מהם סיכוני OT בארגון, ואיך נדרש לבקר אותם?

מאת: רפאל גולוב | גיליון 12 - עידן של שיבושים | ספט 2020 | אין תגובות

"התקבלו במערך הסייבר הלאומי דיווחים על ניסיונות תקיפה של מערכות שליטה ובקרה של מכוני טיהור שפכים, תחנות שאיבה וביוב. המערך קורא לחברות ולגופים במגזר האנרגיה והמים להחליף באופן מיידי סיסמאות גישה מהאינטרנט למערכות הבקרה, לצמצם קישוריות לאינטרנט, ולוודא שהגרסה המעודכנת ביותר של הבקרים מותקנת".

(הודעה שפרסם מערך הסייבר הלאומי של ישראל בתאריך 23.04.2020)

תקיפת תשתיות מים וביוב, כפי שתוארה בפרסום, בוצעה על מנת לשבש את הספקת המים לצרכנים ואת הקליטה והעיבוד של השפכים. כלומר, התקיפה כוונה כנגד מה שמכונה בשפה המקצועית "טכנולוגיה תפעולית" (TECHNOLOGY OPERATIONAL – OT).

מטרת מאמר זה היא לספק למבקר הפנימי, למנהלי הסיכונים ולהנהלה בארגון, אשנב לסיכונים האפשריים הנובעים מהשימוש ב"טכנולוגיה תפעולית" (OT) בארגונים, וכן להמליץ על כיווני ביקורת כדי לוודא שהרציפות התפקודית של הארגון לא נפגעת.

בהתאם להגדרה שמציע מכון המחקר GARTNER, "טכנולוגיה תפעולית" היא "חומרה ותוכנה אשר מזהות או גורמות לשינוי באמצעות ניטור ו/ או בקרה ישירים על ציוד תעשייתי, נכסים, תהליכים ואירועים".

טכנולוגיה תפעולית כוללת שתי קבוצות משנה עיקריות:

  1. מערכות בקרה תעשייתיות (ICS – INDUSTRIAL CONTROL SYSTEMS) מסוגים שונים, שתהליכי הייצור במפעלים תעשייתיים מושתתים עליהם. מערכות אלו משמשות לניטור ובקרה וכן בגופי תשתיות: תחנות כוח, מתקני מים וביוב, תשתיות גז ודלק, מערכות תחבורה, נמלים ועוד.
  2. מערכות ניהול לבניין (BMS – BUILDING MANAGEMENT SYSTEMS). מדובר במשפחה רחבה של רשתות ומערכות, כגון מיזוג, תאורה, ביטחון ובטיחות, מעליות ועוד.

משמעות התממשות איומי הסייבר בסביבת ה-OT

ההבדל המהותי בין מערכות ה-IT (Informational Technology) לבין OT הוא בכך שבעוד שהמערכות מהסוג הראשון מאחסנות, מעבדות ומפיצות מידע ברמת ערכיות שונה, מערכות ה-OT מנהלות תהליכים פיזיים.

אירוע סייבר בסביבת ה-IT בדרך כלל עלול לפגוע בסודיות, בשלמות ובזמינות המידע הארגוני ולגרום לנזק כלכלי, תדמיתי ורגולטורי. לעומת זאת, אירוע סייבר בסביבת ה-OT עלול להביא להשלכות חמורות בהרבה. המונחים שבהם נהוג להשתמש בסביבת ה-OT הם יציבות התהליך (RELIABILITY), איכות הייצור, בטיחות העובדים (SAFETY) ונזק סביבתי (מומלץ לעיין במסמך "ניהול סיכוני סייבר בסביבת OT – מדריך לדירקטוריון" שפורסם בחודש מרץ 2020 על ידי מערך הסייבר הלאומי).

פגיעה ביציבות התהליך עלולה לשבש או אפילו להפסיק לחלוטין שירות חיוני, כגון הספקת החשמל (לדוגמה, התקיפה הרוסית בתחנת כוח אוקראינית בשנת 2015). כמו כן, אירוע סייבר בסביבת ה-OT עלול להביא להשלכות בטיחותיות וסביבתיות מחרידות. כך למשל, פקודה לפרוק מכל אמוניה עלולה לגרום למאות הרוגים.

