כמעט בכל תחום בחיים, אנחנו רגילים לרדוף אחרי החדשנות אבל שוכחים את הבסיס והבסיס, במיוחד בתעשייה, נטוע לרוב עשרות שנים אחורה. עשרות שנים של שימוש בפסי ייצור ותהליכים שמבוססים על מערכות מחשוב שאופיינו ונרכשו אי שם, כל חברה וההיסטוריה שלה.
בשנת 2025 סיכוני הסייבר שאנחנו כבר מכירים היטב וסיכוני הסייבר שאנחנו מזהים כמי שייצרו את הסיכון בשנה שנתיים הקרובות, בכלל לא היו שיקול בתודעת דרישות האפיון אי אז כשהוקמו אותם פסי ייצור שנמצאים כיום בשימוש.
רוצים דוגמא? ספטמבר 2020, מתקפת כופר משבשת חלק מפסי היצור בענקית הטכנולוגיה טאוור שהוקמה בשנת 1984. התוקפים משיגים שליטה מהירה בתוך דקות בכאלפיים תחנות עבודה בסביבת ה-OT של החברה. טאוור דיווחה כי המתקפה הובילה לעצירת הפעילות בשני מפעלים בארה"ב ובישראל למשך כ-10 ימים. כתוצאה מכך נרשמה ירידה בשיעור הניצול של המפעלים במהלך הרבעון - פאב-1 במגדל העמק (150 מ"מ) הגיע לתפוקה של 50% ברבעון ופאב-2 במגדל העמק (200 מ"מ) הגיע לתפוקה של 60%. פאב-3 בניו-פורט ביץ', קליפורניה (200 מ"מ) השיג תפוקה של 70%, ופאב-9 בסאן אנטוניו, טקסס (200 מ"מ), הגיע לתפוקה של 60% במהלך הרבעון השלישי.
טאוור היא כאמור ענקית טכנולוגית, חברה שמובילה חדשנות טכנולוגית וניהולית אבל היא לא הייתה החברה היחידה שנפגעה מווירוס Ryuk. הווירוס פגע בחברות ישראליות נוספות אבל גם בעיריית ניו בדפורד במדינת מסצ'וסטס בארה"ב, שם הוא שיתק כ־4% מכלל מערך המחשוב העירוני.
כשאנחנו מדברים על מתקפות סייבר אנחנו לא מדברים על וירוס מיוחד וייחודי שנכתב עבור מערכות ובקרי ייצור. אנחנו בהכרח מדברים על ניצול הזדמנויות, על ניצול פרצות וחולשות שלא טופלו. פרצות וחולשות רבות הן פועל יוצא של אילוץ מוכר – מערכות מחשוב ענקיות ומורכבות שיושמו לפני עשרות שנים, שמבוססות על תוכנות מחשוב מיושנות ושהתחזוקה שלהן היא אירוע בפני עצמו.
וזו בדיוק המורכבות בין החדשנות והעתיד ובין העבר והסיכונים שכרוכים אחד בשני.
רוצים עוד דוגמא? אחת לתקופה יש אירוע סייבר מטריד במיוחד. אחד מהם הוא מתקפת הסייבר שפגעה בחברת כלורוקס ב-14 באוגוסט 2023. כלורוקס היא חברת ענק אמריקאית שנסחרת בנאסד"ק, מעסיקה 8,600 עובדים ומצהירה על הכנסות של 7 מיליארד דולר. חברות כאלה מחזיקות מחלקות ענקיות של אנשי סיכונים, יועצים משפטיים, אנשי כספים ומומחי רגולציה ותקינה. אז איך הגיוני שחברה ציבורית שנסחרת בנאסד"ק, שלה עצמה יש רגולציית סיכוני סייבר קפדנית, עם יועצים משפטיים ומנהלי סיכונים, שיש לה תקן אבטחת מידע ISO27001והיא עומדת בדרישות רגולציה נוספות, חוטפת מתקפת סייבר שמשתקת 28% מפסי הייצור שלה ועולה לה בטוטאל כמעט חצי מיליארד דולר? כי (שוב) מתקפת סייבר לא תלויה בעמידה ברגולציה ולא קשורה לחדשנות התעשייתית שהחברה המותקפת מובילה.
אז מה קרה בכלורוקס כתוצאה מהמתקפה?
פגיעה בייצור: המתקפה חייבה את המפעלים לעבור לעבודה ידנית, הכי רחוק מחדשנות שיש, כתוצאה מהשבתת מערכות מרכזיות. המעבר הזה השפיע מן הסתם באופן דרמטי על קצב תהליכי עיבוד ההזמנות, הייצור וההפצה ונמשך כחודשיים.
