חשבתם שרק ה-IT נמצאות על הכוונת של ההאקרים? תחשבו שוב

"הפשיעה היא זו שגורמת למנהלים לשים כסף ולתעשיית הסייבר לפתח פתרונות. במערכות התפעוליות, משטח התקיפה מצומצם בגלל החשיפה הפחותה מאוד לאינטרנט, וחייבים לשמר אותו ככזה. בעבר, תקיפות על מערכות תפעוליות היו נחלתן הבלעדית כמעט לחלוטין של ממשלות, אבל הפושעים החלו להתרחב גם לחברות. ההישגים שלהם הם עצירת ייצור ונזק משמעותי עד קריטי לארגון. במפורש מתחילים לראות מתקפות סייבר גם בעולם ה-OT, והן דומות מאוד לאלה של ה-IT", כך אמר אלי גזית, מנהל בחטיבת תשתית המדינה הקריטית ברשות הלאומית להגנת הסייבר.

גזית דיבר בכנס ISC-Cybersec 2018 שהתקיים באחרונה, בהפקת אנשים ומחשבים, במרכז האירועים LAGO בראשון לציון, בהשתתפות מאות מומחים ואנשי מקצוע. הנחה אותו יהודה קונפורטס, העורך הראשי של הקבוצה.

בכנס דיבר גזית על ההבדלים בין הגנת סייבר על טכנולוגיות מידע (IT) לעומת זו שעל טכנולוגיות תפעוליות (OT). "ב-IT ניתן ללמוד, במקרים רבים, מגוף אחד על אחרים, להבין אילו שיפורים ניתן לעשות, להתקין טלאים כשגרה וכדומה. ב-OT, כדי להגן, יש להיות מודעים לפרטי פרטים לכל ההתקנים והרכיבים, ובמקביל ללימוד את התהליך העסקי. יש בתחום זה מיעוט יחסי של פתרונות הגנה והשילוב שלהם במערכות הוותיקות מורכב מאוד. הפתרונות שקיימים מתמקדים בזיהוי ולא בחסימה ויהיה צורך ביותר פתרונות חסימה, גם אם הדרישה לכך עדיין לא גבוהה. יש גם פער מחשבתי לגבי נושא העדכונים", אמר.

הגנה – גם מפני טעויות אנוש

גם ניסים חי, מנהל מוצר בשניידר אלקטריק, ציין כי נושא הסייבר בתחום התפעולי הפך לקריטי. "זה רובד חדש שנוסף לצורך להבטיח שהמערכות יעבדו ללא הפסקה, וזה יצר תוספת משמעותית לעבודה של צוות התפעול", אמר.

ניסים חי, מנהל מוצר בשניידר אלקטריק. צילום: ניב קנטור

הוא ציין כי החברה "בודקת הרשאות, בודקת מי נכנס, אם יש וירוס, וזה כבר מוטמע בתוך הבקרים שאנחנו מציעים. המטרה היא להקשות על האקרים להפריע לתהליכים התפעוליים, אבל לא רק. אסור לשכוח שיכולות להיות גם טעויות אנוש שיובילו לתקלות שיגרמו למערכות להפסיק לעבוד לחלוטין".

לדבריו, "אנחנו מציעים למדר את האנשים שיכולים בכלל להתחבר למערכת הבקרה. לא מספיקה רק סיסמה".

"הגורם האנושי – הסכנה הגדולה ביותר"

ד"ר דמיאן בולזוני, מנכ"ל SecutiyMatters, אמר שהגורם האנושי מהווה הסכנה הגדולה ביותר למערכות התפעוליות. "הבעיה של חברות, עם כל כמה שזה מפחיד לכאורה, היא לא המתקפות על המערכות, אלא המשתמשים שלהן. לא כולם יודעים בדיוק מה המשאבים שלהם, איך המערכות מוגדרות, ויש חוסר משמעותי בנראות, שהיא הצורך לדעת מה כל התקן עושה, ואיך ועם מי הוא מדבר. אם לא יודעים מה קורה, נפתחת הדלת לכשל מידי. ההבנה היכן צריך להתחיל בתהליך האבחון ואודות התיקון מעטה מאוד", טען.

