אחת משבע מתקפות כופרה מתחילה בזליגת מידע OT קריטי

זליגת נתונים תמיד היוותה נושא לדאגה בארגונים. חשיפת מידע רגיש עלולה לגרום לפגיעה במוניטין, לעונשים משפטיים ולאובדן קניין רוחני, ואף להשפיע על פרטיות העובדים והלקוחות. עם זאת, יש מעט מחקרים על האתגרים הניצבים בפני ארגונים תעשייתיים כאשר גורמים עוינים חושפים פרטים רגישים על אבטחת ה-OT (הטכנולוגיות התפעוליות), הייצור, התפעול או הטכנולוגיה שלהם. מחקר חדש של מנדיאנט מצא שאחת מכל שבע הדלפות מארגונים תעשייתיים שפורסמו באתרי סחיטת כופר עלולה לחשוף תיעוד OT רגיש.

בשנה החולפת, חוקרי האיומים של מנדיאנט המשיכו לעקוב אחרי תוקפי כופרות שמנסים לסחוט אלפי קורבנות על ידי חשיפת טרה-בייטים רבים של מידע גנוב באתרי שיימינג. מגמה זו, שהחוקרים מתייחסים אליה כ-"סחיטה מרובת גוונים", השפיעה ב-2021 על יותר מ-1,300 ארגונים ממגזרי התשתיות הקריטיות והייצור התעשייתי.

כדי לאמת את המידה שבה זליגות אלה מהוות סיכון ל-OT, החוקרים ניתחו מבחר של דגימות המשתמשות במערכות ייצור שפועלות בעזרת טכנולוגיות תפעוליות. הם בחנו נתונים רבים ומצאו כמות ניכרת של תיעוד OT רגיש. זה כלל דיאגרמות רשת והנדסה, תמונות של לוחות מפעילים, מידע על שירותי צד שלישי ועוד.

החוקרים ציינו כי "גישה לסוג זה של נתונים (תיעוד OT רגיש – י"ה) עלולה לאפשר לתוקפים ללמוד על סביבה תעשייתית, לזהות נתיבים של התנגדות נמוכה ביותר ולהנדס התקפות סייבר פיזיות. בנוסף, נתונים אחרים הנכללים בהדלפות ונוגעים לעובדים, תהליכים, פרויקטים ועוד עלולים לספק לתוקפים תמונה מדויקת מאוד של התרבות הארגונית, התוכניות של הארגון והתפעול שלו".

כיצד החוקרים פעלו?

"כדי להבין טוב יותר את הסיכון שזליגות נתונים אלה מציבות לבעלי נכסי OT", כתבו החוקרים בבלוג של החברה, "בנינו מערך נתונים גדול. במשך כמה חודשים, צוות קטן של אנליסטים וחוקרי נתונים סינן מאות זליגות, אסף וניתח דגימות כדי למצוא תיעוד OT. זיהינו לפחות 10 אתרים שהכילו נתונים טכניים רגישים של OT. בשל נפח הנתונים הגדול בזליגות רבות, ביצענו רק ניתוח שטחי של האתרים, אולם לו היינו משקיעים משאבים נוספים לעיבוד הדגימות שלנו – ככל הנראה היינו מוצאים כמות משמעותית של מידע נוסף".

"בנוסף, סביר להניח שרוב התוקפים ימקדו את מאמציהם במספר קטן יותר של ארגונים, עקב מגבלות משאבים ועניין קיים קודם ביעד או ביעדים ספציפיים. זה יאפשר לתוקפים למקד את משאביהם במציאת מידע נוסף על כל יעד, שיהיה חיוני לכל מתקפה מתוחכמת", ציינו חוקרי מנדיאנט.

"היסטורית", הוסיפו, "קמפיינים של ריגול עזרו לקבוצות בחסות מדינה לרכוש פרטים על פעילותם של ארגונים תעשייתיים. נתוני הריגול הללו תמכו בשלבים שונים של התקפות סייבר פיזיות אמיתיות, כמו הפסקות החשמל באוקראינה ב-2015 וב-2016 ותקרית טריטון. גם אם נתוני ה-OT החשופים ישנים יחסית, הרי שאורך החיים הטיפוסי של מערכות סייבר פיזיות נע בין 20 ל-30 שנים. כתוצאה מכך, הזליגות רלוונטיות למאמצי ריגול במשך עשרות שנים – הרבה יותר מאשר מידע חשוף על תשתית IT".

מה לעשות?

כדי להפחית את הסיכונים שמציגים נתוני OT חשופים, ואף למנוע אותם, חוקרי מנדיאנט סיכמו את מחקרם בשורת המלצות: צרו ואכפו מדיניות חזקה לטיפול בנתונים על עובדים וקבלני משנה, כדי להבטיח שהתיעוד הפנימי מוגן; שימו לב במיוחד לבחירת קבלני משנה שמיישמים תוכניות אבטחה מקיפות לשמירה על נתונים תפעוליים; הימנעו מאחסון נתונים תפעוליים רגישים במיוחד ברשתות פחות מאובטחות; שנו אישורים ומפתחות API שזלגו; שיקלו לשנות כתובות IP חשופות עבור מערכות קריטיות ושרתי קפיצות OT; בצעו, מעת לעת, תרגילי צוות אדום (תקיפה) לזיהוי מידע פנימי חשוף חיצוני שאינו מאובטח; וקורבנות של מתקפת כופרה צריכים לאמוד את הערך של כל מידע שזלג, כדי לקבוע אילו בקרות יכולות לעזור להפחית את הסיכון לפריצות נוספות.