הגנת סייבר על מערכות ייצור
מתקפות סייבר על תשתיות ייצור לא מתפרסמות במידה שבה הן מתרחשות. למה תשתיות אלו נעשו אטרקטיביות למתקפות סייבר? ומה אפשר לעשות נגדן?
המרחב הקיברנטי נעשה אטרקטיבי לתוקפים יותר ויותר, ובמקרים רבים אנו חסרי אונים אל מול אותן התקפות. על פי רוב מתפרסמות התקפות על תשתיות המידע הארגוני (מערכות IT), והתקפות על תשתיות הייצור מוכרות פחות ונדירות יותר לכאורה.
המציאות שונה ממה שמתפרסם לציבור בכלי התקשורת. תשתיות ייצור (מערכות בקרה OT/SCADA) נתקפות גם נתקפות, אולם לא נהוג לפרסם התקפות אלה ברבים, בעיקר כדי למנוע מהמותקפים מבוכה אל מול לקוחותיהם.
אנו מכירים את מתקפת STUXNET שהתרחשה בשנת 2010 על תשתיות הגרעין האירניות. מתקפה אחרת, מוכרת פחות, היא מתקפת פצחנים אירניים על תשתיות חברת הנפט הסעודית ארמקו, שבמסגרתה השתלטו תוקפי סייבר על בקרים של מפעל תשתית נפט. הבקרים האמורים נמצאים בשימוש ב-18 אלף מפעלי תשתית בעולם וגם בישראל. מומחים סבורים שהאקרים אירניים הצליחו כמעט לפוצץ מיתקן פטרוכימי בסעודיה.
מתקפת WonnaCry התרחשה בשנת 2017 על תשתיות של יותר מ-150 מדינות למטרות כופר, וממש לאחרונה נתבשרנו על מתקפה על בית החולים הלל יפה, אשר בחלקה תקפה גם מערכות BMS.
מדוע מותקפות תשתיות ייצור?
ישנן דוגמאות לרוב לניסיונות תקיפה, חלקן מוצלחות יותר בעיני התוקף, וחלקן פחות.
נשאלת השאלה, מה השתנה? מה הסיבות שתשתיות הייצור נעשו אטרקטיביות למתקפות סייבר, ומה אפשר לעשות נגד מתקפות אלו?
ישנן מספר סיבות להיותן של תשתיות ייצור יעד אטרקטיבי לתקיפת סייבר:
1. בעבר רשתות הבקרה התעשייתיות (הן המושא להתקפות סייבר) היו מבודדות מהסביבה החיצונית. מערכות הבקרה היו על פי רוב טוריות (סריאליות), ונעשה בהן שימוש בפרוטוקולי תקשורת ייחודיים. לעומת זה היום מערכות אלו משתמשות בפרוטוקול תקשורת אוניברסלי - TCP-IP. עצם המעבר לשימוש בפרוטוקול אוניברסלי מקל על התוקפים.
2. הרצון להגביר את היעילות המפעלית מעלה את הצורך לקשור בין הרשת הניהולית לרשת הארגונית. לדוגמה, לקשור בין מערכות ERP לרצפת הייצור באופן שאנשי השיווק והמכירות יידעו בכל רגע מצב מלאי, סטטוס של תהליכי ייצור וכדומה, ויוכלו להתחייב בפני לקוחותיהם באשר למועדי אספקה, כמויות ועוד. כך לא זו בלבד שרשתות הבקרה עברו לפרוטוקול סטנדרטי, הן גם נהיות מקושרות לרשתות הניהול הארגוניות אשר יכולות לשמש שער כניסה נח לתקיפתן. מגמה זו נהפכה לפגיעה יותר בעידן תעשיה 4.0 (IIoT).
3. השגת כלי תקיפה איכותיים היא כיום מוצר עובר לסוחר. על ידי גישה נוחה לרשת השחורה (DarkNet), כלי תקיפה שהיו בעבר נחלת מעצמות סייבר, ניתנים להשגה במחיר שווה לכל נפש. הדבר מקל מאוד על התוקפים את מלאכת התקיפה.
תשתיות המידע הארגוניות (IT) מוגנות בדרך כלל טוב יותר מתשתיות הייצור (OT). בשני העשורים האחרונים ויותר, אנשי מערכות המידע הארגוני נעשו מודעים היטב לסכנות הקיימות ברשתות שבאחריותם ופועלים כל העת להגנה טובה עליהן. בשל הביקוש הגובר של אנשי ה-IT בארגון למוצרי הגנת סייבר, יצרניות הפתרונות מפתחות כל העת פתרונות טובים, יעילים ומוצלחים יותר.
