"אי אפשר לנתק בין ה-IT ל-OT – נדרש לתת להם פתרון אבטחה אחד"

"הבידוד בין המערכות התפעוליות (OT) ל-IT אינו אפשרי יותר. ההסתכלות המנותקת והנפרדת על המערכות הללו לא צריכה להיות עוד קיימת, ויש לראות אותן במובן הרחב יותר ולתת פתרון אחד לאבטחה שלהן", כך אמר יוחאי כורם, סגן נשיא סייברביט (Cyberbit) לאזור EMEA.

כורם דיבר במסגרת פאנל שנערך כחלק מכנס ICS CyberSec של אנשים ומחשבים, שהתקיים באחרונה במרכז הכנסים LAGO בראשון לציון, בהנחייתו של דניאל ארנרייך. לצדו השתתפו בפאנל רחל רוזנמן מ-Waterfall Security Solutions; יגאל גואטה מ-SCADAsudu; ערן גולדשטיין, מייסד ומנכ"ל Critifence; ושי שובל, מנמ"ר תאגיד הגיחון, שאחראי על המים והביוב בירושלים.

יצוין כי כורם אמר את הדברים בתשובה לאחת השאלות שנדונו בפאנל, שנסבה סביב הסיכונים שיש בשילוב שבין ICS (ר"ת Industrial Control Systems) ל-IT ומה ניתן לעשות כדי לפתור אותם.

רוזנמן השיבה לכך באמרה כי "שתי גישות רווחות על מנת להתמודד עם זה הן לתת לכולם גישה למערכות או לא לפתוח אותן בכלל. אלא שיש גישת ביניים בדמות מערכת שמאפשרת להוציא מידע החוצה אבל לא מספקת לכולם גישה פנימה".

גואטה אמר כי "ב-ICS, מה שחשוב הוא התהליך ופחות הרשת. הרשת והסייבר צריכים לתמוך בתהליך. צריך לבדוק, יחד עם אנשי הביזנס בארגון, האם יש קישוריות בתהליך או לא, ולהבין את הצורך. קישוריות ניתנת לביצוע בהרבה שיטות, ואנשי ה-OT יכולים ללמוד על כך מאנשי ה-IT, אבל לא כולן מתאימות לכל ארגון. ברגע שיודעים מה הצרכים – זה מקל על הפתרון. הדבר הכי חשוב הוא סנכרון ושיח בין מערכות ה-IT וה-OT".

לדברי גולדשטיין, המענה מתחיל בהבנת הבעיה – "הן מצד אנשי ה-OT והן מצד אנשי ה-IT, הן מבחינת הניתוח והן מבחינת הבנת הצורך. חשוב להבין מהם הצרכים ומה המערכת אמורה לספק למשתמשים השונים, ומשם לצאת לדרך להגדרה ואפיון של הבעיה".

הוא ציין מספר שינויים נוספים שיש לבצע, בהם בהתייחסות לתרחישי התקיפה, בהינתן העובדה שיש מתקפות סייבר שרלוונטיות יותר לתשתיות מסוימות מאשר לאחרות, ולהגדיר ולאפיין מחדש את מדיניות האבטחה. "אם עד היום היינו רגילים להתייחס רק ל-וקטורי תקיפה של IT, כיום מבינים שצריך להסתכל על הבעיה בצורה כוללת, לראות איך ניתן להגן על תשתית קריטית מפני סייבר ולהגדיר מחדש את הפתרונות המיושנים יותר, על מנת שיוכלו להכיל מתקפות על מערכות ה-OT", אמר.

האם ניתן להרחיב את מערכות ה-ICS עם IIOT מבלי להסתכן?

