האם המגמה העולמית למעבר למחשוב ענן לצורך הקמת מערכות SCADA במתקני מים ושפכים מסכנת תאגידי מים ומשתמשים, או שאולי דווקא מחזקת את רמת האבטחה והשרידות שלהם? בנושא הזה בדיוק דן פאנל מומחים שהתכנס וירטואלית במטה האו"ם בג'נבה, שוויץ, במסגרת יום עיון בינ"ל שעסק בהגנה על תשתיות קריטיות בכלל ותשתיות מים בפרט.
מצד אחד, קיימת תחושה ששימוש בשירותים מבוססי אינטרנט אינו מאובטח דיו וקיים חשש לתקיפות מצד גורמים עוינים, שיזהו את החיבור ויתקפו אותו, או באמצעותו. לשיטתם של המצדדים בגישה זו, החיבור לאינטרנט מהווה פרצה גדולה באבטחה ועדיף להימנע ממנו.
מצד שני, ולהבדיל ממערכות SCADA מסורתיות שפותחו בעולם נטול אינטרנט והותאמו חלקית לגישה מרחוק, מערכות ש"נולדו" לתוך האינטרנט ופותחו תוך שימוש בטכנולוגיות מתקדמות מתחום ה- Cyber ותחומים אחרים, מאפשרות לא רק תפעול נח ואמין יותר של מתקנים מרוחקים, אלא גם מאובטחים במידה שאינה פחותה ממערכות המבוססות על שרתים מקומיים בארגון ובדרך כלל אף ברמה טובה יותר.
מערכות שתוכננו מראש לסביבת ענן חסינות יותר
בתקיפה שבוצעה על-ידי גורמים איראניים ואחרים על מתקני מים בישראל (כפי שפורסם בחודש אפריל השנה) ניצלו האיראנים חולשות "פשוטות" של המתקנים והמערכות. חלק מהמתקנים שהותקפו היו מחוברים לאינטרנט בצורה רשלנית. מתקנים אחרים שהותקפו היו חלק ממערכת SCADA "מסורתית", כזו שפועלת על שרת מקומי בתאגיד ללא חיבורים לאינטרנט. אולם החדירה התאפשרה באמצעות התקן אחר בארגון, שמחובר באופן לא מאד מאובטח לאינטרנט, וממנו הדרך לרשת המקומית של התאגיד ולמחשב ה- SCADA קצרה.
למותר לציין, כי למרות שבישראל מצויים אלפי מתקני מים ושפכים, המותקנים כחלק ממערכות SCADA מבוססות טכנולוגיות ענן, לא בוצעה חדירה ולא נצפתה תקיפה ספציפית כנגד אף אחד מהמתקנים האלו. הסיבה לכך, מן הסתם, נעוצה בעובדה שמערכות אלו פותחו ויושמו באקו-סיסטם האינטרנטי והן כולן ברמה של Designed for Cyber, ומכאן שמיושמות בהן טכנולוגיות הלקוחות מעולם הסייבר כפי שמיושם בגופים פיננסים ומערכות בטחוניות.
מחקרים שנערכו בשנתיים האחרונות על-ידי מספר גופים, חלקם עוסקים בסייבר וחלקם בתחומים אחרים של ישום מערכות SCADA, מציגים נתונים חד-משמעיים - מערכות שתוכננו מראש לסביבת האינטרנט והענן ומיישמות מדיניות אבטחה נוקשה וטכנולוגיות הגנה מתקדמות יהיו, בדרך כלל, חסינות יותר ובעלות יכולת התאוששות מהירה הרבה יותר. לא רק במקרה של תקיפת גורמים עוינים, אלא אף במקרה של רשלנות עובדים, טעויות אנוש ובמיוחד בעיתות משבר ואסונות טבע, שעתידים לגרום לכשלים תשתיתיים רבים שיפגעו במיוחד במערכות ה"מסורתיות".
שיתוף מידע בין כל הגורמים
לא מעט תאגידים וספקי מים משתמשים ברשתות שאינן מופרדות ובמערכות מחשוב ישנות שאינן מעודכנות, שחשופות להתחברות ישירה, או בעלות אפשרות לחיבור מרחוק על-ידי בעלי תפקידים, כאשר במקרים רבים יהיו בארגון חיבורי WiFi ברמות שונות ברשת המשותפת ועוד. כל הדברים האלו, ואחרים שלא פורטו, מחלישים כמובן את המערכת וגורמים לכך שהיא תהיה חשופה, פגיעה מאד ולא תשרוד איומים פיזיים ואחרים.
כדאי לזכור שהתקיפה המיוחסת על-ידי האיראנים לישראל, תקיפה בה נפגעו צנטריפוגות במתקן ייצור האטום בנתז בשנת 2010, בוצעה לא באמצעות האינטרנט, אלא באמצעות החדרה אנושית של וירוס לרשת המקומית וממנה למערכות ההפעלה של הבקרים. המסקנה ברורה. ככל שאנו מתקדמים יותר בתחומי הביג דאטה והאנליטיקה, וככל שגוברת הדרישה לשליטה על מתקנים מרוחקים מרובי נתונים ובפרישה רחבה (ארצית או גלובלית), השימוש במערכות מודרניות מבוססות ענן וטכנולוגיות אינטרנט וסייבר מתאימה ונכונה יותר ומאפשרת שימוש נרחב בטכנולוגיה, תוך יצירת הגנות והקשחות טובות מאלו שהיו מושגות במערכות מסורתיות.