לא כך הדבר בעולם תשתיות הייצור. ההתמקדות בהגנה על תשתיות הייצור החלה רק בשנים האחרונות, ונכון להיום מעטים האמצעים בשוק שנועדו מלכתחילה להגן על תשתיות הייצור.
4. המעבר לרשתות TCP-IP אומנם מאפשר להשתמש במוצרי הגנה המיועדים לתשתית ה-IT, אולם יש להדגיש כי בניגוד לתשתיות ה-IT, בתשתיות ה-OT נעשה שימוש באותות פיסיקליים (0-10V, 4-20mA). כדי להגן נכון על תשתיות אלו, יש "לטפל" במרכיב ייחודי זה ברשת הבקרה.
להתמודד עם המתקפה
אפשר להוסיף ולהעלות סיבות לכך שתשתיות ה-OT נעשות אטרקטיביות יותר ויותר לתקיפת סייבר, הדבר רק ילך ויתגבר בעתיד, אולם בשלב זה של הדיון נכון לעבור לדרכי התמודדות פרקטיות בתופעה המתוארת כאן.
טענות מרכזיות המועלות כאן:
לעולם ישנו יתרון לתוקף, באשר הוא.
הדבר נכון לגבי תוקף פיסי, משיג גבול, צבא, מדינה תוקפת ועוד. היוזמה נמצאת תמיד אצל התוקף. המותקף מתגונן רק מפני הידוע. כאשר מתגלית תקיפה חדשה, יצרני מוצרים פיתחו כלים להתגוננות מפני אותה תקיפה. אולם נגד תקיפות חדשות לעיתים לא קיימים כלי הגנה טכנולוגיים יעילים דיים.
המסקנה מהאמור לעיל היא שאין הגנה הרמטית. את עולם הגנת הסייבר אפשר לדמות לחבית ללא תחתית. ככל שנשקיע יותר נהיה מוגנים יותר, אולם לא נקבל הגנה ב-100%.
1. לתוקפים לעולם תהיה מוטיבציה לתקוף, כל אחד מטעמיו.
2. אם לא מדובר בנכסים מדינתיים אסטרטגיים, אפשר להניח שהתוקפים, בעיקר העושים זאת למטרות כופר, יחפשו מטרות קלות לתקיפה. ככל שתידרש מהם אנרגיה רבה יותר למימוש ההתקפה, סביר שהם יפנו ליעדים קלים יותר ומוגנים פחות.
מתקפת סייבר נבנית לאורך זמן. זהו תהליך. תחילה נעשה גישוש, איסוף מודיעין, חיפוש נקודות תורפה על ידי התוקף. לאחר שאותרה התורפה, על התוקף לבנות "ראש גשר" שבאמצעותו יחדיר את כלי התקיפה למערכת המותקפת. לאחר החדרת הנוזקה היא תצטרך להתבסס אצל המותקף, ורק לאחר מכן תחל המתקפה, על פי השלבים שהתוקף מתכנן.
1. תהליך זה אורך לכל הפחות ימים, ולעיתים אף חודשים ושנים. פרק זמן זה מספיק כדי לאפשר למותקף לנקוט פעולות הגנתיות נכונות, שתכליתן נטרול התוקף, חסימת הפירצה שדרכה הוחדרה הנוזקה והשבת המצב לקדמותו.
2. נקודות התורפה העיקריות במערכת הארגונית נמצאות בקרב עובדי החברה (Compromised Insider) ושרשרת האספקה. שרשרת האספקה נוגעת לכל עולם התוכן של קבלני המשנה, מוצרים טכנולוגיים שנעשה בהם שימוש, טלאים (Patches) ששולחים מעת לעת יצרני התוכנה שנעשה בה שימוש ועוד.
לנקוט פעולה ולהתגונן
אם אלה פני הדברים, כיצד נכון לפעול בארגון שמעוניין להקטין את ההסתברות להיות מותקף בתשתיות הייצור שלו?
לפני הכול חייבים להגן באמצעות כלי מדף טכנולוגיים. חובה להצטייד בהם, להתקינם ברשת הבקרה, לקבוע נכון את תצורת ההפעלה שלהם )קינפוג) ולתחזקם באופן שוטף.
