מתקפת הסייבר על תשתיות המים חושפת כאוס בסמכויות החירום
מתקפת הסייבר האיראנית בסוף אפריל הוכיחה שתשתיות המים בישראל חשופות לאיומים חיצוניים. לכלכליסט נודע כי ימים ספורים לפני המתקפה דחתה רשות המים בקשה של מקורות לתוספת תקציב להגנת הסייבר שלה
"פגיעה בכמה חקלאים", כך תיארו נציגי רשות המים את מתקפת הסייבר האיראנית כנגד מתקני המים של ישראל בישיבת החירום שכינס שר האנרגיה יובל שטייניץ ימים ספורים לאחר האירוע בסוף אפריל. בישיבה, שנועדה להבין את המשמעויות המיידיות של המתקפה על אספקת המים ושמירת האינטרסים החיוניים של המדינה הופתעו הנוכחים לשמוע שחלק מנציגי רשות המים, שמפקחת על תחום המים בישראל, הגדירו את האירוע כ"זניח". כל כך זניח ששבוע לאחר מכן ממשלת ישראל הכתה חזרה (לפי פרסומים זרים) והשביתה לכאורה את אחד מנמלי הים הגדולים באיראן.
- מומחים מסבירים: איראן לא תוקפת את ישראל בתגובה למתקפת הסייבר
- המאבק של איראן בישראל נחוש יותר מהמלחמה בקורונה
- דיווח: ישראל ביצעה מתקפת סייבר נגד נמל איראני
גם אם הפגיעה שהסבה מתקפת הסייבר למשק המים אכן זניחה, עצם קיומה חשף את השבריריות של תשתיות המים לאיומים זרים. בשבוע שעבר אמנם הועבר הטיפול במשאבי המים למשרד ממשלתי חדש שעליו הופקד השר זאב אלקין, אך עד אז היה התחום בטיפול משרד האנרגיה והעומד בראשו בחמש השנים האחרונות יובל שטייניץ.
בישיבות שערכו במשרד האנרגיה בתחילת מאי תחת ניהולו של מנכ"ל המשרד אודי אדירי במטרה לאמוד את חשיפת התשתיות למתקפות סייבר. בישיבות התחוור לאנשי המשרד כי אף שלשר האנרגיה ניתנת האחריות והיכולת להפעיל את משקי החשמל, הגז והדלקים במקרי חירום (לחימה, אירועי טבע או מתקפות סייבר) - אין בידיו השליטה על משק המים. זו שוכנת בידי רשות המים - הרגולטור לתחום - שבשנה האחרונה אף התריעה שאין להשאיר בידיה כלים אלו במקרה של מערכה לאומית.
ממצאים אלו תואמים על פניו את דו"ח מבקר המדינה ממאי אשתקד שעסק במוכנות המשר למתקפות ופגיעות סייבר. רוב הדו"ח חסוי מטעמי ביטחון המדינה, אולם לפי המבקר דאז יוסף שפירא, "למרות מאמצים שנעשו בשנים האחרונות עדיין קיימים פערים בהגנת הסייבר של גופים חיוניים, משרדי ממשלה והמרחב האזרחי".
מעבר לכך, הדו"ח מצא כי בחלק מהגופים שנבדקו מיפוי מערכות עדכני וחלקי, מחסור בנהלים ובפקודות מעודכנות ופערים באבטחה, ואף הצביע על כך כי ליקויים שנמצאו בביקורת לא תוקנו. הדו"ח מצא גם כי חלק ממשרדי הממשלה לא עומדים בהנחיות היחידה להגנת סייבר בממשלה ואף גילה פערים בין סמכויות משרדי הממשלה אל מול המרחב האזרחי.
רשות המים ביקשה ממקורות לממן את הסייבר מתקציבה
משק המים בישראל מבוזר כיום בין שורה ארוכה של גופים וחברות באופן שמקשה על ניהול מרוכז והיערכות למתקפה חיצונית. חברת מקורות הממשלתית אחראית כיום בעיקר על הולכת וחיבור המים לערים והיישובים, וכן על חלק מאספקת המים באמצעות קידוחים. בתוך הערים עצמן פועלים תאגידי המים - כיום 56 במספר, ורשות המים פועלת להקטין את מספרם ל־30 כבר באוגוסט הקרוב. צריכת המים הביתית בכללותה נשענת על חמישה מתקני התפלה, שמספקים 80% ממי השתייה של אוכלוסייה ישראל. ארבעה ממתקנים אלו מצויים בבעלות פרטית והמתקן החמישי והממשלתי באשדוד מצוי בהליכה מכירה.
