תכנון תגובה לאירוע סייבר עבור מערכות בתעשייה

תכנון תגובה לאירועי סייבר (Incident Response Planning – IRP) עבור מערכות בקרה תעשייתיות הוא משימה חיונית כדי להגן על התפעול הבטיחותי, האמינות התפעולית והזמינות של תהליכי הייצור במפעל התעשייתי. משימה זו אמורה להיות מנוהלת על ידי הצוות המנוסה ביותר בארגון, ויש לתכנן אותה בתיאום הדוק עם תכנון ההמשכיות העסקית וההתאוששות מאסון. ללא הכנה קפדנית, תוקף מיומן יכול להצליח לחדור למערכות הארגון ולפגום בתפקודו. איך עושים את זה נכון? על כך – בפסקאות הבאות.

היערכות מראש של הארגון

השלב הראשון כולל הכנת פעילויות המאפשרות להגיב לאירוע במהירות וביעילות. כאן נדרש להבטיח זמינות של אנשי מקצוע וכלים, תרגול של התהליכים עבור דיווח פנימי ועוד. כדי לסייע לארגון נדרש לאתר במהירות האפשרית את הסיבה לתקלה ולהפעיל נהלי תגובה, שמטרתם למזער את השפעת האירוע על הארגון. הכנות אלה מתבססות על תהליכי ותוכניות המשכיות עסקית והתאוששות מאסון (BCP ו-DRP), שנערכו ונבחנו זמן רב לפני האירוע.

פגיעה בבטיחות התפעולית ובהמשכיות העסקית

אירוע שקשור לבטיחות תפעולית מהווה סכנה משמעותית, שכן הוא עלול לסכן את חייהם של אנשים שנמצאים בקרבת המכונות – טורבינות, דודי קיטור, גנרטורים חשמליים וכו'… – או את אלה של המשתמשים במוצר שלו, ולא משנה אם הוא בעולמות המים, החשמל, המזון, התרופות, המשקאות או בכל תחום אחר. לפיכך, הקפדה על הבטיחות התפעוליות וההמשכיות העסקית חייבת להיות בראש רשימת העדיפויות של כל ארגון.

לאחר אירוע סייבר, המפעל עלול להיות מושבת במשך ימים, שבועות או חודשים. אם האירוע יסב לו נזק משמעותי, ייתכן שיהיה צורך לבנות אותו עם מכונות ומערכת בקרה חדשות. כדי למזער את הפגיעה שנגרמת על ידי תקיפת סייבר ישירה על המערכת התפעולית או מערכות המידע, התגובה לאירוע כזה חייבת להיות מתוכננת ומתורגלת היטב.

תכנון תגובה לאירועי סייבר אמור להיות מנוהל על ידי הצוות המנוסה ביותר בארגון, ויש לתכנן אותו בתיאום הדוק עם תכנון ההמשכיות העסקית וההתאוששות מאסון. ללא הכנה קפדנית, תוקף מיומן יכול להצליח לחדור למערכות הארגון ולפגום בתפקודו

איתור הפגיעה ובחינה של נתיב ההתקפה

בחינה של אירוע סייבר כרוכה בזמינות של אנשי מקצוע ובשימוש בכלים טכנולוגיים. תהליך זה נועד כדי לברר את היקף האירוע: אילו אזורים, פונקציות, רשתות, מערכות משנה או יישומים הושפעו מהאירוע. חשוב לזהות בהקדם את הכלים ואת שיטות התקיפה שבהם ההאקרים השתמשו, אילו פגיעויות נוצלו ועוד. יש לזהות את חלקי המערכת שנפגעו ומיד לבצע פעולות יזומות, שמטרתן לעצור את התקיפה. שלב זה חייב לכלול גם דיווח פנים ארגוני ובו פרטים מדויקים ונכונים אודות האירוע.

ביטול הפגיעות וחזרה לפעולה רגילה (Remediation and Restoration)

לאחר התייעצות עם מומחים נדרש לבצע בהקדם הסרה של התוכנה הזדונית או הקובץ הזדוני מהמערכת. פעולה זו כוללת עבודה יסודית, ולעתים התייעצות עם הספק של המערכת. נדרש לוודא שהקובץ או התוכנית המזיק.ה הוסר.ה באופן מוחלט. תהליך זה כולל ניתוח יסודי של הנתיב שגרם לאירוע (Root Cause Analysis – RCA), שמתבצע לאחר איסוף כל המידע הזמין הקשור לאירוע. בעקבות האירוע, הארגון חייב להוביל חקירה פנימית יסודית הקשור לאירוע, ולעיין בתהליכי ה-BCP, ה-DRP וה-IRP שמיושמים בארגון.

תכנון מראש של תגובה לאירוע סייבר יסייע לארגון להיות מוכן טוב יותר לתקיפה שעלולה להגיע, במטרה למנוע פגיעה באנשים ונזק חמור לציוד חיוני. הכנה לאירוע תאפשר לארגון להכיל את ההתקפה ולהתאושש מהתקרית במהירות וביעילות. לאחר השלמת התהליך נדרש לדווח באופן מפורט על האירוע, כולל לגורמים חיצוניים – בהתאם למדיניות החברה ולחוק.

הכותב הינו יועץ אבטחת סייבר ויו"ר הכנס ICS CYBERSEC 2022 מבית אנשים ומחשבים. הכנס יתמקד באופן פרטני בנושאים אלה ויכלול מרצים מישראל ומחו"ל. האירוע יתקיים בלאגו בראשון לציון ביום א', ה-20 בנובמבר. משתמשים במערכות ואנשי יכולים להירשם אליו ללא עלות בקישור זה.