דעות וניתוחים

הגנה על מערכות תפעוליות ותשתיות מדינה קריטיות – משימה למקצוענים

העלייה באירועי סייבר נגד תשתיות קריטיות מחייבת הפרדה בין הפחדה לבין מקצוענות ● מחקרים גילו אלפי מערכות חשופות, אך הפתרון טמון בהדרכת כוח אדם מיומן ויישום עשרה כללי ברזל להגנה תפעולית

11:43
דניאל ארנרייך, מומחה ויועץ אבטחה וסייבר לתחום ה-OT ומומחה SCCE-SCADA.
דניאל ארנרייך, מומחה ויועץ אבטחה וסייבר לתחום ה-OT ומומחה SCCE-SCADA.צילום: ניב קנטור

לאחרונה אנחנו נחשפים לפרסומים רבים על גידול ניכר באירועי סייבר נגד מערכות תפעוליות ותשתיות מדינה קריטיות (תמ"ק) בתחומי מים, חשמל, תעבורה ימית, אנרגיה ועוד. פורסמה גם האזהרה של מערך הסייבר הלאומי, ושל איגוד ההיי-טק על כך שבקרים תעשייתיים מהווים יעד למתקפות – מה שמסכן את הרציפות התפקודית של ארגונים במיוחד.

אכן, נכתב נכון שמערכות שליטה ובקרה (שו"ב) רבות בעולם, שנבנו באופן שגוי, חשופות לאינטרנט הציבורי, וכך תוקפים עלולים לפגוע במערכות אלה.

חשוב להדגיש כי הסיכון הגדול לפגיעה בתשתיות קריטיות לא נובע רק מרצון של אויבים ברמת מדינה לפגוע, אלא בעיקר מכך שקיים מחסור חמור במקצוענים שלמדו את תחום אבטחת הסייבר למערכות תפעוליות (OT)

מתגברות באחרונה. מתקפות סייבר על מערכות תפעוליות.

מתגברות באחרונה. מתקפות סייבר על מערכות תפעוליות. צילום: ג'מיני

חברות מחקר רבות דיווחו על גידול משמעותי בתקיפות כופרה נגד מערכות שו"ב, בעיקר כדי ליצור מודעות בציבור לסיכונים, אבל לגבי התחום אין הוכחות על כך שהן נכונות. חשוב להדגיש כי מספר האירועים שהתרחשו בעולם ב-15 השנים האחרונות, שנועדו לפגוע בתפקוד של מערכות שו"ב, אינו גדול, כי תקיפות אלה מבוצעות רק על ידי מדינות עוינות ולא על ידי תוקפים שמטרתם להרוויח כסף קל.

מחקר של חברת Censys, שנערך בסוף 2024, מצא מעל 145 אלף מערכות כאלה שחשופות לרשת האינטרנט (ניתן לבחון זאת על ידי אתר זמין: Shodan), אבל המחקרים שמדברים על תקיפות רבות הממוקדות לפגיעה בתהליך התפעולי אינם מבוססים על אירועים שפורסמו. 

מקצוענים בתחום אבטחת סייבר למערכות תפעוליות, כולל בישראל, מספקים מידע נכון ומדויק וגם פתרונות שניתן ליישם בעלויות נמוכות יחסית. חשוב ביותר שארגוני תמ"ק ותשתיות בישראל יתייחסו בכובד ראש לעשר ההמלצות המפורטות:

  1. הגנה פיזית-היקפית: תבטיחו שגורם לא מורשה לא יוכל לגשת למערכת ולחבל בפעילותה.
  2. קישור מאובטח: מקצוענים לא מדברים על ניתוק בין אזורים, אלא על קישור מאובטח ומנוטר.
  3. חולשות ופגיעות: חשוב שגורם מקצועי יבצע סקר שנתי ויאתר פגמים שנוצרו על ידי פעולה רשלנית.
  4. הדרכות לעובדים: חשוב לבצע הדרכות מותאמות לעובדים במגוון תפקידים וגם לקבלני תחזוקה.
  5. מערכות מאובטחות: חשוב שמבנה המערכות יהיה בנוי באופן מקצועי, כולל ביסוס על עקרונות בתקנים.
  6. תחזוקה מרחוק: מומלץ להימנע, אבל אם חייבים – ניתן לבצע גישה מרחוק באמצעות כלים מקצועיים.
  7. הטמעה של כלי ניטור: מומלץ להוסיף אמצעים לזיהוי מצבים חריגים (IDS) שיכולים לייצר התראה.
  8. תגובה לאירוע: ארגונים נדרשים לתרגל תגובה לאירועים (IR) כמו תקלה, פעולה שגויה או תקיפת סייבר.
  9. היערכות מראש: חובה להחזיק באתרים חלקי חילוף ולהכין רשימה של מקצוענים שיכולים לסייע.
  10. תרגלו את הצוותים: תהליכי תרגול בחדר הבקרה מסוג TTX המותאמים במדויק למערכות של הארגון.

לסיכום: מומלץ לא להיגרר באופן עיוור אחרי פרסומים של חברות מחקר וספקי פתרונות, שמטרתם לייצר דאגה ופחד מבלי לתת פתרונות מותאמים שהוגדרו על ידי מקצוענים בתחום.

אבטחת סייבר על מערכות שו"ב לא חייבת להיות יקרה(!). חשוב להדגיש כי הסיכון הגדול לפגיעה בתשתיות קריטיות לא נובע רק מרצון של אויבים ברמת מדינה לפגוע, אלא בעיקר מכך שקיים מחסור חמור במקצוענים שלמדו את תחום אבטחת הסייבר למערכות תפעוליות (OT). מנהלים שלא מפנים משאבים להדרכות לעובדים מגדילים את הסיכון לפגיעה ברציפות התפקודית של הארגון.

כותב המאמר הוא יועץ ומרצה מקצועי בישראל ומוכר בחו"ל בתחום אבטחת סייבר למערכות תפעוליות עבור תשתיות מערכות ייצור קריטיות ועוד

אבטחת מידעשו"בOTמערכות תפעוליותמערך הסייבר הלאומירציפות תפקודיתתמ"קסייבר על תשתיות קריטיותבקרים תעשייתיים

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים