הגנה קיברנטית על תשתיות קריטיות? לא מעניין
לא הגיוני שלא אכפת לנו מהתפקוד של מערכות חשמל, מים והובלת גז ודלק בצנרת. אבל העדר קורסים ייעודיים במכללות וארגונים מקצועיים מצביע על כך שבפועל, כולם מחכים לאסון. דעה
דניאל ארנרייך
| 30/11/2015
bigstockphoto.com
לא הגיוני שלא אכפת לנו מהתפקוד של מערכות חשמל, מים והובלת גז ודלק בצנרת. אבל כאשר אני שומע מילים אלה כל פעם מחדש, ולא מתנהלות הדרכות על הנושא עבור חברות שבונות ומתחזקות תשתיות, נראה שיש אמת באמירה זו. כמובן לא אפרט כאן מי לא עושה את המוטל עליו, אבל יש גם יוצאים מהכלל, כמו תאגיד מים הגיחון בירושלים, שעושה ושואף לעשות עוד יותר. כידוע, הארגונים גדולים כמו חח"י ואחרים כן עושים, אבל ברצוני להתייחס כאן לארגונים בינוניים.
למי לא אכפת?
1. כבר כתבתי במאמרים הקודמים כי החולשה בהגנה של התשתיות נובעת בין היתר מהעובדה כי המחשבים, הבקרים התעשייתיים והתוכנות לא הותאמו להגנה, והדגש העיקרי היה על פעולה אמינה ובטוחה (safety and reliability) של המתקנים. הואיל ואין עדיין תקנות שמכתיבות חידוש הציוד תוך פרק זמן סביר, אין תקציבים, כי לא מוציאים כסף על מה שלא נדרש.
2. מהנדסי בקרה יודעים לבצע בעיקר פעולות עבורם מישהו מוכן לשלם. לכן אנשי שמקצוע שמבצעים תכנון ובניה של מערכות שליטה ובקרה (שו"ב) לא משקיעים בהדרכה, כי הגנה קיברנטית לא מפורטת כתנאי לזכייה בפרויקט. אנשים לומדים לתכנת בקרים, לבנות מערכות ממשק אדם-מכונה (Human Machine Interface-HMI), אבל לא לומדים הגנה קיברנטית.
3. את הנושא של תקיפה קיברנטית מלמדים במספר מכללות, כי זה מעניין, מאפשר לקבל משרה בשכר מכובד וגם לפתוח חברת הזנק חדשה עם רעיון מבריק. אותם המכללות לא פותחות כיתה ללימוד הגנה קיברנטית על תשתיות קריטיות כי אין ביקוש. כמי שעוסק בשיווק מעל שלושה עשורים, אני יודע שאם אין הסברה ואין אכיפה בארגונים, לא יגיעו התלמידים.
4. החשבים בארגונים לא מבינים בהגנה קיברנטית וכל הידע שלהם מסתכם בסיפורים על גניבת סרטים מסוני, ופרטים של כרטיסי אשראי שנגנבו. בדיוק כמו שהציבור לא רואה שצנרת המים באדמה כבר חלודה, ועמודי חשמל עלולים לקרוס בסערה הקרובה, הציבור לא רואה שמערכת השו"ב לא מוגנת בפני תקיפה קיברנטית. לכן אין השקעות בנושא.
5. מנהלים בארגונים שהתפעול של תשתיות באחריותם אינם מבינים בהגנה קיברנטית על מתקנים קריטיים ולא מפנימים שתוצאות של תקיפה על מערכת השו"ב שמפקחת על תשתית המים עלולה לפגוע בתושבים. בגלל העובדה שהם לא מבינים בנושא, וגם לא נדרשו ללמוד את העקרונות, הם פשוט לא יתעניינו ולא יקשיבו למי שצועק זאב, זאב.
6. סיבה נוספת למצב זה נובעת מכך, שלמזלנו לא היו תקיפות משמעותיות על תשתיות בארץ, וכך המודעות עדיין לא התעוררה. אבל, מי יכול ומי מוכן להיות ערב לכך שמחר בבוקר זה לא יקרה? ואחרי האירוע הראשון, כאשר העיתונים ידעו לספר באיזה קלות נפרצו המערכות השו"ב, תקיפות אלה יהפכו לשגרה. כמה זמן ייקח להכין וליישם מנגנוני הגנה?
