"החדשנות מביאה סכנות חדשות לעולם ה-OT"

"יש כמה מגמות שאפשר אולי להגדיר אותן גם ברמת השיווק, אבל הן מתרחשות בפועל, ואחת מהן היא השילוב של ה-OT עם ה-IT – והחדשנות מביאה אותנו לשם. בעבר ה-OT היה כמו אי מוגן באוויר. בעבר. כיום החיבור הזה כמובן מביא סכנות חדשות לעולם ה-OT, ואנו, אנשי אבטחת המידע, שואלים את עצמנו איך אנחנו מתמודדים עמן ואיך אנחנו מגינים על היקום הזה שיש בו בקרים שיכולים ליפול אם רק מסתכלים עליהם…" אמר עידו ברנה, מנהל עסקים ומכירות של חברת פורסקאוט לאזור ישראל ומדינות הבלקן.

לפי ברנה, שדיבר על במת אירוע ICS-Cybersec 2019, המופק זו השנה הרביעית על ידי אנשים ומחשבים, רק ב-2019 צורפו לרשתות הארגוניות באופן גלובלי יותר מ-900 מיליון התקנים, ורובם בצד של המערכות התפעוליות. "זה אומר שזה לא התקנים מבית ספר ישן. זה גם אומר שהחדשנות של ה-IT מתחילה להגיע ל-OT, אבל עם בעיות רבות, שאחת מהן היא שאין לי מיפוי של כל הנכסים, ואני לא יודע מה קורה בהם. מדובר באתגרים די דומים לאלו של עולם ה-IT, ומכיוון שאנחנו חזקים בעולם ה-IT אנחנו נותנים את המענה הזה גם ל-OT", הוא סיפר.

לדבריו, הנראות היא זו שמאפשרת את ההגנה המקיפה על כל התחום. "אנחנו נותנים את הפתרון מקצה ה-IT לקצה ה-OT דרך הענן ודרך מרכזי הנתונים. זהו פתרון מוכח, ואנו נמצאים בכל ורטיקל, כולל בריאות ומזון. זהו פתרון שנותן נראות אמיתית בזמן אמיתי, עם שמירה על רצף עבודה במיוחד במערכות הקריטיות", סיכם ברנה.

ניתוח פרוטוקולים דרך עיני ההאקר

דייויד שיפמן, יו"ר ומנהל טכנולוגי ראשי של ת'ינקסייבר, סיפר על הדרך שבה החברה שלו עוזרת לנתח את הפרוטוקולים של מערכות ICS ו-SCADA דרך עיני ההאקר דווקא. "פיתחנו סימולטור, שאפשר לאמן באמצעותו את השימוש ב-SCADA. זה עולם רחב ומתרחב ואנחנו שמים לב שאנשי הפיתוח לא מצליחים לשמור על קצב עם אנשי האבטחה. כשניגשנו לעולם ההדרכה הבנו, שאנחנו חייבים להביא את הדבר האמיתי, וזה בדיוק מה שעשינו. עולם ההדרכה משלב עוד ועוד מחקר, כי כל הזמן יוצרים דברים חדשים ויש התקפות חדשות, ואנחנו חייבים להיות בקדמה, גם ב-SCADA", הוא אמר.

דייויד שיפמן, יו"ר ומנהל טכנולוגי ראשי, ת'ינקסייבר. צילום: ניב קנטור

לדבריו, מעבר להדרכה שהמערכות של החברה מספקות, הן יכולות לשמש חברות שרוצות לבדוק האם המערכות שלהן אכן מוגנות באופן רלוונטי. "כל הפתרונות שאפשר לדבר עליהם צריכים לנסות מול ההדמיות שלנו – כי אם לא עוקפים את הבעיות עכשיו, הדבר יוביל להתרחשות בעתיד. פיתחנו לתוך הסימולטור תבנית מערכתית שלמה, שיודעת להתחבר לתוך הרשת כדי לבצע תקיפות בצורה אוטומטית לחלוטין", סיפר שיפמן.

מעבר להדרכה, ציין שיפמן, כי על הארגונים חובה ללמוד איך המערכות פרוסות ומתפקדות. "צריכים להגיע לנקודה שבה יוצרים מעטפת, שכל מי שמתעסק עם המערכת חייב להכיר וחייב לדעת איך מתחברים אליה. פעמים רבות זה מה שיכול למנוע את ההתקפה הבאה. זה עניין של זמן עד שיימצאו חולשות גם בהתקנים החדשים, צריך להיות ריאלי, ולכן צריך לקחת את הנושא הזה מאוד ברצינות", אמר לסיום.

מחקר על בקרי סדרת ה-S7 של סימנס

ד"ר שרה ביטן, חוקרת בכירה במרכז לחקר אבטחת הסייבר על שם הירושי פוג'יארה בטכניון, סיפרה על מחקר שביצעו בבקרי סידרת ה-S7 של סימנס כדי לאתר חולשות עיקריות. "מערכות תפעול לפעמים מבוזרות על פני שטח של קילומטרים רבים, ולפעמים מכילות מאות ואלפי בקרים. הבקר מעניין אותנו כתוקפים, כי הוא מספק את יכולת המעבר מעולם הסייבר הווירטואלי לעולם הפיזי כדי ליצור פיגוע", הסבירה ביטן את סיבות המחקר.

ד"ר שרה ביטן, חוקרת בכירה במרכז לחקר אבטחת הסייבר על שם הירושי פוג'יארה, הטכניון. צילום: ניב קנטור

היא סיפרה כי הדרך להיכנס לבקרים היא באמצעות הממשק שלהם. "לבקר יש שני ממשקי תקשורת עיקריים: אחד HMI לכיוון הבקרה והשני לכיוון תחנת ההנדסה, שאותו מנצלים, כמו ש-Stuxnet עשתה כשחדרה לבקר S7-300 של סימנס, עם השתלטות מוחלטת על הבקר, וברגע שיש תחנת הנדסה – זה נכס", היא אמרה.

ביטן הסבירה, כי ברגע שיש נגישות לאיזושהי מכונה, ולא משנה אם זה בקר או PC בתוך ה-ICS, ניתן להתקין את כלי התקיפה ובאמצעותו לתקוף את הבקר. "מישהו אמר Windows XP? היום כבר אפשר לומר שגם מערכת Windows 7 הגיעה לסוף חייה, והיא עדיין מותקנת במפעלים רבים", היא הזהירה.

מדוע נבחר הפרוטוקול של S7? "כי סימנס היא היצרנית הראשונה שהכניסה הגנה קריפוטגרפית. הם גם הוסיפו מנגנון מבוסס סיסמאות ל-PLC. אנחנו באקדמיה רצינו, כמובן, את הבעיה היותר מאתגרת. לא בדקנו בקרים של יצרניות אחרות. אני פותחת את האפשרות הזאת בפני כל יצרן בקרים כדי לבצע בשמחה מחקרים עבור יצרנים שונים", ציינה לסיום.