"לא ניתן לחסום באופן מוחלט תקיפות על מערכות בקרה תעשייתיות"

"חייבים להיצמד לכמה עקרונות כדי להפחית את הסיכון הטמון במערכות בקרה תעשייתיות ולהביא אותו לרמה נמוכה וסבירה. מערכות הבקרה חייבות להיות חסומות מפני גישה לא מוגנת מרשת האינטרנט, ההתחברות מרחוק לצורך תחזוקה צריכה להיות רק באישור ותחת פיקוח במשך זמן הפעולה. נדרש להפחית שימוש בהתקנים מחוברים ברשת אלחוטית למערכת הבקרה. וכמובן, חשוב לבצע בחינה תקופתית לזיהוי של התקנים מחוברים לרשת הבקרה. ברור שלא ניתן לחסום באופן מוחלט את המערכות, אבל יש להביא לכך, שהסיכון של השבתה ונזק יהיה מזערי", כך אמר דניאל ארנרייך, יועץ להגנת סייבר למערכות בקרה תעשייתיות ולמערכות תפעוליות.

ארנרייך דיבר בפתח כנס ICS CyberSec 2021. הכנס, בהפקת אנשים ומחשבים, התקיים היום (ה') בהשתתפות מאות מקצועני הגנת סייבר, והנחו אותו ארנרייך – יושב ראש הכנס, ויהודה קונפורטס, עורך ראשי של הקבוצה.

לדברי ארנרייך, "למזלנו, מתקפות סייבר על עולם התעשייה ועל מערכות בקרה תעשייתיות קורות, אולם לא הרבה פעמים. כך היה במתקפה של תולעת הסטקסנט ב-2010, שעל פי פרסומים זרים הייתה פרי פיתוח של ישראל וארה"ב, אשר הביאה להרס של אלפי סרקזות (צנטריפוגות) במתקן הגרעין האיראני בנתאנז. כך היה בישראל בחודש מאי האחרון, אז הייתה מתקפת סייבר על בקרי מים מקומיים בישראל. מתקפת הסייבר נועדה להשבית את משאבות המים, כדי שהמערכות לניטור איכות המים ורמת הכלור לא יגלו את ניסיון ההרעלה. כך, היו עלולים להיוותר אלפי אזרחים ללא מים בביתם, בעוד שמאות אחרים היו עלולים לחלות. בנוסף, בסוף השבוע האחרון האקר פרץ למערכת ה-IT של מפעל לטיפול במים בעיירה מחוץ לטמפה, פלורידה, ושינה באופן זמני את הגדרת רמת המהילה של חומר בסיסי חזק לרמה שעלולה להיות מסוכנת. התוקף, שזהותו לא נחשפה, שינה את הרמה של נתרן הידרוקסידי (Sodium hydroxide – סודה קאוסטית) במפעל לטיפול במים בעיירה אולדסמר – מ-100 חלקיקים למיליון ל-11,100 חלקיקים למיליון. מפעלי טיפול במים משתמשים בנתרן הידרוקסידי כדי להפוך אותם לראויים לשתייה, אולם רמה גבוהה מדי של החומר האמור במים עלולה להפוך את השתייה לבלתי בטיחותית, שלא לומר רעילה. במזל לא קרה דבר חמור. המומחיות בשדה אבטחת המידע התעשייתית היא המונעת מאירוע כזה לקרות".

ההגנה על תשתיות תעשייתיות כוללת כמה אתגרים, ציין ארנרייך: "האיומים הפנימיים, מצד העובדים, האיומים החיצוניים – הרוב של מתקפות שכאלה מצליח בגלל שאחד העובדים נתן בשוגג לתוקף להיכנס. לבסוף, יש גם את שרשרת האספקה, המהווה עוד משטח תקיפה פוטנציאלי". לדבריו, "הגדלה נוספת של משטח התקיפה מגיעה מכיוון האינטרנט התעשייתי של הדברים, IIoT".

"רבים מדברים על מיזוג ה-IT וה-OT", אמר, "זו בעיה, אף שלא מעט מומחים מציגים אותה כ'הנורמלי החדש'. נדרש לתכנן, לאפיין, לעצב ולהטמיע את האבטחה לרשתות אלו באופן נפרד, ורק אחר כך לדאוג לקישוריות ביניהן, לטובת יעילות ותחזוקה – אבל אין למזג אותן, כדי לצמצם את הסיכונים". לדבריו, "מדובר במערכות העובדות סביב השעון, ולכן השבתה שלהן אינה בגדר אופציה". אתגר נוסף, ציין, "קשור למחסור בכוח אדם מקצועי להגנת התחום. לרוב החברות אין את המומחים הללו בתוך הבית, אז הם מסתייעים בשירותים מקצועיים של מומחים חיצוניים. כשמרשים להם להתחבר, יש לוודא שלא קורה דבר מסוכן".

"איומי הסייבר מגיעים מכל הכיוונים ומכל האמצעים. בנוסף לכך שהם הולכים ומתרבים, התקיפה על המערכות התפעוליות נהיית קלה יותר, והיא בבחינת גן עדן להאקרים", סיכם ארנרייך, "הסיכון הולך וגדל, והוא דורש התייחסות משמעותית מצד הנהלות ארגונים. ארגונים חייבים להיערך למתקפות במגוון דרכים, יש ליישם אמצעי התגוננות רבים. המעבר לעבודה מרחוק בעת הקורונה רק העלה את הסיכון והגדיל את משטח התקיפה. נדרשים אמצעים להקטנת הסיכון, אף אם לא ניתן לעצור את המתקפות כי אין 100% הגנה. נדרש להיות דרוכים לקראת איומים בלתי צפויים, כי עולם מתקפות הסייבר חושף בכל יום משהו חדש".