הביזור של משק המים יצר מצב שבו לחברת מקורות אין גישה או יכולות פיקוח על היערכות מתקני ההתפלה למתקפות סייבר. זאת בשונה מהמתרחש במשק החשמל, שם, על אף המספר ההולך וגדל של תחנות כוח פרטיות, חברת החשמל עדיין אחראית ל־70% מייצור החשמל במשק ומתפעלת יחידת סייבר שמאבטחת את מתקניה. כתוצאה מכך, במשק המים מי שאחראי על אבטחת הסייבר של מתקני ההתפלה הם מפעילי המתקנים עצמם או רשות המים, שאמורה להגן או לפקח אל הגנת אמצעי הייצור.
בעיתוי מפתיע, ימים ספורים לפני מתקפת הסייבר הראשונה על מתקני המים בישראל בסוף אפריל, פנתה מקורות לרשות המים בבקשה לקבל תוספת תקציב שתושקע בהגנה על מתקני המים של החברה מפני פגיעה חיצונית. מקורות כבר מפעילה מחלקת סייבר פעילה העוסקת במניעת איומים, אולם בחברה ביקשו לשדרג אותה, לטענת החברה בשל החשש הגובר מפני התקפות סייבר.
בסדרת התכתבויות בין מקורות לבין רשות המים שהגיעה לידי "כלכליסט" מבקשת החברה הממשלתית תוספת לצורך שדרוג מערך הסייבר. רשות המים סירבה לבקשה בטענה כי בידי מקורות כבר יש מקורות מימון וכי תוספת התקציב עלולה להתגלגל לתעריף המים ולכיסי הצרכנים.
בתשובה שהעבירה רשות המים למקורות נכתב כי אנשיה נפגשו עם צוות מיחשוב מורחב של החברה הממשלתית וכי הרשות "אינה מתנגדת לקידום ביצוע הפרויקטים ואף תומכת בחובת חברת מקורות לעסוק כל העת בשיפור מערכות המידע בתחומה". עם זאת, ברשות ציינו כי "בכל זאת, אזכיר כי כידוע לחברת מקורות מתווה הכרה בעלויות חמש־שנתי, כך שאחת לחמש שנים מבוצע עדכון העלויות הקבועות בחברת מקורות. גם בפגישה שהוזכרה הודגש כי למקורות גמישות בקביעת התקציב, והיא אינה נדרשת לפנות לרשות המים כל אימת שנוצר שינוי כלשהוא במשק לרבות זה המתואר במכתבך".
תשובה זו מטעם רשות המים גררה את התערבות משרד האנרגיה, שאנשיה היו מכותבים לחילופי הדברים. "בחמש שנים איום הסייבר גדול במאות אחוזים. הטכנולוגיות משתנות והאיומים מתרחבים ומתפתחים ואויבנו ואנו נעשים משוכללים", כתב באופן חריג נציג משרד האנרגיה בתגובה לתשובת רשות המים. "תקציב הגנת הסייבר בכל הגופים במשרד, בחברות ממשלתיות ומבחברות פרטיות גדל משנה לשנה משמעותית. אנחנו כמשרד רואים באיום הסייבר כאיום מרכזי, ולכן הייתי מחריג את נושא הסייבר מהתקציב החמש־שנתי ודן בו פעם בשנתיים במקסימום".
אלא שלמרות התערבות נציג משרד האנרגיה, עד כה לא חל שינוי בעמדת רשות המים ומקורות טרם קיבלה תקציב מיוחד להתמדדות עם איומי סייבר. כאמור, ימים ספורים לאתר חילופי הדברים בוצעה מתקפת הסייבר על תשתיות המים בישראל והאירה את ההתכתבות כולה באור חדש.
רשות המים ביקשה למנות קבינט־על לעתות משבר
על אף העמדה שהציגה רשות המים בחלופת הדברים עם אנשי חברת מקורות, נראה כי ברשות מודעים לכך שידיהם כבולות בכל הקשור לאירוע לאומי בעל השלכות לא רק לאזרחי המדינה אלא גם לפעילות כוחות החירום. כפי שנחשף ב"כלכליסט" בסוף פברואר האחרון, הרשות החלה להניע מהלך להקמת מעין "קבינט מים" בהשתתפות כמה שרים. זאת, כפי שציינו אנשי הרשות במסמך שחיברו כהצעה להקמת הגוף החדש, "מאחר שרובן המכריע של ההחלטות האסטרטגיות אינן נוגעות רק למשק המים, אלא מהוות מרכיב אחד מקרב יעדים מדיניים רחבים יותר".
