נפילת החומות בין התפעולי לבין הווירטואלי

כנס ICS-Cybersec של אנשים ומחשבים, שנערך היום (ב'), עסק בהגנת סייבר על תשתיות חיוניות ומערכות שליטה ובקרה. היה זה כנס שונה מכנסי הסייבר הרגילים בשנים האחרונות, מאחר שהוא עסק בהגנה על תשתיות קריטיות.

אחת הסוגיות שנדונו באירוע הייתה מהי ההגדרה של תשתית קריטית ועד כמה היא השתנתה מאז שהוגדרה בישראל בפעם הראשונה, בימים שלפני פרוץ האינטרנט. תשתיות קריטיות הן מערכות לאומיות כמו חברת החשמל או מקורות, אבל גם שורה של גופים שיש להם מערכות תשתית חיוניות כגון תחנות כוח פרטיות, תאגידי מים ומפעלים שהפסקת תפקודם עלולה לפגוע ברציפות החיים.

העיסוק בהגנת סייבר על תשתיות הוא דוגמה בולטת לשינוי שחל בעולם בדמות נפילת החומות והחסמים שבין הפיזי לווירטואלי. הפיזי הוא מערכות ה-OS והווירטואלי – מעולם התוכנה והחומרה, המוכר יותר לרבים.

עד לפני כמה שנים שני העולמות האלה פעלו בנפרד. לכל אחד מהם היו מערכות חכמות משלו – הגנה, תפעול וכדומה. ההתפתחויות של השנים האחרונות, החיבור של כמעט כל מכשיר לאינטרנט – החל מהטלפון הנייד ועד למקרר הביתי – הן ראשיתה של רעידת אדמה. כל אחד מאותם מכשירים מכיל סנסור מסוג כלשהו, שמחובר לאינטרנט ובכך הוא חושף את עצמו לסכנות שאינן מוכרות לארגונים.

האינטרנט של הדברים הוגדר בכנס כאחד האיומים הגדולים ביותר על מערכות קריטיות. המציאות היא שמרבית רכיבי האינטרנט של הדברים אינם מוגנים. כיום קל יותר להשיג שליטה על רכיבים אלה, בדיוק כמו שהיה קל מאוד לתקוף מחשבים אישיים לפני  שניים-שלושה עשורים. הכלים להגנה על התשתיות האלה עברו מעולם ה-OT לעולם ה-ICT  – התקשורת ומערכות המידע – ועולם ה-OT לא מכיר אותם.

השלב הבא הוא שמהנדס התשתיות של חברה לייצור חשמל או מים צריך לשבת עם אנשי מערכות המידע ועם אנשי טכנולוגיה אחרים. התובנה הזו לא מובנת מאליה, משום שיש בעולם הטכנולוגי ויכוח סוער ביותר האם ה-IT הוא חלק מה-OT או שה-OT ימשיך לעבוד לבד ויגן על עצמו. ההרצאות בכנס שיקפו את הדילמה הזו והביאו דוגמאות מכאן ומכאן.

הגורם הקריטי: הממשלה

מעבר לוויכוח, הכנס הציף את איומי הסייבר הרבים שמסביבנו, שמתממשים בכל יום, לעתים קרובות בלי ידיעתנו. המתקפות הפופולריות הן DDoS. בעזרת השתלטות על קוד הפעלה של מכשירים שמחוברים לרשת, הן יכולות לשבש תפעול של עסקים מבוססי אתרים אונליין. יכולתן להשתלט על כמות עצומה של רכיבים דרך כניסה לרכיב אחד מבטלת כל אפשרות למנוע מתקפות כאלה. העובדה שמעבר לדלת יש כבר מכוניות אוטונומיות, חיבור רשתות עירוניות ויצירת עיר חכמה רק מעצימה את איום הסייבר על התשתיות.

בכל הסיפור הזה יש גורם אחד שהוא מאוד קריטי – הממשלה. האתגר שלה הוא למצוא דרכים לוודא שאותם מפעלים וארגונים בעלי תשתיות קריטיות, שלא מצויים תחת רגולציה רלוונטית, יעשו את כל הפעולות שיגנו על המערכות שלהן, כי פגיעה בהן תשפיע על אנשים רבים, שלא לדבר על סכנת חיים של ממש.

נציג משרד האנרגיה, שהוא הרגולטור בתחום הסייבר של התשתיות, אמר שבשנה הבאה יבואו לידי ביטוי יוזמות של הממשלה, שהבינה כבר לפני כמה שנים שתשתיות קריטיות כוללות קשת רחבה של ארגונים, שמתקפות קיברנטיות עליהם יכולות לגרום נזק רב, עד כדי אובדן חיים. האכיפה היא קצת בעייתית, כי מדובר בגופים אזרחיים ולכן היא נעשית דרך סעיפי אבטחה כתנאי לקבלת רישיון עסק.

בנוסף, הוא ציין שהמשרד מבצע פעולות הסברה, שכנוע ופגישות עם בעלי נכסים, ומנסה להגיע איתם למצב שהם מבינים לבד שהתקפה על המערכות שלהם תפגע כלכלית קודם כל בהם. בשלב זה המשרד לא מטיל קנסות או עונשים כבדים יותר על ארגונים שלא עומדים בתנאי הרגולציה, אבל יש מקום לסברה שככל שהאיומים יתגברו וההשפעות תהיינה רחבות יותר, לא יהיה מנוס מאכיפה חזקה יותר.

השורה התחתונה: כנס ICS פתח חלון לתחום חדש ובלתי מיוחצ"ן בעולם הסייבר – התשתיות הקריטיות והמערכות התפעוליות. הוא קרוב מאוד לעולמות אחרים שאנשי המקצוע, ולא רק הם, חשופים אליהם מדי יום. הקירות הווירטואליים שבין עולמות התפעול למערכות ה-IT קורסים מדי יום וכל קריסה שכזאת עלולה להשפיע עלינו ישירות. אם לא נדע להגן מפניהן, אנחנו עלולים להביא חלילה לאסון לאומי, שיגבה גם קורבנות בנפש.