תכנון אסטרטגיית סייבר לארגון תעשייתי

אנשי אבטחה שמגיעים מעולם ה-IT ובוחנים את עולם ה-OT מתארים את המפגש ביניהם כמעין ערפל לא ברור של מערכות, פרוטוקולים וציוד. לא נדיר להיווכח שאין מיפוי מדויק ברמת המערכות, ולזה מתלווה חוסר בשפה משותפת עם המהנדסים. באופן הזה קשה מאוד לתכנן אסטרטגיית סייבר לארגון. תוסיפו לכך שהליך הרכש מורכב וארוך ולכן, כל המלצה תיושם לאחר זמן רב. בנוסף, החשש שמערכת אבטחת מידע תגרום למניעת פעולה מסוימת ואף לאירוע מסכן חיים גורמת לכך שהארגון יעדיף לא ליישם מערכות הגנה.

לא ניתן להתעלם מהשיקולים העסקיים הללו. מדובר בארגון תעשייתי יצרני שמשלב מיכון שחלקו ממוחשב וחלקו פועל בפרוטוקולים ישנים דוגמת RS-232/485, ושרוב עובדיו הם מהנדסים, אנשי בקרה ומפעילים. מדובר בסביבה תעשייתית, עבודה במשמרות, חומרים שלעתים מסוכנים מאד הן לעובדים והן לסביבה, והכי חשוב הוא שהמפעל עובד היטב ודרישות האבטחה נתפסות כמעיקות בעיקרן. כך שיוצא שהחלק של ה-IT מנוהל ומבוקר, אבל סביבת ה-OT נראית כמו לפני 20 שנים בעולם ה-IT: רשת שטוחה, חיבורים מרחוק ב-RDP פשוט, ללא 2FA, מערכות הפעלה שלא נתמכות ועוד.

האמת היא שגם מרבית התוקפים לא בדיוק מתמצאים בנושא. לכן, מרבית המתקפות מגיעות דרך ה-IT במטרה להגיע לרשת ה-OT, וגם שם, מרבית המתקפות עוסקות בהצפנת מחשבים ובניסיונות DoS. רק מתקפות ברמת מדינה או קבוצות תקיפה ספציפיות שילבו את האדם באמצע (Man in the Middle) בכדי ליישם מתקפה על הבקרים תוך הטעיית ממשק ה-HMI שמשמש את צוות הבקרה. לקבוצות אלה יש אורך רוח וסבלנות לתכנן מתקפה לאורך זמן רב.

חשוב לזכור שסקר על מערכות ICS (תשתית OT) שונה באופיו מעולם ה-IT. בעוד שעולם ה-IT שם את הדגש על המידע, עולם ה-OT שם את הדגש על הבטיחות של העובדים. אם ב-IT חוששים מזליגת מידע, שיבוש מידע ופגיעה בגישה אליו, הרי שב-OT הדגשים הם בטיחות עובדים, השבתת פעילות ותקלות חמורות במכונות

כלים זדוניים מסוג חדש

אלא שדברים משתנים. בכנס Infosec של אנשים ומחשבים, שבו השתתפתי באחרונה, סיפרתי שתוקפים ברמה גבוהה ובעלי הבנה מעמיקה בפרוטוקולי תקשורת ובתהליכים ב-ICS/SCADA פיתחו כלים זדוניים מסוג חדש. המפתחים של הכלים האלה מכירים היטב את הפרוטוקולים שמשמשים את התעשיה ומנצלים את העובדות שמדובר בפרוטוקולים שאינם מוקשחים ושכמות היצרנים לא גדולה. לכן, בשלב הראשון, הכלים הללו משתמשים במערכות הקיימות ומבצעים מיפוי באופן עצמאי של המערכות, ובשלב השני מיישמים מגוון של פעולות תקיפה. הדבר אף גרר התייחסות רשמית של חברות מהמובילות בתחום.

דוגמה לכך היא Incontroller – כלי שמסוגל ליצור אינטראקציה עם PLCs באמצעות Modbus ו-Codesys, למפות את הרשת ואז לבצע מגוון פעולות, דוגמת ביצוע DoS בכדי למנוע מתקשורת רשת להגיע ל-PLC, ניתוק חיבורים, בכדי שיבוצע אימות מחדש ל-PLC וניתן יהיה ללכוד את תהליך האימות, ושליחת פקודות Modbus מותאמות ספציפית.

כיצד הארגונים אמורים להיערך לכך? ראשית, על ידי ביצוע סקר סיכונים מותאם ל-OT. על הסקר להתבסס על הרגולציה בתחום, שהיא ISA/IEC 62443, ושאליה מצטרפים NIST עם הנחיות משלו, NIST SP 800-82 והרגולציה המקומית בדמות מדריך הסייבר של המשרד להגנת הסביבה. גם אפשרות החדירה מרשת IT לרשת OT שתבוצע על ידי בודק חדירות מוסמך ומנוסה בתחום תהיה בהתאם להנחיות של MITRE – גוף שמשמש בסיס ידע גלובלי של טקטיקות וטכניקות של האקרים.

חשוב לזכור שסקר על מערכות ICS (תשתית OT) שונה באופיו מעולם ה-IT. בעוד שעולם ה-IT שם את הדגש על המידע, עולם ה-OT שם את הדגש על הבטיחות של העובדים. אם ב-IT חוששים מזליגת מידע, שיבוש מידע ופגיעה בגישה אליו, הרי שב-OT הדגשים הם בטיחות עובדים, השבתת פעילות ותקלות חמורות במכונות. זו הסיבה שהקו המנחה בסקר שונה מסקר סיכוני סייבר במערכות IT, ורק ביצוע סקר שכזה יוכל לשמש כבסיס לפיתוח אסטרטגיית סייבר לארגון תעשייתי.

הכותב הוא מנכ"ל מדסק סקיוריטי, שמתמחה בסקרי סיכונים ומבדקי חדירות לעולם התעשיה (OT/IIoT).