פגיעה כלכלית: לפי הדיווחים העלויות המיידיות לניהול האירוע הסתכמו בכ-49 מיליון דולר. כ-25 מיליון דולר הופנו לרכישה מיידית של ציוד ותשתיות מחשוב שהחברה נאלצה להחליף. ומעל לכל פגיעה של 365 מיליון דולר, נזק ישיר של אותה פגיעה בייצור ובהפצה.
מחסור במוצרים ואובדן נתח שוק: המחסור במוצרים בעקבות המתקפה הוביל לאובדן נתח שוק ולירידה משמעותית במכירות. החברה נאלצה להשקיע מאמצים רבים בשיקום מלאי ואספקת מוצרים לשווקים שנפגעו.
אתגרי שחזור ואבטחת מערכות: החברה החלה בבניית אסטרטגיות התאוששות ושדרוג מערכות האבטחה כדי להתמודד עם סיכונים עתידיים. חלק ממערכות ה-ERP והתהליכים הדיגיטליים של החברה עוברים כעת שיפור כדי למנוע תקיפות דומות בעתיד. החזרה לתפקוד הושלמה ב-29.9.23 אבל כאמור, חודשים קדימה נדרש להשלים פער שנוצר.
קנס לבורסה: כלורוקס תיאלץ לשלם עוד כ-50-60 מיליון דולר להשלמת הטיפול במתקפה, חלקו גם כקנס לבורסה על הפרת חובת הדיווח.
נזק שפוגע ביתרון התחרותי
אז מה משותף לטאוור וכלורוקס? אם שתי חברות ענק כאלה עברו מתקפת סייבר כל כך משמעותית שחייבה אותן לעצור עבודת פסי ייצור וגרמה נזק כל כך משמעותי, נזק שהוא לא רק תפעולי אלא נזק שפוגע ביתרון התחרותי שלהן, שמייצר חשיפות משפטיות בשל אי אספקת המוצר עליו התחייבו, פגיעה במחיר המניה, שמייצר נזקים פיננסיים שפוגעים בתזרים ובתמונת המצב הפיננסי, אז מה צפוי לחברות תעשייה פחות חזקות? כמה מפעלים אתם מכירים שיכולים להרשות לעצמם חודש של השבתה? שבוע השבתה? חדשנות טכנולוגית היא ערך חשוב מאוד שאמור להוביל אותנו להתמודדות טובה יותר עם אתגרי העתיד, אבל כיועצת שמלווה חברות תעשייה חשוב לי תמיד לחזור דווקא לבסיס.
אני ארצה שמנהל המפעל, שאין בורג שהוא לא מכיר, יכיר היטב גם את מנהל אבטחת המידע והפוך.
אני ארצה, שכדי לבנות מערך הגנה אפקטיבי על תשתיות ייצור, לא נשכח לבצע מיפוי פרקטי של תהליכים עסקיים. אני ארצה שתוסדר בנוהל השנתי של תחזוקת המפעל שעובר להדממה, פעילות אבטחת מידע שתשולב מבעוד מועד כדי שהתחזוקה לא תתמצה רק בהיבט הטכני אלא גם תבחן את הפוטנציאל והאימפקט לפגיעה במערכות הייצור עצמן. אני ארצה שיהיה תיק מערכת מפורט כולל מי איש הקשר אצל הספק וכמה זמן נדרש לטפל בכל סוג של תקלה. אני ארצה שמנהל התפעול יידע בדיוק מה הוא עושה כשמגיע משלוח ואין לו מערכות מחשוב להשלמת התהליך הלוגיסטי. אני ארצה לוודא שהגישה לחדר הבקרה כוללת נוהל עדכני שמגדיר מי רשאי להיכנס ומי רשאי לשנות טמפרטורה ומי רשאי להנחות לשנות טמפרטורה. חשוב גם לנצל תאריכי הדממה במפעל לטובת תחזוקה וסנכרון של התמודדות עם סיכוני סייבר.
כשאני יודעת כמה זמן לוקח לי להחזיר לפעולה בקר או מכונה אני יודעת להגן על התהליך בצורה שמותאמת לסיכון שהפגיעה בו עלולה לייצר. זה נכון למפעל ונכון לעירייה ונכון לבית חולים.
החדשנות, אם אתם שואלים אותי, היא בהבנה שעל מערכות תעשייתיות מגנים לפי האימפקט שהן מייצרות ולא באופן גנרי.
הכותבת עינת מירון היא יועצת מומחית בתחום Cyber Resilience ומלווה מנהלים וחברות עסקיות בהערכות והתמודדות עם סיכוני סייבר עסקיים.
