"יש האקרים שמשתמשים בקוד הפתוח כמשטחי תקיפה"

"הקוד הפתוח עוזר להגיע למטרה מהר, אבל הוא לא חף מסיכונים וזה קורה גם ב-OT. כמות הקוד בעולם רק הולכת וגדלה, ובאופן מטורף. כאשר נדרשת כזו כמות של קוד, אף אחד לא כותב הכל מחדש, אלא משתמשים בקוד מוכן, מחברים לזה עוד קוד ועוברים על זה, וזה נמצא בכל תחום ובכל אזור. הגידול מ-217 הוא באופן מעריכי, וכיום בתוכנה מסחרית יש בין 80 ל-90 אחוזים קוד פתוח, כלומר לכל היותר 10% קוד מקומי, וכל השאר מצד שלישי", כך סיפר צביקה רונן, מומחה ניהול סיכוני שימוש בקוד פתוח, ב-ICS CyberSec⁹ 2025 – כנס הגנת הסייבר ה-ICS-OT & IIoT התשיעי של אנשים ומחשבים שנערך לאחרונה.

לדבריו יש כמה רמות של סיכונים. "הסיכון הראשון הוא משפטי. זה מבוסס על הסכמי רישוי אבל יש עשרות אלפים כאלה, ולפעמים ממש אי אפשר לעקוב. אנחנו משתמשים בזה כי הקוד הפתוח הוא נגיש וזה חוסך, אבל יש גם סיכוי תפעולי, כי הרי מי שכתב את זה הוא לא עובד שלנו. אנחנו עדים לתביעות הגבלים עסקיים, ואם חשבנו שזה רק מי שפיתח, מתברר שזה הרבה מעבר לכך – כי יש גופים שרוכשים את הזכויות במטרה לתבוע", הוא אמר.

הוא הזכיר שמעבר לכך יש עוד סיכון 'קטן' שצריך תמיד לקחת בחשבון, בעיקר בעידן ההמרה הדיגיטלית בה מעבירים את המידע מחדרי המחשב לענן, עידן שמתרחש כעת גם בעולם התפעולי.

"מספיקה חולשה קטנה ברכיב אחד כדי לגרום לנזקים של מאות מיליוני דולרים, וזה קורה למרות שזה ניתן לחסימה אם מנהלים את הקוד הפתוח כמו שצריך. ולא רק מפתחים אוהבים קוד פתוח, במקביל יש אימוץ נרחב גם של האקרים, שמשתמשים בקוד הפתוח כמשטחי תקיפה, ומדובר במאות אלפים של פריטי קוד פתוח שהותקפו מאז שהתחילה המדידה של ההיבט הזה", הוא סיכם.

חגי סלע, מנהל הפעילות בישראל של Exclusive Networks IL. צילום: ניב קנטור

"החזון שלנו הוא אמון מוחלט"

חגי סלע, מנהל הפעילות בישראל של Exclusive Networks IL, דיבר בכנס על אבטחת סייבר ל-OT, ול-IoT ותשתיות קריטיות, וסיפר: "כחברה שהוקמה כבר לפני 20 שנה אנחנו מעניקים המון שירותים, כולל שירותים מקצועיים והנגשה של עולם הסייבר ללקוחות סופיים. החזון שלנו הוא אמון מוחלט, מוצרים שייתנו שירות סייבר מקצה לקצה ל-IT וגם ל-OT. המנוף לתקופה הקרובה הוא ההנגשה של החיישן הקטן ביותר ועד הדאטה סנטר הכי גדול, והמשימה שלנו היא שהשירותים יתתנו מעטפת שתהיה גם מהירה וקלה לשימוש".

הוא הוסיף כי, "הדרך שלנו היא ללכת ללקוח הסופי ולבנות עבורו תוכנית יחד עם האינטגרטור שהוא שכר בפועל, כולל הרצת דמו ו-POC בחצר הלקוח, וגם כדי לוודא שהלקוח הסופי יבין איך משתמשים, ושיבין מה שצריך כדי להתמודד בעולם של אבטחת הסייבר המודרנית – עד לתוכנית ביצוע ועד לתחזוקה בסופו של דבר. אנחנו רוצים שתהנו מהמוצר ולא תיבהלו ממנו, שבאמת תשתמשו בו".