לצד זאת נכון יהיה לעבור לניטור (Monitoring) נגד התקפות סייבר בתשתיות הייצור 24/7. מהו אותו מערך ניטור?
כאמור, עולם ה-OT הוא עולם תהליכי מורכב. למשל, תהליך ייצור באצוות (Batches) משתנה מאצווה לאצווה, ממוצר אחד למשנהו. תהליכי הייצור מורכבים שכן מעורבים בהם כלים מכניים (מסועים, גלגלי שיניים, מסבים ועוד), אשר עלולים להתקלקל מדי פעם ולייצר התראות שווא במערכות המנטרות.
תפקיד הניטור הוא "לשבת" 24/7 על תשתיות הייצור באמצעות כלים טכנולוגיים אשר מעבירים בזמן אמת את האותות החשמליים הפיסיים מהשכבה הפיסית של הגלאים והרכיבים הדינמיים של כלי הייצור, ובאמצעות בינה מלאכותית, AI, יודעים ללמוד מהו התהליך הנורמלי של המערכת התהליכית. בעת חריגה מטווח הנורמליות, כפי שהוגדר מראש במערכת, מתקבלת במרכז הניטור - SOC-OT - התראה על חריגה. בד בבד רשת התקשורת TCP-IP מנוטרת, ונוודא שגם היא פועלת כסדרה. במקרה של חריגה חוזרת ברשת זו, תתקבל התראה במרכז הניטור. כל המידע יועבר מרשת הבקרה המנוטרת למרכז הניטור דרך כלי טכנולוגי נוסף, שתפקידו להעביר מידע באופן חד-כיווני בלבד, מרשת הבקרה אל מרכז הניטור, ללא כל יכולת להשתמש בתשתית זו כדי לחדור לרשת המנוטרת.
וזה עוד לא הכול. כלים טכנולוגיים כמתואר לעיל אינם עונים באופן מלא על הצורך. מאחר שתהליכי הייצור מורכבים, לעולם תידרש יכולת אבחנה - אנליזה של מומחים המכירים באופן אינטימי את מאפייני התהליך המנוטר, כך שביכולתם לאפיין התראות המתקבלות מהשטח ולקבוע אם מדובר בתחילתו של כשל מכני או בתחילתה של התקפת סייבר. לעיתוי הגילוי חשיבות מכרעת ביכולת לטפל באירוע. ככל שנגלה מוקדם יותר את ההתרחשות החריגה בקו הייצור, יקל לנו לטפל נכון באירוע.
דומה הדבר לתשתית המכ"מ הימי הפרושה לאורך חופי הארץ. היה אפשר לחשוב על כלי שיט שישוטו 24/7 במים הטריטוריאליים ויוכלו להגיב מיד לכל אירוע חשוד. בדרך זו בוודאות היו נוצרים פערים ביכולת השליטה בים. הדרך שבחרה בה המדינה היא להציב מערך מכ"מי חוף שמנטרים 24/7 את המים הטריטוריאליים ואף מעבר לכך, עד כדי ניטור המים הכלכליים של המדינה. בקרות אירוע החורג מגבולות הנורמליות, ישוגר כלי שיט רלוונטי או כלי טיס אל האירוע, לבירור מקיף של ההתרחשות. בדיוק לפי אותו רציונל ננהג בתשתיות הייצור: ננטר 24/7, מיד כשיעלה חשד להתקפה, נשגר אליו את הכוחות המיועדים כדי להעמיק את הבירור, ולפי הצורך לטפל באירוע, לנטרלו ולהשיב את המצב לקדמותו.
לסיכום
זירת הסייבר היא זירת לחימה חדשה למדי, ובעולם הייצור חדשה אף יותר. אין זו שאלה אם נותקף בזירה זו, יש להבין שההתקפה בוא תבוא, זה רק עניין של זמן. התעלמות מנושא זה כמוה כטמינת הראש בחול. איזון נכון בין ניטור מקצועי מהימן ובין כלי הגנה טכנולוגיים יצמצם מאוד את החשיפה לפגיעה אפשרית בתשתיות הייצור המפעליות.
יהודה אילון, מנהל סייבר בקבוצת מפטגון. לשעבר בכיר במערכת הביטחון הישראלית, בעל ניסיון של עשרות שנים בתחום הגנת הסייבר.
