רגולציית סייבר – מזרח מול מערב

במזרח הרגולטור מקדים את השוק ודוחף אותו, ואילו במערב הרגולטור שמרן ולעיתים מאמץ טכנולוגיות לא רלוונטיות

לאחרונה שולבו מערכות Waterfall Security במרכז הלאומי לאבטחת סייבר למערכות בקרה (CSSC – Japanese Control System Security Center). המרכז, השוכן במתחם גדול במיוחד בפארק מיאגי בטוקיו, מהווה את מרכזן של התכניות הלאומיות היפניות להגנה על תשתיות קריטיות.

תכנית העל של המרכז כוללת הקמה של 8 סביבות מלאות של רשתות בקרה תעשייתיות, כולל תחנת כוח, תחנת משנה, קו ייצור תעשייתי, מערכת הולכת גז ועוד. בסביבות אלו ישולבו מערכות של החברות היפניות המוביליות בתחומן, היטאצ'י, מיצובישי, טושיבה, ויוקוגאווה, מערכות אשר נמצאות בשימוש בתשתיות ברחבי יפן. חברות אלו גם שותפות בהקמת וניהול המרכז. סביבות אלו יאפשרו לחוקרי המרכז לבצע סימולציות תקיפות סייבר על תשתיות "אמתיות" וכן לבחון שיטות וטכנולוגיות להגנה ואבטחה.

בסינגפור, עוד לפני שמוצרי ווטרפול הותקנו בתשתיות קריטיות לאומיות סינגפוריות, הרגולטר הממשלתי הרלוונטי החליט לבצע בדיקות ובחינות רבות, אשר בסופן אישר את השימוש במוצרים. תהליך דומה לכך עברה הטכנולוגיה של ווטרפול במדינות נוספות באסיה, אשר בסופו הרגולטור האחראי על הגנת תשתיות קריטיות אישר את תמיכתו בשימוש במוצרי ווטרפול. תחום הגנת הסייבר הינו תחום חדש, מתפתח וחדשני, הדבר נכון גם טכנולוגית וגם בהיבטים נוספים של התחום. ככזה תחום הגנת הסייבר מייצר מצבים רבים בעלי משתנים לא ידועים ורמות אי וודאות גבוהות. כחלק מתפקידם, מנסים הרגולטורים להקטין את כמות המשתנים ואת את הוודאות, ועל ידי כך, להגדיל את נכונות הגופים אשר תחת הנחייתם לבצע תהליכים ולקבל החלטות, אשר אחרת היו מעדיפים להימנע מהם. באמצעות תהליכים אלו, מייצרים הרגולטורים בסיס ידע משותף ומקובל אצל גופי התשתיות הקריטיות.

בסיס ידע זה משמש את מקבלי ההחלטות לא רק כנקודת התחלה אשר ממנה ניתן לצאת, לשפר ולהרחיב, אך גם כ"כרית ביטחון". כרית המשמשת את המומחים והמנהלים בבואם לקבל החלטות בנוגע לתוכניות הגנת הסייבר על תשתיות החברה. כרית ביטחון זו מאפשרת להם לקחת החלטות ברמת ביטחון מספקת ובהערכה סבירה שהם אינם טועים. ארה"ב – רגולטור פאסיבי במדינות מערביות רבות, בראשן ארצות הברית, התהליך היה שונה, אם לא הפוך לחלוטין.

במסגרת אחד הכנסים שבהן השתתפנו בארה"ב לפני כמה שנים, ממש בתחילת דרכה של ווטרפול במדינה זו, העברנו הרצאה ובסופה המלצה להקשחת דרישות האבטחה ושינוי הרגולציה להיות מפורטת יותר מזו הקיימת. בסיום ההרצאה פנו אלי מספר רב של אנשים מהקהל, אשר הורכב מאנשי אבטחה בתשתיות קריטיות, ואמרו, ברצינות, "ששש, אל תדבר ככה, אתה עוד תיתן רעיונות לאנשי הממשלה איך להרחיב את הרגולציה". למרות מה שמצטייר לעיתים ככזה, רק במקרים נדירים מאוד כוללות ההנחיות והדרישות של רגולטורים אמריקאים שימוש בטכנולוגיות או גישות חדשות.

ההיגיון העומד מאחורי גישה זו משקף, בין השאר, את ההבדלים התרבותיים בין המזרח למערב. בעוד במזרח הרגולטור בוחן טכנולוגיות עוד לפני שהוטעמו בפועל, במדינות המערב הרגולטורים מחכים להוכחות. בארה"ב הרגולטורים המעורבים בהגנה על תשתיות קריטיות, בין אם הם גופים אזרחיים ובין אם ממשלתיים, נכנסים לתמונה לרוב רק לאחר שטכנולוגיה מסוימת מוכחת ונמצאת בשימוש במספר מספק של הגופים אותם הם מנחים. גופי ההנחיה "מחכים" עד שטכנולוגיה או שיטה עוברים את שלב ההוכחה, ורק כאשר הם בטוחים מספיק שכדאי להתייחס לטכנולוגיה זו, הם משלבים אותה בדרישות או משלבים הנחיות בנוגע לשימוש בה. בעיניהם, טכנולוגיה חדשנית, ובמיוחד כזו אשר אינה נמצאת כבר בשימוש אצל לקוחותיהם, לא ניתנת לשילוב במסגרת הדרישות מהלקוחות. הסיבה לכך הינה שייתכן כי מדובר בטכנולוגיה לא יעילה, וגופי הרגולציה לא יהיו מעוניינים לדרוש מהלקוחות שלהם להשתמש במוצר לא מועיל.

מהצד השני, הלקוחות בגופי התשתיות הקריטיות בארה"ב מעדיפים להחליט בעצמם באילו מוצרים ושיטות הם מעוניינים להשתמש. קיימת העדפה ברורה לאפשר "לשוק" להחליט, לעומת קבלת הנחיות מפורטות מהגוף המנחה. אין לקוחות? תחכה באופן זה, כאשר ווטרפול החלה את תהליכי השיווק בשוק הצפון אמריקאי, עדיין ללא לקוחות מקומיים, הרגולטורים השונים האחראים על הגנת תשתיות קריטיות, הביעו חוסר עניין במוצרי החברה. חלקם אמנם התעניין ברמה המקצועית, חלקם התעניין באופן אישי, אך כרגולטור – התגובה הייתה "לא מעוניינים, יש הרבה דברים חדשים בחוץ, רובם נופלים בדרך. אנחנו משתמשים במה שזמין ללקוחות".

רק לאחר שמספר רב של תשתיות קריטיות, בעיקר מתחום האנרגיה, בחרו להשתמש במוצרי החברה, החליט הרגולטור להתייחס "ברצינות" לטכנולוגיה הזו, לחקור אותה ולשלבה בדרישות הרגולציה השונות. מאז נמצאת הטכנולוגיה במגוון רגולציות, הנחיות והגדרות בתחום ההגנה על תשתיות קריטיות בארה"ב. קשה להעריך איזו שיטה "טובה" יותר, זו אשר בה הרגולטור דוחף קדימה את השוק, או זו בה הרגולטור מתייחס לטכנולוגיות מוכחות בלבד ולעיתים לא עדכניות. בהקשר זה, בהחלט ניתן להתייחס להבדלי התרבות כאחד הפרמטרים המגדירים את אופן פעולת הרגולטורים בכל מדינה. 

***
הכותב הוא מנכ"ל ויזם משותף בחברת ווטרפול סקיוריטי, חברה ישראלית הפועלת ברחבי העולם בתחום ההגנה על תשתיות קריטיות

You might be interested also