סכנות לתקיפת סייבר על מערכות לקריאת מונים
דניאל ארנרייך
| 11/06/2017
bigstockphoto.com
קריאה מרחוק של מוני חשמל, צריכת גז ומים (Automatic Meter Reading-AMR) איננו נושא חדש, והתקנות ראשונות בעולם החלו כבר באמצע שנות השמונים. אפשר גם לציין בגאווה, כי סוללות ליתיום בעטיפה הסגולה מתוצרת ישראל היו בין הראשונות בעולם שהותקנו במערכות אלה.
מבין השיקולים חברות להשקיע סכומי כסף גבוהים במערכות אלה היו:
• חסכון בעלות הקריאה של מונים שעד אז בוצעה על ידי אדם שעבר מבית לבית
• ניתן היה לקצר את הזמן בין קריאת המונה ועד להוצאת החשבונית לתשלום
• במדינות רבות מונה הגז נמצא במרתף ולא ניתן להגיע אליו לצורך קריאה
• מיני חשמל אלה גם מאפשרות חיוב הלקוח לפי עומס המערכת וזמן (תעו"ז)
• ניתן גם "לשכנע" לקוחות ע"י תעו"ז גבוהה לא להפעיל מכשירים לא חיוניים
• הפתרון מאפשר לגלות דליפות מים בצנרת הביתית וכך למנוע אובן מים
קריאת מונים
מערכות אלה תוכננו לתקשר באמצעות מגוון רשתות תקשורת אלחוטית. בין אלה היו מכשירי רדיו בתדרים חופשיים, רשתות סלולריות. לאחרונה עם הופעת האינטרנט של דברים (Internet of Things-IoT) , מונים אלה גם זכו לכינוי IoT. כהמשך התפתחויות בתחום זה שוקלים להשתמש ברשתות שנועדו במיוחד עבור רכיבי IoT כגון Sigfox, Lora, NBIoT ועוד.
הרצון של האזרח לזייף קריאות מונים איננו רעיון חדשני, ובעבר ראינו מגוון שיטות לעצירת מונה מים, קריאה מופחת במונה חשמל וגז, ועוד. כל עוד העבריינים היו אזרחים שרצו לחסוך עבור עצמם, הרשויות למדו לאתר אותם וגם למנוע התרחבות התופעה. אבל אם הזיוף יגרם על ידי גורם מקצועי שיהיה מסוגל באמצעות תקיפת סייבר על המערכת להפחית את הקריאה באחוזים קטנים לדוגמה 10%, זהו לא מהווה חסכון משמעותי לאזרח. אבל אם כלל המנים בעיר ידווחו קריאה מופחתת של המונה, רמת הכנסות של ספקי החשמל, מים וגז יופחתו באחוזים אלה וזה עלול להוביל לנזק כלכלי עצום.
לאחרונה התפרסם כי חברת הגז בקליפורניה בארה"ב SoCalGas עומדת להתקין 6 מיליון מוני לצורך קריאה מרחוק של מוני גז וחלקם המשמעותי אף יתקשר באמצעות רשת הלוויינים. בשנים אחרונות, לאחר התרחבות העולמית בשימוש ברשתות GSM ו-GPRS, על פי סטנדרטים של G3, G4 ובקרוב גם G5, מפעילי הלוויינים הפסידו נתח שוק עצום ולכן הם מוכנים לספק שרות תקשורת למונה במחירים נמוכות ביותר.
הרשות לפיקוח על שרות ללקוחות בארה"ב The California Public Utilities Commission, הקציב על פי הפרסום סכום מכובד של B$1 לנושא זה. אין ספק כי עקב המודעות הגוברת לסיכוני סייבר, פתרונות אלה יחויבו בהגנת סייבר. איזה דרישות יוגשו ליצרנים כדי לעמוד באתגרים אלה?
