אבטחה היקפית חיונית עבור הגנה על מערכות שו"ב
לקראת ICS CyberSec⁸ 2023, מאמר מאת דניאל ארנרייך, יועץ אבטחת סייבר ויו"ר הכנס, המסביר מדוע ארגונים מחויבים כיום להגנה הדוקה ביותר גם על מערכות ה-OT שלהם
בארגונים בהם מפעילים מערכות שליטה ובקרה (שו"ב) אנו רואים תופעה הולכת וגוברת של העברת מידע בין רשתות – בין הרשת הארגונית (IT) לרשת התפעולית (Operational Technology – OT). רשתות תפעוליות כמו מערכות חשמל ומים, ייצור, תעשייתי וכדומה, היו בעבר מבודדות, אבל לאחרונה אנו עדים לצורך של שילוב מאובטח בין המערכות האלה. קישוריות כזו מצד אחד מאפשרת לארגונים להשתמש בנתוני ייצור כדי לשפר את התפוקה והיעילות, אבל מצד שני קישוריות זו מגדילה את היכולות של תוקפי סייבר לחדור למערכות OT.
כידוע, הגנה היקפית היא תנאי חיוני לאבטחת סייבר והגנת בסייבר היא תנאי חיוני להשגת בטיחות תפעולית. לכן הכרחי לשקול אבטחה היקפית תוך תכנון חיבור מאובטח בין רשתות IT ו-OT
הסיכון הוא לבטיחות האנשים וכן לאמינות מערכות המחשוב שמנהלות את התהליכים התפעוליים. אבטחת סייבר על מערכות OT לא הייתה בראש סדר העדיפויות בעבר עד 2010 (אירוע סטוקסנט – Stuxnet), בגלל אמונה שהבידול ממערכות ה-IT מגן עליהן. אלא שקישור לא מאובטח בין רשתות IT ורשתות OT כבר אפשר פעמים רבות תקיפות סייבר, שגרמו לסיכון בטיחותי וגם להפסדים כספיים לארגונים. כידוע, הגנה היקפית היא תנאי חיוני לאבטחת סייבר והגנת בסייבר היא תנאי חיוני להשגת בטיחות תפעולית. לכן הכרחי לשקול אבטחה היקפית, תוך תכנון חיבור מאובטח בין רשתות IT ו-OT.
אמצעי אבטחה יעילים עבור אבטחה היקפית בסביבת ה-OT
בעבר נצפה שצוותי OT יצרו חיבורים לא מאובטחים, כדי לאפשר תחזוקה נוחה מרחוק. לכן המתכננים נדרשים למזער את נקודות הכניסה למערכות בארגון, על מנת לאפשר אבטחה יעילה של זרימת הנתונים פנימה וגם החוצה מסביבת OT אל סביבת IT.
שימוש בהתקנים כמו דיודות נתונים/שער חד-כיווני הוא קריטי בהשגת רמת האבטחה במקום שממנו נדרשים להעביר נתונים מרשת OT לצורך ניטור אבטחה רציף, כגון מערכות IDS וכומה. דיודות חד-כיווניות (Unidirectional Data Diode) לא דורשות בדרך כלל תחזוקה, בהשוואה לחומת אש (FW – Firewall). הקמת חומת אש מבטיחה בידול יעיל בין הרשתות. יש לזכור שחומת אש תהיה יעילה רק אם היא מוגדרת ומתוחזקת כהלכה.
פילוח רשתות ויצירת הפרדה מסוג אזור מפורז (Demilitarized Zone – DMZ) בין סביבת ה-OT ו-IT הם אמצעים יעילים כדי למנוע חדירה לרשת OT. אזור DMZ מוקצה לטיפול מאובטח בנתונים ובכך מפחית את הגישה של מהמשתמשים החיצוניים וגם של תוקפים לרשת השו"ב.
מערכות שו"ב אשר נדרשות לאבטח אזור מורחב ונקודות כניסה רבות מהתקני IIoT (ר"ת Industrial Internet of Things), מהוות אתגר מיוחד בכל הנוגע להגנה היקפית. הגנה חזקה למטרות אלה דורשת שימוש בפתרונות יעילים, חדישים וגם רב-שכבתיים, המסוגלים להגן על מערכות שו"ב מפני איומים צפויים.
***
הכנס הבינלאומי ICS CyberSec⁸ 2023 של חברת אנשים ומחשבים, יתמקד באופן פרטני בנושאים אלה ויכלול מרצים מישראל ומחו"ל. הכנס יתקיים ב-LAGO ראשל"צ, ב-29 בנובמבר הקרוב (הרשמה בלינק), וכותב המאמר, דניאל ארנרייך, יועץ אבטחת סייבר, משמש גם כיו"ר הכנס.
תגובות
(0)