עליית ה-Disruptionware: באזוורד עם פוטנציאל השפעה הרסני

מודלים "משבשים" הם מושג מקובל במצגות המשקיעים של סטארט-אפים רבים. אבל בעולם הייצור, התחבורה, האנרגיה ותשתיות אחרות, לשיבוש תהליכי יצור ואספקה בעקבות מתקפת סייבר עלולה להיות השפעה הרסנית על מעגלים רחבים סביב פעילותה של החברה.

התפיסה הישנה של קוד זדוני המאיים על מערכות לצורך השגת רווח עדיין קיימת, אבל סוג חדש של התקפות שאנו מכנים "disruptionware" מהלך אימים על סביבות מערכות בקרה תעשייתיות (ICS) וטכנולוגיות תפעוליות (OT). התקפות אלה הופכות למשמעותיות יותר בגלל השיבוש המיידי שהן עלולות לגרום, לרבות פגיעה בבטיחות העובדים.

דו"ח משותף של פורסקאוט והמכון לטכנולוגיות תשתיות חיוניות (ICIT), גוף חשיבה לאבטחת סייבר, הפועל מוושינגטון, בוחן את המגמה המדאיגה. הדו"ח, שפורסם תחת הכותרת "The Rise of Disruptionware: A Study on How Disruptionware Like LockerGoga Significantly Impacts Critical Infrastructure", בוחן את תבניות ההתקפה כנגד מגזרי תעשייה חיוניים, כגון ייצור, כולל תוכנות כופר, קוד זדוני למחיקת דיסקים וקוד זדוני בעל השפעות משבשות.

להלן כמה נקודות מרכזיות והסיבות המיידיות לחשיבותו של הדו״ח:

מחדשים את רצפת הייצור ושוכחים את אבטחת הסייבר:

• מישור ההתקפה היה צר הרבה יותר כאשר התוקף נדרש לפרוץ קירות או לחתוך גדרות כדי להגיע לרשת המפעל. היום, ארגונים עושים השקעות אדירות בציוד חדש, המתחבר לאינטרנט – שבאמצעותו ניתן לבצע מגוון פעולות. עדכוני המערכת האלה, המתחברים לאינטרנט ולרשתות IT מסורתיות, שינו את משוואת הסיכון באבטחת הסייבר, מכיוון שהם מכניסים למשוואה אלמנט של פריצה מרחוק.
• בעולם ה-IT הטיפוסי, ניתן לאחזר קובץ או מחשב נייד שנפגעו מתוכנת כופר הודות ליכולות גיבוי ואחזור חזקות. אבל לפסי ייצור במפעל או למשאבות מים שנפגעו מקוד זדוני או מפגיעה היקפית של מתקפת סייבר אין את המותרות האלה – אי אפשר לבצע במקרים כאלו אחזור באמצעות גיבוי מהענן. ללא גיבוי, המשמעות של מתקפת הסייבר היא שיבוש מיידי של השירותים, בעיות רגולטוריות ופגיעה כספית.

הרבה יותר ממטרד

• Disruptionware הוא הרבה יותר מאשר מניעת שימוש במערכות ונתונים. משמעותו השבתת פעילות, הפסקת הרציפות ופגיעה ביכולת של עסקים לנהל פעילות, לאסוף משאבים ולספק את תוצרתם.
• בשנה האחרונה, תוכנות כופר ברמת תחכום נמוכה יחסית, כגון LockerGoga, פגעו במגוון תעשיות. חברת ייצור שנפגעה מהקוד הזדוני העריכה את הפגיעה הכספית ביותר מ-40 מיליון דולר בגין השבתה של שבוע בלבד.
• הערכתנו שגל של disruptionware ימשיך לפגוע בתשתיות חיוניות במגוון יעדים, לרבות דרישת כופר, גניבת ומכירת נתונים, השארת דלת אחורית להתקפות המשך או השבתת פעילות לפרק זמן שיאפשר לחברה מתחרה לקבל חוזה נחשק.

המלצות לשיפור העמידות

• במזעור סיכוני ה-disruptionware, התהליכים הבסיסיים הם החשובים ביותר. בנוסף, חברות תשתית, חברות הובלה ימית ומפעלים נראות לכאורה שונות בסוג פעילותן, אבל למגזרים האלה יש יותר במשותף מאשר נראה לעין.
• מפעילים צריכים להבין כיצד ציוד פיסי, מערכות בקרה, IT משרדי וציוד אחר פועלים זה עם זה ועם האינטרנט, להיות מודעים ולאתר "נקודות מתות" ברשת. הם גם צריכים להבטיח כי חיבורי הרשת המשתנים במהירות מחולקים כראוי לסגמנטים, ולחפש אחר תבניות בפעילות הרשת, העלולות להצביע על כניסה בלתי רצויה. גורמי סיכון נוספים כוללים פרצות הקיימות אצל ספקים ושירותים חיצוניים, וכן "network drift" – מכשירים שאינם מנוטרים, המתחברים אל הרשת הפנימית.

בפורסקאוט אנו נתקלים ברבים מהאתגרים האלה, מכיוון שאנו תומכים בארגונים מהגדולים בעולם המפעילים סביבות ICS ו-OT. בעולם זה, כל סוג של השבתה או שיבוש, אפילו כתוצאה משגיאות או התרעות דמה, עדיין גורם לפגיעה. אבל יש דרך לוודא אבטחה ומודרניזציה של התעשיות הרגישות האלה, גם תוך שילובן של טכנולוגיות חדשות.

הכותב הוא סגן נשיא ו-CTO לתשתיות גלובליות חיוניות, מערכות בקרה תעשייתיות וטכנולוגיה תפעולית, פורסקאוט.