"מתקפות מתרחשות כשמה שאמור להגן הופך לחוליה החלשה"

"מתקפות סייבר מתרחשות כשהרכיב שאמור להגן על המתקן הופך לחוליה החלשה", אמר רון יוספי, מנהל מכירות בכיר ב-CyberX.

יוספי אמר את הדברים בכנס ICS Cybersec שנערך באחרונה, בהפקת אנשים ומחשבים. הכנס, שדן בהגנת סייבר על תשתיות חיוניות ומערכות שליטה ובקרה (SCADA), התקיים במרכז הכנסים אווניו שבקריית שדה התעופה, בהשתתפות מאות מקצוענים בתחום. מנחי האירוע היו יהודה קונפורטס, העורך הראשי של אנשים ומחשבים, ודניאל ארנרייך, יועץ ומרצה להגנת הסייבר.

"הארגונים דורשים נראות ברשת הבקרה, מכיוון שיש המון בקרים במערכות ניהול רצפת הייצור, ה-Web SCADA, ובגלל המגמות של תעשיה 4.0, והאינטרנט של הדברים התעשייתיים (IIOT). כל היצרנים סובלים מכך", אמר יוספי. לדבריו, "הבעיה היא שאם פעם מערכות הבקרה הללו היו מנותקות, כיום הן מחוברות לרשת ולא צריך ארגון ממשלתי כדי לפרוץ אותן, כפי שהיה במקרה של התולעת סטוקסנט".

"ההתקדמות הטכנולוגית אפשרה הגדלה של ביצועי הנכסים שהבקרים מפקחים עליהם, שיפור בתחזוקה, בניית רשתות חכמות, בניינים חכמים וערים חכמות, מניעת תקלות בלתי צפויות וכשלים, ומכונות תעשייתיות חכמות. ואולם, מצד שני, רואים גידול במתקפות יום אפס, וגיוון בדרכים שבהן הן מתבצעות", הוסיף יוספי.

יוספי ציין את הפתרון שמפתחת CyberX לבקרה ולזיהוי אנומליות, ולהערכת פגיעויות לבקרים. הוא אמר כי החברה מפעילה לשם כך צוות מחקר שחוקר את כל סוגי הציוד.

"מכיוון שלכל לקוח יש רכיבים שונים בתצורות שונות, צוות המחקר בודק את הסביבה הספציפית של הלקוח, והוא חלק מכל הטמעה של פתרון. גילינו פגיעויות גם בציוד שנחשב בטוח עד כה", אמר.

מה קורה ברשת הבקרה בזמן מתקפה?

דנה תמיר, סמנכ"לית השיווק של Indegy, הציגה מה קורה בתוך רשת הבקרה (ICS) כשהיא חווה מתקפת סייבר, וענתה על שאלות כמו: כיצד להבטיח שהרשת ממשיכה לפעול כמו שצריך? באיזו מהירות מאותרות התקלות? האם מקורן פנימי, מתקפת סייבר חיצונית או תקלה פיזית? וכמה מהר ניתן להתאושש.

דנה תמיר, סמנכ"לית השיווק של Indegy. צילום: ניב קנטור

היא נתנה כדוגמה השנה מפני מתקפות לשינוי הטמפרטורה של חדר הבקרה. "במקרה שכזה, הוא גורם לכך שהאופרטור שולח פקודה לתנור. רכיב שנקרא PLC מקבל את הפקודה ובודק האם הערך החדש נמצא מתחת לטמפרטורה המקסימלית המותרת. אם לא – הוא שולח הודעת שגיאה. הבקר דואג להמשכיות התהליך, מבטיח שהמערכת תפעל כמו שצריך, מקבל החלטות ומיישם אותן. הבעיה היא שברגע שיש גישה ל-SCADA, אפשר להתחבר ישירות לבקר ולשנות את הלוגיקה, ובכך לנטרל את אמצעי האבטחה", ציינה תמיר.

לדבריה, "אחת הבעיות היא שכל ספק פיתח ל-PLC, ולפעמים גם לכל דגם שלו, פרוטוקול נפרד. הפרוטוקולים הללו לא מתועדים, אין להם שמות וקשה לעקוב אחריהם. האקר שיש לו קצת ידע במערכות בקרה יכול לתכנת את הבקרים".

מורטן שטוקהולם, מנהל מכירות אזורי ב-Secomea. צילום: ניב קנטור

מורטן שטוקהולם, מנהל מכירות אזורי ב-Secomea, דיבר אף הוא בכנס ואמר כי "הרגע הקריטי בהגנת סייבר הוא שלב ההטמעה של המכונות, כשהן מגיעות למפעל ויש מספר גורמים הזקוקים לגישה מבחוץ לשרתי ה-HMI. המטרה היא שכל מי שצריך לקבל נתונים על פעילות המכונות יוכל לקבל אותם כדי לייעל את פעילותם ולנתח אותם. כל אחד צריך לקבל גישה רק למה שהוא צריך, ואסור שייווצר מצב שבו כל אחד יוכל, לדוגמה, לקרוא נתונים רגישים".

איך פותרים חסימת GPS?

דובר נוסף באירוע היה משה קפלן, מנכ"ל GPS Dome. הוא הסביר כיצד ניתן לעקוף חסימת GPS, המשבשת את עבודתם של ארגונים רבים, שצריכים לספק חותמת זמן מדויקת או מיקום מדויק של כלי רכב, שלא לדבר על נמלי תעופה.

משה קפלן, מנכ"ל GPS Dome. צילום: ניב קנטור

"קל מאוד לחסום GPS. כל נהג משאית שרוצה לגנוב עבודה מהבוס שלו, או מאהב שלא רוצה שאשתו תדע היכן הוא, יכול לרכוש חוסם כזה, בהם כאלה שמתחברים לשקע של המצת. הבעיה היא שהחוסמים הללו מסוככים את קליטת ה-GPS גם למי שלא התכוון להשתמש בהם. זה כבר קרה בנמלי התעופה ניוארק בניו-ג'רזי ולואגן בבוסטון. גם הבורסה בלונדון, שחייבת חותמת זמן מדויקת, סובלת מעשרות אלפי החוסמים הפעילים שבידי נהגים בעיר", אמר.

הוא הציג את הפתרון של החברה, שמורכב משתי אנטנות שקולטות את השידורים בהפרשי פאזה. "כך ניתן להנחית את עוצמת הקליטה מכיוונים גיאוגרפיים מסוימים. כיום המערכת פועלת על רשת ה-GPS האמריקנית ובתוך שנה היא תספק כיסוי ללוויינים גלונאס הרוסי, גלילאו האירופי וביידו הסיני", אמר.