• לכל מונה חייב להיות אמצעי זיהוי ID קשיח במיוחד שלא ניתן להעתיק אותו וגם לא לזייף אותו
• התקשורת דו-כיוונית אל המונה חייבת להיות מוצפנת באמצעי אמין ואחיד לכל היצרנים 256AES
• המערכת חייבת לזהות ניתוק וחיבור מחדש של המונה ולדווח על כך למרכז הבקרה לצורך אימות
• המערכת חייבת לבדוק את הצריכה במהלך כל שעות היום ולדווח אם יש קריאה חריגה (כגון נזילת מים)
• כל פעולת תחזוקה תדווח באופן אוטומטי ותשמש את מנהלי המערכת כדרישה לבדוק את מהות הדיווח
אולי זה ישמע מוזר, אבל מרבית החברות שמייצרות את המוני המים, חשמל וגז וגם מפעילי שרות בשלב זה לא מוותרים על התצוגה המכאנית, כך שתמיד קיים אמצעי קשיח ואמין של הקריאה שניתן להיעזר בו. אומנם הסוללות נדרשות לתפקד מעל 7 שנים, אבל בטכנולוגיות איכותיות ניתן להגיע גם לתווך חיי סוללה מעל 10 שנים.
סיכום
למרות העובדה כי הסכנות לזיופי קריאה באמצעות תקיפת סייבר הם אפשריות, אנחנו נראה גידול במספר התקנות בכל העולם וכמובן גם בישראל.. בנוסף לסיכונים הנובעים מתקיפת סייבר, קיימים גם סיכונים נוספים כגון וונדליזם, תקלות תפקודיות ותקלות עם הסוללות, והטיפול בכל אלה יקבל ביטוי בעלויות תחזוקה מיותרות. כמובן ידרשו מוצרים בעלות נמוכה, אבל טוב יעשו מנהלי החברות שאמורות לתפעל מערכות אלה אם לא יתמקדו רק בחסכון בעת הרכישה.
הואיל והמטרה היא שמערכות אלה יתפקדו לאורך זמן, חשוב להשקיע במוצרים איכותיים ועמידים שכוללים הגנת בפני תקיפות סייבר ברמה נאותה. הטכניות שמפותחות כיום עבור מערכותIoT יתנו מענה הולם גם עבור מונים לקריאה מרחוק.
קריאה מרחוק של מוני חשמל, צריכת גז ומים (Automatic Meter Reading-AMR) איננו נושא חדש, והתקנות ראשונות בעולם החלו כבר באמצע שנות השמונים. אפשר גם לציין בגאווה, כי סוללות ליתיום בעטיפה הסגולה מתוצרת ישראל היו בין הראשונות בעולם שהותקנו במערכות אלה.
מבין השיקולים חברות להשקיע סכומי כסף גבוהים במערכות אלה היו:
• חסכון בעלות הקריאה של מונים שעד אז בוצעה על ידי אדם שעבר מבית לבית
• ניתן היה לקצר את הזמן בין קריאת המונה ועד להוצאת החשבונית לתשלום
• במדינות רבות מונה הגז נמצא במרתף ולא ניתן להגיע אליו לצורך קריאה
• מיני חשמל אלה גם מאפשרות חיוב הלקוח לפי עומס המערכת וזמן (תעו"ז)
• ניתן גם "לשכנע" לקוחות ע"י תעו"ז גבוהה לא להפעיל מכשירים לא חיוניים
• הפתרון מאפשר לגלות דליפות מים בצנרת הביתית וכך למנוע אובן מים
קריאת מונים
מערכות אלה תוכננו לתקשר באמצעות מגוון רשתות תקשורת אלחוטית. בין אלה היו מכשירי רדיו בתדרים חופשיים, רשתות סלולריות. לאחרונה עם הופעת האינטרנט של דברים (Internet of Things-IoT) , מונים אלה גם זכו לכינוי IoT. כהמשך התפתחויות בתחום זה שוקלים להשתמש ברשתות שנועדו במיוחד עבור רכיבי IoT כגון Sigfox, Lora, NBIoT ועוד.
