האם המדינה יכולה להציל אותנו מהתקפות סייבר במערכות המים?

האם המדינה יכולה להציל אותנו מהתקפות סייבר במערכות המים?

מתקפת הסייבר שניסתה להרעיל את מערכת מי השתייה בפלורידה דומה למתקפה שנערכה בישראל בשנה שעברה. אנו עדים לעלייה בכמות התקיפות על מתקני המים, אבל מי אמור להגן על מי השתייה של האזרחים? מאמר חדש של מומחה הסייבר אנדרו גינטר

מתקפת הסייבר שניסתה להרעיל את מערכת מי השתייה באולדסמר, פלורידה דומה למתקפה על מערכות המים הקטנות שנערכה בישראל בשנה שעברה. בשתי המתקפות ניסו ההאקרים לחבל במתקני הטיפול במים כדי לייצר מי שתייה המכילים כמויות חומרים כימיים מסוכנים. בכימיקלים אלה משתמשים בדרך כלל בכמויות מיקרוסקופיות כדי להפחית פתוגנים, מינרלים או מזהמים אחרים במים, אך הם מסוכנים אם מוסיפים אותם בכמויות גדולות. בשתי המתקפות נבחרו כמטרה מערכות מים קטנות המוגנות בצורה גרועה.

בעלים ומפעילים רבים של תשתיות קריטיות חושבים בטעות כי "הממשלה תציל אותנו" מהסוגים הגרועים ביותר של מתקפות סייבר. התחושה הזו נפוצה במיוחד בקרב מרבית המערכות הקטנות למים, חשמל וגז טבעי. אך התחושה הזו מוטעית.

בעוד שמתקפת אולדסמר עדיין חדשה ונחקרת, החקירה על המתקפות בישראל בשנה שעברה כבר הושלמה. בתגובה של אחד מהחוקרים רמי הדרג של התקיפה הישראלית נאמר: "התקפות אלה היו קרובות כל כך להצלחה מסיבה אחת – מערכות המים המותקפות לא החילו את המלצות ממשלת ישראל לבקרה על אבטחת מידע".  

הלקח הינו פשוט – הממשלה אינה יכולה להציל אותנו מכל המתקפות, אולי רק מחלקן. רבות מממשלות העולם כוללות תוכניות אבטחת סייבר תעשייתיות רבות עוצמה שיכולות לסייע לבעלים ולמפעילים בהערכות איומים, שיתוף מידע, בדיקת רקע כוח אדם, הכשרה ומודעות, ולעיתים אף גילוי חדירה ותגובה לאירועים. אולם הבעיה היא שחלק מהמתקפות נעות הרבה יותר מהר מיכולת התגובה של כל תוכניות הממשלה. הדרך היחידה למנוע את ההשלכות של התקפות אלה היא בכך שהמערכות עצמן יפרסו הגנות סייבר יעילות וישתמשו בהן.

ברוב העולם, הייעוץ הממשלתי לאבטחת סייבר בתשתיות קריטיות מתמקד ביעדים הגדולים ביותר. יש יוצאים מן הכלל. הייעוץ הצרפתי והישראלי ממוקד יותר – בהנחייתם, מערכת בקרה תעשייתית עם פוטנציאל לפגוע או להרוג עשרות או יותר אנשים בהתקפת סייבר ראויה לרמה הגבוהה ביותר של הגנות סייבר. כאשר מערכות מים קטנות נפגעות, הן בקלות יכולות לגרום לכך שמאות אנשים יחלו ועשרות אזרחים ימותו בקהילות המקבלות מהן שירות. מערכות אלו אינן יכולות לחכות שהממשלה תגן עליהן – אף ממשלה אינה מסוגלת להגן על אתרים בודדים וקטנים מפני מתקפות מסוג זה. מערכות מים קטנות חייבות לפעול כעת כדי להגן על עצמן ועל הצרכנים שלהן.

החדשות הטובות הן שההגנה החזקה על מערכות מים קטנות לא חייבת להיות יקרה. אנחנו ב-Waterfall עובדים עם אתרי התעשייה המאובטחים ביותר בישראל ובעולם – החל ממערכות מים קטנות וכלה בגנרטורים גרעיניים. מזה כמה חודשים עובדת Waterfall על הכנת מסמך ייעוץ למערכות מים קטנות, ואירועי השבוע שעבר בפלורידה יאיצו את השלמת העבודה הזו. בינתיים, התיאור המובהק ביותר העקרונות המרכזיים והפרקטיקות לאבטחה תעשייתית חזקה הוא ספר הלימוד Secure Operations Technology, ש- Waterfall ממשיכה לספק בחינם, כשירות ציבורי, לעוסקים מוסמכים בתחום.

אנדרו גינטר מכהן כ-VP Industrial Security בווטרפול סקיוריטי. הוא כתב שני ספרים מצליחים בנושא אבטחת מערכות בקרה תעשייתיות, מנחה את הפודקאסט בנושאי אבטחת סייבר The Industrial Security Podcast  ומופיע בסדרת הסרטונים של ה-Industrial Security Institute ביוטיוב.