למי נפל האסימון? הגנה על מערכות שו"ב זוכה למשקיעים

עד לפי כעשור נהגנו לאומר "אבטחת מידע" ולכולם היה ברור כי הכוונה היא שמירה על סודיות המידע, נכונות הנתונים וגישה לנתונים מכל מקום שנדרש, ולא הייתה התייחסות מיוחדת להגנה על מערכות שליטה ובקרה (שו"ב). אלה שהיו מודאגים לגבי האבטחה עבור מערכות שו"ב, דאגו לבידוד מחיבור חיצוני וידעו להצהיר בגאווה "אנחנו מנותקים ולכן אנחנו בטוחים".

בנוסף, על פי הנחיות של גורמים מוסמכים, רכשו מכונות הלבנה ומערכות להעברת מידע חד-כיווני (Data Diode) על מנת לאפשר העברת נתונים למערכת הניהולית באפן מאובטח. באמצע שנת 2010 נשמע פעמון אזעקה שהעיר את הרגועים ורדומים, כי תקיפת Stuxnet התרחשה על מערכת שו"ב מוגנת ומבודדת.

מכאן החל פיתוח של אמצעי הגנה על מערכות שו"ב וראינו פתרונות יפים וגם יעילים. עשו זאת חברות קטנות, אבל הפעילות התקדמה באיטיות כי הרעיונות לא באו מאנשי בקרה, אלא על ידי מהנדסים לא מנוסים בתחום מערכות שו"ב. לקח זמן עד שהמפתחים הבינו כי הגנה מסורתית על סודיות המידע לא נכונה עבור מערכות שו"ב, וחייבים להתמקד בשמירה על בטיחות ואמינות תפעולית.

פתרונות חדשניים פעם בחודש

כאשר שוחחתי על פתרונות חדישים עם מנהל בכיר שנותן שירות חיוני, הוא סיפר לי כי בעבר הציגו לו פתרונות חדשניים פעם בחודש, ולאחרונה זה הפך לאירוע שבועי. היזמים באים עם מגוון פתרונות שמאפשרים למפות את הרשת, להציג מסלולי מעבר של נתונים, זיהוי של בקרים מותקנים וגרסת התוכנה שלהם, זיהוי התנהגות חריגה ברמה של תקשורת ורמה של תהליכים, ועוד.

עבור מערכות מידע אנו דואגים למנוע גניבת מידע, הצפנה של נתונים, גניבת כסף מחשבונות בנקים, גניבה של נתוני מצב בריאות של אנשים, ועוד. עבור תשתיות חיוניות ומערכות שו"ב המצב הוא חמור יותר: השבתה של אספקת חשמל ומים, הצפות ביוב, זיהום והרעלה של מי שתיה, תקיפה על תהליכי יצור של מזון ותרופות, שיבוש התפעול של מערכות תחבורה, השבתה של תקשורת ועוד.

ספקי שירות שנזקקים לפתרונות הגנה הבינו מהר כי במגרש זה חייבים לפעול ארגונים חזקים ומבוססים. השבוע התבשרנו על הקמה של חברה חדשה שגייסה סכום של עשרות מיליוני דולרים כדי לפעול עם צוות של 40 איש, רובם עם ניסיון בתחום הגנה על מערכות שו"ב. איזה פתרונות הם יביאו – כמובן אנחנו לא יודעים, אבל אין ספק כי יהיו חייבים להביא בשורה חדשה, למרות שהגנה על מערכות שו"ב כפופה למגבלות אין להתעלם מהם:

● מערכות שו"ב מותקנות הן מיושנות. מחדשים אותם כעבור 10-15 שנים, ולא ניתן לשלב בהם הגנה קיברנטית. לכן נדרשים פתרונות חלופיים ומשלימים (complementing and compensating measures).

● לא מקובל ליישם פתרונות הגנה שמתערבות בתהליך הבקרה בדרך כלשהי. לכן גם לא מקובל להשתמש במערכות שעוצרות את התהליך (IPS) במצב שבו מתגלה חשד לתקיפה קיברנטית או חשד אחר.

● פתרונות נכונים חייבים לתת מענה לזיהוי מצב חריג עקב תקלה במערכת או בחיישנים, עקב פעולה לא נכונה של אדם מורשה, וכמובן עקב תקיפה חיצונית ופנימית (Internally & externally generated cyber attack).

● מערכות הגנה אלה חייבות להיות חסינות בפני תקיפה עליהם. כאן חייבים להזכיר כי כל מנגנון מבוסס על תוכנה הניתנת לתקיפה, ולכן יש להגן עליהם לפחות באותה מידה כמו על מערכות שו"ב.

עצירה מוצלחת של תקיפה

פגיעה במערכות שו"ב עלולה להוביל להשבתה, הרס מתקנים ובמקרים קיצוניים גם פגיעה באנשים. לכן המומחים והיועצים לפתרונות בקרה חייבים לבחון היטב את הפתרונות המוצעים. יהיו כאלה שיהססו לרכוש פתרון מחברה קטנה שאין לה אמצעים שנדרשים למתן תמיכה טכנית, המשך פתוח של דורות מתקדמים ושדרוג באמינות.

אנחנו חיים בעידן שנדרשת הגנה מתמדת, חדשנות והשקעת אמצעים כדי להיות צעד אחד לפני התוקפים שאין להם רחמים על אזרחים שחייהם עלולים להשתבש עקב אירוע של תקיפה על תשתיות.

אותם המשקיעים שזיהו את התחום של הגנה על מערכות שו"ב והבינו כי פיתוח האמצעים שיש להם יכול לעצור גם תקיפות לא מוכרות, יוכלו להיות גאים בהחלטתם כאשר ידווח על עצירה מוצלחת של תקיפה על תשתית חיונית במדינה.

כנס ICS-Cybersec 2016 של אנשים ומחשבים הוא הכנס המרכזי הראשון שיתמקד באיומי הסייבר על התשתיות הקריטיות של מדינת ישראל באמצעות תקיפת מערכות שו"ב לא מאובטחות הכנס. יפגיש בין מקצועני מערכות השו"ב בארגונים הממשלתיים והעסקיים לנציגי החברות הטכנולוגיות ומומחי התשתיות. הוא מהווה מקום מפגש לבעלי תפקידים, להחלפת דעות ולחשיפה לפתרונות חדשים, שיגנו על המערכות הקריטיות ביותר במדינה. הכנס יכלול מסלולים מקצועיים.

להרשמה לאירוע לחצו כאן.

הכותב הינו יועץ למערכות הגנה ובקרת סייבר.