מחקר חושף: עלייה בכמות מתקפות הסייבר על מתקני תשתיות מים
מאת עופר ישראלי
בשנים האחרונות היינו עדים למספר איומים בולטים על תשתיות המים שהיו יכולים לסכן באופן חמור את בריאות הציבור ואת הסביבה כולה. באוגוסט 2021, גורמי סייבר זדוניים השתמשו בגרסה של תוכנת הכופר Ghost נגד מתקן מים וביוב בקליפורניה, ביולי 2021, תוקפים השתמשו בגישה מרחוק כדי להחדיר את תוכנת הכופר ZuCaNo למחשב SCADA של מתקן מים וביוב במיין ובמרץ 2021, התוקפים השתמשו בגרסה לא ידועה של תוכנת כופר כנגד מתקן מים בנבדה. לכל המתקפות הללו היו השלכות על מתקני המים.
סקר אשר נערך על ידי פורטינט בשיתוף WaterWorld Magazine תחת הכותרת Cybersecurity in Water Management Facilities, מציג את תמונת המצב בתעשיית המים והביוב והצרכים העתידיים הדרושים לשיפור אבטחת הסייבר שלה. לפי ממצאי הסקר, מתקני מים וביוב נחשבים ל"תשתית קריטית לא יציבה" והוא דן באופן שבו מתקפות סייבר מהוות איום גובר על ארגונים המספקים שירותי מים ומדגיש את הפערים העצומים בתעשייה בנוגע לחינוך, הדרכה ויצירה של תרבות אבטחת סייבר.
ממצאי הסקר העיקריים
מעטים בטוחים באבטחת הסייבר שלהם – עם הקישוריות הגוברת, מתקני מים הופכים לפגיעים יותר מתמיד למתקפות סייבר. לפי ממצאי הסקר, רק 49% מהמשיבים הרגישו בטוחים בפתרונות אבטחת הסייבר שלהם. כתוצאה מכך, השקעה באבטחת סייבר תהיה בראש סדר העדיפויות שלהם בעתיד.
לבעלי האחריות אין ניסיון באבטחת סייבר – בהינתן מספר אפשרויות להשיב לשאלה "מי נושא באחריות לניהול אבטחת הסייבר שלכם?", 29% מהמשיבים אמרו כי מדובר במנהל ה-IT, בעוד כי 30% בחרו באופציה של "אחר". התגובות הכתובות בסעיף זה כללו תפקידים רבים אשר לא דורשים ניסיון באבטחת סייבר, כולל בעלי תפקידים במועצת העיר, מנהלי משאבי אנוש ואפילו מנהלי כספים.
למשיבים רבים יש תחושה כוזבת של אבטחת סייבר – קרוב ל-80% מהמשיבים העידו כי הארגונים שלהם לא חוו כל תקרית אבטחה ב-12 החודשים האחרונים. עקב העלייה המתמדת בפעילות פושעי הסייבר, סביר להניח כי רבים ממשתתפי הסקר אינם מודעים לפעילות הזדונית המקיפה את מערכות ה-OT שלהם. ללא איתור חדירות, פרצות אבטחה עלולות להתרחש והתוקפים יכולים לנצל נקודות תורפה ולקבל גישה למערכות מבלי שיבחינו בהם.
גובר הצורך בהדרכה לאבטחת סייבר – מספר משמעותי ממשיבי הסקר ציינו כי יש להם ניסיון מועט בנוגע לשינויים שיש לערוך כדי לשפר את אבטחת הסייבר בארגונם. המשיבים העידו על הצורך בהדרכה מקיפה הרבה יותר כדי ליצור תרבות אבטחת סייבר ברחבי הארגון כולו.
קנסות עבור פרצות אבטחה
בעבר, הטכנולוגיה התפעולית של מערכות המים והביוב הייתה מבודדת מה-IT. אך עם התקדמות הטכנולוגיה, מערכות רבות יותר עברו למודל דיגיטלי מחובר, בו נפוץ השילוב בין ה-OT וה-IT. דבר זה היווה את יריית הפתיחה למתקפות סייבר על מתקנים אלו.
עם הגידול המהיר בשימוש במונים חכמים, חיישנים, אוטומציה והאינטרנט של הדברים התעשייתיים (IIoT), שטח התקיפה של מתקני מים וביוב הפך לזמין מאוד עבור פושעי הסייבר. מתקני מים וביוב נתונים לקנסות רגולטוריים בגין פרצות אבטחה. ללא שיטות איתור מתוחכמות, פרצות סייבר עלולות להיות בלתי נראות עד שיהיה מאוחר מידי.
אבטחת הסייבר נמצאת בעדיפות גבוהה
מקבלי ההחלטות בתעשיית המים מבינים עד כמה מערכות המים והביוב שלהם קריטיות, אך חלקם לא מעריכים את הסיכונים האמיתיים של מחסור באבטחת סייבר נאותה. אם מדובר בבעיה של מימון, פרצה אחת מספיקה כדי לרוקן את התקציב. לכן, ההנהלה חייבת להבין את החשיבות של אבטחת הסייבר ולספק תקציבים בהתאם. כפי שנכתב במסקנות המחקר: "הצבת אבטחת הסייבר בעדיפות גבוהה יותר כדי לכלול אסטרטגיה לטווח הארוך ומימון מתאים קריטית להגנה על מערכות המים שלנו".
הכותב הוא מנהל פעילות פורטינט בישראל.