כיצד להגן על התשתיות הלאומיות מפני מתקפות סייבר?

בתשתיות החיוניות של מדינות שונות בעולם - בתי חולים, תחבורה, שדות תעופה, רכבת, אסדת קידוח נפט או גז, מתקנים לטיהור מים ומתקנים לייצור חשמל - נמצאות על הכוונת של מתקפות סייבר ● מה ניתן לעשות כדי להפחית סיכונים מפניהן?

06/06/2018 12:15
לירון בנבנישתי, יועץ להגנת סייבר. צילום: אנטון גוליבטי

בעשור האחרון היינו עדים למספר אירועי סייבר בניסיון לפגוע בתשתיות החיוניות של מדינות שונות בעולם. ב-2017 הנושא קיבל סיקור נרחב, הודות לשתי מתקפות כופרה משמעותיות: האחת WannaCry והשנייה מתקפת Not Petya. מדובר על מתקפות על תשתיות שאחראיות לספק שירותים לרווחת האזרחים, מה שהופך אותן למטרה מפתה לתקיפה. התקיפות מתבצעות בדרך כלל על ידי ארגון טרור או מדינה עוינת. המותקפים הם לרוב תשתיות כמו בתי חולים, תחבורה, שדות תעופה, רכבת, אסדת קידוח נפט או גז, מתקנים לטיהור מים ומתקנים לייצור חשמל.

בזמן שההשפעה של פרצת אבטחה על רוב מערכות ה-IT מסתכמת לרוב בהפסד כספי, התקפות על מערכות בקרה תעשייתיות הן בעלות פוטנציאל נזק רב בהרבה. תשתית מוגדרת חיונית כאשר סבורים ששיבוש תפקודה יוביל למשבר כלכלי חברתי משמעותי, בעל פוטנציאל לערעור היציבות בחברה ועם השלכות פוליטיות, אסטרטגיות וביטחוניות. לכן איום הסייבר על תשתיות כאלו מהווה איום בטחוני ולאומי, ועלולות להיות לו השלכות כלכליות חברתיות. מתקפה כזו יכולה להסב נזק רחב בממד הפיזי. משום שקיימת תלות הדדית ויחסי גומלין בין התשתיות – נזק לאחת יכול להשפיע על האחרת.

תקיפה יכולה להיות קצרה, במטרה להסב נזק מיידי בעצירה של תהליך קריטי, כמו השבתת אספקת חשמל לאזור מסוים, או תקיפה אטית וחשאית דוגמת Black Energy Stuxnet ו-Triron, במטרה להתפשט ברשת ולהגיע לעוד נקודות, להבין את התהליכים בה, ולבסוף לבצע ניסיון לשלוט ולשבש את התהליכים.

וקטור תקיפה נוסף הוא ספייר פישינג (Spear Phishing) – ניסיון להשיג מידע רגיש באמצעות התחזות, בדרך כלל בדואר אלקטרוני; ההתמודדות עם איום מהסוג הזה על תשתיות מידע חיוניות כוללת מניעה, התרעה, זיהוי וגילוי ההתקפה, תגובה, ניהול המשבר, בקרת נזקים וחזרה לתפקוד מלא.

פגיעה קשה בתחנות כוח באוקראינה

בדצמבר 2015, עשרות תחנות כוח במערב אוקראינה הפסיקו לעבוד וכתוצאה מכך אירעו באזור הפסקות חשמל רבות. מתקפת הסייבר השביתה את אספקת החשמל בבתים רבים.

המתקפה נגרמה על ידי קוד זדוני (וירוס) המכונה Black Energy, שנשלח במייל של ספייר פישינג, דבר שאפשר כניסה והשתלטות על הרשת ומחיקת קבצים חיוניים במערכות הבקרה, ובנוסף לכך ביצוע מתקפת DDOS, שהעמיסה על מערכות הטלפון והשהתה את זמן דיווח הבעיה.

על פי דו"חות של חברות אבטחה שונות, הווירוס הוסתר בקובץ אקסל פשוט, שנשלח ונפתח על ידי אחד העובדים בתחנת הכוח.

