יישום שיטות האבטחה מעולם הבקרה התעשייתית בבניינים חכמים
כתב: גלעד זינגר, מנהל תחום הגנה בסייבר של קבוצת שדמה
בשנים האחרונות אנו רואים גידול משמעותי במבנים חכמים לדיור ולתעשייה המצוידים בטכנולוגיות אשר בעבר היו נחלת הבקרה התעשייתית.
אנו עדים להקמת מבנים חדישים בעלי מערכות ניהול ובקרה אוטומטית של אקלים, אבטחה ובקרת גישה, מעליות וכמובן בטיחות. בנוסף, מבנים אשר בעבר השתמשו במערכות אנלוגיות הוסבו לשימוש בטכנולוגיות דיגיטליות.
ההיגיון שעומד מאחורי המעבר למבנים החכמים הינו חיזוק יכולות השליטה והבקרה. מבנים אלו מאפשרים שילוב מערכות של חיישנים מסוגים שונים המבצעים מדידה בזמן אמת של נתונים מגוונים המעובדים לכדי תובנה המאפשרת פעולה אוטומטית שמטרתה לספק שירות טוב יותר לדייר וחסכון בעלויות.
דוגמה פשוטה לכך ניתן לראות בבקרה על מערכות מיזוג האוויר בהן חיישן מסוג תרמוסטט מודד טמפרטורה, מעביר את המדידה לבקר אשר בתורו שולח פיקוד הפסקה או הפעלה למערכת המיזוג.
על מנת לייצר מבנה חכם באמת עלינו ליישם לוגיקות הפעלה מורכבות אשר ינתחו תרחישים צפויים של שימוש במערכות המחוברות ויאפשרו מענה ושינוים נדרשים ללא התערבות חיצונית. הדבר מורכב מאיסוף נתונים מרובים, יצירת מאגר מידע מרכזי מבוסס Big Data אשר יאוחסן מקומית או בענן והפעלת בינה המאפשרת מענה לכלל המצבים הנוצרים.
מערכות אלו קרויות BAS (ר"ת Building Automation Systems) או מערכות ניהול מבנה הקרויות BMS (ר"ת Building Management Systems).
הפונקציונליות הבסיסית של BAS שומרת על אקלים הבניין בטווח נתון, מספקת תאורה על בסיס לוח זמנים, עוקבת אחר ביצועי המערכת וכשלים בהתקן, ומספקת התראות על תקלות (באמצעות מסרונים למשל). בנוסף מאפשרת חסכון ניכר בחשמל, בהשוואה לבניין שאינו מבוקר.
אינטגרציית הבניין למערכות טכנולוגיות יצרה חולשה פוטנציאלית המעוררת דאגה: סיכון בו מערכת המקושרת לאינטרנט תהיה חשופה למשתמשים זדוניים אשר יעשו שימוש בקישור זה בכדי לקבל גישה למערכות האוטומציה של הבניין.
בנוסף, קיימים תרחישי תקיפה להם לא היה נדרש מענה בעולם ה-ICS המסורתי בו רשת תפעולית/תעשייתית אינה מחוברת לאינטרנט באופן ישיר. בקרת בניינים מציפה וקטור נוסף – תקיפת רשת ה-IT של הארגון דרך רשת בקרת המבנה (בהשאלה אותה רשת תפעולית/תעשייתית עליה אנו מגנים בעולם ה-ICS).
לייצר פגיעויות ברמה של פגיעה בחיי אדם
למעשה, למרבית מערכות הבקרה לניהול בניין קיימת גישה לאינטרנט מסיבות של ניטור שוטף, התראה על מצבים חריגים, עדכון, תמיכה, שליטה מרחוק ועוד. גישה לא מורשית למערכות אלו עשויה לייצר פגיעויות בעלות השלכות ברמות חומרה שונות החל מבעיות תפעוליות נקודתיות, הפסדים כספיים משמעותיים כתוצאה מהשבתה לטווח ארוך וכלה בפגיעה בחיי אדם.
תארו לעצמכם תרחיש לגמרי לא דמיוני שבו משתמש זדוני שולט על כלל מערכות הבניין הכוללות את בקרת האש והמעליות. ביכולתו לשבש קריאת בקרות לגילוי אש, ליזום פגיעה בחדרי מיזוג של שרתים ואף לגרום להפעלת עומס חשמלי קיצוני על רכיבים במבנה.
גם תרחיש בו מעליות של בית חולים מושבתות על ידי כופרה בעת אירוע רב נפגעים אינו יכול להיחשב דמיוני יותר.
מה נדרש לעשות?
ראשית, יש לייצר רגולציה מדינתית אשר תאגד בתוכה את הנהלים הרלוונטיים לכל שלבי הבנייה, החל משלב התכנון תוך שילוב גורמים מומחים מתחום אבטחת מידע המתמחים ב-BMS.
בנוסף יש לשלב סקרי סיכוני מערכות BMS ואף ביקורת מסכמת טרם מתן היתר להשלמת המבנה.
עד להסדרת הרגולציה, פתרון הביניים ללא ספק רב שכבתי ודורש שילוב של הצרכים התפעוליים והפרודוקטיביים של המבנה עם מענים אבטחתיים ראויים.
יש לבחון את המקרים בהם קיים צורך בחיבור חיצוני של מערכת בקרת המבנה וכיצד חיבור זה משתלב עם מעגלי האבטחה הנדרשים.
עלינו לשלב את הפתרונות המורכים מעולם ה-IT וה-OT על מנת להגן על מערכות אלו. פתרונות כגון הפרדת רשתות, העברת מידע באופן חד כיווני, מניעת הפעלת שירותים שאינם מורשים, הצפנת תעבורה וכמובן מדיניות סיסמאות חזקה למשתמשי המערכות ומנהליה.
לסיכום, להבדיל מעולם ה-ICS המוכר, מערכות ה-BAS נוגעות בכל אחד מאתנו: אם זה במבני משרדים אליהם אנו נכנסים מדי יום, מבני המגורים העתידים (לעיתים הנוכחים) שלנו ומבנים ציבוריים מגוונים. ולהבדיל מעולם ה-ICS המוכר, אין "שומר סייבר" בשער.
קבוצת שדמה תהיה על הבמה בכנס Industry 4.0 של אנשים ומחשבים שייערך ביום שני, ה-13 לנובמבר ב-LAGO ראשון לציון. הכנס משלב בין שני מסלולים: IIOT ו-ICS Cyber Security.
לפרטים נוספים לחצו כאן.