האבולוציה של איומי הסייבר על ענף הנפט והגז

אריק אייפרט, סגן נשיא Managed Security Services ב”דארק מאטר”, בוחן את האופי המשתנה תדיר של איומי הסייבר סקיוריטי ומתמקד במדינות המפרץ

תוכל לתת מושג על היקף האיומים של אבטחת מידע לחברות נפט וגז?

הסכנות בתעשייה משמעותיות ומגוונות, החל בבעיות שגרתיות הנוגעות לאבדן מידע רגיש וזכויות קניין ועד לסיכונים מורכבים שישפיעו על התפעול באמצעות תקיפות נגד מערכות בקרה תעשייתיות. ראינו מתחרים שמכוונים למידע פשוט כגון רשימת לקוחות ואף מטרות מסובכות יותר כגון נוסחאות כימיות לתוספי בנזין או לאסטרטגיית השקעות במגזר חיפוש המינרלים. אזורים שונים בעסקי הנפט והגז נתונים לאיומים מסוגים שונים ומשחקנים שונים ופירוש הדבר שמנעד האיומים עשוי להיות רחב ולכלול תשתיות טכנולוגיות מידע במטות ומשרדים אזוריים של תאגידים, ייצור, חלוקה ומתקני זיקוק וכן מתקנים מרוחקים עם מגוון רחב של אמצעי תקשורת.

כמה המזרח התיכון ערוך להתמודדות עם סכנות אלה?

האזור מזהה במהירות את מידת הפגיעות שלו למתקפות סייבר ופועל לשפר את מצבו. חברות אנרגיה במיוחד מחזקות את כלכלת מדינות המפרץ וככל שעוד מערכות מרושתות ומחוברות בינן לבינן באמצעות האינטרנט, הן עלולות להוות מטרה לאלפי שחקנים מאיימים לרבות פושעי סייבר. יש שני סיכונים מרכזיים: הראשון הוא גניבת מידע שניתן למכור לאלו המעוניינים בהשגת המידע הזה באמצעים לא חוקיים. השני הוא סחיטה מקוונת, שבאמצעותה פושעי סייבר מנצלים לטובתם את האיומים בכך שהם מפריעים או מונעים שירות מסוים אלא אם ישולמו להם דמי כופר. נתקלנו כבר באתגרים הקשורים לאבטחת מידע במזרח התיכון. ארגונים רבים לא יודעים היכן שוכן המידע הקריטי שלהן או אם הוא מוגן כהלכה, מתי הוא במקום ומתי הוא בתנועה.

האם לדעתך חברות באזור משקיעות כיום מספיק בסייבר סקיוריטי?

יש גידול משמעותי באבטחת מידע בענף. עם זאת, התוכנות של אבטחת מידע באזור הזה לא מספיק בשלות ובוגרות. החברות מוכרחות להבין את פרופיל הסיכונים שלהן ולשרטט אסטרטגיה מקיפה של הפחתת סיכונים מקוונים. אנחנו מאמינים שנדרשת השקעה נוספת על מנת להגביר ולבגר את תכנות אבטחת המידע באזור.

באילו מגמות הבחנתם בענף אבטחת המחשבים?

בשנים האחרונות היינו עדים לשינוי בפרדיגמה במתקפות סייבר. היו מתקפות שעברו מהתמקדות בגניבת מידע חסוי למטרות רווח פיננסי ונזק למוניטין ועד מניפולציות במערכות מורכבות שחוללו השפעות בעולם האמיתי. מערכות בקרה תעשייתיות מקושרות לאינטרנט יותר ויותר. הדבר אמנם העלה את היעילות ואיפשר איסוף וניתוח של מידע על ביצועים, תחזוקה בשלט רחוק, אולם כיום הוא מאפשר גם התערבויות זדוניות.

אילו טכנולוגיות חדשות מלהיבות בעיניך יש  כיום בתעשייה?

מנקודת מבט של סייבר סקיוריטי, יש פוטנציאל עצום לטכנולוגיות כגון blockchain (פעילות עסקית ללא גורם מנהל) ואנליזות של ביג דאטה המסייעות בהגברת היעילות באופן שחוצה ענפים. אנחנו סבורים שלפנינו תקופה מאתגרת בעתיד אבל עם תכנון נכון, מחויבות לחדשנות והפרקטיקות הכי טובות שאפשר, חברות האנרגיה יכולות לצמצם סיכונים ואף להימנע מהם לחלוטין. זו אחריות המגזרים הן הציבורי והן הפרטי לעבוד יחד בשביל להבטיח שתשתיות חיוניות כגון פלטפורמות אלה של נפט ושל גז לא יהיו רק מוגנות מתקיפות אלא גם מפושעים ומפגעים עוינים.

מקור: Pipeline, Oil and Gas Magazine

עוד בנושא

לפי חברת Repository of Industrial Security Incidents מתקפות סייבר נגד חברות נפט וגז במזה”ת מהוות יותר ממחצית מהמספר הכולל של תקיפות. בארה”ב או במדינות מערביות אחרות, מתקפות אלה מהוות פחות מ-30 אחוז מהמקרים המתועדים.

