"האתגר המשמעותי ביותר הוא ברמה הבסיסית – מוצרי קישוריות לא מאובטחים"

"סיכונים יש בשפע, ואין ספק שחייבים לתת אליהם את הדעת כשרוצים לקבוע מהי הדרך הנכונה לאבטחה במרחב רב פעילות ומידע, שבאופן טבעי גם מושך יותר סכנות. יש הרבה מאוד שמות ומרחבים שנפתחים סביבנו ומגדילים את הסיכונים, והסיכונים יגדלו באופן מעריכי בהתאם לגידול ביכולת הקישוריות, כמו בכל דבר בחיים שלנו", אמר מתי אפשטיין, ראש תחום מערכות בקרה תעשייתיות בחברת צ'ק פוינט בשבוע שעבר.

אפשטיין ביקש בהרצאה שלו לתת תמונה מציאותית של התקפות סייבר בעולם שבו מערכות הבקרה מחוברות לרשת ופועלות לצד התקני אינטרנט של הדברים רבים. הוא נאם בפני מאות רבות של אנשי מקצוע, שהגיעו לאולם האירועים לאגו שבראשון לציון לכנס ICS-Cyber 2019 שהתקיים זו השנה הרביעית ברציפות בהפקת אנשים ומחשבים.

לדבריו, האתגר המשמעותי ביותר הוא ברמה הבסיסית, אותם מוצרי קישוריות שברובם לא ממש מאובטחים. "הם לא נוצרו כדי להיות מאובטחים, וככל שיש יותר דברים שמחוברים לרשת כך יש יותר מקום להתקפות. מצד שני, איך נגן עליהם אם לא נדע שהם שם? בצ'קפוינט החלטנו לבחון את העולמות הללו ולבחור בסופו של דבר בשלושה תחומים שבהם לדעתנו יש חשיבות מאוד גבוהה בשנים הקרובות, במטרה לשפר את אבטחת המידע במישורים האלה", הוא סיפר.

שלושת התחומים אליהם התייחס הם שוק ההתקנים הרפואיים, שהוא לדבריו פרוץ לחלוטין – "וזהו סוג של חור שחור שעליו צריכים לתת את הדעת במהרה", עולם הבקרה התעשייתית – "וגם כאן מדובר בחור גדול שדורש טיפול", והשלישי הוא עולם האינטרנט של הדברים – "אלה התקנים שיכולים להיות המקור לכניסה למערכת", פרס אפשטיין את הדברים שצריכים לפעול לדבריו בתעשייה.

"כדי להגן על ה-OT אז צריך להגן גם על ה-IT, ועל ה-IT אני צריך להגן באמצעות מניעת חדירת איומים. זה כלי בסיסי להגן על ה-OT עוד ב-IT. בשלב הבא צריך לבדל בין המערכות וליצור צווארי בקבוק שעוזרים להגנה. ומה זו ההגנה על מערכות בקרה בסופו של דבר? אי אפשר להסתפק בהגנה פסיבית, לדעתי, ואי אפשר לומר אני יודע מה יש לי, אז אני מאובטח… צריך נראות ויש צורך לבצע איתור מערכות. צריך להבין מהתנועה עצמה מי מדבר עם מי, מי זה כל אחד ומה תבנית ההתנהגות של התקשורת בין כל התקן להתקן. זה הבסיס", הוא טען.

"הגנת סייבר – תפיסה ולא רק מוצר"

ניסים חי, מנהל מוצר ועסקים בתחום התעשייה עבור שניידר-אלקטריק, סיפר איך באמת מגנים על מערכות בקרה, איך מיישמים את ההגנות בתוך המערכות וכיצד מנסים להפחית פגיעויות. "אבטחת סייבר זה נשמע אולי כמו סיסמה, אבל זו ליבת הפעילות שלנו, זו תפיסה ולא רק מוצר ופתרון. זה מרגע התכנון ועד הטמעה סופית אצל הלקוח וזה מהלך ארוך וכולל, ואני מתמקד בהגנות פיזיות", הוא סיפר לבאי ICS-Cyber.

ניסים חי, מנהל מוצר ועסקים בתחום התעשייה, שניידר-אלקטריק. צילום: ניב קנטור

לדבריו, המוצר הסופי שמתפעל בקצה הקו את התהליך הוא לצורך העניין מוצר טיפש, שאין לו יכולת להגן על עצמו. "כוח העיבוד שלו נמוך ואין אפשרות לעשות זאת. אבל בתחום הבקרה יש התפתחות, והטכנולוגיה השתנתה מאוד לאורך השנים, וחשוב לנו שגם על מערכות ותיקות תהיה יכולת הגנה. אמצעי הבקרה צריכים להיות מאוד אמינים והם מאוד דומים, ואנחנו רוצים לבנות מערכת שיודעת לעבוד באתרנט עם יכולות אבטחה מוטמעות ולא משנה אם מדובר בבנייה לתוך משהו קיים או שאתה מתכנן משהו חדש", הוא אמר.

לדבריו, אחד הדברים שיש לקחת בחשבון הוא, שסביבת הפיתוח חייבת להתנהג כמו בכל המערכות הארגוניות. "חייבים להגן ברמת סיסמה, לייצר הרשאות כמו בארגון, ואנחנו יכולים גם לייצר מנגנון נעילה אוטומטית – לא תוכל להמשיך לעבוד עד הגשת סיסמה, וזו כבר הגנה ראשונית. אנחנו גם יכולים לייצר הגנות על קטעי תוכנה שלא צריכים לשנות אותם. והנה כבר יש שתי שכבות ראשונות ברמת התוכנה בלבד", אמר חי.

הוא ציין שאפשר לייצר ברמת החומרה הגנות כמו באפליקציות. "בהיבט הארגוני יש מעבדים חזקים עם הרבה זיכרון, ואפשר לייצר לצורך העניין עוד מטלות שבוחנות את רמת ההגנה בבקר, כולל מניעת גישה לבקר ואפילו לא לאפשר לקרוא מידע ממנו בלי סיסמה ובלי הרשאה מתאימה, ועם התנתקות אם עוזבים אותו לכמה דקות. וזה מובנה, לא צריך להשקיע, לכל אחד מהרכיבים בבקר, כל מה שאפשר לגשת אליו", הוא סיפר.

לסיום ציין חי, כי הפתרונות של החברה מאפשרים באמצעות SCADA לבנות פיירוול פנימי. "אפשר להשתמש ב-IP, לדוגמה, וכך להגדיר רק מי שמותר לו לגשת לבקר על ידי שימוש ברשימה לבנה. אפשר לייצר הרבה מאוד שכבות של הגנות, שניתן לעדכן שלב אחר שלב, מה שפותר המון בעיות", הוא סיכם.