האם פגיעות דיגיטליות יגרמו לנזקים הדומיננטיים במלחמה הבאה?

מנופי ענק שיוצאים משליטה ומשליכים מכולות לים… מערכות כבישים שמשתבשות ויוצרות כאוס אדיר… מי שתייה מזוהמים (מזה כבר קיבלנו טעימה בשנת 2020)… ניתוק מוחלט מהאינטרנט… זו איננה סצנה מסרט אפוקליפטי וגם לא דיסטופיה מעוררת פלצות מבית נטפליקס. סיכוי סביר שבעתיד, מלחמות לא יהיו מה שהכרנו. טילים? כן, אבל גם התמונה שלעיל, משולבת בניתוק ממושך מתשתיות קריטיות כמו חשמל, מים ואינטרנט. כמה זמן אנחנו בעצם יכולים להסתדר בלי מזגן ואינטרנט? איך תיראה המלחמה הבאה, ולמה? עולם הטכנולוגיה התפעולית – ה-OT (ר"ת Operational Technology) – הוא מה שמכונה "העולם הישן".

מכונות הייצור במפעלים והמערכות הקריטיות הגדולות (מרמזורים ועד תחנות כח) בסופו של דבר מנוהלות בידי מחשבים. אלה מערכות המצויות בתשתיתם של גופים מכל מגזרי המשק – מפעלי ייצור (תרופות, מזון, מוצרי צריכה), יצרני חשמל, חברות המים, מערכי בקרת תנועה, שדות תעופה וכיוצא בזאת. האם בשנת 2023 התשתיות הללו מוגנות?

מהצד השני, בעולמות ה-IT, הטרנספורמציה הדיגיטלית של העשור האחרון הפכה כמעט את כל הפעולות שלנו למבוססות דיגיטל. פעולות בקופת חולים, העברת בעלות על רכב, תשלום מסים… כל זה שינה את "משטח התקיפה", והופך את הפגיעה הפוטנציאלית בעורף לכזו שמתבטאת בפגיעה דיגיטלית אשר תשפיע ישירות על האזרחים.

לב העניין הוא מערכות פשוטות לכאורה, שבטכנולוגיה שלהן, כאמור, לא הושקעו עד היום משאבי אבטחה מספקים וזו בעיה שיש לתת עליה את הדעת

אז נכון, אנחנו רואים בכל מקום טכנולוגיות סייבר מתקדמות, אבל מה שנסתר מהעין הוא ש"בעולם הישן" התקיימה הפרדה מוחלטת בין רשת ה-OT לרשת ה-IT. הפרדה פיזית זו יצרה הגנה מובנית בעצם הניתוק של רשתות ה-OT מהעולם החיצון. אבל אליה וקוץ בה: עולם הסייבר ב-IT התקדם שנות אור יחסית לתשתיות ה-OT, שנשארו מאחור. כדי להמחיש כמה מאחור, בחלק לא מבוטל מרשתות ה-OT עדיין משתמשים ב-WinXP ו-Win7.

בעבר היו מתקפות הסייבר בעיקר בגדר "אצבע בעין". למשל, שקופית עם דגל פלסטין באתר האינטרנט התדמיתי של הארגון, עם כיתוב מאיים כלשהו. מעצבן, אבל לא משבית מפעילות.

בהמשך התפתחה תעשיית מתקפות כופר, בה השתלטות על מידע או הצפנתו גרמה לארגונים לנהל מו"מ מול מאפיה מאורגנת. מעצבן? כן. כואב? גם. אבל נקודתי, ובעיקר בעל השפעה עסקית. השלב הבא הוא מתקפות מסוג סטוקסנט (Stuxnet) שהעלו לכותרות את האפשרות למתקפות סייבר בין מדינתיות על תשתיות קריטיות מבודדות. וזו כבר לא אצבע בעין ולא מתקפה עסקית, אלא מלחמה. ראינו את זה ממש לאחרונה במלחמת רוסיה-אוקראינה, בה הפילו הצדדים אתרי ממשל והשביתו מערכות מבצעיות זו של זו.

השלב הבא מאופיין בחזרה אל "התשתיות הפשוטות", ובו המכונות "באות אל קדמת הבמה" ובשילוב עם טכנולוגיה, כמובן, הן אלה שמהוות את החוליה החלשה בתרחיש המלחמה.

הרס ומצב דיסטופי ולא בסדרה של נטפליקס. צילום: אילוסטרציה. ShutterStock

מתקפות הסייבר המתוחכמות, עולות רמה

העולם החדש מציע שפע של אפשרויות טכנולוגיות ונוצר בו חיבור בין IT ל-OT. למשל, תמיכה מרחוק (בעיקר לאור הקורונה) וחיבור למערכות שליטה ובקרה ארגוניות גלובליות. מרגע שזה קרה, הפך העולם הישן, ה-OT, למושא תקיפה. ובזה החידוש המסוכן.

מתקפת סייבר זדונית על תשתיות קריטיות יכולה להיות הזויה יותר מכל מה שניתן לדמיין – ממכונות ייצור שיפסיקו לפעול דרך מכוניות שיישלטו מרחוק ועד למטופלים שיקבלו תרופה במינון גבוה פי 10 מהרשום.

וכל זה נוגע גם לטכנולוגיית הענן הכל כך נפוצה (מי אמר נימבוס?). כשמערכות מחשוב נמצאות "בחוץ", לא בטוח שתמיד ניתן יהיה להגן עליהן מפני מתקפות סייבר זדוניות.

מומחי האבטחה, מצידם, מפתחים ללא לאות מנגנוני הגנה ופתרונות מתקדמים בתחומי ניהול הרשאות גישה והזדהות כמו MFA (ר"ת Multi Factor Authentication) ואינסוף שיטות חכמות של מבחני חדירה (PT) וכיוצא בזאת. אבל אין מנוס מכך שמתקפות אמיתיות ומשמעותיות גם יצליחו, בסופו של דבר. לב העניין הוא מערכות פשוטות לכאורה, שבטכנולוגיה שלהן, כאמור, לא הושקעו עד היום משאבי אבטחה מספקים וזו בעיה שיש לתת עליה את הדעת.

חשוב לזכור כי מדינת ישראל מפעילה מספר גופי הנחיית סייבר, כמו מערך הסייבר הלאומי, המלמ"ב ואחרים, וכי היא משקיעה לא מעט בפעולות לשמירה על בטחוננו. אבל חכם יהיה לוודא כי הגופים הקריטיים במדינה מיישמים את מדיניות ההגנה ומשקיעים את המשאבים במקומות שהוזנחו במשך שנים.

חובה על הרגולטורים לוודא שמשאבים מספיקים מוזרמים לחיזוק ההגנות ברשתות ה-OT ולחייב עמידה בתקינה על מנת לייצר הגנה עלינו, האזרחים, מפני הפגיעה החדשה בעורף, הפגיעה הדיגיטלית.

הכותב הוא מנכ"ל סמארטסופט, מקבוצת יעל