שאלה אחרת עסקה בהרחבת מערכות ICS עם רכיבי אינטרנט תעשייתי של הדברים (IIOT) ובאופן שבו ניתן לבצע זאת מבלי לייצר סיכוני סייבר נוספים. כורם אמר ש-"אי אפשר לעשות זאת, משום שהסייבר הוא חשוב אבל לא היחיד שקובע את האסטרטגיה של החברה. הסיכון הוא לא גדול מאוד, אם כי הוא גדל בסביבת ה-OT, שהפכה להיות מחוברת יותר לעולם בלי שהתכוונו לכך וצריך לוודא שבזמן קצר, ארגונים סוגרים פערים בתחום".

רוזנמן ציינה ש-"התעשייה הולכת ל-IIOT. חברות מציעות פתרונות ופלטפורמות אבל לקוחות מהססים לרכוש אותם, בעיקר עקב אבטחת מידע".

גואטה הזהיר ש-"ההגדרה של IIOT לא מובנת די צורכה ולכן גם האיומים". לדבריו, "אי אפשר לתת פתרונות אם לא מבינים את המטרייה ואת הבעיה. יש כיום חוסר גדול מאוד בהבנת האיומים. הדבר הראשון שארגונים צריכים לעשות הוא להעביר את האנשים שמתעסקים בהגנה הדרכות, ואז הם יוכלו לבחור את הפתרונות. לפני שבוחרים את הפתרון, צריך לנסח מדיניות איך מתמודדים עם האיומים".

גולדשטיין דיבר בהקשר זה על שירותי אנליזה. "העלות, השרידות וקלות ההטמעה של הפתרונות משתנים מעט, לפי הצורך. דבר שמסוגל לתת מענה לכך הוא היעזרות בשירותי אנליזה – בין אם מדובר על ניהול סיכונים או על שירותים שמספקים עומק ראשוני ומסוגלים לספק את הפתרון המתאים ביותר עבור הרכיבים".

חברי הפאנל התייחסו גם לכך שמתן גישה מרחוק למערכות בקרה מהווה סיכון סייבר, ולמה שניתן לעשות כשהפעולה דחופה ואין דרך להימנע מכך. "השאלה היא איך מנטרים את הסיכון", אמר כורם. "המהות היא לא לראות מה קורה, אלא לזהות שמה שקורה אכן מתאים".

לדברי גולדשטיין, "יש חשיבות גבוהה להבנה מה הולכים לעשות, כדי לדעת באיזה פתרון להשתמש. ביצירת מערך אבטחה להפעלת מערכות מרחוק, בדרך כלל משתמשים ברשתות מפורזות. מבחינת הכרייה, הפתרון הוא פתיחת מידע חד כיוונית. יש להפריד זאת מרשת הבקרה ולשלוח את הנתונים על מנת שיהיו זמינים למשתמשים. חשוב להבין למה פותחים גישות למי לפני שבאים לייצר פתרון".

שובל ציין בהקשר של הגישה מרחוק את החשיבות שבניהול סיכונים וארנרייך אמר ש-"אין לאפשר גישה מרחוק למערכות SCADA, אלא אם כן זה מיועד להצלת חיי אדם".

מה צופן העתיד?

השאלה האחרונה עסקה בנעשה בעתיד – מה הוא צופן ולאילו סוגי תקיפות על ארגונים להתכונן. גואטה השיב כי "אנחנו לא יודעים והנבואה ניתנה לשוטים, אבל ניתן לראות מה קורה מסביב. רואים שימוש במאות מיליוני רכיבי אינטרנט של הדברים ואנחנו מתקרבים בצעדי ענק למחשוב לביש, עם מכשירים שיהיו להם חיבורים שניתן יהיה להשתלט עליהם".

הוא אמר ש-"מי שלא ילמד את השפה החדשה של אבטחת המידע ולא יבין אותה לעומק – יישאר מאחור ולא יצליח לנהל את הביזנס שלו. ארגונים צריכים להבין איך הדברים קורים ואיך מתגוננים מפניהם, כי המתקפות והאיומים עומדים לגדול בצורה אקספוננציאלית".