נדרש שדרוג חדיש להגנת סייבר על מערכות שו"ב

הועיל ואין גורם יחיד, טכנולוגיה או מערכת מסוימת, שיכולה להגן באופן מוחלט על הארגון, חשוב שנתייחס לכל האיומים - נשקיע את המשאבים הנדרשים, וכך נצליח להיות לפחות צעד אחד לפני התוקפים

דניאל ארנרייך, יועץ להגנת סייבר למערכות בקרה תעשייתיות ולמערכות תפעוליות. צילום: ניב קנטור

הגנת סייבר על מערכות שליטה ובקרה תעשייתיות, ICS (ר"ת Industrial Control Systems), היא חשובה כיוון שפגיעה במערכות אלה יכולה לגרום לנזק חמור למתקן, השבתה של אספקת אנרגיה ומים וחלילה גם פגיעה בחיי אדם.

תקיפת WannaCry לאחרונה אומנם לא פגע במערכות שו"ב, אבל בהחלט יכלה לפגוע .השאלה שכולם שואלים מה עוד המנהלים בארגונים יכולים לעשות כדי להשיג הגנה טובה יותר, חזקה ועמידה יותר, בנוסף לאמצעים הידועים שחלקם נמצאים בשימוש נרחב:
● אמצעי הצפנה חזקים (Strong Encryption) בתקשורת בין האתרים.
● זיהוי אמין של מתחברים למערכת באמצעות 2 אמצעי בחינה (FA2).
● התקן חד-כיווני (Unidirectional Gateway) כדי למנוע חדירה לתוך מערכת השו"ב.
● רכיבי חומת אש (SCADA-Aware Firewalls) ורכיבי הפרדה אזורית (Demilitarized Zone).
● מערכות הלבנה לבחינת נתונים מעוברים (Sanitizing computers) על ידי אמצעי נתיק.
● אמצעים להתחברות מאובטחת (Secure gateway – Authentication Proxy Access).

האם כל אלה אינם מספיקים כדי להשיג הגנה נאותה על מערכת השו"ב? בחלק מהמקרים כנראה כן, אבל עבור מערכות גדולות יותר זה לא מספיק.

הסיבה העיקרית היא כי מלבד אותם הארגונים שמבוקרים על ידי גורם ממשלתי (כמו רא"מ), לרבים אין את כוח האדם שמסוגל להכין את הארגון לאירועים, ואם חלילה אירוע חמור יתרחש הם לא יוכלו להתמודד עם הפגיעה. כמובן זו גם שאלה של משאבים, אבל גם אם יוקצו המשאבים שהומלצו, ארגונים רבים לא יוכלו להעסיק מומחים ברמה הנאותה.

הקפדה על נהלים

כידוע מרבית התקיפות שצלחו וגרמו נזק התאפשרו עקב רשלנות של האדם. אחת ההוכחות לטענה זו ניתן לראות במבט קצר על אתר https://ics-radar.shodan.io, שחושף מערכות שו"ב שמחוברות לאינטרנט ומאפשרות תקיפת סייבר.

בהתבסס על מה שאנחנו יודעים מאירועים קודמים, חשוב לשלב מספר ומגוון אמצעי הגנה וכך להקטין את הסיכון. למרות שאין אפשרות להשיג הגנה מושלמת, כל ארגון וגם האדם הפרטי יכולים לצמצם את האפשרות שגורם זר ועוין יפגע בהם.

ניתן להקטין את הסיכון וגם להימנע מחשיפה לתקיפות סייבר על יד מספר אמצעים אפשריים:
● ההדרכה בנושא סיכוני סייבר ואמצעי אבטחת סייבר לכלל העובדים.
● אבטחת הגישה לרשת הפנימית (Intranet) ולאתרי האינטרנט של הארגון.
● התראה על פעילות חשודה, כגון גישה למאגר הנתונים בשעות  חריגות.
● זיהוי אירועים כגון שכפול זהויות של המנהלים הבכירים או בעלי הרשאות גבוהות בארגון.
● הערכה מקצועית לגבי הנזק כלכלי ותפעולי שעלול להיגרם לארגון עקב תקיפת סייבר.
● פתרונות שיסננו את המידע שמגיע דרך האינטרנט על פי שיקולים שיוגדרו מראש.
● הקפדה על נהלי שמירת מידע כגון סיסמאות וצמצום דרכי הגישה לרשת על ידי זרים.
● הגנה פיזית על אמצעי תקשורת ושו"ב היא תנאי מוקדם כדי למנוע תקיפת סייבר.

מה עוד ניתן לעשות

מנהלי אבטחת סייבר לשו"ב בארגונים יכולים ליזום פעולות הגנה ייחודיות ונוספות כדי לצמצם נזקים אפשריים. פתרונות אלה מובילים לאמצעים דומים כפי שנמצאים בשימוש עבור מערכות מידע (IT) אבל מותאמים לשימוש עבור מערכות שו"ב.

בין אלה נמצאים מספר פתרונות יעילים:
● מערכות לאיתור מצבים חריגים (Intrusion Detection Systems-IDS) שמתמקדים בזיהוי בתהליכי בקרה או זיהוי חריגים ברשת התקשורת בתוך המערכת (מי פנה למי, באיזה תדירות, כמה מידע הועבר, וכו'). זהו פתרון מאוד יעיל להגנה על מערכות שו"ב.
● מערכות שעוקבות אחרי שינויים בתצורה (System Visibility and Management) הן יעילות ומסוגלות לאתר וגם לתעד: חיבור של התקן חדש, ניתוק וחיבור של התקן, שינוי תצורה של בקר. אלה משלבים עקרונות של גישה על פי הרשאות (Role Based Access Control-RBAC) ועוד.
● פתרונות לאיתור תקיפות (Security Information and event management – SIEM), למרות שאלה הם יקרים ומתאימים רק לארגונים גדולים ומערכות שו"ב שפרוסות ברחבי המדינה. חשוב לציין כי העלות הקשורה לכך כוללת גם העסקה של מומחים לתפעול מערכות אלה.
● חיבור מערכת השו"ב למרכז מאויש 24/7 (MSSP – Managed Security Service Providers). המספק שירות מנוהל לאבטחת סייבר. שירות זה מסופק על ידי מומחים להגנת סייבר, שיש להם את ההיכרות עם המערכות השו"ב של הלקוחות ומסוגלים לנתר תקיפות על פי דיווחים (Logs).
● חיבור מערכת השו"ב למרכזי אבטחת סייבר (SOC-Security Operation Centers) מאפשר התערבות מקצועית וגם חסימה של התקיפה, וכך ניתן להחזיר את הפעילות העסקית של הארגון למצב הרגיל מהר ככל שניתן. חשוב לציין כי פתרונות MSSP ו-SOC הם חלופה למערכת SIEM פרטית.

סיכום ותובנות

תקיפות סייבר על מערכות מידע לצורך חדירה זדונית ובהמשך גם למערכות שו"ב למטרות של השבתה תפעולית, הם סכנה לא רק על תהליכים תפעוליים, אלא גם סכנה לתפקודם היומיומי של האנשים במדינה ובמקרים חריגים גם סכנה לחיי אדם.

הועיל ואין גורם יחיד או טכנולוגיה או מערכת מסוימת שיכולה להגן באופן מוחלט על הארגון, חשוב שנתייחס לאיומים לאלה, נשקיע את המשאבים הנדרשים וכך נצליח להיות לפחות צעד אחד לפני התוקפים.

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים