עמידה בתנאי סייבר לקבלת היתר רעלים
כל מה שצריך לדעת אודות עמידה בתנאים של היתר רעלים בתחום הסייבר בתעשייה:
בעקבות עליה דרסטית בתקיפות הסייבר ברחבי העולם, בדצמבר 2021 המשרד להגנת הסביבה פרסם טיוטה לעדכון גרסת מדריך להוראות לעמידה בתנאים של היתר רעלים בתחום ההגנה על סייבר בתעשייה (המדריך פורסם לראשונה בשנת 2020).
מטרת המדריך הינה למזער את הסיכונים להתרחשות אירועי סייבר או לפגיעה במערכות מחשוב או בתהליכים טכנולוגיים אשר עלולים לגרום לאירועי חומ"ס (חומרים מסוכנים).
חלק ממערכות הייצור מכילות חומרים מסוכנים ומתופעלות על ידי מערכות מחשוב, דבר העלול ליצור אירועי סייבר שיגרמו לכשל או לשיבוש המערכות ואף לאירועי חומ"ס, לדוגמא:
- פליטת גזים מסוכנים.
- פיצוץ חומ"ס.
- שפך תעשיה לשטח פתוח או למערכות הביוב.
- פיזור של חומ"ס.
- דלקת חומ"ס ועוד.
לכל המאמרים בתחום איכות הסביבה
מי מחוייב לעמוד בתנאים אלו?
- בשנת 2018 – רק 60 מפעלים המסווגים ברמה A המסוכנים ביותר חוייבו לעמוד בתנאים של היתר רעלים בתחום הסייבר בתעשיה.
- בשנים 2019-2021 – מחוייבים כל שאר המפעלים המסווגים ברמה A ובהתאם לתיעדוף.
- החל משנת 2021 – כ- 200 מפעלי סווסו SEVESO – קבוצת מפעלים שעוסקים בחומ"ס בעלי הסיכון הרב ביותר על פי דירקטיבת סווסו האירופאית.
- החל משנת 2022 – כ-1,000 מפעלים בסיווג רמת סיכון גבוהה A (בהם 200 מפעלי SEVESO) ורמת סיכון בינונית B.
כיצד תיושם המדיניות החדשה?
כל מפעל יידרש לבצע סקר סיכונים מקיף ולהתאים בקרות שוטפות המותאמות לרמת הסיכון הפרטנית שלו. בעקבות השינויים הדחופים המתרגשים בתחום הגנת הסייבר, יידרש עדכון של הסקר בהיבטי הגנת הסייבר כל 3.5 שנים.
מינוי ממונה הגנה על מידע וסייבר:
על בעל היתר רעלים למנות תוך 60 ימים ממונה הגנה על מידע וסייבר (ממונה הגנה).
תפקידי ממונה הגנה על מידע וסייבר:
- הקמת מדיניות הגנת סייבר המותאמת לתהליך ניהול סיכונים ולדרישות המפורטות בהיתר הרעלים.
- בניית תכנית עבודה להגנת הסייבר בארגון.
- ניתוח תכנית הגנת הסייבר להתמודדות עם אירועי סייבר בארגון.
- הקמת תכנית תקציבית לטיפול בהגנה מפני סיכוני סייבר.
- בקרה שוטפת על יישום והטמעת הגנת הסייבר בארגון.
תהליך הגנת סייבר:
תהליך הגנת סייבר מבוסס על התקן האמריקני NIST CSF בתחום אבטחת מערכות בקרה ממוחשבות תוך התאמתו למפעלים עם חומרים מסוכנים.
התהליך מכיל שישה שלבים ליישום התהליך במפעל:
שלב ראשון – מיפוי התהליכים הממוחשבים המכילים חומרים מסוכנים – מיפוי כלל החומרים המסוכנים המחוברים למערכות מחשוב, מיפוי כלל התרחישים האפשריים של השינויים במערכות הממוחשבות שעלולים לגרום לשינויים בתהליכים או להשבתה.
שלב שני – ביצוע סקר סיכונים לכל מערכת שהוגדרה במיפוי התהליכים – לכל מערכת שהוגדרה יש לבצע סקר סיכונים ולסווגה בהתאם לחומרת הסיכון.
שלב שלישי – ביצוע אנליזת ניתוח פערים (Gap Analysis) – השוואה בין הבקרות הקיימות לבקרות שעל הארגון ליישם בעקבות תוצאות סקר הסיכונים שבוצע.
(לארגון הוקצב עד 12 חודשים מהחלת תנאי סייבר בהיתר הרעלים של הארגון ליישם את שלושת השלבים הנ"ל)
שלב רביעי – בניית תוכנית עבודה – בניית תוכנית עבודה למניעת סיכונים לבריאות הציבור ולסביבה עקב אירועי סייבר. על הארגון לעדכן את ממונה הגנה על מידע וסייבר לאחר סיום תהליך המיפוי וביצוע סקר סיכונים (בצירוף הצהרה של בעל היתר הרעלים המאמתת את העדכון).
הגשת התצהיר הינו תנאי הכרחי לחידוש היתר הרעלים בשנה השנייה לאחר קבלת תנאים אלה.
שלב חמישי – יישום והטמעת בקרות על פי תוכנית העבודה – על הארגון להטמיע את הבקרות שהומלצו בעקבות ביצוע סקר הסיכונים. במידה והארגון אינו יכול ליישם את הבקרות, על הארגון להתייעץ עם יחידת הסייבר בתעשייה של המשרד להגנת הסביבה למציאת בקרות מפצות.
על הארגון לעדכן את ממונה הגנה על מידע וסייבר בסיום יישום תוכנית העבודה, בצירוף הצהרתו של בעל היתר הרעלים המאשר את יישום והטמעת התהליכים בארגון.
יחידת הגנה על מידע וסייבר בתעשייה של המשרד להגנת הסביבה רשאית לבדוק את יישום והטמעת הבקרות בארגון.
שלב שישי – פיקוח ומעקב שוטף של הארגון.
(לארגון הוקצב 24 חודשים מיד בסיום שלושת השלבים הראשונים).
סה"כ כל התהליך ימשך 36 חודשים, החזרה על התהליך תתחיל לאחר 42 חודשים מהחלת תנאי סייבר בהיתר רעלים.
באילו מהמקרים תחודש הפעילות המחזורית?
- אחת ל-42 חודשים ממועד התחלת תהליך הראשון והשני (מיפוי התהליכים הממוחשבים המכילים חומרים מסוכנים וביצוע סקר סיכונים לכל מערכת שהוגדרה במיפוי התהליכים).
- במידה ונוספה מערכת ממוחשבת חדשה הקשורה לחומרים מסוכנים.
- במידה ונוספו חומרים מסוכנים חדשים המחוברים למערכות מחשוב קיימות.
- במידה ובוצע שינוי במערכת ממוחשבת קיימת (הוספה או שינוי של רכיבי מחשוב) הקשורה לחומרים מסוכנים.
נכתב על ידי ניר בן בנימין, יועץ ניהול מערכות סביבה, בטיחות ואיכות המתמחה בליווי ארגונים להסמכה לתקנים:
ISO 45001 ,ISO 9001 ,ISO 14001.