הרצון של האזרח לזייף קריאות מונים איננו רעיון חדשני, ובעבר ראינו מגוון שיטות לעצירת מונה מים, קריאה מופחת במונה חשמל וגז, ועוד. כל עוד העבריינים היו אזרחים שרצו לחסוך עבור עצמם, הרשויות למדו לאתר אותם וגם למנוע התרחבות התופעה. אבל אם הזיוף יגרם על ידי גורם מקצועי שיהיה מסוגל באמצעות תקיפת סייבר על המערכת להפחית את הקריאה באחוזים קטנים לדוגמה 10%, זהו לא מהווה חסכון משמעותי לאזרח. אבל אם כלל המנים בעיר ידווחו קריאה מופחתת של המונה, רמת הכנסות של ספקי החשמל, מים וגז יופחתו באחוזים אלה וזה עלול להוביל לנזק כלכלי עצום.
לאחרונה התפרסם כי חברת הגז בקליפורניה בארה"ב SoCalGas עומדת להתקין 6 מיליון מוני לצורך קריאה מרחוק של מוני גז וחלקם המשמעותי אף יתקשר באמצעות רשת הלוויינים. בשנים אחרונות, לאחר התרחבות העולמית בשימוש ברשתות GSM ו-GPRS, על פי סטנדרטים של G3, G4 ובקרוב גם G5, מפעילי הלוויינים הפסידו נתח שוק עצום ולכן הם מוכנים לספק שרות תקשורת למונה במחירים נמוכות ביותר.
הרשות לפיקוח על שרות ללקוחות בארה"ב The California Public Utilities Commission, הקציב על פי הפרסום סכום מכובד של B$1 לנושא זה. אין ספק כי עקב המודעות הגוברת לסיכוני סייבר, פתרונות אלה יחויבו בהגנת סייבר. איזה דרישות יוגשו ליצרנים כדי לעמוד באתגרים אלה?
• לכל מונה חייב להיות אמצעי זיהוי ID קשיח במיוחד שלא ניתן להעתיק אותו וגם לא לזייף אותו
• התקשורת דו-כיוונית אל המונה חייבת להיות מוצפנת באמצעי אמין ואחיד לכל היצרנים 256AES
• המערכת חייבת לזהות ניתוק וחיבור מחדש של המונה ולדווח על כך למרכז הבקרה לצורך אימות
• המערכת חייבת לבדוק את הצריכה במהלך כל שעות היום ולדווח אם יש קריאה חריגה (כגון נזילת מים)
• כל פעולת תחזוקה תדווח באופן אוטומטי ותשמש את מנהלי המערכת כדרישה לבדוק את מהות הדיווח
אולי זה ישמע מוזר, אבל מרבית החברות שמייצרות את המוני המים, חשמל וגז וגם מפעילי שרות בשלב זה לא מוותרים על התצוגה המכאנית, כך שתמיד קיים אמצעי קשיח ואמין של הקריאה שניתן להיעזר בו. אומנם הסוללות נדרשות לתפקד מעל 7 שנים, אבל בטכנולוגיות איכותיות ניתן להגיע גם לתווך חיי סוללה מעל 10 שנים.
סיכום
למרות העובדה כי הסכנות לזיופי קריאה באמצעות תקיפת סייבר הם אפשריות, אנחנו נראה גידול במספר התקנות בכל העולם וכמובן גם בישראל.. בנוסף לסיכונים הנובעים מתקיפת סייבר, קיימים גם סיכונים נוספים כגון וונדליזם, תקלות תפקודיות ותקלות עם הסוללות, והטיפול בכל אלה יקבל ביטוי בעלויות תחזוקה מיותרות. כמובן ידרשו מוצרים בעלות נמוכה, אבל טוב יעשו מנהלי החברות שאמורות לתפעל מערכות אלה אם לא יתמקדו רק בחסכון בעת הרכישה.
הואיל והמטרה היא שמערכות אלה יתפקדו לאורך זמן, חשוב להשקיע במוצרים איכותיים ועמידים שכוללים הגנת בפני תקיפות סייבר ברמה נאותה. הטכניות שמפותחות כיום עבור מערכותIoT יתנו מענה הולם גם עבור מונים לקריאה מרחוק.
