סייבר קטלני: האקרים יחמשו מערכות תפעוליות כדי להרוג בני אדם

תוקפי הסייבר מכוונים יותר ויותר מתקפות לכיוון סביבות, מערכות ורכיבים של טכנולוגיה תפעולית, OT, ולחמש אותם כדי לפגוע בבני אדם, או להרוג אותם, כך לפי גרטנר (Gartner). על פי חברת המחקר, הדבר עלול לקרות עד 2023.

לפי גרטנר, "ההאקרים התפתחו טכנולוגית ועברו שלב: מהפרעה מיידית לתהליכים, כמו השבתת מפעל, הם 'התקדמו' לפגיעה בשלמות הסביבות התעשייתיות מתוך כוונה ליצור נזק פיזי".

אחד מאירועי הסייבר הראויים לציון בהקשר זה הוא הפריצה שהייתה בחודש מאי לקולוניאל פייפליין (Colonial Pipeline). כנופיית הכופרה דארקסייד (DarkSide) תקפה את קולוניאל, מפעילת מערכת צינורות הדלק הגדולה בארה"ב. קבוצת ההאקרים גנבה כמעט 100 ג'יגה-בייט של נתונים. לאחר תפיסת הנתונים, ההאקרים נעלו את הנתונים בכמה מחשבים ושרתים, דרשו כופר והתריעו, כי אם דמי הכופר לא ישולמו, הם ידליפו את הנתונים הגנובים לאינטרנט. קולוניאל שילמה לתוקפים 4.4 מיליון דולרים במטבע קריפטוגרפי. הייתה זו אחת ממתקפות הכופרה הגדולות, שהצליחו. משרד המשפטים האמריקני הצליח להחזיר 2.3 מיליון דולרים מכלל התשלום. בשל הפריצה, קולוניאל נאלצה להשבית את צינורות שינוע הדלק שלה למשך חמישה ימים, וכתוצאה מכך ביותר מ-10,000 תחנות דלק ברחבי דרום-מזרח ארצות הברית היה חסר דלק. החברה שהותקפה מתפעלת צנרת באורך של כ-9,000 ק"מ והיא משנעת יותר מ-370 מיליון ליטרים ביום, נתון המשקף כ-45% מתצרוכת הדלק בחוף המזרחי של ארה"ב. הצינורות מובילים דלק מבתי הזיקוק שבחוף המזרחי לאזור העיר ניו-יורק וסביבתה. היא מספקת דלקים לסוגיהם: בנזין, סולר, דלק סילוני ונפט. המתקפה, ציינו החוקרים, הדגישה את הצורך בקיום הפרדה נרחבת עבור רשתות ה-IT וה-OT.

"בסביבות תפעוליות, מנהלי אבטחה וניהול סיכונים צריכים להיות מודאגים יותר מסכנות שתגענה מהעולם האמיתי ותהיינה בעלות השפעה על בני אדם ועל הסביבה – ולא מגניבת מידע", אמר וום ווסטר, מנהל מחקר בכיר בגרטנר. לדבריו, "שיחות שערכנו עם לקוחות ארגוניים העלו, כי ארגונים מתעשיות עתירות נכסים, כמו ייצור, אנרגיה ותשתיות – מתקשים להגדיר מסגרות בקרה מתאימות", אמר ווסטר.

לדברי חברת המחקר, אירועי אבטחה בעולם ה-OT ובמערכות משולבות של קינטי (פיזי) וקיברנטי (סייבר) מתאפיינים בשלושה מניעים עיקריים: פגיעה ממשית, ונדליזם מסחרי, שמטרתו פגיעה בתפוקה של הארגון הקורבן, או פגיעה במוניטין של היצרן, כך שהוא יהפוך לבלתי מהימן ולא אמין.

גרטנר צופה, כי הנזקים בשל הפגיעה במערכות משולבות שכאלו (CPS – cyber-physical systems) יהיו כפולים: אובדן חיי אדם ועלויות כספיות של יותר מ-50 מיליארד דולרים – עד 2023. זאת, כי לצד מקרי המוות, והפיצוי שיידרש בשל כך, תהיינה עלויות נוספות, של פיצויים, התדיינויות משפטיות, ביטוח, קנסות רגולטוריים ואובדן מוניטין. "כל אלו יהיו עלויות משמעותיות", נכתב.