המסמך של רשות המים אף דן באפשרות של אירוע חריג, כמו התקפת סייבר שעלולה לסכן את אספקת המים. לפי הרשות "ייתכן שיש מקום לשקול באירועי פגיעה במים בעלי השלכה ארצית, או שיש להם השפעה על כמות גדולה מאוד של צרכנים למשך זמן משמעותי, להקנות לשר האנרגיה סמכות להנחות את מנהל רשות המים באשר לאופן הטיפול בו". כלומר במקרה של אירוע קיצון רשות המים תשקול הענקת סמכויות חירום לשר המופקד על התחום, שכן כיום אין לשר כזה - בין שזהו שר האנרגיה שטייניץ או השר למשאבי מים אלקין - יכולת אוטומטית להנחות את רשות המים כיצד לנהוג במקרים של פגיעה רחבה באוכלוסייה.
מצב זה חריג בהשוואה למתקיים במשקי החשמל והגז. גם שני ענפים אלו פועלים תחת רשויות מפוקחות - רשות החשמל ורשות הגז הטבעי - אולם אלו כפופות ומשויכות חוקית למשרד האנרגיה, דבר שמקל על השליטה בהן בעת אירוע לאומי חריג. לעומת זאת, משק המים כפוף בעיקרו למשק המים מסיבות היסטוריות, באופן שמעלה לכאורה חשש לבעיות שליטה בין מי שאחראי לתחום למי שמתפעל אותו בשטח.
בדרך: מרכז ייעודי לניטור איומי סייבר במגזר המים
משרד האנרגיה אמנם איבד בשבוע שעבר את האחריות על משק המים, אך עדיין נושא באחריות, ולו מיניסטריאלית, לנעשה בתחום עד כה. במשרד מסרו ל"כלכליסט" כי "הטיפול והאחריות על הגנת משק המים מאירועי סייבר הינה בידי רשות המים". עוד ציינו כי "משרד האנרגיה הקים ומפעיל מרכז סייבר שמנטר את כלל הפעילות במשק האנרגיה, המבוסס על מערכות מתקדמות ומופעל בידי מקצוע. בהמשך לאירועים שהתרחשו (תקיפת הסייבר - ל"ג) ובכלל, הציע משרד האנרגיה כי רשות המים תחבר את המתקנים שתחת אחריותה למרכז הסייבר המגזרי, וזאת כדי לספר פתאון אמין, מהיר יחסית ויעיל להגנת מערכות המים. כל זאת ללא פגיעה באחריות ובסמכות רשות המים לטיפול בנושא הסייבר".
"כלכליסט" פנה גם לרשות המים ושאל האם לתפיסת מנהליה מערכת המים בישראל, מתקני ההתפלה, תאגידי המים ורשות המים עצמה מוגנים מפני מתקפות סייבר, ומה עלה בגורל הבקשה של מקורות לתוספת מימון למערכות הסייבר שלה. ברשות המים סירבו להתייחס לדברים והפנו לרשות הסייבר, שביקשה לענות במשותף עבור שני הגופים: "גורמי המקצוע ברשות המים ומנהל רשות המים בעצמו נמצאים בקשר רצוף עם כלל הגורמים המתאימים בממשלה למתן מענה מלא לכל אירוע של בטחון מים (כולל אירועי סייבר). הנסיונות האחרונים טופלו ונבלמו על ידי רשות המים ומערך הסייבר הלאומי.
"ככלל, מערכות המים בישראל מוגנות. ישנם כ־1,400 ספקי מים ולכן קיימת שונות ויתירות רבות. מתקני ההתפלה, תאגידי המים ומתקני טיפול השפכים מוגנים היטב ומנוחים בידי רשות המים בהכוונת מערך הסייבר הלאומי. בימים אלו מקדמים רשות המים ומערך הסייבר הלאומי הקמת מרכז ניטור לאיומי סייבר במגזר המים". לגבי דיוני הממשלה ותקציב ההגנה נמסר ש"בתקופה האחרונה נערכו דיונים בין רשות המים למשרדים הרלוונטיים. מיגון מתקני מים נמצא כל הזמן תחת בחינה והתקציב מתעדכן בהתאם לממצאי הבדיקות".