ד"ר דמיאן בולזוני, מנכ"ל SecutiyMatters. צילום: ניב קנטור

"במקביל", אמר ד"ר בולזוני, "יש מגמה של השתנות שמורגשת היטב. לפני 10 שנים, הדבר היחיד שהלקוחות הפוטנציאליים דיברו עליו היה איכות היצרנים, ספקי החלקים והתשתית. כיום יש חברות שמעלות אתה מידע שלהן לענן, וקיים צורך לעמוד בדרישות העסקיות בסביבה שקשה יותר לנהל ולאבטח".

יותר ממחצית החברות חוו תקיפות על המערכות התפעוליות

ולדימיר זאוודצ'יוב, מהנדס מכירות בכיר בטרנד מיקרו, סיפר כי יותר ממחצית החברות דיווחו שהן חוו מתקפת סייבר נגד המערכות התפעוליות שלהן בשנה האחרונה. "ברוב המקרים הייתה עצירה חלקית או מוחלטת של תהליכי ייצור וזה חמור מאוד", אמר.

ולדימיר זאוודצ'יוב, מהנדס מכירות בכיר בטרנד מיקרו. צילום: ניב קנטור

הוא ציין כי "המצב דומה ברוב המדינות. ועל אף שאנחנו נפגשים עם לקוחות ומדברים איתם, יש בעיות שלא נפתרות. בנוסף, יש בעיות חדשות, ואי אפשר לומר שאם אנחנו עוצמים עיניים ומונעים את סביבת ה-IT מסביבת ה-OT – אנחנו בטוחים. זה כבר לא כך". זאוודצ'יוב הזהיר שכל אחד מהמנגנונים במערכות פגיע ולכל מנגנון כזה צריך לתת פתרון מוגדר, וזאת במציאות מורכבת, בה נכנסת לתמונה גם מהפכת התעשייה 4.0.

"לבצע הערכת אבטחה – כדי להיערך לתקיפה"

דובר נוסף באירוע היה גלעד באנדל, סגן נשיא למוצרים בראדיפלו. הוא סיפר על הפתרון של החברה, שמנטר את התעבורה במערכות התפעול הארגוניות ומספק המלצות. "המערכת שלנו יודעת לעבוד עם הרבה מאוד בקרים, והיא עומדת ביותר תנאים ודרישות מכל חברה אחרת. היא מקליטה כל פעולה שמבוצעת, את התנועה המלאה שלה, כך שבמקרה הצורך אפשר גם לקבוע מי גרם לבעיה. כך ניתן להבטיח גילוי מלא של תקיפה וחדירה", הוסיף.

גלעד באנדל, סגן נשיא למוצרים בראדיפלו. צילום: ניב קנטור

ככלל, הוא אמר שיש צורך בהיערכות מראש למתקפות. "לפני שעושים משהו צריכים לבצע הערכת אבטחה, ואני מפציר בארגונים לעשות את זה. לא צריך לחכות ליום תקיפה, כי אפשר למנוע ולהיערך אליה נכון הרבה לפני שהיא מתרחשת", סיכם באנדל.

בעיות הנראות, השליטה והבקרה על המערכות

אלון בראל, סגן נשיא למכירות באזורי EMEA ו-APC באינדגי, התייחס לבעיות הנראות, השליטה והבקרה על המערכות. "במקרים רבים מגלים שמנהלים אפילו לא יודעים מה מחובר אצלם לרשת. במקרה הטוב יש איזה קובץ אקסל שמסביר ומתאר את זה, והוא בדרך כלל ממש לא מעודכן", אמר. "בעיה נוספת היא שמנהל הסייבר בדרך כלל לא יודע ולא מכיר את כל הפרוטוקולים שרצים ברשת, כי אין מקום אחד בו כל הבקרים וכל המערכות מדברים באותה השפה, ולכל ספקית ציוד יש פרוטוקול משלה. ואם עד כאן לא חסר בלאגן, חלק מהמידע בכלל לא נמצא ברשת אלא בבקרים עצמם".

אלון בראל, סגן נשיא למכירות באזורי EMEA ו-APC באינדגי. צילום: ניב קנטור

הוא טען כי מכך נובע הצורך בתשאול הרכיבים עצמם ברשת הבקרה. "הייתה על הטכנולוגיה הזו המון ביקורת בשנים האחרונות, אבל לאט לאט החברות עוברות לטכנולוגיה של תשאול אקטיבי ואני מעריך שבעוד שנתיים כבר לא נשמע על מערכות פסיביות", אמר בראל.