התוקפים חוקרים את המטרות שלהם על ידי חיפוש מידע באמצעים שונים, כולל רשתות חברתיות ושימוש בכלים רבים שיכולים לסייע לתוקפים ללמוד על ארכיטקטורת היעד, על הפגיעויות וכיצד לנצלן.

חלק מתקיפת הסייבר מנצלות פרצת אבטחה שעדיין לא ידועה וטרם פורסם לה תיקון (Zero Day). התקפות כאלו הנן אפקטיביות גם זמן ארוך לאחר גילוין והפצת התיקון שלהן, עקב פערי הטמעה של התיקון, שכן מתקני כאלו לא ממהרים להשבית את ציוד הבקרה לצורך הטמעתן. ומדובר במערכות שהזמינות שלהן היא קריטית.

תקיפות רבות מבוצעות לאחרונה על ידי כופרה: תוכנת כופרה היא תוכנה זדונית, הנועלת את מחשב המשתמש או מצפינה את הקבצים המאוחסנים עליו. עם הצפנת הקבצים, נמנעת כל גישה למידע עד לאחר תשלום הכופר שאותו דורשים העבריינים. נזק אפשרי שיכול להיגרם על ידי מתקפת הכופרה הוא שיבוש בתפעול ציוד הבקרה על ידי נעילת תחנות ה-HMI של המפעיל בחדר הבקרה.

מדוע מתרחשות מתקפות רבות על נכסים קריטיים?

במתקנים אלו פועלות מערכות ICS (ר"ת Industrial Control System) דוגמת Scada – מערכות שליטה ובקרה (שו"ב) המנטרות ומבקרות תהליכים אשר מתחוללים בתוך מערכת יצור תעשייתית. ברוב המקרים מדובר בתהליכים רחבי היקף, המתרחשים באתרים מרובים, שלרוב מצויים בפיזור גאוגרפי גדול.

הרשתות התעשייתיות תוכננו ונבנו לפני מספר עשורים, בתקופה שבה המודעות לנושא אבטחת הסייבר הייתה פחותה או לא קיימת כלל, ולכן הן מהוות מטרה נוחה למתקפה. ברשתות אלו קיימים קישורים חיצוניים לאינטרנט לספקים, לצורך אחזקת ציוד הבקרה ותמיכה.

רוב מערכות הבקרה התעשייתיות מגיעות מספקים שונים, ומריצות תוכנות הפעלה ייעודיות שונות, יישומים ופרוטוקולים (GE, Rockwell, DNP3, Modbus) השייכים להן. כתוצאה מכך, מערכות אבטחה שפותחו עבור מערכות מידע אינן מגינות על מערכות בקרה תעשייתיות.

על פי נתונים סטטיסטיים שפורסמו על ידי מעבדת קספרסקי (Kaspersky), שניתחה את כמות המחשבים שהותקפו ברשתות התעשייתיות בכל אחד מהסקטורים: כמעט כל התעשיות מראות אחוזים גבוהים (מעל 30%) של מחשבים שהותקפו ברשתות הבקרה.

סקר שנעשה על ידי ה-SANS (ר"ת Security Awareness Report) מצביע על מספר אתגרים ביישום תכנית מודעות והדרכה. שלושת האתגרים העיקריים שעליהם מצביע הסקר הם: חוסר במשאבים, קשיים באימוץ התכנית וחוסר תמיכה של ההנהלה בתהליך.

הצפי הוא שמתקפות סייבר מהסוג הזה ימשיכו גם בעתיד לבוא. ככל שנהיה מודעים לסכנות הללו, ונדע כיצד להתגונן מפניהן, כך נמזער את הסיכוי להיפגע. ביצוע ביקורות תקופתיות וסקרי סיכונים, הצטיידות בציוד אבטחה וניטור מתאים, והעלאת המודעות על ידי הדרכה לעובדים בנושא הגנת הסייבר, יעלו את רמת ההגנה בארגון ויפחיתו את הסיכון לנזק משמעותי במקרה של אירוע סייבר עתידי.

הכותב הוא יועץ וחוקר הגנת סייבר.

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים