אבטחת מידע ורגולציה בעולם התעשייתי – דוגמאות מהשטח
כתב: דורון סיון, מנכ"ל מדסק סקיוריטי.
כמנכ"ל חברת ייעוץ בתחום הסייבר, אני נפגש עם מנהלי מחשוב רבים שפועלים בארגונים תעשייתיים. במסגרת זו אני שב ומציין בפניהם שהכול מתחיל ונגמר בגיבוש אסטרטגיה מותאמת לארגון ואשר מאושרת על ידי ההנהלה.
אסטרטגית סייבר אמורה להתייחס לכל השכבות של מודל Purdue, קרי – רצפת הייצור, סביבת התקשורת מול הבקרים, מערכות ה-HMI וסביבת ה-MES. בהתחשב בעובדה שסביבת ה-ICS מאופיינת באיטיות בכל הנוגע לרכש ולתהליכים, יש לגבש אסטרטגיה לפחות לחמש שנים קדימה.
במרבית החברות התעשייתיות שנבדקו הבחנו בליקויים הבאים:
- הפרדה לקויה בין הרשתות – מה שמאפשר גישה מרשת ה-IT לרשת ה-ICS
- חוסר בתרשים רשת, וברשימה ברורה של תוכנות ומשתמשים
- חוסר בנוהל להתמודדות עם אירוע סייבר, שמוביל לפגיעה ברשת התפעולית
- נהלים לקויים בכל הנוגע לתמיכה טכנית שמקורה מחוץ לארגון
אולם, בראש ובראשונה, הבעיה נעוצה בזוויות ראייה שונות של הסיכונים.
בסביבה תעשייתית, נקודת המבט השלטת היא של בטיחות תפקודית – לדוגמה, אורך החיים של שסתום מסוים והכנת המערכת למצב שבו הוא מפסיק לפעול. מהנדסי בקרה מודדים אירועים בתדירות נסבלת של אירוע חמור בודד, אחת לבין ארבע עד 10 שנים.
בהיבט של אבטחת סייבר קשה להעריך סבירות לאירועים באותה רמת ביטחון, מאחר שלא ניתן לקבוע במדויק את הסבירות לאירוע שיתרחש. לפיכך בוחרים בטכניקות שונות, לדוגמה שימוש בחומרת התוצאה של פגיעה במערכת מסוימת, על מנת לתעדף בין סיכונים למערכות השונות.
בסופו של דבר, איומי הסייבר צריכים להשתלב בסך כל האיומים של הארגון התעשייתי, ולהוביל לאיחוד המערכות. זו הסיבה שבתכנון אסטרטגית הסייבר בארגון תעשייתי יש לכלול, בנוסף למנהל המפעל, מנהל הסיכונים והקב"ט, גם את המנמ"ר ומנהל ה-IT. על הארגון לשלב בין שתי סביבות שונות במהותן, ולזכור שאת ההתמודדות עם אירוע הסייבר בסביבה התעשייתית ינהלו אנשי ה-IT. לפיכך, חובה ליצור ראש גשר בין צוות ה-IT לעולם ה-ICS. הדבר אינו פשוט, בגלל הצרכים השונים, למשל הצורך לאפשר זרימת נתונים באופן חד כיווני בעזרת דיודה, כאשר במקביל קיימת דרישה להגיב במהירות לאירועים חריגים ברשת ה-ICS. הבעיה היא שחדר הבקרה נמצא ברשת ה-IT והדיודה מונעת את הגישה בכיוון זה. זהו מקרה שבו אסטרטגיה יכולה לתת מענה איכותי בעזרת ביצוע סגמנטציה נכונה, בקרות מפצות ומודעות ההנהלה אודות קשיים מסוג זה.
בכדי לבצע זאת באופן מיטבי, מומלץ להסתמך על סטנדרטים דוגמת סדרת ההתקנים IEC 62443, שעוסקים באבטחת סייבר לטכנולוגיה תפעולית במערכות אוטומציה ובקרה, וכן NIST SP 800-82. כדאי לוודא שלחברה שנבחרה לסקר הסיכונים יש ניסיון מוכח בעולם התעשייתי, וכן שמבדקי החדירות (Penetration tests) יהיו מותאמים ל-MITRE ICS.
בואו לפגוש אותנו בסניף החדש שלנו בתל אביב, בדרך מנחם בגין 53 בתל אביב.
לאתר מדסק סקיוריטי לחצו כאן.