התוקפים של היום אינם ילדים שובבים אלא אנשי מקצוע שממומנים על ידי מדינות עוינות וארגוני פשיעה כדי ליצור את התקיפה ולגרום לנזקים . לא אפרט יותר את הסיכונים כי אין בכוונתי להעיר את הדובים הישנים ולהכניס רעיונות זדוניים לראש של אנשים. אבל כן אפרט בקצרה מה חייבים לעשות כדי להיות מוכנים.
כל אדם שבתוקף תפקידו לתכנן, לבנות, לתחזק או להפעיל מערכות שו"ב על תשתיות חייב לחדש הסמכה תקופתית. כל מערכת שו"ב על תשתית קריטית חייבת לעבור ביקורת תקופתית לגבי חולשות קיברנטיות, (בדיוק כמו טסט לרכב). מנהלים בארגונים שמתפעלים מערכות שו"ב דומות, חייבים לדבר זה עם זה וללמוד על חולשות שנתגלו וצעדים שננקטו.
ארגונים חייבים להקצות משאבים מראש לצורך חידוש ושדרוג הדרגתי של מערכות שו"ב במסגרת תוכנית ל 5 שנים. המידע לגבי רמת התפקוד של ארגונים שאחראים על תפעול התשתיות חייב להיות זמין להיבדק על ידי מבקר המדינה.
סיכום
פרטתי כאן את הסיכונים, האתגרים ואת הפעולות הנדרשות כדי להיות צעד אחד לפני התוקפים, ולהכניע אותם טרם יפרצו את מעגל האבטחה הראשון בדרך להשבתה של מערכת השו"ב. איך נדע כי אנחנו בדרך הנכונה למטרה? זה יקרה אחרי שהמכללות המלמדות תהליכי תקיפה קיברנטית וארגונים כמו מהנדסי החשמל ואלקטרוניקה (SEEEI) וארגון מהנדסי הבקרה (ISA) בארץ יפתחו במסע הסברה ויראו ביקוש הולך וגובר להדרכות והסמכות מוכוונות להגנה קיברנטית על מתקנים קריטיים.
לא הגיוני שלא אכפת לנו מהתפקוד של מערכות חשמל, מים והובלת גז ודלק בצנרת. אבל העדר קורסים ייעודיים במכללות וארגונים מקצועיים מצביע על כך שבפועל, כולם מחכים לאסון. דעה
bigstockphoto.com
לא הגיוני שלא אכפת לנו מהתפקוד של מערכות חשמל, מים והובלת גז ודלק בצנרת. אבל כאשר אני שומע מילים אלה כל פעם מחדש, ולא מתנהלות הדרכות על הנושא עבור חברות שבונות ומתחזקות תשתיות, נראה שיש אמת באמירה זו. כמובן לא אפרט כאן מי לא עושה את המוטל עליו, אבל יש גם יוצאים מהכלל, כמו תאגיד מים הגיחון בירושלים, שעושה ושואף לעשות עוד יותר. כידוע, הארגונים גדולים כמו חח"י ואחרים כן עושים, אבל ברצוני להתייחס כאן לארגונים בינוניים.
למי לא אכפת?
1. כבר כתבתי במאמרים הקודמים כי החולשה בהגנה של התשתיות נובעת בין היתר מהעובדה כי המחשבים, הבקרים התעשייתיים והתוכנות לא הותאמו להגנה, והדגש העיקרי היה על פעולה אמינה ובטוחה (safety and reliability) של המתקנים. הואיל ואין עדיין תקנות שמכתיבות חידוש הציוד תוך פרק זמן סביר, אין תקציבים, כי לא מוציאים כסף על מה שלא נדרש.
2. מהנדסי בקרה יודעים לבצע בעיקר פעולות עבורם מישהו מוכן לשלם. לכן אנשי שמקצוע שמבצעים תכנון ובניה של מערכות שליטה ובקרה (שו"ב) לא משקיעים בהדרכה, כי הגנה קיברנטית לא מפורטת כתנאי לזכייה בפרויקט. אנשים לומדים לתכנת בקרים, לבנות מערכות ממשק אדם-מכונה (Human Machine Interface-HMI), אבל לא לומדים הגנה קיברנטית.
