מוכנות לאיומי סייבר נגד מערכות תפעוליות ICS-OT

בשנים האחרונות אנו עדים לתקיפות כופרה המיועדות לפגוע בתשתיות קריטיות, במטרה לגרום לאבדן חיי אדם, הרס של מכונות והשבתה של אספקת שירותים ומערכות ייצור (OT).

מערכות בקרה לניהול תשתיות תפעוליות לא אמורות להיות מחוברות למערכות מידע (IT), וגם לא לאינטרנט, אבל אנו פוגשים המון מקרים שבהם תכנון רשלני של המערכת מאפשר חדירה זדונית דרך רשת האינטרנט. כפי שהוכח לאחרונה לגבי אירועי הסייבר נגד תשתיות מים, חשמל, ועוד, תקיפות נגד מערכות מידע יכולות להשפיע גם על התהליכים התפעוליים ולגרם נזק חמור. לאור מצב זה, כל הארגונים נמצאים בסיכון, ועל פי התקן 27001-2013 ISO פרק 5 פסקה1, להנהלה הבכירה שלהם יש אחריות ברורה להגן על כלל הארגון מפני סכנות אלה.

ניהול של מערכת מוגנת

כל הארגונים, ובפרט מפעילי מערכות קריטיות, חייבים לשפר את השרידות התפעולית ולצמצם את סיכוני הפגיעות שלהם בפני מגוון תקיפות סייבר ישירות, עקיפות ותקיפות דרך שרשרת האספקה, כולל תקיפות כופרה.

חשוב שכולנו נזכור כי ביטוח נגד תקיפות, וגם תשלום כופר, לא יבטיחו את ההמשכיות העסקית ולא יבטיחו כי הנתונים שהוצפנו אכן ישוחזרו.

מה שמומלץ לעשות הוא: ככל שהדבר ניתן, נדרש ליישם הפרדה חזקה ואמינה בין רשתות המידע לרשתות תפעוליות; נדרש לזהות תהליכים קריטיים שעלולים לשבש אספקה של שירותים חיוניים ומערכות ייצור; ליישם ולתרגל בקרות ידניות, על מנת להבטיח פעולה רציפה של הארגון גם בעת תקיפה; לוודא כי נהלי הגיבוי מיושמים ונבדקים באופן קבוע וכי הגיבויים נשמרים בסביבה מבודדת; לזהות את התהליכים התפעוליים הקריטיים ואת הקשר שלהם למערכות המידע בארגון; לשמור רשימה מדויקת ועדכנית של כל ההתקנים והתוכנות המותקנות במערכת; ליצור מפה ברורה וקלה להבנה של רשת הבקרה, ולהכיר את הקשרים בין הרשתות בארגון; חשוב לתכנן ולתרגל מראש כיצד להמשיך בפעילות התפעולית, אם מערכת בקרה אינה פעילה; ליישם אמצעי לבידוד של מערכת הבקרה, כדי למנוע סיכון של פגיעה בבטיחות ואמינות; וכן נדרש לתכנן ולתרגל את התהליכים לתגובה מסודרת בעקבות תקיפת סייבר או תקלה חמורה.

עלייה בסייבר התקפי ובמתקפות כופרה על תשתיות. אילוסטרציה: BigStock

הקטנת הפגיעות במערכת

חשוב להתגונן מפני איומים עתידיים ולמנוע פגיעה קשה אם הארגון נפל קורבן לתקיפה. הגנה זו מתבצעת על ידי הקפדה על נהלים, הדרכה לאנשים ויישום טכנולוגיה המתקדם.

לכן נדרש לבצע: עדכון של תוכנות, מערכות הפעלה, יישומים וקושחה עבור כל המערכות בארגון; בדיקה שקיימת הגבלת גישה לאזורים מוגדרים, באמצעות בקרת חשבון משתמשים; הפעלת מסנני דואר חזקים, כדי למנוע ממיילים זדוניים מלהגיע למשתמשי הקצה; תהליכי BCP ו-DRP יסייעו לכם להגיב נכון ולהחזיר את הארגון לתפקוד מלא; אם אינכם מצליחים לנתק התקנים מהרשת, כבו אותם בהתאם לתהליך מסודר; התייעצו עם הצוות שלכם כדי לפתח ולתעד מה שהתרחש על סמך ניתוח ראשוני; התייעצו עם רשויות החוק במדינה, כי ייתכן שחוקרי אבטחה כבר מכירים את הקוד של התקיפה; נדרש לדווח לגורמי אכיפת החוק על כל אירוע שיש בו חשד לתקיפת סייבר; נדרש לדווח באופן מסודר ונכון להנהלה וגורמים חיצוניים בהתאם לנהלי הארגון; בעקבות האירוע נדרש לקיים תהליכי חקירה מסודרים, ולהכין את הארגון לאירועים עתידיים.

לסיכום כדאי לציין כי הצוותים המקצועיים בארגון חייבים לשתף פעולה באופן הדוק במהלך תכנון וביצוע, במטרה למנוע יצירת סיכוני סייבר חדשים.

הכנס השישי הבינלאומי Cybersec 2021 & AI-ML ICS של אנשים ומחשבים יתמקד בנושאים אלה, ויכלול מרצים וצופים מישראל ומחו"ל. הכנס יהיה היברידי ומתוכנן להתקיים ב-27 באוקטובר, 2021. אתם מוזמנים להירשם ולהיצטרף אליו.

הכותב הוא יועץ אבטחת סייבר ומרצה