"מספר שכבות הגנה – ואז אפשר לומר שעשינו את מיטב יכולתנו"

"מערכות בקרה שמתוכננות נכון מבחינת ארכיטקטורה חייבות לדעת להתמודד עם כל הסיכונים שמוצגים בפניהן, והתקפות סייבר הן לא דווקא ולא תמיד הדברים הכי מסוכנים. אנחנו מדברים על תקלה טכנית, על פעולה מוטעית של אדם מורשה, וכן תקיפה מבפנים. מערכות בקרה חייבות להיות מוכנות ומוגדרות נכון כדי להתמודד עם שלושת האתגרים הללו", אמר דניאל ארנרייך מ-SCCE בפתיחה של כנס ICS-Cybersec 2018, שנערך בשבוע שעבר בלאגו אירועים בראשון לציון בהפקת אנשים ומחשבים.

זו השנה השלישית בה נערך הכנס הייעודי הזה, שמתייחס לסכנות האבטחה בהיבט של הטכנולוגיות התפעוליות. ארנרייך, יו"ר הכנס ומי שהנחה אותו לאורך היום, התייחס בנאומו הפותח לעקרונות המפתח להגנת סייבר בתעשייה. הוא הציג בפני המאות הרבות של אנשי המקצוע שהגיעו לכנס את נקודת המיקוד המרכזית והיא הגלישה של בעיות האבטחה ממערכות המידע למערכות התפעול, או מה-IT ל-OT.

"אנחנו חיים בעולם של סיכונים כיום. לא צריך להסביר לאנשים מה זה סיכון יום אפס, וזה כבר מזמן מופיע לא רק במחשבים אל גם בבקרים. סיכון נוסף שאנחנו רואים בשנה האחרונה בעיקר זה ה-IoT, או בהיבט שלנו בעצם תגידו IIoT. אנשים דוהרים לכיוון הזה בלי להבין שהם יוצרי סיכוני סייבר חדשים, וזה קודם כל עוד לפני שהם בכלל מבינים מה הם בעצם יכולים להשיג מזה לטובתם", אמר ארנרייך.

"וכמובן מערכות הגנה שמבוססות על תוכנה – חשוב להדגיש שלא ניתן להגן על מערכות בקרה באופן מוחלט רק באמצעות הגנות מבוססות תוכנה, כי זו רק שאלה של משאבים ורצון של מישהו עד שהפריצה תגיע. הגנה מושגת על ידי מספר שכבות הגנה – ואז אפשר לומר שעשינו את מיטב יכולתנו", הוא הוסיף.

ענן או מעונן

ארנרייך התייחס גם לנושא של המעבר לענן, וציין כי הסיבה לכך היא שבעקבות המעבר הגדול יחסית של מערכות ושל מידע בתחום ה-IT, יש רבים שחושבים שגם מערכות תפעוליות צריכות לעשות זאת.

"ואני אומר שלא יקרה כלום קודם כל אם לא תעשו זאת. הענן אולי בטוח בגדול, אבל אנחנו מדברים על מערכות תפעוליות ויש הבדל משמעותי בינן לבין מערכות IT, ויש יותר סיכונים, ולכן אנחנו לא ממליצים להעביר את הבקרה לענן. לגבי השילוב של IIoT, אין למעשה ברירה. לא מספיק לחבר את ההתקן בקצה הרשת, חייבים לקחת בחשבון שיש חיבור דרך הענן", הוא טען.

אי אפשר להתעלם מהסיכונים, אבל גם מצד שני אי אפשר, כמובן, לעצור את המכונות ולהפסיק לייצר, ולכן יש צורך, לפי ארנרייך, במטרה להגן על המערכת, להתייחס לאנשים, לטכנולוגיה ולמדיניות. "הכי חשוב זה להשקיע באנשים, להדריך מה הם סיכונים, איך נמנעים מהם, איך לא עושים שגיאות, והדרכת האנשים נותנת את ה-ROI הכי מהיר והכי גדול. חשוב מאוד גם להכיר את המערכת. יש אימרה ברורה שאומרת שמערכת שלא מכירים עד הרכיב האחרון לא ניתנת להגנה. חייבים גם לדעת לזהות תהליכים חריגים ולהגיב אליהם, ולדעת לזהות את החולשה, ואם אפשר להימנע מגישה מרחוק, אלא במקרים ממש קריטיים", הוא הסביר.

ההבדל בין IT ל-OT

ארנרייך גם תיאר את ההבדלים בין אבטחת IT לאבטחת OT, והראשון שבהם הוא שבמקרה של טכנולוגיות תפעול בתחום התעשייתי המטרה העיקרית היא אמינות ופרודוקטיביות, וזאת לעומת קודם כל שמירה על המידע ועל הפרטיות בתחום הצרכני והעסקי.

"ויש עוד הבדל אחד מאוד משמעותי בין הגנת SCADA להגנת IT והוא שב-IT מאוד ממהרים להציע ולבצע תיקוני תוכנה, וזה מאוד שונה מתחום ה-OT, בו יש אפילו שמעדיפים לא להטליא. ולמה? כי כל עדכון וכל שינוי יכול ליצור סיכון ליציבות המערכת. אני חייב לומר שבצדק אנחנו לא ממהרים, כי כל עדכון יכול לגרום לבעיות ולפתוח את המערכת לתקיפה, ובמקום לתקן בעצם להפריע. אבל אם צריך, יש לבדוק היטב מה יקרה למערכת ואיך זה יתבצע", הוא טען בתוקף.

והשורה התחתונה שלו הייתה פשוטה – "בונים מודלים וצריך לבחון האם מנגנוני ההגנה שאנו מיישמים מתאימים למודלים שלנו, ולבדוק מול כל רכיב וכל היבט במודל", הוא סיכם.