כך פועלת הממשלה כדי שמתקפת סייבר על מפעלים לא תרעיל אותנו

עם השתכללות עולם הסייבר והתחכום ההולך וגדל של ההאקרים, גם מפעלים שמחזיקים חומרים מסוכנים, שדליפה שלהם יכולה להרעיל אותנו, נמצאים תחת סכנה של מתקפות, שבמקרה שלהם עלולות להיות להן השלכות חמורות במיוחד. המשרד להגנת הסביבה לקח זאת בחשבון, ושקד על ניסוח רגולציית סייבר למפעלים אלה – כללים שפורסמו לפני חודשים אחדים. בכך הייתה ישראל למדינה הראשונה שמפרסמת רגולציית סייבר על מפעלים שמשתמשים בחומרים מסוכנים, או מייצרים אותם.

יוסי שביט, ראש יחידת הסייבר בתעשייה במשרד להגנת הסביבה, הרחיב על הכללים החדשים בכנס הווירטואלי ICS Cyberse של אנשים ומחשבים, ששודר שלשום (א'). את הכנס הוביל דניאל ארנרייך, יועץ להגנת סייבר למערכות בקרה תעשייתיות ולמערכות תפעוליות.

שביט אמר כי התקנות, שחלות על 4,292 מפעלים, נתמכות במתודולוגיה ייחודית לביצוע סקרי סיכוני סייבר, שזכתה להתעניינות עולמית ופותחה על סמך ניסיון ועבודת שטח של שנים רבות. על פי התוכנית, בתוך שלוש שנים, כל המפעלים המוגדרים כמסוכנים יחויבו להיות ברמת מוכנות גבוהה למתקפות סייבר, לפי סטנדרטים אחידים שהמשרד קבע.

"מדובר במפעלים שקמו לפני הרבה שנים, כשאיש לא חשב על איומים כמו סייבר. המערכות היו סגורות וכולם חיו בעולם 'נפלא'", אמר שביט. "השינויים והחשיפה לאיומים, החלו כאשר נכנסו המחשבים והוטמעו במפעלים רשתות אינטרנט, על מנת לייעל את העבודה. לאחר שהכניסו כבלי רשת וחיברו למערכות מידע, היקף האיומים הלך וגדל", הסביר. איומים נוספים הביאו התעשייה 4.0 ורכיבי האינטרנט של הדברים. ברור לכל מפעל שאם הוא לא יישם את הטכנולוגיות הללו הוא פשוט לא ישרוד, אבל על המפעלים האלה להיות ערוכים למתקפות הסייבר שהטכנולוגיות החדשות הללו מביאות אתן".

צילום ועריכת וידיאו: אורי אלון

הרגולציה החדשה מכסה תחומי תעשייה מגוונים – החל ממפעלי דשנים, עבור בייצור תעשייתי, בתי חולים, חברת החשמל וחברות תרופות, וכלה בבריכות שחייה וביקבים. המשרד העלה בימים אלה לאתר שלו מדריך סייבר ייעודי למפעלי תעשיה המייצרים חומרים מסוכנים. "המדריך כולל, בין היתר, קובץ אקסל, שמסייע למפעלים איך לבצע סקר סיכונים", ציין.

מה כוללת הרגולציה החדשה?

המפעלים יצטרכו להתאים את עצמם לתקנות החדשות לאורך שלוש שנים במספר שלבים, שכל אחד מהם יפוקח וילווה על ידי המשרד. בין היתר, הם יצטרכו לבצע מיפוי חומרים, סקר סיכונים ולמלא אחר הנחיות – כל מפעל לפי רמת הסיכון שלו, שמוגדרת ברגולציה. משך הזמן שמוקצה לחלק הזה ביישום הרגולציה הוא שנה, שבסיומה המפעלים יחתמו על הצהרה שלפיה הם ביצעו את התהליכים הללו.

"השלב הבא הוא תהליכי הטמעה, על פי תהליכי עבודה מסודרים, שיימשכו כשנתיים", הוסיף שביט. "בסך הכול, יישום הרגולציה אמור לקחת שלוש שנים".
הוא הסביר כי לא מדובר בביצוע חד פעמי וכי חצי שנה לאחר השלמת הביצוע הראשון של הרגולציה, המפעלים יידרשו להתחיל את התהליך שוב.

"אנחנו מאמינים שבעוד שלוש שנים נהיה במצב שונה, והמפעלים יהיו ברמה הגבוהה ביותר של מוכנות לסייבר", אמר.