מבקר המדינה מצא כשלים במנגנון הדיווח על איכות המים במתקני התפלה - במקרה של מתקפת סייבר זה יכול להיות קטלני

ממצאי דוח מבקר המדינה על פיקוח מתקני ההתפלה בישראל מדאיגים, והם מקבלים משנה תוקף כשמתארים תרחיש תיאורטי של מתקפת סייבר. בישראל, שבה התלות בהתפלת מים הולכת וגדלה, מערך הבקרה והאכיפה מקבל חשיבות מכרעת לאור האפשרות שגורמים עוינים ינסו לשבש את פעילות המתקנים באופן שיפגע באיכות ובזמינות המים.

חריגות שהתגלו באיכות המים, שיכולות להחמיר במקרה של מתקפת סייבר מוצלחת, מצביעות על פערים משמעותיים בתשתיות ההגנה וביכולת ההתאוששות מהתקפה. הדוח הנוכחי מציין כי מערכת הדיווח והרציפות הבדיקות לא פועלת באופן מיטבי, והשלכות של פערים אלו עשויות להיות הרות גורל בתרחיש של חדירה עוינת למערכות המתקן.

״אף שבנוהלי משרד הבריאות נקבעו חובות המתפילים לדווח מיידית בין היתר על כל תופעה חריגה במתקן ההתפלה, לרבות תקלות מהותיות ותהליכיות שעלולות להשפיע על איכות המים, נמצא כי בפועל, בכל חמש הדוגמאות, המתפילים לא קיימו את חובות הדיווח האמורות מייד לאחר שגילו את התקלה או התופעה החריגה או החריגה מערכי הסף, ובשתיים מהדוגמאות אף לא קיימו את חובות הדיווח כלל״, כותב המבקר. מדובר במקרים הכוללים, בין היתר, דליפת תזקיק דלק לים בסמוך למתקן ההתפלה באוקטובר 2020; עיכוב בדיווח מיידי של מתפיל ד' על תקלה שגרמה לעליית רמת העכירות במים המסופקים במאי 2023.

במצב שבו מתבצעת מתקפת סייבר, צפויה פגיעה במערכות הניטור והבקרה האוטומטיות שעליהן מסתמכים כיום להבטחת איכות המים. חוסר האכיפה בזמן אמת, כפי שנחשף בדוח, מצביע על פגיעות קריטית ביכולת לזהות ולתקן בזמן תקלות שיורדות מתחת לרמת קריטיות מסוימת. נוסף לכך, הפערים בתגובות ובמערכות ההתראה יכולים להוביל למצב שבו תקלות עוברות מתחת לרדאר, ולא יתגלו אלא כאשר כבר נגרם נזק רחב היקף. המלצות הדוח להגברת תדירות הבדיקות האקראיות הן חשובות, אך יש להוסיף להן גם התמקדות באכיפה. 

״נמצא כי בכל חמש הדוגמאות שהובאו לעיל, שבהן לדעת משרד הבריאות המתפילים לא קיימו את חובות הדיווח שלהם מייד לאחר שגילו את התקלה או התופעה החריגה או החריגה מערכי הסף, לרבות הדוגמה של אי דיווח על מיכל מי מוצר פתוח שנמצאה בו לשלשת ציפורים, משרד הבריאות לא הפעיל אמצעי אכיפה כגון הגשת כתבי אישום והסתפק בייזום דיונים עם המתפיל ובתכתובת המבהירה למתפיל שלא פעל כנדרש וכיצד עליו לפעול. יצוין שאמצעי האכיפה שיש כיום בידי משרד הבריאות לאכיפת חובת הדיווח, כגון מאסר או קנס, מצריכים ניהול הליך פלילי, דבר שעלול להתמשך זמן לא מועט, ואינם מאפשרים הרתעה אפקטיבית לגבי הפרות חובת הדיווח למשרד הבריאות״, כותב המבקר. 

יתר על כן, תיאום טוב יותר ומתמשך בין משרד הבריאות למפעילי המתקנים צריך להיות בראש סדר העדיפויות, כדי לוודא שכל חשד לאיום טכנולוגי מטופל באופן מיידי. יש להטמיע מערכת שתאפשר למפעילים לדווח על אנומליות בזמן אמת ולהגיב במהירות לשינויים באיכות המים, במיוחד לאור האפשרות של פעולות זדוניות.

השקעה מוגברת בטכנולוגיות הגנה ותהליכי ענישה, יחד עם יישום יעיל של הבדיקות לפי המלצות הדוח, הכרחיים כדי להגן על תשתיות המים בישראל. השילוב בין הגברת הפיקוח הפיזי והכנת מנגנונים חדשים להגנה על גישה למידע רגיש יוכל למנוע תרחישים אסוניים ולשמור על איכות המים הציבוריים בטווח הארוך.  

עד כמה הבעיה חמורה? בסיכום הדו״ח, כותב המבקר: ״על פי התחזיות של רשות המים, היצע המים הטבעיים ילך ויפחת עד לשנת 2050 (מ-1,278 מלמ"ק בשנת 2022 ל-886 מלמ"ק בשנת 2050), ואילו הביקוש למים שפירים צפוי לגדול מ- 1,776 מלמ"ק בשנת 2022 ל-2,727 מלמ"ק בשנת 2050. והפתרון לביקוש הגובר למים שפירים הוא בין היתר הגדלת היצע המים על ידי התפלת מי ים. בשנת 2022 סיפקו מתקני ההתפלה כ- 540 מלמ"ק מים מותפלים, שהיו כ-30% מהמים השפירים שסופקו באותה שנה, בהיקף כספי של 1.5 מיליארד ש"ח. רוב המים המותפלים מיוצרים על ידי חמישה מתקני התפלה: חדרה, פלמחים, שורק, אשדוד ואשקלון. כמו כן, בהתאם לתחזיות של רשות המים כושר הייצור של מים מותפלים צפוי לגדול מכ-596 מלמ"ק לשנה בשנת 2022 ליעד של כ-1,700 מלמ"ק בשנת 2050.״