ארגונים נדרשים ליישם SOC משולב עבור מערכות IT ו-OT

בשנים האחרונות אנחנו נתקלים בפרסומים על פתרונות שהוגדרו כ-SOC-OT, אבל המומחים בתחום מציינים, כי מונח זה מעולם לא הוגדר וגם לא ברור מה תפקידו. לפני שנפרט את מה שנדרש עבור מערכות תפעוליות (Operation Technology – OT), נבהיר, כי המונח SOC  (ר"ת Security Operation Center) מתייחס בדרך כלל למערכת ניטור מתקדמת, שמקבלת אירועים מהתקני SIEM (ר"ת Security Information Event Management), ממערכות תפעוליות נוספות, ממקורות מידע המופצים כחדשות, ממערכות CERT (ר"ת Computer Emergency Response Team) ועוד. לצורך קבלת תמונה רחבה וברורה לגבי מה שקורה בכל רגע במערכות המפוקחות תחת אחריותם, מתקני SOC מאוישים 24/7 על ידי מומחים בשלוש רמות:  Tier 1,2,3. צוותים אלה יכולים להתריע וגם לבצע התערבות יזומה במערכות המידע במטרה לחסום את התקיפה. במאמר קצר זה נפרט מה הקשר בין מערכות SOC לבין הצרכים של ארגונים שמפעילים מערכות תפעוליות.

SOC עבור מערכות תפעוליות

כאן חשוב להבדיל בין סוגי ארגונים שמפעילים מערכות תפעוליות. השיקולים מתייחסים לגודל הארגון, לרמת הסיכון עקב אירוע, לרמת הרציפות התפעולית הנדרשת בתחומי דלקים, מים, חשמל ועוד. ארגונים יכולים להחליט מהו הפתרון הנכון עבורם, כזה שנותן מענה ראוי וגם מתאים משיקולים כלכליים.

ארגונים גדולים – אלה מפעילים מערכות SOC פרטיות לטובת מערכות המידע, ויכולים לשלב את ההתראות שמגיעות מרשת הבקרה (OT) ובפרט ממערכותSIEM  ומערכות IDS (ר"ת Intrusion Detection Systems) ולהציג אותן על מסכים ייעודיים.  כאן חשוב להדגיש, שבעקבות זיהוי אירוע, המפעילים בחדר SOC יידרשו להזעיק בעלי מקצוע בתחום מערכות תפעוליות, אך בשום אופן לא יורשו להתערב כדי לעצור את האירוע. הסיבה לכך לא קשורה למקצוענות של הצוות אלא ההנחיה כי ברוב המקרים התערבות בתהליכים תפעוליים אסורה.

ארגונים בינוניים – בדרך כלל לא יכולים לבנות לעצמם SOC פרטי כפי שעושים ארגונים גדולים, ובסבירות גבוהה הם יעדיפו להיעזר בארגונים חיצוניים המספקים שירותי אבטחה מנוהלים, שיתנו להם שירות בעיקר עבור מערכות המידע, עם אפשרות לשלב גם התראות הקשורות למערכות תפעוליות (OT).

עבור שני המצבים שהוגדרו לעיל, חשוב להדגיש, כי בחדרי SOC (פרטי או של ספק שירות) לא נמצאים אנשים שמומחיותם בתחום התהליך התפעולי שהם מטפלים בו. הם יודעים להתייחס אך ורק להתראות  לפי רמת החומרה שלהם (High, Medium, Low Severity).

ארגונים קטנים – כדוגמה תאגידי מים ביישובים קטנים, מפעילים בדרך כלל מערכות בקרה קטנות עם מרכז בקרה לא מאויש, או מאויש רק במשך שעות ספורות ביום. אלה יכולים להיעזר בארגונים שמפעילים צפייה מרוכזת על מערכות דומות, והם מאוישים 24/7 עם אדם אחד במשמרת.  ניתן לשלב כאן עד 16 מסכים, שכל אחד מראה את המצב שלמערכת בקרה מסוימת. כאן המפעיל יכול לבחון כמה מסכים באמצעות שליטה מרחוק, במטרה להבין את מהות הבעיה ולהזעיק את האדם המתאים לצורך טיפול בבעיה. פתרון זה נוח וגם ישים מבחינה כלכלית. מרכז ניטור כזה נותן מענה מתאים לניטור בלבד. בשום מקרה לא ניתן לקרא לזה SOC-OT, אלא מרכז צפייה מרוכז.

סיכום

הנושאים שפורטו לעיל מאפשרים לכל הארגונים שמפעילים מערכות תעשייה, אספקת מים, חשמל ודלקים לבחון את מה שמתאים עבורם. כמובן, חייבת להיות התייחסות לשיקולים הקשורים לבטיחות של אנשים שנמצאים בסביבה, לרציפות תפעולית ולהקפדה על תהליכים איכותיים לאורך זמן. החלטות לגבי הסוג של מערכות הניטור חייבות להתקבל ברמה של ההנהלה, שמספקת את התקציבים הנדרשים, ולא ברמות הטכניות של הארגון. בהצלחה.

הכותב הוא יועץ ומרצה בתחום אבטחת סייבר למערכות תפעוליות ויו"ר הכנס השנתי של קבוצת אנשים ומחשבים  ICS Cybersec 2026. הכנס יכלול מרצים מובילים ויתקיים באולמי לאגו, ראשל"צ, בתאריך 77.1.2026 לגבי הרצאה בכנס, חסויות והקמת ביתן תצוגה, ניתן לפנות למנהלת הכנס, נועה אפשטיין,  [email protected], או בטל' 050-5697597.