הנדסת מים

18 מגזין המים הישראלי הנדסת מים חשוב שתאגידי מים יגבילו את הגישה הפיזית למערכות שו“ב ורכיבי הבקרה מקומיים ומרוחקים ובמיוחדאלההמותקניםבאזוריםבמתקניםלאמאוישים שהם פחות מאובטחים. לשם כך, עליהם להתקין חסמים פיזיים ומצלמות אבטחה כדי לזהות מידית גישה של אנשים בלתי מורשים. עליהם להשתמש גם במגוון אמצעי אבטחה אלקטרוניים כגון שערים מבוקרים וחיישני נפח ובאמצעותם להרתיע על גישה של אנשים לא מורשים למתקנים אלה. לצורך פיקוח על הגישה, ארגונים יכולים גם להשתמש בהרשאות גישה בהתאם לתפקיד האנשים בארגון ותחומי האחריות שלהם. אכיפת בקרות אלה יכולה להתבצע על בסיס העיקרון של “מזעור הרשאות גישה“. הגנה זו תתבצע במקביל לאכיפה קפדנית על השימוש בתגי עובדים, סיסמה למעבר בין אזורים וכו'. בשנים אחרונות אנחנו עדים לשימוש גובר של חיישנים חכמים המכונים בשם כולל מוצרי “האינטרנט של דברים לתעשייה“ המותקנים במקומות מרוחקים. Industrial Internet - IIoT - of Things התקנים אלה, בהיותם מחוברים לרשת הבקרה של הארגון מהווים סיכון לפקוד תקין של המערכות ולכן תאגידי מים צריכים להגדיר ולנהל בקפידה את כל האמצעי להגנת סייבר. כדי לטפל בסיכונים הקשורים ברכיבים אלה, נדרש לכלול נושא זה בכל תוכניות ההכשרה של העובדים ולהדריך אותם כיצד לשמר התקנים אלה בפני פגיעות. התמודדות עם איומים שאינם תקיפת סייבר כיום כבר ברור בכל העולם כי הגורם האנושי ובמיוחד הגורם הפנימי (עובדי הארגון) מהווים סיכון שקשה לזהות אותו מראש. לאנשים אלה יש הרשאות גישה למתקנים שהם מכירים היטב ולכן יש להם את היכולת לגרום נזק באופן שקשה לצפות וגם קשה לזהות. חבלה מכוונת במתקנים של תאגידי המים על יד עובד של הארגון מהווה סיכון חמור כי תוך שימוש בידע שלהם הם יכולים לפגוע באמצעי אבטחה המובנים במערכות שו“ב וגם באמצעי בקרת גישה לאזורים רגישים. תאגידי מים נדרשים להדריך את עובדיהם על מגוון סוגים של איומי סייבר, כולל אלה שמאיימים על הארגון מבפנים. פעולה זו תסייע להרתיע אותם מגרימת נזק למערכות שו“ב של הארגון. כידוע כל ארגון מקבל שרותי מיקור חוץ ממגוון ספקים, קבלנים, יועצים וטכנאי שרות ועוד. לאנשים אלה יש את הידע הנדרש לביצוע תקיפת סייבר או חבלה והם עלולים מסיבות שונות להפוך לגורם עוין שעלול בתפקוד התקין של הארגון. הם מסוגלים לגרום נזק למערכות שו“ב באמצעות חדירה לרשת התקשורת של התאגיד, לבצע התקנה של תוכנה פגומה בהתקני מחשוב ועוד .לכן, ההנהלות של תאגידי מים חייבים להתייחס בקפדנות לסיכונים אלה המכונים בשם “סיכוני שרשרת האספקה“, ולמזער את 27001- האפשרות שגורמים אלה יפעלו נגד הארגון. בהתאם למוגדר בתקן הארגון שמעסיק קבלני חוץ לצורך מיקור חוץ נדרש לבצע מבדק ISO 2013 תקופתי של נהלי האבטחה של קבלנים אלה ועל ידי כך להגביר את היכולת הזיהוי של תוקפי סייבר לפני שיפעלו נגד הארגון. על מנת לספק את היכולת של רציפות תפעולית ברמה גבוהה, תאגידי מים חייבים לפעול בהתמדה למניעה של תקיפות סייבר באמצעות גילוי מוקדם של רגישויות ונקודות חולשה. לשם כך, הם נדרשים להעסיק מומחים לבצע בקרה על תהליכי התפעול באמצעות מיקור חוץ, להשתמש בטכנולוגיות ייחודיות לניטור חדירות למחשבי שו“ב בארגון. עליהם גם להעביר את הנתונים שנאספו למרכז שבו יושבים מומחים עם מיומנות באיומי אבטחה על מערכות שו“ב. התארגנות למצבי חירום ואסונות ארגון שהתכונן באמצעות תרגולים תקופתיים יהיה בעל יכולת להגיב במהירות לכל סוגי אירועים. על מנת להיות ערוכים לאתגרים אלה, נדרשת ) שהוכנה Business Continuity Planning - BCP תכנית מוכנה מראש ( במיוחד לצורך התאוששות מהירה ממצבי השבתה חמורים ותקלות חמורות במערכת שו“ב שלהם. היערכות זו תבטיח מענה הולם באמצעות מוכנות של משאבים ארגוניים שיהיו מוכנים גם עבור מקרים של אירוע ביטחוני. האנשים בארגונים חייבים לתפקד בהתאם להדרכות שקיבלו במסגרת עבודתם בארגון על פי נהלים המקובלים. לאחר שהנהלים נכתבו ואושרו על ידי ההנהלה, על המנהלים בארגון להפעיל אותם באמצעות הפצה, תקשורת, חינוך ואכיפה. זו לא פעולה חד-פעמית אלא פעילות מתמשכת ותקופתית, ולכן חייבים לשמור על משאבים זמינים למשימות אלה. ) היא Best Practices הקפדה על נהלים באמצעות תהליכים מקובלים ( אחת המשימות הקשות ליישום בגלל שמעורבים בו אנשים שלא מקפידים על הנהלים ולעתים קרובות פועלים ברשלנות. מכיוון שכך, הם מטרפדים את היכולת של הארגון לעמוד בדרישות האבטחה, ומונעים מהם להתגונן בפני איומים. סיכום ותובנות כדי להפחית את הסיכונים לאיומי סייבר באופן משמעותי, תאגידי מים נדרשים לשתף פעולה ביניהם ולהחליף מידע עדכני בכל הקשור לאיומים חדשים ואלו שכבר פורסמו וידועים לאחרים. באמצעות קשר כזה בין ארגונים הם יוכלו ללמוד כיצד להישמר מפני איומי סייבר. הצוותים המקצועיים בתאגידי מים צריכים גם להעביר מידע לרשויות במדינה שעוסקות בסיכוני סייבר על תשתיות חיוניות במדינה. אמנם לא ניתן למנוע תקיפת סייבר באופן מוחלט, באמצעות פעולות אלה הם יקשו על התוקפים וירתיעו אותם מלנסות לגרום פגיעה בארגון שלהם. ) הוא יועץ עצמאי במסגרת BSc דניאל ארנרייך ( Secure Communications and Control . דניאל רכש ניסיון מקצועי Experts-SCCE משולב בתחום מערכות בקרה בשילוב עם מערכות הגנה נגד תקיפות סייבר על לתשתיות קריטיות, כחלק מפעילותו בחברות מוטורולה, סימנס ווטרפול סיקיוריטי. דניאל הוא יו“ר הכנסים .2016 מאז ICS CYBERSEC daniel@scce.co.il נית ן ליצור קשר: 054-9151594 : או בטלפון