2020 – גידול בהיקף חולשות אבטחה במערכות בקרה תעשייתיות

עלייה של 10% חלה בחולשות אבטחה במערכות בקרה תעשייתיות במחצית 2020, לעומת התקופה המקבילה ב-2019, כך על פי קלארוטי (Claroty).

בדו"ח חדש שפרסמה חברת אבטחת הסייבר התעשייתי, מקבוצת Team8, הפועלת בתחום אבטחת OT, טכנולוגיה תפעולית, עולה כי המגזרים המובילים בהיקף הסיכון לאירועי סייבר הם תעשיות האנרגיה, הייצור, המים והשפכים.

במחצית הראשונה של 2020 איתרו חוקרי קלארוטי, בהובלת אמיר פרמינגר, סגן נשיא למחקר בחברה, 365 חולשות אבטחה במוצרי בקרה תעשייתית, ICS

(Industrial Control System), של 53 ספקים שונים, ביניהם שניידר אלקטריק (Schneider Electric), סימנס (Siemens), רוקוול GE, ו-ABB – בעיקר באתרי חברות הממוקמות בארה"ב, גרמניה וטאיוואן. יותר מ-75% מהחולשות שנמצאו הן ברמת סיכון גבוהה או קריטית. במוצרים שנמצאו פגיעים, הייתה לפחות חולשה אחת שעלולה לאפשר פעילות של גורם בלתי מורשה בגישה מרחוק, או לקרוא נתונים של יישומים, או לגרום למתקפת מניעת שירות מבוזרת, DDoS, או לעקוף מנגנוני הגנה.

נמצאות בסכנה. תשתיות קריטיות של חשמל ומים. צילום אילוסטרציה: BigStock

חולשות האבטחה בעיקר בתשתיות קריטיות

שלושת המגזרים בהם נמצאו הכי הרבה חולשות האבטחה, הם ענפי האנרגיה, הייצור, וכן ענף המים והשפכים, המוגדרים כתשתיות קריטיות על ידי הסוכנות לאבטחת סייבר ותשתיות (CISA). שלושת מגזרים אלה גם הובילו בחולשות אבטחה במחצית הראשונה של 2019, אולם השנה חלו עליות של 45% במגזר האנרגיה ושל 55% במגזר המים והשפכים.

ב-70% מהחולשות שנחשפו במחצית השנה הזו ניתן היה לחדור לרשת מרחוק באמצעות וקטור תקיפת רשת. נתון זה מחזק את העובדה שרשתות ICS מבודדות לחלוטין מאיומי סייבר הפכו לנדירות ביותר, ומדגיש את החשיבות הקריטית של הגנה על מכשירי ICS בעלי ממשק לאינטרנט וחיבורי גישה מרחוק. "המעבר המהיר לעבודה מרחוק בגלל הקורונה, ועימו ההסתמכות המוגברת על חיבורי גישה מרחוק לרשתות", נכתב, "גרמו להחמרת הסיכונים הנלווים".

חמש חולשות האבטחה הנפוצות ביותר מדורגות גבוה ברשימת 25 שגיאות התוכנה המסוכנות ביותר של MITER Corporation ל-2019. זאת, לאור הקלות היחסית בה ניתן לנצל אותן כדי לאפשר ליריבים לסכן את הזמינות, האמינות, המהימנות והבטיחות של אותן מערכות בקרה תעשייתית.

מספר חולשות האבטחה שהתגלו במוצרי בקרה תעשייתית במחצית 2020 גדל ב-10% בהשוואה לתקופה מקבילה אשתקד.

הגידול נגרם, ככל הנראה, כתוצאה מגידול בפעילות גורמים זדוניים, לצד המודעות הגוברת בתעשייה לסיכונים הניכרים הנשקפים מפגיעות ב-ICS, וכתוצאה מכך – התמקדות גוברת של החוקרים וספקי האבטחה בתעשייה בזיהוי ונטרול פגיעויות מסוג זה.

על פי הדו"ח, "כצפוי בעתות משבר, האקרים ניצלו את חוסר היציבות העולמית ואת התזוזות הכלכליות, התרבותיות וההתנהגותיות שגרמה המגיפה, מה שהביא לגידול במתקפות דיוג וקמפיינים של דואר זבל, הקשורים למונחים כמו "קורונה" ו-"Covid19", ויצירת אתרי הונאה שמהם ניתן להפיץ תוכנות זדוניות או לבקש כספים; גידול במתקפות סייבר בכלל וכופרה בפרט המכוונות לבתי חולים ומרכזים רפואיים; עבודה מרחוק, שיצרה פערי אבטחה וסיפקה לתוקפים תשתית מתקפות רחבה יותר כנגד ארגונים רבים – ההאקרים הבינו מהר מאוד שהתמקדות בעובדים מרוּחקים יכולה לספק להם ערוץ גישה לרשתות ארגוניות – ובארגונים תעשייתיים וארגוני תשתיות קריטיות, אף לרשתות OT, ולכן המשיכו לנצל מערכות VPN שלא נסתמו בהן פרצות וחולשות מוכרות של Windows".

תקיפת רשות המים בישראל: משמעותית בעיקר בזמני קורונה

בהתייחס לתקיפת הסייבר על רשות המים של ישראל, באפריל 2020, כתבו החוקרים כי "ניסיון פיגוע הסייבר התמקד במערכות הפיקוד והבקרה של מתקני טיהור שפכים של רשות המים, תחנות שאיבה ותשתיות ביוב בישראל. תשתיות מים אינן נתפשות בדרך כלל על ידי הציבור כיעד עיקרי לסיכון סייבר, אולם שילוב של מערכות מדור קודם, קישוריות הולכת וגוברת וניהול מאוחד, דווקא מצדיקים מתן עדיפות גבוהה לאבטחת הסייבר של משק המים והשפכים. גישה אמינה ובטוחה למים משחקת תפקיד חיוני בחיים המודרניים, וכעת יותר מתמיד לאור מגיפת הקורונה".

"אבטחת רשתות OT והגנה על חיבורי גישה מרחוק הן קריטיות. מומלץ לבצע את הפעולות הבאות – לוודא שימוש בגרסאות VPN תקניות; לעקוב אחר חיבורים מרוחקים, במיוחד חיבורים לרשתות OT ומכשירי ICS ; לאכוף הרשאות גישה מורחבות למשתמש ובקרות ניהוליות; לאכוף אימות רב-שלבי, MFA", סיכמו החוקרים. "כאשר אינם מוגנים כראוי, התקני ICS בעלי ממשק לאינטרנט עלולים לספק לתוקפים מסלול ישיר לרשתות OT ולתהליכים החיוניים שהם עומדים בבסיסם. במקרים רבים, התקני ICS אינם מוגנים באמצעות סיסמה, ומעניקים לתוקפים גישה מיידית ובלתי מוגבלת. יש לוודא כי כל התקני ה-ICS המחוברים לאינטרנט מוגנים באמצעות סיסמה וכי מתבצעת אכיפה מחמירה בנושא; יש ליישם גישה ניהולית מבוססת תפקידים ומדיניות, עבור כל ההתקנים והמערכות המחוברות; יש לאבטח את כל חיבורי הגישה מרחוק באמצעות מנגנונים כמו הצפנה, רשימות לבקרת גישה, וטכנולוגיות גישה מרחוק המתאימות לרשתות OT; יש להקפיד על שיטות העבודה המומלצות בנושא אבטחת OT – כמו לתחזק מלאי נכסים מדויק, פילוח נכון של רשתות OT, ניטור איומים רציף, ושמירה על נהלי ניהול סיכונים ופגיעויות מקיפים".