בשנה שעברה נשלחה תכנה זדונית בשם “לזיוק טרויאני” לשלל חברות ברחבי העולם. באופן מדהים, 25 אחוזים מהניסיונות למתקפות כוונו לאיחוד האמירויות הערביות, לעומת עשרה אחוז נגד ערב הסעודית וכווית (לכל אחת) וחמישה אחוז נגד עומאן וקטאר (כל אחת).

בשנים האחרונות השקיעו החברות באזור הון עתק בתשתיות ובפתרונות אבטחת מידע, לרבות מכשירים ניידים מרובים המקושרים לרשתות של החברות. לפי ז’בין ג’ורג’, אנליסט מחקר בכיר בחברת “אינרנשיונל דאטה קורפוריישן” ההוצאות על אבטחת מידע במזה”ת גדלו ל-1.83 מיליארד ב-2016, בהשוואה ל-1.77 מיליארד ב-2015.

“בהתחשב בפופולאריות הרחבה שלהם והיכולת לאחסן מידע רגיש או חסוי, המכשירים הניידים הם פרצה למתקפות סייבר. במזרח התיכון ובאפריקה, המצב קשה במיוחד בהתחשב בשיעורי החדירה הגבוהים של מכשירים ניידים” אומרת קתרינה ריק מחברת בוסטון קונסלטינג גרופ. “עד 2019 ל-789 מיליון איש במזה”ת ובאפריקה יהיו טלפונים ניידים ויש להניח שהם מביאים אותם למקום העבודה”.

מקור: Gulf News / Technology June 2016

תהליכים רשמיים

כמובן, ככל שההיקף הגיאוגרפי והטכני של הפרויקט רחב יותר, כך הוא דורש תהליכים מובנים המבוססים על שיתוף פעולה. כפי שמציינים מומחים לניהול פרויקטים, שת"פ ברמה בינלאומית הוא משחק עם חוקים משלו.

"שיתוף פעולה הוא הרבה יותר מאשר סתם שיתוף מידע ", מסבירים במשרד האנרגיה של ארה"ב. "זו צורה של עבודת צוות ותהליך של החלפת רעיונות שמשפיעים על הפרויקט לחיוב. בשונה משיתוף ידע בין עמיתים למשרד, בלי שימוש בטכנולוגיה קשה מאוד להגיע לשיתוף פעולה יעיל בין צוותים מבוזרים".

בקיצור, יש החלפת רעיונות וניסיון בקפיטריה של החברה, ויש החלפת ידע ומידע רשמית בהיקף מובנה ושסדר העדיפויות בו מאורגן הרבה יותר. ללא האחרון, מציינים במשרד לניהול פרויקטים, בלתי אפשרי לגשר על המרחק בין צוותי הפרויקט.

מעודד לשמוע שאנחנו משתפרים בזה. כשחברת "לויד רג'יסטר אנרג'י" פרסמה דו"ח על מצב התעשייה בעולם לפני כשנתיים, היא צפתה כי "שיתוף פעולה הוא שיניע חדשנות עתידית בענף הנפט והגז". חרף העובדה שחברות תמיד מעדיפות פיתוח עצמאי, שיטה זו תהפוך לאט-לאט למיושנת. מיזמים משותפים עם שותפים חיצוניים יהיו שכיחים יותר בקרוב", לפי התחזית של כותבי הדו"ח.

אין ספק שהדבר הזה קורה ובקצב מהיר אפילו יותר ממה שמנבא הדוח" של לויד. הממשלים מעודדים את המגמה הזאת, משום שהם נחושים לשפר את ספירת האנרגיה באמצעות שיתוף ידע, אשר הוא בתורו יעודד יעילות גבוהה יותר ומגזר נפט וגז חסון ובריא יותר.

למדע לוקח זמן לחלחל מטה לרמת התעשייה ודרושה פה סבלנות. כשמכירים בכך, שיתוף הפעולה בין ארה"ב לסין, הידוע בשם "שותפות האנרגיה הנקייה", מתרחב הרבה מעבר לתוכנית החומש שנקבעה עד ל-2020. התוכנית, שיועדה לשיתוף ידע לטווח ארוך לטובת כל המדינות השותפות, שינתה צורתה למרכז מחקר בשל הידוע בשם CERC, מה שמוכיח כי שיתוף פעולה בין ממשלתי בענף האנרגיה יכול להצליח חרף חילוקי דעות גיאופוליטיים מהותיים.

השותפות השיגה כבר התקדמות מועילה בפרויקטים המקוריים שלה ולאחרונה הוסיפה עוד אחד- הנצילות האנרגטית של משאיות בינוניות עד כבדות, השנואות כל כך על שוחרי איכות הסביבה. אם ארה"ב וסין ימצאו פתרון לאחד המזהמים הגדולים בעולם, הדבר יוכיח את התועלת שבשת"פ בין מדע ותעשייה בסוגיות שחשיבותן חוצה גבולות.