"ארגוני תשתיות קריטיות לא יכולים להרשות לעצם לחוות פוקושימה 2.0"

"חברת החשמל מותקפת לא מעט בסייבר, ולעתים חווה מתקפת סייבר רצינית, שעלולה לשתק את אחת מתחנות הכוח שלה. מתקפות סייבר עלולות ליצור נזק ברמה של אסון לאומי לכל המערכות הקריטיות – לא רק אלה של חברת החשמל. הן יכולות לפגוע במערכות החשובות ביותר ומדינה ללא יכולות אנרגיה, למשל, לא תוכל לתפקד ועלולה לקרוס. ארגוני תשתיות קריטיות, וחברת החשמל בתוכם, לא יכולים להרשות לעצמם לחוות אירוע בסגנון פוקושימה (דליפת הכור הגרעיני ביפן – י"ה). לכן, הם נדרשים למערכות אבטחת מידע והגנת סייבר מוכללות ורב מערכתיות", כך אמר יוסי שנק, ראש תחום חדשנות, יזמות ופיתוח עסקי בסייבר בחברת החשמל.

שנק, לשעבר המנמ"ר וסמנכ"ל בכיר בחברה, היה דובר המפתח בכנס ICS CyberSec 2021. הכנס, בהפקת אנשים ומחשבים, התקיים היום (ה') בהשתתפות מאות מקצועני הגנת סייבר, והנחו אותו דניאל ארנרייך, יועץ בכיר להגנה על תשתיות קריטיות, ויהודה קונפורטס, העורך הראשי של הקבוצה.

לדברי שנק, "כניסת תחום האינטרנט של הדברים (IoT), ובתוכו זה התעשייתי (IIoT), מביאה להגדלה אקספוננציאלית של משטח התקיפה הפוטנציאלי. מדובר כבר בכל היבט בחיינו. הקישוריות הפכה לחובקת כל ומחברת כל רכיב ורכיב". "רבים מהרכיבים באים מהעולם הפרטי-צרכני ובהתאם, אין להם רמת אבטחה נדרשת", ציין. "אנחנו נמצאים במצב שבו נדרש לחבר למערכות הללו שלנו ישויות חיצוניות, וכך ממד הבידוד נעלם. האתגר האחרון הוא רב תחומיות – גם בהיבט הטכנולוגי, גם בניהול וגם בניתוח התהליכים".

"כל אלה", אמר שנק, "הובילו אותנו לכמה תובנות: הראשונה היא הכורח באינטגרציה מקיר לקיר, לטובת שיתוף בין כלל המערכות, ליצירת מבט רוחבי מוכלל. תובנה נוספת נובעת מהפרדוקס של הקריטיות: חברת החשמל מודדת סיכונים ואת הקשר שלהם למערכות התפעוליות, ואילו היריבים מחפשים מערכות שניתן לחדור באמצעותן בקלות – למשל רכיבי IoT, דוגמת מצלמות אבטחה – ואז, דרכן, להוריד מערכות קריטיות. עוד אתגר מגיע מכיוון שרשרת האספקה, ההופכות להיות מורכבות יותר".

המערכת המתוחכמת של חברת החשמל

שנק ציין בדבריו את מוצר הסייבר סופיק, שחברת החשמל השיקה לפני כשנה. "זוהי מערכת שו"ב שמייצרת תמונת מצב על תקיפות סייבר בארגונים. המערכת, שמשמעות שמה הוא תחכום (מלשון Sophistication), מיועדת ליצוא. היא מבצעת היתוך הידע שיש בחברת החשמל, ובכך תורמת לחוסן הארגון ולהתאוששות שלו. המערכת גם מספקת לארגון תמונת מצב עדכנית בסייבר. המוצר הוא פרי ההבנה שעלינו לעשות יותר – בפחות, תוך מיקוד היכן נדרש לטפל. ככלל, יש להבין איך למכן את המערכות על מנת לצמצם את הטיפול האנושי", אמר.

מערכות הגנת סייבר – כדי שהחשמל יוכל להמשיך לזרום כרגיל. צילום אילוסטרציה: BigStock

לדבריו, "באמצעות חקר של אירועים שקרו, חיפשנו כיצד אפשר לשפר את הגנת הסייבר וחוסנו, איך להחזיר את הארגון למצב תקין במהירות הרבה ביותר. במהלך התחקור גילינו גורמים שבדרך כלל לא נלקחים בחשבון בניתוח ובפעילות הסייבר בארגון, לדוגמה – חיפוש אחר אותות חלשים כדי לזהות אם גורם עוין כבר חדר למערכות של הארגון ועומד לבצע מתקפה. הגדרנו כמה וכמה מדדים שכאלה, שניתן להגדיר דרכם את איכות ארגון הסייבר. זה נעשה בשכבה חדשה, מעל פתרונות קלאסיים כמו ניתוח רשתות, איסוף מודיעין ותיקון פגיעויות".

"דבר נוסף שזיהינו הוא שבעולם הבקרים – סקאדה ואחרים – אין סביבות בדיקה. כל עדכון מועלה ישירות לייצור. מה יקרה אם מישהו יחדיר קוד זדוני לטלאי? כמענה לכך, בנינו סביבת בדיקות שמתאימה את עצמה לסביבת המערכת הנבדקת. בכל התהליך הזה, יש לבינה המלאכותית תפקיד נכבד", הוסיף.

"הקובייה ההונגרית" של חברת החשמל

"יצרנו מודל בן שש שכבות, שנותן תמונה על איכות הסייבר בארגון והיכן נדרש לשפר אותו", ציין שנק. "בנינו אותו באופן מודולרי, כמעין קובייה הונגרית, כך שבסופו של יום אנחנו מספקים שורת מדדים דטרמיניסטיים לארגון, עם תקני IoT ו-IIoT, עם נראות, שימושיות ויכולת לדעת במה ואיפה להתמקד, ואילו תהליכים ידניים באבטחה יש למכן. הוא כולל לא רק את הניתוח אלא גם את התועלות ומה התרומה של כל טיפול במרכיבים להפחתת הסיכון. המיפוי גם מצביע כיצד טיפול בשכבת אבטחת אחת ישפיע על כל האחרות. המודל מתייחס למאפייני הארגון השונים – כלכלי, אנושי, פוליטי ותקשורתי. בסוף מתקבלות תוצאות סופיות שעל ההנהלה לאשר – מה לטפל, היכן וכיצד לעשות זאת ביעילות".

שנק סיכם באומרו כי "אנחנו מספקים לכל אחד מהמנהלים בארגון את תמונת הקרב האמיתית בסייבר, בשפה שלו. זיהינו שי למרות המאמצים הרבים והשימוש בכלים המתקדמים בשוק להגנת הסייבר, ההגנה עדיין לא מספקת. באמצעות חקר של אירועים שקרו חיפשנו כיצד אפשר לשפר את הגנת הסייבר ואת החוסן שלו, על מנת להחזיר את הארגון למצב תקין במהירות הרבה ביותר. חברת החשמל לוקחת את איומי הסייבר והופכת אותם לנכס, משהו שאפשר לשתף באמצעותו פעולה עם חברות במדינות אחרות, לייצא חלק מהניסיון והידע שלה למדינות אחרות ולחברות אחרות".