לא רק סייבר: כמה אתגרים מהותיים בעולם התשתיות

"כחברה שהמוצרים שלה נמצאים בתשתיות הכי קריטיות, כולל בישראל, הניסיון לימד אותנו שיש בתחום הזה ארבעה אתגרים ורטיקאליים מהותיים: הראשון הוא זמן התגובה לאירועים בשטח והתלות במרכז הבקרה, שמוביל לאתגר השני – שמירת הקשר הרציף מול מרכז הבקרה. האתגר השלישי הוא הכיסוי הסלולרי, וכשמדברים על תשתיות קריטיות-לאומיות אלה בדרך כלל מתקנים שנמצאים רחוק מהעיר, מה שאומר שלא בהכרח יש כיסוי סלולרי נאות. בלי זה לא תהיה יציבות, שכה חשובה להעברת נתונים, מעבר לכך שברגע העומס יכולה להיות נפילה. האתגר הרביעי הוא הסייבר", כך אמרה יובל דוידי, מנהלת מוצר במוטורולה סולושנס ישראל.

דוידי הייתה בין הדוברים בכנס הגנת הסייבר ICS-OT & IIoT 10 של אנשים ומחשבים, שנערך באחרונה באולם האירועים והכנסים לאגו בראשון לציון. היא הוסיפה כי "איומי הסייבר על התשתיות הולכים וגוברים. זה לא רק התוקף שמגיע למידע בנקודת הקצה ומצליח לגרום לאתר שלם לקרוס, אלא מדובר בצעד אחד קדימה – אותו תוקף שדרך נקודת הקצה מצליח לחדור למערכת כולה, ואף לשתק אותה".

כפתרון לאתגר הכיסוי הסלולרי דוידי הציגה את Mc-EDGE – "מוצר שפותח במוטורולה, שמאחד מערכות בקרה עם תקשורת. הוא פותח בישראל, והוא מוצר חשוב במיוחד עבור תשתיות קריטיות. אנחנו יודעים עד כמה חשוב שהתשתית הקריטית תוכל לפעול באופן עצמאי, שתהיה המשכיות תפקודית, שתהיה יתירות וגמישות, ושזה יהיה פתרון שמוכן גם לעתיד, עם תכונות סייבר כברירת מחדל".

צילום ועריכת וידיאו: ליטל רובינשטיין

דובר נוסף באירוע היה חן גיראט, לשעבר מנהל מערך הסייבר של חברת החשמל, וכיום מנהל אגף המבצעים במערך הסייבר הלאומי. הוא סיפר על התקופה שלו בחברת החשמל, והזכיר כי מדובר במערכת עוצמת ממדים. "השאלה שהיינו צריכים לשאול היא איך מגינים נגד תקיפות עם משטח תקיפה כזה גדול? הרי יש יחידות על עמודי חשמל רבים, שצריך להגן עליהן, כי דרכן אפשר להתחבר גם למערכת הראשית – שלא לדבר על ביצוע טעות אנוש, עד כמה זה מסוכן בתשתיות כמו שלנו. לא הופתענו כשקיבלנו ממערך הסייבר הלאומי תשובה שאסור לתת לתקשורת מבחוץ להתחבר למערכות התעשייתיות שלנו", אמר.

גיראט הזכיר שבכל זאת, העולם משתנה, ודיבר על התהליך שעברה החברה כדי להגדיר גורמי ייחוס ומה עושים מולם, ועל מה צריך להגן. "יש לומר לזכות חברת החשמל שהמשאבים שיש לה לסייבר מתאימים והולמים. זה נובע מניהול סיכונים נכון עבור תשתיות קריטיות, ומלווה בעשרות מחקרי סיכונים והרבה מאוד הדמיות ותרגילי מודעות. בנוסף, השתמשנו בשירותי מודיעין של אחת החברות הגדולות בעולם".

