מדוע חברות חשמל וגז לא משקיעות באבטחת מידע?
מחקרים עדכניים מראים שתאגידי חשמל, גז ותשתיות אנרגיה שונות מעדיפים לספוג מתקפות ולא להשקיע את ההון הנדרש באבטחה מפני האקרים. זאת, למרות זינוק בולט במספר כנופיות הפורצים שמתמחות בתקיפת מגזר האנרגיה
איומי מתקפות סייבר הפכו לעובדה קיימת, שמאלצת ארגונים מכל סוג לנקוט בצעדים הכרחיים למניעת נזקים כלכליים להם וללקוחותיהם. ואולם, יש סוג אחד של ארגונים שעדיין מתעלם מן האיום: חברות אנרגיה כספקי חשמל ותשתיות כגז ונפט. מחקר של החברות Precision Analytics ו-CAP Group, שמייעצות למגזר האנרגיה בעולם, גילה שההשקעה הממוצעת שלהן באבטחת מידע עמדה על פחות מ-0.2% מהכנסותיהן - כשליש פחות משל חברות פיננסים, למשל.
- חוקרים ישראלים חשפו פירצת אבטחה חמורה ברמקולים של אמזון
- פרצה באתר השב"ס חשפה מידע רגיש על אלפי מועמדים לשירות
- לאחר הפריצה: כך האקרים הופכים מידע גנוב לכסף
מחקר אחר, של חברת האבטחה סימנטק, גילה שיש כיום כ-140 כנופיות האקרים שמתמחות בתקיפת חברות אנרגיה, צמיחה משמעותית ביחס לשנת 2015, בה זוהו רק 87 כנופיות שכאלה. להערכת בלומברג, הסיבה להשקעה המצומצמת באבטחה בחברות האנרגיה נובעת מאופי הנהלתן. "קשה לשנות הרגלי עבודה של 30 שנה", אמר לסוכנות בכיר לשעבר בחברת הנפט האמריקאית מרתון. "אימנו אותנו לעבוד בצורה מסוימת אבל העולם כיום כבר לא עובד באותה הדרך". מדובר בקיבעון מחשבתי מסוכן, שמונע מהחברות מלאמץ מדיניות אבטחה מודרנית.
בחודש האחרון לבדו נודע ש-7 חברות שמפעילות תשתיות צנרת לשינוע גז ונפט סבלו מהשבתת התשתית - מהן 5 הודו שהסיבה היתה מתקפת סייבר. למרות שתקיפות הסייבר גובות מחיר מהחברות, הן יעדיפו להסתכן במתקפה ולא לבצע השבתה חלקית של מערכי אספקת אנרגיה - פעולה שלעיתים נדרשת לצורך התקנת רכיבי אבטחה. התקיפות הנ"ל לא נטרלו לחלוטין את התשתית, אך פגעו במערכות שמנטרות היקפי אספקת נפט וגז - מה שמקשה על החברות לאמוד את הכמויות שהעבירו ללקוחות ולצרכנים.
הבעיה אינה מסתכמת בקשיי התחשבנות: לפני כ-3 שנים הותקפו מחשבי ענקית הנפט הסעודית ארמקו על ידי וירוס Shamoon. התקיפה הזו בוצעה שוב כשנה לאחר מכן. התוצאה הייתה השבתה של עשרות אלפי מחשבים ומחיקה של כמויות עצומות של מידע תפעולי. גם התקיפות שבוצעו באוקראינה לפני שנתיים הראו את הפגיעות של תשתיות האנרגיה - אם כי במקרים הללו יתכן שמאחורי המתקפה עמד גורם מדינתי כאיראן או רוסיה.
תשתיות המחשוב של חברות האנרגיה משמשות למעקב אחר מידע וניהול ובקרה מרחוק של יותר מ-900 אלף בארות גז ונפט וכחצי מיליון קילומטר של צינורות הובלה. ציוד זה מתבסס לא פעם על טכנולוגיות מיושנות שסובלות מרמת אבטחה ירודה. רק לאחרונה החלו רשויות באירופה ובארה"ב להתעמק בנושא ולבדוק כיצד ניתן לאלץ את חברות האנרגיה להשקיע את המשאבים הנדרשים.
בתחילת השנה החלה הועדה הפדרלית לרגולציה על האנרגיה לעבוד על תקנים בנושא. בספטמבר גם הונחה על שולחן הקונגרס הצעת חוק להקמה של יחידות סייבר בקרב המשמר הלאומי האמריקאי שיוכלו לטפל בהגנה על תשתיות קריטיות.