האמנם גדלו סיכוני הסייבר על מערכות ICS-OT?

לאחרונה אנחנו נחשפים למאמרים, פרסומים, סקרים ומחקרים על גידול ברמות הסיכון על מערכות תפעוליות. אם העובדות נכונות, הנושא מדאיג וחייב להיות בראש דאגותיהם של מנהלים בכירים בכל ארגון.

כידוע, על פי התקן 27001-2013 ISO פרק 5 פסקה 1, ההנהלה הבכירה אחרית להגנת סייבר. טרם נצלול לפרטים והבהרות, חשוב להדגיש כאן כי פתרונות בקרה לניהול תשתיות תפעוליות ותעשייתיות תוכננו כדי לפעול באופן בטוח, אמין ורציף (SRP-Safety, Reliability, Productivity). ב-2010 – לפני האירוע של סטקסנט (Stuxnet), תולעת המחשב שפגעה בשנת 2011 בתוכנית הגרעין האיראנית, באמצעות פגיעה במערכות בקרה תעשייתיות מסוג SCADA מתוצרת חברת סימנס – נושא זה לא נכלל בין הדרישות כלל.

הדרכה בתחום אבטחת סייבר למערכות תפעוליות חייבת להיות חובה עבור כל ארגון ולהוות תנאי לעמידה בתקנים עבור הגנת סייבר על מערכות תפעוליות ותעשייתיות

כדי לייצור התייחסות נכונה ומידתית לנושא זה, נדבר על ארבעה מסלולי תקיפה עיקריים נגד ארגונים:

• תקיפות שמכוונות לפגוע בתפקודן של מערכות מידע (IT). תהליך זה עשוי לכלול גנבה, שיבוש, הצפנה וחשיפה של מידע. בעקבות התקיפה נגרמים נזקים הקשורים לפרטיות, אובדן כספים ופגיע במידע מסחרי השייך לארגון. במקרה הזה לא נגרמת פגיעה ישירה בתהליכים התפעוליים. מודגש עם זאת שאם הארגון ערוך כראוי, המפעל יכול להמשיך לפעול גם ללא מחשוב. דוגמה לכך ניתן לקבל מאירוע 2021 Norway Aluminum.
• הסוג השני של תקיפה מתייחס למצב שבו הארגון לא עורך לפעול ללא מערכות מידע תקינות,  והנהלה יכולה לקבל החלטה לבצע השבתה יזומה ולפגוע בצרכנים של מוצרי/שירותי החברה. דוגמה לאירוע: חברת קולוניאל פייפליין, שנפגעה ב-2021.
• האפשרות השלישית דומה לאפשרות תקיפה המפורטת בסעיף 2, אבל במקרה זה מתבצעת תקיפה נרחבת שמתחילה בחדירה למערכות המידע, והתוקף מצליח להמשיך בתקיפה, לחדור לרשת הארגונית ולפגוע בתהליכים התפעוליים. לדוגמה: הפסקת החשמל הענקית באוקראינה (Ukraine Power) ב-2015.
• המסלול הרביעי מכוון לפגוע באופן ישיר במערכות תפעוליות (חדירה ישירה לרשת התפעולית או דרך רשת IT) ולגרם להשבתה (קצרה או ארוכה), נזק למכונות ייצור (ניתן לתיקון או לא ניתן לתיקון) והחמור מכל – פגיעה בחיי אדם (בודדים או למספר רב של קורבנות). לדוגמה: מפעל טיהור מים באולדסמר, פלורידה, 2021.

המסקנה המתבקשת לארבעה מסלולי התקיפה היא שכאשר אנחנו מדברים על סיכוני סייבר על מערכות תפעוליות ותעשייתיות (כולל חשמל, מים, אנרגיה וכימיקלים), נכון יהיה לייחס את התקיפה רק לאפשרויות השלישית והרביעית, ולא לכלול ברשימה את האפשרויות הראשונה והשנייה.

אם נסקור אירועים מסוג זה ב-12 שנים אחרונות, נלמד כי בכל העולם התרחשו רק עשרות בודדות של אירועים מסוגים אלה.

מכאן אנו לומדים כי מספר רב של מאמרים ומחקרים, שפורסמו על ידי מומחים לפתרונות לאבטחת סייבר – אשר ציינו כי מעל 90 אחוז של ארגונים תעשייתיים נפגעו מתקיפת סייבר במהלך 12 החודשים האחרונים – לא מתייחסים באופן פרטני, מדויק וברור לארבע האפשרויות שפורטו לעיל. עקב כך הם גורמים ללקוחות שלהם להוצאות מיותרות עבור פתרונות אבטחה אשר לא מתאימים לצרכיהם.

אבטחת סייבר על מערכות תפעוליות היא מקצוע ייחודי, עבור אנשים שכבר מומחים בתחום מערכות תפעוליות, וחשוב ביותר שהם יקבלו הכשרה בתחום אבטחת הסייבר.

ארגונים תעשייתיים שפועלים נכון לא מאפשרים לאנשי אבטחת סייבר שההתמחות שלהם היא אך ורק בתחום מערכות מידע (IT), לעסוק בהגנת סייבר על מערכות תפעוליות.

לקראת השנים הבאות חשוב להיערך לאבטחת סייבר על פי תקן בינלאומי 62443 ISA, שיהיה ללא ספק התקן המוביל ויחליף את השימוש במגוון תקנים מקומיים. הדרכה בתחום אבטחת סייבר למערכות תפעוליות חייבת להיות חובה עבור כל ארגון ולהוות תנאי לעמידה בתקנים עבור הגנת סייבר על מערכות תפעוליות ותעשייתיות

הצוותים המקצועיים בארגונים שעוסקים בתהליכים תפעוליים והגנת סייבר על מערכות ICS-OT-IIoT חייבים לשתף עם כלל הגורמים בארגון, במטרה בלי למנוע יצירת סיכוני סייבר.

הכנס השביעי הבינלאומי ICS CyberSec⁷ 2022 של אנשים ומחשבים, יתמקד באופן פרטני בנושאים אלה ויכלול מרצים וצופים מישראל ומחו"ל. הכנס מתוכנן להתקיים בלאגו, ראשל"צ, ב-16 בנובמבר, 2022.

להרשמה לכנס לחצו כאן

הכותב הוא יועץ אבטחת סייבר ומרצה