הוא ציין שינוי נוסף שביצעה חברת החשמל – מעבר לפלטפורמה מלאה. "היתרון במעבר משימוש במוצרים הכי טובים לכל היבט לפלטפורמה מלאה הוא שהיא מאפשרת לנהל בצורה חכמה ונכונה את כל המערך. זה חשוב מאוד לארגון תשתיתי גדול כמו חברת החשמל. אולם, זה לא אומר שלא צריך להמשיך תמיד לחפש בצורה פרו-אקטיבית את מה שמיוחד ולא את הסטנדרטי", הוסיף גיראט.

לסיכום הוא אמר כי "חייבים להניח שהתוקף נמצא ברשת הארגון וחייבים להקצות לזה משאבים, כי אחרת אי אפשר למצוא ולזהות את התקיפה".

צור סגל, מנהל פיתוח עסקי לתחום ה-OT בפורטינט. צילום: עמית אלפונטה

צור סגל, מנהל פיתוח עסקי לתחום ה-OT בפורטינט, דיבר על שילוב רכיבי מערכות ניהול ובקרה באבטחת מידע. "כדרך חיים, אנחנו פוגשים את הרגולציה בעולמות הניהול, הייצוא והביטחון. הרגולציה צריכה לגעת בכולם, ובכל ההיבטים של האבטחה. אבל עמידה ברגולציה היא לא על מנת לעבור מבחן חד פעמי. היא מאוד רחבה", ציין.

"גם אם מקפידים על עדכון המערכות, הרגולציה לא תשמור על המוניטין, לא תמנע את ההשבתה הבאה ולא תספר מהי סיבת האירוע. לזה אנחנו אחראים, ואנחנו אלה שצריכים לבצע עבודה שוטפת בעולם ה-OT כדי לגלות את כל הפרטים על האירוע. אבל הרגולציה והמעקב אחריה באופן שוטף בהחלט מסייעת לדאוג לעצור את שעון החול, ולכן צריך לעשות את זה כדרך חיים", אמר סגל.

הרצל עוזר, יו"ר סייבר 2.0. צילום: עמית אלפונטה

הרצל עוזר, יו"ר סייבר 2.0, סיפר על הפתרונות שמציעה החברה להגנה על שוק הטכנולוגיות התפעוליות. "ב-OT, אנחנו היחידים שמספקים יכולות מניעה ולא רק זיהוי בדיעבד, ואנחנו מאפשרים רק למחשב מורשה עם תוכנה מורשית להגיע לבקרים. אנחנו מספקים דו"חות מלאים, שמראים באופן שוטף איזו תוכנה יצאה מאיזה מחשב ולאן היא ניסתה להגיע", אמר.

"בפתרונות אחרים", ציין, "ההנחה היא שאם האירוע קרה, וזו חדירה, אז התוקף עבר את כל מערכות ההגנה, ואז המנהלים בארגון יכולים לשאול את עצמם למה הם מבזבזים כסף".

עוזר טען כי "דבר אחד ברור, והוא שהזיהוי של המתחרים לא מלא ומדי פעם נכנסים בכל זאת וירוסים למערכות הארגונים שהם לקוחות שלהם. אנחנו עושים משהו מעט שונה, וזהו כפל 'אפס אמון' – מה שלא מוגדר לחלוטין לא יכול לנוע ברשת או ממחשב כזה או לאחר. בנוסף, תוכנה חדשה מוגדרת, כברירת מחדל, ככזאת שלא ניתנת לה הרשאת גישה לרשת הארגונית".

הוא הוסיף כי "אנחנו נמצאים צעד אחד לפני התוקפים, ואנחנו עושים את זה באמצעות קופסה קטנה שמותקנת לפני הבקר, ועוצרים את ההתקפה לפני שהיא מגיעה אליו. אנחנו יודעים לתפקד בסביבה נטולת אינטרנט, והמערכת לא דורשת תחזוקה ועדכונים".