ברצוננו להביא לידיעתכם כי בימים אלה פרסם המשרד להגנת הסביבה טיוטת תנאים נוספים בהיתרי רעלים: הגנה על מידע וסייבר במערכות ממוחשבות שעוסקות בחומרים מסוכנים – לעיון בתנאים לחצו על הקישור לטיוטה. תנאים אלה צפויים להיכנס לתוקף דרך הוספת תנאים להיתרי הרעלים של מפעלי התעשיה. המועד האחרון להגשת הערות לטיוטה זו הינו 28.6.2018, אנו לרשותכם ככל שיידרש בעניין זה ובכלל.
לנוחותכם להלן סקירה קצרה בנושא ועיקרי הטיוטה.
הקדמה
בהתאם להחלטת הממשלה בעניין "קידום ההיערכות הלאומית להגנת הסייבר" החליט המשרד להגנת הסביבה כי הגנה מפני מתקפות סייבר, העלולות לגרום לפגיעה בסביבה או בבריאות הציבור ובחיי אדם, תתבצע באמצעות הוראות בהיתר רעלים המונפק לעוסקים בחומרים מסוכנים על פי חוק החומרים המסוכנים. לשם כך פורסמו הוראות לעמידה בתנאי היתר רעלים בתחום ההגנה על מידע וסייבר (גירסה 0.9) ובימים אלה פורסם להערות הציבור נוסח תנאים נוספים בהיתר רעלים בנושא.
תקיפות סייבר ופגיעה בסביבה – כיצד
הניסיון העולמי מצביע על כך שתקיפות סייבר הינן בעלות פוטנציאל לסיכונים סביבתיים כגון:התקפת סייבר במערכת הביוב באוסטרליה (2000), שגרמה להצפה של שמורות טבע במי ביוב;
התקפת סייבר על הכור האיראני (2015) באמצעות החדרת וירוס שהובילה לפגיעה במערכת הבקרה ששלטה בצנטריפוגות והביאו להרס שלהן;
התקפת מפעל פלדה גרמני (2014) על ידי האקרים שהחדירו וירוס שהוביל להשבתת פס היצור ולנזק כבד לאתר;
התקפת תחנת כוח במערב אוקראינה, שהובילה לשיבוש פעולתן של 27 תחנות חלוקה ו-3 תחנות כוח ולקריסה של הספקת החשמל;
המטרה-הגנה על מידע וסייבר בתחום החומרים המסוכנים
כשל מערכות היצור/השינוע/האיחסון של בעל היתר הרעלים עלול לגרום לאירוע חומרים מסוכנים, ובעקבותיו לפגיעה בבריאות הציבור ובסביבה. מערכות אלה מתופעלות ומבוקרות על ידי מערכות מחשב. לכן, אירוע סייבר הגורם לכשל במערכת הממוחשבת, עלול לגרום לאירוע חומרים מסוכנים (התרחשות בלתי מבוקרת או תאונה, שמעורב בה חומר מסוכן, הגורמת או עלולה לגרום סיכון לאדם ולסביבה, לרבות שפך, דליפה, פיזור, פיצוץ, התאיידות, דליקה). מכאן הצורך ברגולציה סביבתית שנועדה להגן על מידע וסייבר.
ההוראות המוצעות בהיתר רעלים לאיתור ומניעת סיכוני סייבר לבעל ההיתר:
מינוי "ממונה הגנה על מידע וסייבר"– בעל היתר רעלים ימנה ממונה כאמור תוך 60 יום. הממונה יהיה מופקד על גיבוש מדיניות הגנת הסייבר, בניית תוכנית עבודה, ניתוח והערכה בהתאם לאיומים, גיבוש תוכנית תקציבית ובקרה על יישום ארגוני וניהול הגנת הסייבר.
מיפוי והערכת סיכונים וסיווג מערכות ממוחשבות בעסק– תוך תשעה חודשים מיום קבלת התנאים ימופו כל התהליכים המסוכנים במפעל וכל המערכות הממוחשבות התומכות ותבוצע הערכת הסיכונים. על בסיסם יקבע סיווג של כל מערכת ממוחשבת העוסקת בחומרים מסוכנים.
תוכנית למניעת סיכונים מאירועי חומרים מסוכנים בעת אירוע סייבר– התוכנית שתוכן תכלול הוראות בעניין שינוי של תהליכי הגנה על מערכות ממוחשבות המטפלות בחומרים מסוכנים, ואמצעי הפחתת סיכון פסיביים או אקטיביים. הכנת התכנית תסתיים תוך שנים עשר חודשים והודעה על כך תמסר לממונה במשרד להגנת הסביבה.
הטמעה ויישום התוכנית– תוך 36 חודשים יסיים בעל ההיתר את כל הפעולות הנדרשות לשם הטמעת התוכנית במפעל ויישומה באופן מלא, ויודיע על כך למשרד להגנת הסביבה.
תיעוד, רישום ושמירת מסמכים- התיעוד והרישום ישמרו במפעל למשך שש שנים לפחות מיום סיום ההטמעה והיישום של התכנית.
בקרה ושיפור מתמיד– המפעל יבצע מחדש את סקר הסיכונים במערכות הממוחשבות באופן מחזורי מדי שלוש שנים או בעת התקנת מערכת חדשה או בעת שינוי מהותי במערכת.
ניהול אירוע סייבר, הסקת מסקנות ודיווח למשרד להגנת הסביבה– מעבר לטיפול באירוע סייבר לפי הנוהלים, חלה על המפעל החובה לזהות את הגורם לארוע ולקבוע דרכי טיפול על מנת לזהות את הפרצות והליקויים שאיפשרו את התרחשותו ולמנוע הישנותו.
חירום– בעל היתר מחוייב בקיומה של תוכנית היערכות לחירום. בעת אירוע של חומרים מסוכנים מוטל על המפעל האחריות לוודא אם האירוע נגרם כתוצאה מאירוע סייבר.
בכוונת המשרד להגנת הסביבה להחיל את התנאים בהיתר הרעלים באופן מיידי, עם מסירתם, בנוסף על התנאים הקיימים בהיתר הרעלים.
לאור העובדה שמדובר בטיוטת הוראות חדשה, שתיווסף לרגולציה הסביבתית, אנו ממליצים לעיין בה, ולהתייחס להשלכותיה על פעילות מפעלים בעלי היתר רעלים.
אנו מזכירים כי האמור בעדכון זה הנו מידע כללי אשר אינו מהווה יעוץ משפטי או תחליף לו.
לצורך יעוץ משפטי ידרש לקחת בחשבון את המידע הרלוונטי בכל מקרה לגופו.