לעניין הסייבר יש להוסיף גם נושאים אחרים. אחד מהם הוא היכולת של מערכות מבוססות ענן ליצר ממשקים רבים עם מערכות אחרות. וכך, במקום חדר בקרה עמוס שרתים ומסכים, כפי שקיים בארגונים שעדין לא אימצו טכנולוגיות ענן, חדר הבקרה המודרני הוא לא יותר מאשר תחנת עבודה אחת פשוטה, או אפילו טלפון חכם או טאבלט.
מגיפת הקורונה, שתקפה את העולם בשנה האחרונה, גורמת להבנה אצל רובנו, כי הימים בהם נהגנו לאייש חדרי דיונים ומרכזי בקרה בעיתות ניהול משבר לא יחזרו. לעומת זאת, שימוש במערכות ענן (כפי שאגב קורה בניהול נתוני הקורונה עצמם) לניהול משברי מים מאפשר לכל בעל תפקיד חיוני לקבל את מלוא המידע - לא רק למחשב האישי שלו, בביתו או במשרדו, אלא אף לטלפן הנייד שלו ובזמן אמת, כך שהחלטות יכולות להתקבל בהתבסס על שיתוף המידע בין כל הגורמים באשר הם, בלי לחשוש מסיכונם בהידבקות בווירוס או סכנה אחרת.
הצגה משולבת של הנתונים המגיעים ממקורות שונים
כאן נכנסת לתמונה מערכת RealiteQ. המערכת והטכנולוגיות שעוקבות אחריה מאפשרות לארגונים לאחד את מגוון המערכות והנתונים לבסיס נתונים אחד אינטגרטיבי וכך מתאפשרת הצגה משולבת של הנתונים המגיעים ממקורות שונים, הן בזמן אמת והן בניתוח היסטורי. כך ניתן להגדיר ולשלוח התראות על תקלות מסוגים שונים, וברמות הסלמה ניתנות להגדרה (כולל שילוב נתונים כנקודת יחוס לתקלה) ניתן להריץ אלגוריתמים מתקדמים לניתוחי BI/AI/PM ועוד.
נושא נוסף הינו מבנה הירארכי שמתאים למדינות ולארגונים גדולים. במערכות SCADA מסורתיות שאינן בענן ישנו קושי גדול בהפרדת סמכויות ומתן גישה נפרדת ברמת המתקן, האזור, המדינה והארגון הגלובלי, במקרה וקיים. מערכת RealiteQ, כמייצגת ומובילת טכנולוגיה, נמצאת בשימושם של מאות ארגונים ותאגידים בישראל ובעולם (מעל ל-50 מדינות) ואחד היתרונות הבולטים שלה הוא התאמתה למבנה ארגוני בעל הירארכיות מורכבות ומשתנות.
הגישה המאובטחת למערכת RealiteQ ומערכות דומות לה מתאפשרת מכל פלטפורמה, ואינה מצריכה התקנה של תוכנות ייעודיות, אלא משתמשת בדפדפן כממשק הבלעדי, הן לצורך הקמת מערכת SCADA מורכבת ככל שתהיה והן לצורך תפעול שוטף שלה.
בישראל פועלים כ- 1,300 ספקי מים. כמה מאות מהם כבר אימצו את הטכנולוגיה של RealiteQ. בין הארגונים שכבר פועלים עם המערכת ניתן למנות תאגידים משמעותיים מבחינת שליטה על שטח/ישובים וריבוי הירארכיות, ספקי מים ומפעילי בארות במגזר הכפרי, מועצות אזוריות, חברות כלכליות וכמובן חברות פרטיות.
עמידה בדרישות אבטחת המידע של רשות המים הינה כמובן הכרחית. מערכת RealiteQ עומדת בכל תנאי הרגולציה, קיבלה את האישורים הנדרשים לכך והיא נבדקת בעקביות, הן באופן פרטני והן במסגרת ביקורות שמבוצעות בתאגידים.
כמערכת SCADA עננית מובילה בעולם, RealiteQ מספקת חוויית משתמש שאין שנייה לה ואפשרות לשלוט ולנהל את מגוון המתקנים מרחוק, באופן בטוח, בטיחותי, יעיל ובעלות נמוכה יחסית למערכות מסורתיות.
הכותב הוא מומחה, יזם וחלוץ בתחומי ה- IIOT, בעל נסיון של יותר מ-30 שנים במערכות מיכשור, בקרה, תקשורת וטלמטריה, מרצה בכנסים בינ"ל ובאקדמיה בנושאי מערכות SCADA מודרניות, המייסד של חברת טופקו ושל פלטפורמת הענן הבינ"ל ריאליטק