אסף טורנר, מנכ"ל מיה-סקיורטי. צילום: ניב קנטור

"ההנחה שמישהו ישנס מותניים ויבוא לעזור לנו כבר לא נכונה"

אסף טורנר, מנכ"ל מיה-סקיורטי, מי שהיה לשעבר ראש יחידת הסייבר המגזרית במשרד האנרגיה, בחר לדבר בכנס על פערים במעגלי הגנת סייבר ובקרות מפצות.

"פעם באיום מדינתי התעסקו השב"כ, מערך הסייבר, אמ"ן וכדומה. היום אנחנו במקום אחר. כיום איום כזה פשוט אומר שאנחנו צריכים לשנס מותניים ולעבוד חזק בפני עצמנו. ההנחה שמישהו ישנס מותניים ויבוא לעזור לנו כבר לא נכונה", הוא אמר.

טורנר התייחס באופן נרחב לשרשרת האיומים הקיימת כיום בהיבט של הסייבר, כשאמר: "היום אנחנו ממש רואים על הגדרות את כולם, אני לא יודע כמה מקום יש על הגדרות – חיזבאללה וחמאס ואיראן וגם תוקפים מדינתיים מסין ורוסיה. ראינו שצפון קוריאה מצטרפת למלחמה באוקראינה, ולא צריך להיות חכם גדול כדי להבין לאן זה גורר אותנו כמדינה, וכל אחד בחלקת אלוהים הקטנה שלו. צריך לחשוב מחדש על התרחישים ועל איומי הייחוס, על מי שבא לתקוף ומי בא להגן. יש מה לעשות, ואני שמח שיש כנסים, כמו הכנס של אנשים ומחשבים, שעוסקים בהגנת סייבר עבור מערכות OT ו-ICS".

ניסים חי, מנהל מוצר, חטיבת הבקרה התעשייתית של שניידר אלקטריק. צילום: ניב קנטור

"יש דרישה להגנה מקצה לקצה"

ניסים חי, מנהל מוצר, חטיבת הבקרה התעשייתית של שניידר אלקטריק, דיבר על אבטחת סביבת הבקרה והיישום של יכולות אבטחה ותקשורת מתקדמות.

"אם עד היום היינו עובדים בעיקר עם אנשי בקרה אנחנו באים כיום לאנשי ה-IT ומבקשים מהם את המידע, אבל בשפה שלנו. ואנחנו גם מבקשים בקרות יותר מתקדמות, כמו סיסמה לדוגמה. המורכבות של התכונות שאנחנו מעניקים נדרשת מול אותם אנשים, וזה הופך לסטנדרט בתעשייה. יש דרישה להגנה מקצה לקצה. המטרה היא שכבה אחידה, ולדבר בכמה שיותר פרוטוקולים – שבכל בקר יהיה הכל ושכל אחד ייבחר במה להשתמש", הוא סיפר.

הוא ציין כי כיום יש לבקרים כוח עיבוד, ואפשר להתייחס אליהם כמערכת מלאה. "את הקושחה צריך לעדכן כל כמה חודשים, ואנחנו עושים את זה בצורה שאי אפשר יהיה לפתוח ולעשות הנדסה לאחור. קושחה לא מעודכנת של בקר לא תעלה, וקשה מאוד לעקוף, כי הבקר לא ייכנס לריצה. אפשר גם להגדיר בבקר עצמו איזה פורטים לאפשר ואיזה לחסום. אפשר גם לקבוע שעון שיגרום לבקר להינעל וכדי לחזור ולהיכנס אליו צריך שוב שם וסיסמה, ואפשר גם להגדיר את איכות הסיסמה, ומנהל ה-IT יכול להתחבר לאזור הזה בבקר כדי לקבוע את הדברים האלה – כולל מניעת כניסה אנונימית", הסביר חי.