"המערכות התפעוליות הולכות והופכות גן עדן להאקרים"

"איומי הסייבר מגיעים מכל הכיוונים ומכל האמצעים. בנוסף לכך שהם הולכים ומתרבים, התקיפה על המערכות התפעוליות נהיית קלה יותר, והיא בבחינת גן עדן להאקרים", כך אמר דניאל ארנרייך, יועץ להגנת סייבר למערכות בקרה תעשייתיות ולמערכות תפעוליות. לדבריו, "נדרשת מוכנות ממוקדת לאיומי סייבר, במיוחד על מערכות תפעוליות".

ארנרייך דיבר בפתח כנס ICS Cybersec, שהוא היה היו"ר שלו. הכנס, בהפקת אנשים ומחשבים, נערך היום (ב') באופן וירטואלי ודן באבטחת סייבר למערכות ICS, OT, IIoT ו-SCADA.

"רק לפני חודש", אמר, "חווינו תקיפה מאיראן על מערכות המים במדינה. יש מתקפות רבות על מערכות החשמל ולמזלנו, עוד לא קרה משהו חמור אצלנו. כמו כן, ישנן תקיפות על מתקני אנרגיה, למשל המתקפה האיראנית על סעודי ארמקו, תקיפות נגד מפעלים תעשייתיים באירופה, וכעת, על רקע הקורונה, אנחנו חווים סיכונים חדשים בדמות מתקפות על בניינים, בתי חולים ורשתות תקשורת. המסקנה היא שכל הארגונים נמצאים תחת סיכון וכל ארגון חייב להפנים שהוא מהווה מטרה".

"לא קשה לתקוף", אמר. "כל חובבן יכול להיכנס לאתר Shodan, ולראות על אילו בקרים תעשייתיים ניתן לעשות מניפולציה ולגרום לנזק גדול לתשתיות קריטיות. כמות הידע הנדרשת לביצוע תקיפות חמורות הולכת ופוחתת, והקושי לבצע אותן הולך ויורד".

ארנרייך הציג את האבולוציה בתקיפות הסייבר: "ב-1998 אירעה התקיפה הראשונה, באוסטרליה. עובד שפוטר הציף שכונות במי ביוב. רק שלא ידעו לומר שמה שהוא עשה הוא מתקפת סייבר. בסוף העשור הראשון של שנות ה-200 בוצעה מתקפה באמצעות התולעת סטוקסנט – משימה מורכבת, שרק מדינה יכולה לפתח. ב-2010 החלה הספירה של תקיפות סייבר על מערכות ICS. אז הבינו שמערכת שמנותקת מהרשת לא בהכרח מאובטחת. ב-2015 הותקפו תחנות כוח באוקראינה ולפני כמה שבועות הותקף נמל איראני".

צילום ועריכת וידיאו: אורי אלון

"הסיכון הולך וגדל, והוא דורש התייחסות משמעותית מצד הנהלות ארגונים", ציין. "ארגונים יכולים, ואף חייבים, להיערך למתקפות במגוון דרכים, יש ליישם אמצעי התגוננות רבים. המעבר לעבודה מרחוק בעת הקורונה רק העלה את הסיכון והגדיל את משטח התקיפה. ככל שזה חשוב להתחבר מרחוק, יש לעשות זאת רק כשזה הכרחי, כי התוקף ימצא את החולשה בחיבור מרחוק בתוך כמה דקות. נדרשים אמצעים להקטנת הסיכון, אף אם לא ניתן לעצור את המתקפות כי אין 100% הגנה".

אז מה עושים?

ארנרייך פירט מה נדרש לעשות: "לשמור על הנתונים; לאבטח את מערכות המידע; לאבטח את רשת התקשורת; לערוך נהלים לגבי אנשים ותחזוקה; לעשות ניהול שינויים ותצורה; לערוך בקרה על כל סוגי התהליכים, לרבות ניטור אנומליות, זיהוי חריגים ויצירת יותר נראות; לערוך בקרה, תחזוקה ועדכונים על היישומים; ואסור לשכוח את האבטחה הפיזית – אין הגנת סייבר בלעדיה".

הוא ציין כמה תקנים ורגולציות בתחום, "ביניהם תקן ISA/IEC62443, שקובע שבכל מערכת יש שלושה שחקנים: הבעלים המפעילים את מערכות הבקרה, האינטגרטורים הבונים ומתחזקים את המערכות ומגוון ספקים של אמצעי בקרה, חומרה, תוכנה ושירות. כך, ברור יותר מי אחראי על מה".

לסיכום אמר ארנרייך ש-"הגנת סייבר על מערכות ICS ו-OT חייבת להיות ייחודית. נדרש לבצע סקר סיכונים תקופתי ולבחון את המערכות, כי אי אפשר להגן על מה שלא מכירים. יש למנוע חשיפה של המערכות ברשת, תוך מיקוד באנשים, נהלים, הדרכות ויישום טכנולוגיות. צריך לקיים מוכנות לקראת כל איום – פנימי, חיצוני וכזה שמגיע מצד ג' בשרשרת האספקה. יש לערוך תרגולים, להגיב נכון, להיערך להמשכיות עסקית וחזרה לשגרה, ולעשות זאת תוך הסקת מסקנות לשיפור. בנוסף, נדרש להיות דרוכים לקראת איומים בלתי צפויים, כי עולם מתקפות הסייבר חושף בכל יום משהו חדש".