הופעה נדירה: הממונה על הסייבר בכור בדימונה מדבר

"יחד עם הגנות הסייבר על ארגונים גדולים, עליהם להוסיף הגנה אנטי טכנולוגית", כך אמר אמיר אלנבוגן, ראש מטה סייבר ותשתיות בקרה בקריה למחקר גרעיני – נגב (הכור בדימונה).

אלנבוגן אמר את הדברים בכנס ICS Cybersec שנערך אתמול (ב'), בהפקת אנשים ומחשבים. הכנס, שדן בהגנת סייבר על תשתיות חיוניות ומערכות שליטה ובקרה (SCADA), התקיים במרכז הכנסים אווניו שבקריית שדה התעופה, בהשתתפות מאות מקצוענים בתחום. מנחי האירוע היו יהודה קונפורטס, העורך הראשי של אנשים ומחשבים, ודניאל ארנרייך, יועץ ומרצה להגנת הסייבר.

לדברי אלנבוגן, "משמעות המונח פתרונות אנטי טכנולוגיים היא הצבת רכיבים בנקודות הקריטיות של המערכת באופן ידני, לצורך צמצום המרחב הקריטי לפוטנציאל ההיפגעות כתוצאה מחבלת סייבר. כשיש מערכת שבסופה יש נקודת יציאה לחומר מסוכן ובדרך מתקינים 'ברז' שיהיה סגור ידנית, הסייבר לא יוכל לפלוט מאותו קו את החומר המסוכן. בנוסף, יש להציב אמצעי התרעה והגנה במינימום טכנולוגיה, כדי לחסום את תוצאות ההיפגעות ממתקפת סייבר".

"גם אם ארגונים יתקינו את כל רכיבי מערכת האבטחה, אין אפשרות לקחת מערכת ולשים עליה מדבקה 'בטוחה מפני סייבר'. גם מערכות האבטחה שארגונים מתקינים במערכת שלהם עלולות להיות מקור לפגיעויות", אמר.

הוא ציין כי "לפני שמתקינים את המערכות, צריכים להתחיל ממדיניות – משהו שיתחום את גבולות הגזרה של הארגון. הכוונה היא לשילוב הסייבר בתוך הנדסת המערכת והכנת מדריכים הנדסיים לצורך בניית טופולוגיה של רשת. בנוסף, יש לבצע מחקרי איומים, להעריך סיכונים כדי לדעת על מה צריך להגן, ולהכין כלי ניטור, כלי הגנה ונהלי תגובה בעת חשד לאירוע".

מה קורה כשעולה חשד לאירוע? "כשזה קורה, יש לבודד את המקרה", הוסיף אלנבוגן. "יש צורך לדאוג שפחות דברים מסוכנים ייכנסו דרך שרשרת האספקה. צריך לבצע הקשחה פיזית ולוגית של המערכת – הן של המפעילים והן של המנהלים". הוא הציע לעשות זאת בתוך הארגונים עצמם, כי "מיקור-חוץ זו בעיה גדולה. אנחנו לא יכולים לדעת ב-100% מה מתרחש בתוך רשת האספקה של הספק החיצוני".

"יש לדאוג שהגנת הסייבר תשתלב בפרויקטים מההתחלה"

עוד אמר אלנבוגן כי "עלינו לפעול לפי תקנים ומדריכים בינלאומיים, וכמובן נדרשת רגולציה כדי שתדאג לכך שהכללים והשיטות שארגונים קבעו אמנם מתבצעים".

"על מנת שהדברים לא יהיו אוסף של פעולות בדידות, יש לארוז אותם בצורה מסודרת, בעלת שלושה ערוצים: הערכת סיכונים למערכות קיימות, הערכת סיכונים לכלים וטיפול על פי תעדוף", ציין.

"בנוסף, יש לדאוג לכך שהגנת הסייבר תשתלב בפרויקטים החדשים מזמן אפס ולראות איך אנשי הטכנולוגיה והאבטחה בארגונים עושים את כל מה שהם יודעים כדי שלא יצטרכו לתקן אחר כך. לבסוף, יש לדאוג לבניין הכוח: ארגון והסדרה, חיזוק הידע, שילוב טכנולוגיות ושיטות ומתודולוגיות חדשות, ובנייה של תשתיות", הוסיף אלנבוגן.

פעילויות במחזור חיי מערכת

בהמשך דיבר ממונה הסייבר בכור בדימונה על פעילויות במחזור חיי מערכת. כשזה נוגע להערכת סיכונים, הוא מעדיף את שיטת Top down, "משום שארגונים שמשתמשים בה יכולים להיות יותר ממוקדי מטרה ולדעת טוב יותר היכן הסיכון שלהם: האם הם צריכים לשפר בהיבט זה את שרשרת האספקה או את חסינות המערכת. אחת לתקופה צריך לבצע הערכת סיכונים מפורטת ולשפר את הטעון שיפור", אמר.

לדבריו, "מהניסיון בארגונים ביטחוניים, ברגע שהנוזקה עברה את שרשרת האספקה ונכנסה לארגון, הסיכוי לעלות עליה ולטפל בה בזמן נמוך. נקודות התורפה של שרשרת האספקה הן נגישות גבוהה לגורמים מחוץ לארגון, יכולת בקרה מוגבלת ושילוב המוצרים ברשת התפעולית בלי יכולת להבטיח שאין בציוד נוזקה".

המלצות למנהלי אבטחת סייבר

הוא נתן מספר המלצות לאחראים על אבטחת הסייבר בארגונים: "עליהם לבצע תכנון ובקרה של שרשרת האספקה. עליו להכיר אותה, לטפל בנקודות התורפה, לנסות להמעיט את השהות של הציוד בכל תחנה, לבקש תיעוד ולאתר סימנים מחשידים. הם צריכים לבצע בדיקות קבלה – שלא קיבלו פגיעויות סייבר יחד עם הציוד שלהם. כדאי להם לחפש 'נקודות חמות' – בציוד, דוגמת כרטיס ה-USB או הכבל מהמחשב למסך, שהם לא מכילים משדרים ומקלטים שלא אמורים להיות שם".

אלנבוגן אמר כי "יישום תהליכי ההגנה צריך להיות כך שנוזקות סייבר לא יוכלו להגיע למערכת. יחד עם זאת, ההנחה צריכה להיות שהן מכילות נוזקות סייבר."

"מרחב הפעילות ליישום של כל הדברים הללו מכיל פעילויות רבות מתחומים שונים. כדי להגיע ליעילות מרבית של הפעולות לצורך מזעור הסיכונים נדרשים סדר, ארגון, תעדוף ולפעמים גם אנטי טכנולוגיה", סיכם.