מערכות בקרה תעשייתיות החשופות לאינטרנט – רע וגרוע בריבוע!

על מנת למזער את הסיכון הקיים למתקפת סייבר, מערכות בקרה תעשייתיות (ICS) אמורות לפעול בסביבה מבודדת פיזית. אבל לא תמיד זה המצב. בדו"ח חדש של קספרסקי (Kaspersky Lab) מוצגות 13,698 מערכות המשובצות רכיבי ICS – עם חשיפה לאינטרנט.

על פי חוקרי ענקית האבטחה הרוסית, קיימת סבירות גבוהה שהמערכות הללו שייכות לארגונים גדולים: חברות אנרגיה, תחבורה, חלל ותעופה, גז ונפט, כימיקלים, רכבים וייצור מזון ומשקאות, ממשלות, ומכונים פיננסים ורפואיים.

91.1% מהמערכות ה-ICS הללו מכילות פרצות אותן ניתן לנצל מרחוק. נתון חמור עוד יותר מעלה כי 3.3% ממארחי ה-ICS בארגונים אלה מכילים פרצות קריטיות, הניתנות להפעלה מרחוק.

נזק פיזי לציוד

פתיחה של רכיבי ICS אל האינטרנט מייצרת הזדמנויות רבות, אבל לצידן גם בעיות אבטחה. מצד אחד, מערכות מקושרות הן גמישות יותר ומאפשרות תגובה מהירה למצבים קריטיים ולהטמעה של עדכונים. מצד שני, ההתרחבות אל האינטרנט מעניקה לעברייני סייבר הזדמנות לשלוט מרחוק ברכיבי ICS, דבר אשר יכול לגרום לנזק פיזי לציוד וכן סיכון אפשרי לכל התשתית החיונית.

החוקרים מציינים כי התקפות מתוחכמות על מערכות ICS אינן חדשות. כך, ב-2015, קבוצה מאורגנת של האקרים הנקראת BlackEnergy APT התקיפה חברת אנרגיה באוקראינה. ההאקרים גרמו להפסקת חשמל באוקראינה במהלך חגי סוף השנה.

הפסקת החשמל פגעה ב-700 אלף תושבים, ונגרמה מווירוס שגרם לניתוק תחנות כוח מהרשת. ניתוח הנוזקות שנמצאו במערכות של לפחות שלושה מפעילי חשמל אזוריים, העלה כי "מתקפת סייבר הרסנית" היא שהובילה להפסקת החשמל.

באותה השנה דווח באירופה על שני אירועים נוספים שכנראה קשורים להתקפות סייבר: התקפה על מפעל פלדה בגרמניה ועל שדה התעופה פרדריק שופן בוורשה. "התקפות נוספות מסוג זה צפויות להתרחש גם בעתיד מאחר", ציינו החוקרים, "כיוון שמשטח ההתקפה הוא עצום. 13,698 השרתים הללו, הממוקמים ב-104 מדינות, הם רק חלק קטן מסך השרתים עם רכיבי ICS הזמינים ברחבי האינטרנט".

מתקפת "האדם שבאמצע"

הממצאים המרכזיים במחקר של קספרסקי על מערכות בקרה תעשייתיות הם: סך של 188,019 מערכות המארחות רכיבי ICS זמינות דרך האינטרנט – והן נמצאות ב-170 מדינות; רוב הרכיבים הנגישים מרחוק ממוקמים בארצות הברית ובאירופה; 92% (172,982) מהמערכות המארחות רכיבי ICS עם נגישות מרחוק, מכילות פרצות. 87% מהמארחים מכילים פרצות בסיכון בינוני ו-7% מהם מכילים פרצות קריטיות.

עוד מציינים החוקרים כי מספר הפרצות ברכיבי ICS גדל פי 10 במהלך חמש השנים האחרונות: מ- 19 פרצות ב-2010 ל-189 פרצות ב-2015. רכיבי ה- ICS הפרוצים ביותר היו ממשקי אדם מכונה (HMI), מכשירים חשמליים ומערכות SCADA. נתון נוסף מצביע כי 91.6%  (172,338 מארחים שונים) מתוך כל מכשירי ה-ICS הזמינים מרחוק, משתמשים בפרוטוקול חלש לקישוריות אינטרנט, דבר היוצר הזדמנות לתוקפים לבצע מתקפת "האדם שבאמצע".

"ככל שתשתית ה-ICS גדולה יותר, כך גדל הסיכון כי יימצאו בה פרצות אבטחה חמורות. זו אינה אשמת ספק תוכנה או חומרה בודד", אמר אנדריי סובורוב, ראש הגנת תשתיות חיוניות, מעבדת קספרסקי.

מטבען, אמר, "סביבות ICS הן שילוב בין רכיבים המחוברים ביניהם, שרבים מהם מחוברים לאינטרנט ומכילים בעיות אבטחה. לא ניתן להבטיח ב-100% שבהתקנת ICS מסוים לא יהיה לפחות רכיב אחד פגיע בכל נקודה בזמן. מודעות פשוטה לגבי פרצות ברכיבים הנמצאים בשימוש בתוך מתקן תעשייתי מסוים – היא דרישה בסיסית לניהול אבטחה במפעל".