האם אנחנו מגינים נכון על מערכות תפעוליות ICS-OT?

מרבית הארגונים בעולם שמפעילים מערכות תפעוליות, עושים זאת בהתאם לתקנים הישימים עבור התחום שבו הם עוסקים. באופן דומה, גם בארץ מרבית הארגונים מקבלים תקנים כתובים כגון: תאגידי מים פועלים בהתאם לתקן של רשות המים, ספקי אנרגיה פועלים בהתאם להנחיות של משרד האנרגיה, ארגונים תעשייתיים שמשתמשים בכימיקלים כפופים להנחיות של המשרד להגנת הסביבה, ועוד.

למרות עיסוק אינטנסיבי בנושא זה במהלך 12 שנים האחרונות (מאז אירוע סטוקסנט), מסמכי תקנים יצרו עבודה ועלויות, אבל לא השיגו הגנה מושלמת

במקביל לאלה יש את גם ההנחיות של מערך הסייבר הלאומי (מס"ל). מי שלא מסתפק באלה, יכול לעיין בתקן 62443-ISA, CIP-NERC, מסמכי 800 NIST ועוד.

נשאלת השאלה: האם כך נשיג הגנת סייבר? למרות עיסוק אינטנסיבי בנושא זה במהלך 12 שנים האחרונות (מאז אירוע סטוקסנט), מסמכי תקנים יצרו עבודה ועלויות, אבל לא השיגו הגנה מושלמת.

היכן הבעיה ומה ניתן לעשות?

למרבית הארגונים אין את הכוח האדם, וגם אין תקציבים כדי ללמוד ליישם את התקנים באופן מלא. כידוע, תקיפות עלולות להתרחש על ידי חדירה פנימית כאשר התוקף יכול לגשת למערכת, באמצעות תקיפה חיצונית דרך רשת האינטרנט, וכמובן חשוב להתייחס לסיכונים של שרשרת האספקה וגם לסיכונים שנוצרים על ידי פעולה בלתי אחראית של עובד חברה, כפי שפורסם לאחרונה.

אין ספק שהתייחסות לנושא חשוב זה דורשת מקצוענות בתחום של מערכות בקרה, תחום של אבטחת סייבר, הגנה היקפית ועוד.

ממה אנחנו חוששים עבור המערכת?

כדי להתמודד עם אתגר זה חייבים להתחיל בהגדרת הבעיה באמצעות 6 שאלות ברורות:

• להעריך  באופן אחראי מי עלול לתקוף את הארגון שלנו? כאן, לפי תקן 62443 ISA מוגדרות ארבע רמות של תוקפים.
• מה רמת הנזק הצפוי לארגון עקב האירוע? הנזק חייב להימדד באמצעות כסף או פרמטר מוחשי אחר, ולא מומלץ להשתמש בפקטור כפי שכתוב בחלק מהתקנים.
• איזה חולשות ידועות עלולות להיות מנוצלות על ידי תוקפים? זו שאלה שדורשת התייעצות עם מומחים.
• מה עלול לקרות עקב מתן הרשאה להתחברות מרחוק?
• אלו חולשות בשרשרת האספקה של הארגון עלולות להוביל לאירוע?
• אלו פעולות שגויות של גורם מורשה עלולות להוביל לאירוע?

אם התייחסתם באופן רציני לששת הסעיפים הללו – עשיתם צעד ענק לקראת הקטנת הסיכונים והנזקים עקב תקיפה.

כיצד נכון ואפשרי להתגונן בפני הסיכונים?

לא אבקש מכם לקרוא מאות וגם לא עשרות עמודים בתקנים, אלא את התייחסותכם לתריסר הסעיפים המפורטים להלן.

ברור כי אין כאן כוונה להשיג הגנה מושלמת, אבל ניתן להשיג התקדמות מרשימה, אם ההנהלה תדון בנושאים אלה:

• ביצוע הסקר והערכת סיכונים תקופתי בהתאם לתהליך מוגדר באופן פרטני עבור הארגון.
• ביצוע הפרדה בין רשתות IT ל-OT וגם הפרדות בתוך רשת OT. גם אם אין כאן פתרון מושלם, האמירה "כל המרבה הרי זה משובח" מתאימה בהחלט.
• ביצוע הקשחה של התקנים בהתאם להנחיות היצרנים.
• ביצוע פיקוח לגבי כל התחברות מרחוק לצורך תחזוקה.
• מניעה של התחברות זדונית על ידי חסימה של פורטים לא נחוצים.
• ביצוע נעילות בתוכנות בפני שינויים אפשריים.
• הגנה פיזית והיקפית ובהתאם לאפשרי.
• אם נדרש, ביצוע קישוריות מאובטחת לענן המופעל על ידי ספק אמין.
• הטמעה של פתרונות שימנעו פעולה שגויה על ידי גורם מורשה.
• הקפדה על קיום תרגולים לטובת היערכות מראש לאירוע ותגובה לאירוע.
• איסוף רשומים והתרעות מהמערכת בחדר הבקרה ומאתרים מרוחקים.
• ביצוע הדרכות לעובדים בכל הרמות על סיכוני סייבר ותגובה לאירוע.

ארגון שייתייחס ברצינות והקפדה הולמת לסעיפים הנ"ל – יצליח להגן על המערכות טוב יותר ולהקטין את הסיכון לנזק.

הכנס השביעי הבינלאומי ICS CyberSec⁷ 2022 של אנשים ומחשבים, יתמקד באופן פרטני בנושאים אלה ויכלול מרצים מישראל ומחו"ל. הכנס מתוכנן להתקיים בלאגו ראשל"צ ב-20 בנובמבר 2022. 

לפרטים נוספים והרשמה לכנס – לחצו כאן

הכותב הוא יועץ אבטחת סייבר ויו"ר הכנס ICS CyberSec⁷ 2022