"מנהלי אבטחת מידע לא יכולים לנהל סיכונים על בסיס אופטימיות"

"הפער בין 'רעש' ל'נזק' הוא אחת האשליות המסוכנות ביותר בעולמות הסייבר. בזמן שהציבור מתרגש מפריצה לאתר מסחרי, או מדליפת פרטי לקוחות, המשקפים נזק תודעתי בעיקרו – האיום האמיתי רובץ בשקט, בשכבות הטכנולוגיה התפעולית, ה-OT והאינטרנט של הדברים,  IoT. אלו המערכות ששולטות בלחץ בצינורות גז, בטמפרטורת חומרים מסוכנים, במתח החשמל ובמערכות הניווט של כלי שיט ומטוסים. שם לא מדובר במבוכה תקשורתית – אלא בסיכון פיזי, סביבתי ולאומי. העובדה שלא חווינו, עד כה, השבתה טוטאלית של תשתיות קריטיות – אינה רק תוצאה של הגנה אפקטיבית. ייתכן שהיא תוצאה של אסטרטגיית אויב. הנחת העבודה חייבת להיות שהתחמושת הכבדה – חולשות יום אפס ייעודיות לסביבות OT ולתשתיות קריטיות – שמורה לרגע המתאים. כל תפיסה אחרת מסוכנת ומנציחה קונספציה. מנהלי אבטחת מידע אינם יכולים להרשות לעצמם לנהל סיכונים על בסיס אופטימיות, בבואם להגן על הקו האדום הדיגיטלי, במערכה על התשתיות הקריטיות של ישראל", כך אמר שי קידר, מנכ"ל T&M Cyber.

בראיון לאנשים ומחשבים אמר קידר, כי "משך שנים מדדנו את ההצלחה בהגנה לפי מספר ניסיונות החדירה שנבלמו בקו ההיקפי (פרימטר) הדיגיטלי של הארגון: פישינג שנחסם, נוזקה שנעצרה, מתקפת DDoS שסוכלה. אבל במערכה הנוכחית מול איראן והשלוחות האזוריות שלה, הסטטיסטיקה הזו כבר אינה רלוונטית. האויב אינו מחפש עוד את כרטיסי האשראי של הלקוחות שלכם. אלו זיקוקי דינור. היעד האמיתי הוא הבקר התעשייתי שמווסת לחץ, מערכת SCADA שמנהלת תהליך ייצור, מצלמת אבטחה שמחוברת לרשת הארגונית – או מערכת קשר קריטית במרכז לוגיסטי".

"המלחמה הבאה לא תתחיל בפיצוץ שיישמע למרחקים, אלא בשקט", אמר קידר, "היא תשתקף במסכים עם צבע ירוק של המערכות – בזמן שהמציאות בשטח תתפרק. מנכ"ל ששואל היום 'האם פרצו לנו?' לא שואל את השאלה הנכונה. השאלה שצריכה להישאל היא: 'אם הם כבר בפנים – האם נדע לזהות אותם לפני שילחצו על המתג? והאם נדע להמשיך לתפקד כשהאורות יכבו?' זה מה שצירך להדהד בחדרי הישיבות".

ניטור לעומק של הרשת התפעולית

"רוב הארגונים", ציין, "ממשיכים להשקיע במניעה, בקווי ההגנה ההיקפיים ובמעגלי אבטחה קלאסיים. מעט מדי מושקע בניטור עומק של הרשת התפעולית. האם המערכות שלכם יודעות להבדיל בין תקלה טכנית אקראית לבין פעילות עוינת שקטה, שמשנה פרמטרים במילימטר בכל יום? האם קיימת יכולת לזהות חריגות זעירות ומתמשכות בלחץ, בטמפרטורה, בזרימה – לפני שהן הופכות לקטסטרופה?

שימוש מושכל בבינה מלאכותית לניתוח אנומליות התנהגותיות בסביבות OT כבר אינו מותרות. הוא תנאי סף. אך גם כאן יש פער בין 'יש לנו מערכת' לבין 'המערכת נמדדת, נבחנת ומנוהלת לאורך כל השנה'. מערכת שלא מתוחזקת, שלא נבדקת בתרגילים אמיתיים ושלא מחוברת לתהליכי קבלת החלטות – סביר להניח שלא תתפקד ברגע האמת".

"וקטור תקיפה נוסף ומוזנח הוא מערך המצלמות וה-IoT", ציין קידר, "מצלמות אבטחה שנועדו להגן על מתקן הן לעיתים הדלת האחורית הקלה ביותר לרשת הארגונית. מעבר לסיכון החדירה, האויב יכול להשתמש בתשתית הזו לצורך איסוף מודיעין בזמן אמת, כהכנה לתקיפה קינטית או דיגיטלית. במקרים רבים קיימת קישוריות רשלנית בין רשת המצלמות לרשתות שכנות, והכביש לשם פנוי".

"התרחיש הסביר אינו אירוע בודד, אלא סנכרון חזיתות", הסביר, "השבתת רמזורים ומערכות קשר ליצירת פקקים ומניעת הגעה של כוחות ביטחון; שיבוש מערכות מים וחשמל, ליצירת עומס במוקדי חירום; פגיעה במרכזים לוגיסטיים; ובמקביל – מתקפה קינטית על מוקדים שכבר מצויים בכאוס. זהו מודל של לוחמה היברידית, שבו דיגיטל ופיזי נשזרים לאירוע אחד".

לדברי קידר, "בסופו של דבר, המבחן הוא לא רק טכנולוגי אלא מנהיגותי. חוסן אינו נמדד ביכולת לבלום, אלא ביכולת להתאושש. האם יש לארגון שלכם תוכנית המשכיות עסקית שמותאמת גם לתרחיש של השבתת OT ? האם קיים 'כפתור אדום' – מנגנון מבודד, ידני או לוגי, שמאפשר עצירה בטוחה של תהליך תעשייתי? האם תורגל תרחיש שבו מערכות הבקרה אינן אמינות, והצוות נדרש לפעול ללא תלות במידע הדיגיטלי?"

"בעולם שבו שורת קוד עלולה לייצר נזק סביבתי ופיזי לא פחות מפגיעת טיל, המוכנות לסייבר אינה עוד סוגיה של מחלקת IT", סיכם קידר, "זהו רכיב מרכזי בחוסן הלאומי ובאחריות הדירקטוריון. הגיע הזמן להפסיק להסתכל רק על לוחות המחוונים, הדשבורדים – ולהתחיל לבדוק את ה'ברזלים': את הבקרים, את ההפרדות בין רשתות, את תרחישי ההתאוששות. הקו האדום הדיגיטלי כבר כאן. השאלה אינה אם נחצה אותו – אלא האם נהיה מוכנים כשהוא ייחצה".