איומי הסייבר מתגברים ומדריך חדש מתפרסם במטרה לסייע למפעלים בעלי היתר רעלים שברשותם חומרים מסוכנים להתגונן מפני מתקפות סייבר על מערכות ממוחשבות המנהלות או מטפלות בחומרים מסוכנים, שעלולות לגרום לאירוע חומרים מסוכנים ופגיעה ברצפטור ציבורי.

לאחר תהליך שנמשך כשלוש שנים, ופרסום של מספר טיוטות, המשרד להגנת הסביבה מפרסם מדריך סייבר לעמידה בתנאים של היתר רעלים בתחום הסייבר בתעשייה. המדריך מסביר כיצד לבצע סקר סיכוני סייבר ולטפל בפערים שהתגלו בו.

התנאים יחולו על רשימת מפעלים שגובשה ותקבע סופית ע"י אגף חומרים מסוכנים ואגף חירום וסייבר במשרד להגנת הסביבה. בפיילוט שנערך בשנים האחרונות ליישום הגנת מפני מתקפות סייבר, השתתפו עשרות מפעלים, והוא כלל ביצוע סקרי סיכונים על מערכת ממחושבת המטפלת בחומ"ס על פי המתודולוגיה שפותחה באגף חירום וסייבר.

כתבות רלוונטיות לנושא:

1. טיוטת הוראות לבעלי היתר רעלים להגנת סייבר, 1.1.2019
2. מענק של 10 מיליון ₪ להגנה ממתקפות סייבר, 17.09.2018
3. טיוטת הנחיות להגנת סייבר לבעלי היתר רעלים, 29.05.2018
4. דרישות בהיתר רעלים להגנה מפני מתקפת סייבר, 01.01.2018
5. מפעלים בעלי היתר רעלים יידרשו להגנה מפני מתקפות סייבר, 26.03.2017
6. היתר רעלים – עמוד ראשי | infospot

רקע – הגנת סייבר על מפעלי חומ"ס

סכנה גדולה טמונה במתקפת סייבר על מערכות ממוחשבות המנהלות חומרים מסוכנים. כשל במערכות הייצור או השינוע במפעל או באחסון של חומ״ס - עלולים לגרום לאירוע חומרים מסוכנים, ובעקבותיו לפגיעה בבריאות הציבור ובסביבה.

דוגמאות לאירועים סביבתיים שעלולים להתרחש עקב אירוע סייבר:

• פליטת גזים המסכנים את הציבור
• פיצוץ חומ״ס
• דלקת חומ״ס בשלושה מצבי הצבירה
• שפך של חומר מסוכן נוזל ללא שריפה
• פיזור של חומרים מסוכנים, מוצקים ללא שריפה
• שפך תעשייה למקור מים זורם / למערכת ניקוז
• שפך תעשייה לשטח פתוח
• שפך תעשייה למערכת הביוב (מאגרי מים / קולחין)

תהליך הגנת סייבר במפעל עם חומרים מסוכנים

התהליך המוצג במדריך מבוסס על עקרונות תורת ההגנה של מערך הסייבר הלאומי, המסתמך במידה רבה על התקן האמריקני NIST CSF בעניין אבטחה של מערכות בקרה ממוחשבות בתעשייה, תוך התאמתו לעולם התעשייה והחומרים המסוכנים.

תרשים: תהליך העבודה – הגנת סייבר במפעלי חומ"ס

התהליך נחלק ל 6 שלבים:

1. מיפוי התהליכים הממוחשבים המכילים חומ״ס.
2. סקר סיכונים: למערכות שהוגדרו בשלב מיפוי התהליכים הממוחשבים. תוצאת סקר הסיכונים תוביל להמלצה על הבקרות שיש ליישם.
3. אנליזת (ניתוח) פערים: השוואה בין הבקרות הקיימות לבקרות שיש ליישם כפי שהתקבלו משלב סקר הסיכונים.
4. בניית תוכנית עבודה לסגירת הפערים שנמצאו בסקר הסיכונים.
5. יישום תוכנית העבודה: ביצוע הטמעת בקרות לפי תוכנית העבודה.
6. פיקוח ומעקב שוטפים אחר התהליך.

לו״ז ליישום הנחיות סייב למפעלים עם חומ"ס

להלן לוחות הזמנים המפורטות במדריך הסייבר לצורך יישום ההנחיות:

תרשים: לוח זמנים ליישום ההנחיות

• מייד עם החלת תנאי סייבר בהיתר הרעלים: ביצוע שלבים 1 עד 3 - 12 חודשים
• מייד בסיום 3 השלבים הראשונים, תחילת ביצוע שלבים 4 עד 6 - 24 חודשים
• סה״כ כל התהליך הכולל סקר סיכונים + הטמעת הבקרות הנדרשות - 36 חודשים
• תחילת פעילות מחזורית חדשה: לאחר 42 חודשים מתחילת ההוספה של תנאי סייבר בהיתר הרעלים או במידה ונעשה שינוי או הוספה במערכת המיחשוב או בחומ"ס.

------------

מסמכים רלוונטיים: