזק למערכות שו"ב.

יד)   רכיבים מותקנים ללא הגנה פיזית.

תאגידי מים צריכים להגדיר ולנהל בקפידה את כל האמצעי הגנת סייבר הקשורים למערכת ובמיוחד את מוצרי "האינטרנט של דברים"  Internet of Things (IIoT) שמותקנים במקומות נגישים לזרים ועקב כך מהווים סיכון למערכות שו"ב. נדרש לכלול בקרות על רכיבים אלה בכל תוכניות ההכשרה של העובדים ולפקט כיצד  לשמר התקנים אלה בפני פגיעות.

טו)   שיתוף מידע עם ארגונים דומים ורשויות

תאגידי מים נדרשים לשתף פעולה ביניהם בכל הקשור לאיומי סייבר, כך ניתן יהיה להפחית את הסיכונים והאיומים. קשר כזה בין ארגונים מאפשר החלפת מידע מודיעיני ביניהם ומתוך זה הם יוכלו ללמוד כיצד להישמר מפני איומי סייבר ידועים לאחרים. ברור מכך, כי הצוותים המקצועיים בתאגידי מים צריכים ללמוד זה מזה וגם להעביר מידע לרשויות במדינה שעוסקות בסיכוני סייבר על תשתיות חיוניות במדינה.

@@@@@

 

כנס 2019 ICS-CYBERSEC הבינלאומי שיערך בלאגו ראשל"צ 24-9-2019 בהפקת קבוצת "אנשים ומחשבים" יתמקד בפתרונות לאיומי הסייבר במערכות תעשיה, בצד הגנה אפקטיבית על מערכות שו"ב, מערכות IIoT ותשתיות חיוניות. עוד בכנס, ניתוח מעמיק של האתגרים העומדים בפני הארגונים בתחום הגנת הסייבר ו"ארגז כלים" של פתרונות להתמודדות. מבין הדוברים השנה, אורן ישראל, מערך הסייבר הלאומי משרד ראש הממשלה, ובוקי כרמלי, ראש רשות הסייבר היוצא.

 

מצטרפים לדף הפייסבוק של מים-נט ונשארים מעודכנים כל הזמן‎

אודות מערכת פורטל מים נט

אנו שמחים להביא בעמוד זה מידע לתועלת הציבור. יחד עם זאת התכנים אינם מהווים עצה, המלצה או את עמדת האתר , ועל כל משתמש לבחון את המידע ולשקול איזה שימוש ראוי לעשות בו, רשימה זו אינה ממצה ואינה תחליף לייעוץ משפטי. אין באמור לגרוע מהאמור בתקנון האתר, לרבות בנוגע להגבלת אחריות. מערכת פורטל מים נט עושה כמיטב יכולתה להביא בפניכם חדשות , כתבות ,מחקרים ,ידיעות מהארץ העולם ועוד המון אינפורמציה בתחום תעשיית המים ותעשיית איכות הסביבה. בכל הצעה בקשה רעיון נשמח באם תיצרו קשר. כמו כן אנו מכבדים זכויות יוצרים ועושים מאמץ לאתר את בעלי הזכויות בצילומים המגיעים לידינו. אם זיהיתם בפרסומינו צילום שיש לכם זכויות בו, אתם רשאים לפנות אלינו ולבקש לחדול מהשימוש באמצעות כתובת המייל: [email protected]

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

הרשמו לניוזלטר

כדי להיות תמיד מעודכנים