מחקר: מנמ"רים ומנהלי אבטחה בארגוני OT מזלזלים בסיכוני סייבר

סיכוני הסייבר לא מחלחלים מספיק לארגוני ה-OT (הטכנולוגיות התפעוליות) – כך לפחות עולה ממחקר שפרסמה באחרונה חברת הסייבר הישראלית סקייבוקס סקיוריטי.

על פי הנתונים, בעוד שהמנמ"רים ומנהלי האבטחה של 83% מארגוני ה-OT שהשתתפו במחקר השיבו שהארגון שלהם סבל ממתקפת סייבר בשלוש השנים האחרונות, 73% "בטוחים מאוד" שהוא לא יחווה מתקפה בשנה הקרובה. כלומר: חלק ניכר מאוד מהמשיבים, שהם מקבלי החלטות בתחום אבטחת הסייבר, מודים שהארגון שלהם נפרץ, אבל באותה נשימה טוענים שהוא לא פגיע. חוקרי סקייבוקס אומרים שהאמונה של המנמ"רים ומנהלי האבטחה שהתשתית המחשובית שלהם בטוחה – למרות הראיות, שמעידות על מצב הפוך – הובילה לאמצעי אבטחה לקויים בסביבת ה-OT.

"סביר לחשוב שמנהלי אבטחה יסיקו מסקנות מפגיעויות שהתגלו בתשתיות שלהם בעקבות פרצות אבטחה. למרבה הצער, רק כאשר מכונות ברצפת הייצור מפסיקות לעבוד או מתחילות לפעול בצורה מסוכנת – מה שעלול לעלות לחברה הון רב – מחלחלת ההבנה בארגון שהוא איחר להיענות לקריאת ההשכמה", אמר רון דוידסון, סמנכ"ל הטכנולוגיות וסגן נשיא למחקר ופיתוח של סקייבוקס.

מה מקור ההבדל?

הממצאים מעלים את השאלה מדוע יש הבדל כזה בין המציאות לבין התפיסה של אנשי המקצוע לגבי אבטחת OT. בסקייבוקס אומרים שלעתים קרובות, הניתוק מתחיל ברמה התפקודית: חלק ניכר מבעלי התפקידים מסרבים להאמין שמערכות ה-OT שלהם פגיעות, בעוד שאחרים מאמינים שהפרצה הבאה מסתתרת מעבר לפינה.

אל מול הביטחון הרב ברמת ההגנה של הארגון שמפגינים המנמ"רים ומנהלי האבטחה בארגוני ה-OT, החשש עולה בקרב הנהלות המפעלים: רק 37% מהמנהלים בהם סבורים שהארגון שלהם "בטוח מאוד" מפני מתקפות סייבר. החוקרים מעריכים שהנתון הזה הוא מפני שלמנהלי המפעלים יש יותר ניסיון ממקור ראשון עם ההשלכות המעשיות של התקפות סייבר.

הטמעת יותר פתרונות אבטחה לא בהכרח מביאה לפתרון הבעיה

סיבה נוספת לתחושת הביטחון הכוזבת של ארגוני ה-OT היא שבחלק מהחברות חושבים שהוספת עוד פתרונות אבטחה תעלים את הבעיה. רוב מקבלי ההחלטות באבטחת ה-OT אומרים כי שתיים משלוש הפעולות הראשונות שהם נקטו לאחר שארגונם נפרץ היו הגדלת תקציב אבטחת המידע ורכישת טכנולוגיה חדשה. אולם, ציינו החוקרים, יותר שכבות טכנולוגיות יוצרות יותר בעיות נראות, ובמקרים מסוימים, הפיירוולים מגיעים עם פגיעויות מובנות.

ממצא אחר מעלה בקרב חוקרי סקייבוקס את ההערכה שאנשי המקצוע סומכים על קובעי תקני האבטחה, וסבורים שככל שהארגון יעמוד ביותר תקנים, כך הוא יהיה חשוף פחות למתקפות סייבר. או, במילים אחרות, ציות הוא שווה ערך לאבטחה. הם הסיקו זאת לאחר שמצאו שעמידה בתקנות ובדרישות הרגולציה עמדה בראש דאגתם של מקבלי ההחלטות בארגוני הטכנולוגיות התפעוליות. סיבה נוספת לכך היא כמות התקנות והתקנים העצומה, העובדה שאלה משתנים לעתים קרובות והקושי שבפירוש שלהן. "בסביבת OT, דרישות האבטחה והמתודולוגיות הן רבות", ציינו בסקייבוקס. "לדוגמה, דרישות תאימות ל-STIG, תאימות NERC CIP, עמידה במתודולוגיית FAIR ומודל CVAR (ר"ת Cyber Value at Risk)".

לדברי החוקרים, "מיקוד המאמצים רק בתאימות לתקנות גורם להזנחת אזורים שנמצאים מחוץ לטווח זה ועדיין מהווים חלק ממשטח התקיפה של הארגון. תוקפים מכירים את הנטייה הזו ומבצעים את ההתקפות שלהם בהתאם. לכן, בעוד ששמירה על תאימות היא חיונית, חשוב באותה המידה לנקוט בצעדים לחיזוק האבטחה מעבר למה שמחייבת הרגולציה".