איומי סייבר בתחום האוטומציה
בעידן שבו אוטומציה מניעה את הקדמה הטכנולוגית, תפקידם של מתכנתי מערכות אוטומטיות כבר לא מסתכם בהנדסת תהליכים. הם נהפכו לשחקנים מרכזיים בבניית תשתית אבטחת הסייבר של מערכות מתקדמות, משרתים תעשייתיים ועד ענן.
האחריות החדשה של מעצבי אוטומציה
מערכות אוטומטיות נהפכו ליעד מועדף על האקרים בשל המורכבות שלהן והחיבור הבטוח והקבוע שלהן לרשתות אחרות. מתכנתי המערכות - האנשים שמתכננים את הארכיטקטורה הבסיסית - יכולים לקבוע אם מערכת תהיה פגיעה וחשופה למתקפות אוטומטיות או תדע לזהות איומים ולנטרל אותם בזמן אמת.
למרות זאת רבים עדיין סבורים שאבטחת סייבר היא באחריותם הבלעדית של אנשי ה־IT. תפיסה זו מסוכנת, שכן מתקפות רבות פוגעות לא רק בתשתיות תוכנה אלא גם בלוגיקה של בקרי תהליך, בארכיטקטורת רשתות ובממשקי אינטרנט תעשייתיים - תחומים שנמצאים בליבת העיצוב של המהנדס האוטומטי.
מתקפות פשוטות, נזק עצום
אחת הסכנות החמורות ביותר באיומי הסייבר העכשוויים היא פשטותם. דוגמאות כגון תרמית "החיפוש החמישה מיליארד" מלמדות שגם הודעת דפדפן פשוטה עלולה להטעות מיליוני משתמשים. אם טכניקות אלו יעילות נגד משתמשים ביתיים, הן עלולות להיות הרסניות אף יותר במערכות אוטומטיות אם לא נלמד מהן ונשלב הגנות כבר בשלב הפיתוח.
"חיפוש החמישה מיליארד" הוא שם גנרי לתרמית אינטרנט מוכרת שמשתמשת בשיטת "זכית בפרס" כדי לפתות משתמשים לחשוף את עצמם לסכנה: המשתמש מקבל הודעה שקרית שלפיה הוא "המשתמש המיליון" - או מספר עגול אחר כלשהו - שנכנס לאתר/לחץ על הקישור, ולכן "מגיע לו פרס". מדובר בלקח חשוב גם למהנדסי מערכות, כי אותה פסיכולוגיה פשוטה עובדת גם בממשקים מורכבים יותר.
מקרי עבר משנים תכנון עתידי
תקיפת הסייבר של חברת הנפט הבכירה עראמקו הסעודית (Aramco) בשנת 2012 מחקה מידע מ־30,000 מחשבים, תוך פגיעה חמורה במערכות אוטומטיות. התקיפה אמנם לא הייתה מורכבת טכנית, אך היא הדגימה עד כמה מערכות קריטיות פגיעות כשאבטחת מידע לא שולבה בשלב העיצוב.
האינטרנט של הדברים ושירותי ענן הם גורם פגיע מאוד. בכל חיבור של מערכת אוטומטית למכשירים חכמים כגון תרמוסטטים, מצלמות אבטחה או חיישנים, קיים פתח לאיומים. לכן על המתכנתים לשלב מנגנוני ניטור שיזהו התנהגות חריגה, ינתחו תעבורה ויחסמו בקשות חשודות בזמן אמת.
מתכנתי מערכות אוטומטיות חייבים לחשוב כמאבטחי מידע: להבין עקרונות סייבר, ליישם אותם בתכנון ולשלב תובנות מעולם ההונאות הדיגיטליות בתוך תהליכי העבודה. השילוב בין הנדסה לאבטחה הוא הדרך היחידה להבטיח שאוטומציה לא תיהפך לחוליה החלשה.