3. את הנושא של תקיפה קיברנטית מלמדים במספר מכללות, כי זה מעניין, מאפשר לקבל משרה בשכר מכובד וגם לפתוח חברת הזנק חדשה עם רעיון מבריק. אותם המכללות לא פותחות כיתה ללימוד הגנה קיברנטית על תשתיות קריטיות כי אין ביקוש. כמי שעוסק בשיווק מעל שלושה עשורים, אני יודע שאם אין הסברה ואין אכיפה בארגונים, לא יגיעו התלמידים.
4. החשבים בארגונים לא מבינים בהגנה קיברנטית וכל הידע שלהם מסתכם בסיפורים על גניבת סרטים מסוני, ופרטים של כרטיסי אשראי שנגנבו. בדיוק כמו שהציבור לא רואה שצנרת המים באדמה כבר חלודה, ועמודי חשמל עלולים לקרוס בסערה הקרובה, הציבור לא רואה שמערכת השו"ב לא מוגנת בפני תקיפה קיברנטית. לכן אין השקעות בנושא.
5. מנהלים בארגונים שהתפעול של תשתיות באחריותם אינם מבינים בהגנה קיברנטית על מתקנים קריטיים ולא מפנימים שתוצאות של תקיפה על מערכת השו"ב שמפקחת על תשתית המים עלולה לפגוע בתושבים. בגלל העובדה שהם לא מבינים בנושא, וגם לא נדרשו ללמוד את העקרונות, הם פשוט לא יתעניינו ולא יקשיבו למי שצועק זאב, זאב.
6. סיבה נוספת למצב זה נובעת מכך, שלמזלנו לא היו תקיפות משמעותיות על תשתיות בארץ, וכך המודעות עדיין לא התעוררה. אבל, מי יכול ומי מוכן להיות ערב לכך שמחר בבוקר זה לא יקרה? ואחרי האירוע הראשון, כאשר העיתונים ידעו לספר באיזה קלות נפרצו המערכות השו"ב, תקיפות אלה יהפכו לשגרה. כמה זמן ייקח להכין וליישם מנגנוני הגנה?
התוקפים של היום אינם ילדים שובבים אלא אנשי מקצוע שממומנים על ידי מדינות עוינות וארגוני פשיעה כדי ליצור את התקיפה ולגרום לנזקים . לא אפרט יותר את הסיכונים כי אין בכוונתי להעיר את הדובים הישנים ולהכניס רעיונות זדוניים לראש של אנשים. אבל כן אפרט בקצרה מה חייבים לעשות כדי להיות מוכנים.
כל אדם שבתוקף תפקידו לתכנן, לבנות, לתחזק או להפעיל מערכות שו"ב על תשתיות חייב לחדש הסמכה תקופתית. כל מערכת שו"ב על תשתית קריטית חייבת לעבור ביקורת תקופתית לגבי חולשות קיברנטיות, (בדיוק כמו טסט לרכב). מנהלים בארגונים שמתפעלים מערכות שו"ב דומות, חייבים לדבר זה עם זה וללמוד על חולשות שנתגלו וצעדים שננקטו.
ארגונים חייבים להקצות משאבים מראש לצורך חידוש ושדרוג הדרגתי של מערכות שו"ב במסגרת תוכנית ל 5 שנים. המידע לגבי רמת התפקוד של ארגונים שאחראים על תפעול התשתיות חייב להיות זמין להיבדק על ידי מבקר המדינה.
סיכום
פרטתי כאן את הסיכונים, האתגרים ואת הפעולות הנדרשות כדי להיות צעד אחד לפני התוקפים, ולהכניע אותם טרם יפרצו את מעגל האבטחה הראשון בדרך להשבתה של מערכת השו"ב. איך נדע כי אנחנו בדרך הנכונה למטרה? זה יקרה אחרי שהמכללות המלמדות תהליכי תקיפה קיברנטית וארגונים כמו מהנדסי החשמל ואלקטרוניקה (SEEEI) וארגון מהנדסי הבקרה (ISA) בארץ יפתחו במסע הסברה ויראו ביקוש הולך וגובר להדרכות והסמכות מוכוונות להגנה קיברנטית על מתקנים קריטיים.