תקיפת סייבר במערכות ניהול של בניין עלולה לגרום לשיבושים תפעוליים משמעותיים. כך לדוגמה, השבתת מערכת מעליות במגדל משרדים תקשה על עובדים ולקוחות להגיע ליעדם. השתלטות על מערכת בקרת כניסה תאפשר לתוקף להכניס גורמים לא מורשים למתחם לצורך פעילות זדונית.

כתוצאה מכך, אם הארגון עושה שימוש בטכנולוגיה תפעולית, המבקר הפנימי בארגון מחויב לוודא שתהליך ניהול הסיכונים בהקשר הזה מתנהל בצורה נאותה.

חולשות הגנת סייבר אופייניות בתחום ה-OT

מערכות בקרה תעשייתית רבות סובלות מחולשות הגנת סייבר חמורות. המשמעותיות שבהן:

  1. חלקן פותחו והוטמעו לפני תחילת "עידן הסייבר" ולכן עושות שימוש ברכיבים, בתוכנות ובפרוטוקולי תקשורת שיש בהם חולשות הגנת סייבר מובנות. לדוגמה, פרוטוקול תקשורת נפוץ בסביבת ה-OT הוא MODBUS שפותח בשנת 1979. ניצול החולשות המובנות בפרוטוקול זה מאפשר לתוקף לבצע תקיפה מסוג man-in-the-middle לצורך שיבוש תהליכי הייצור, בעוד שמפעיל המערכת יוזן במידע כוזב בנוגע לתקינות התהליך (לדוגמה: “Man-In-The-Middle Attack Against Modbus TCP illustrated with Wireshark” ,Gabriel Sanchez    SANS Institute).
  2. בחלק מרשתות הבקרה חסרה סגמנטציה, כלומר לנוזקה או לתוקף שיצליח לחדור בנקודה כלשהי לרשת יהיה קל להגיע לכל יעד בתוכה (לדוגמה: Top 10 Cybersecurity Vulnerabilities and Threats for Critical Infrastructure and SCADA/ICS).
  3. עמדות מפעיל רבות (HMI – Human Machine Interface) עדיין מריצות מערכות הפעלה מיושנות מסוג XP WINDOWS ששדרוגן יגרום לשיבוש פעילות תוכנת הבקרה.
  4. מערכות בקרה תעשייתית נועדו במקור לשמש ישויות המופרדות הן מרשת המחשוב הארגונית והן מרשת האינטרנט. במהלך השנים, כתוצאה מצרכים עסקיים ותפעוליים וכחלק מתפיסת המהפכה התעשייתית הרביעית, INDUSTRY 4.0, חוברו רשתות בקרה תעשייתית רבות הן לרשת הארגונית (IT) והן לרשת האינטרנט. עם זאת, לעיתים במערכות בקרה תעשייתיות לא בוצעה הקשחת רכיבים כנדרש (בקרים, מתגים, עמדות מפעיל), וכן לא קיימות יכולות ניטור הרשת (IDS – Intrusion Detection System) או בקרת הגישה לרשת (NOC או NAC).
  5. היעדר ממשל OT נאות בארגון. במפעלים רבים, בשונה מהנורמה הקיימת באשר ל-IT, לא קיים מיפוי תהליכי עבודה ונכסים מפורט באשר לסביבת ה-OT, תפעולה ואחזקתה. למשל, לא ברור באילו בקרים ופרוטוקולי תקשורת נעשה שימוש, או לא ידועה הקישוריות הקיימת בין רשתות הבקרה לרשת הארגונית ולאינטרנט. יותר מזה, ייתכן כי הארגון לא מודע לחיבור הספקים לרשתות הייצור שלו לצורך תמיכה וניטור.
  6. מודעות הסגל התפעולי וגורמי שרשרת האספקה לסיכוני הסייבר הנלווים לשימוש בטכנולוגיה תפעולית יכולה להיות נמוכה מאוד, מפני שגם אנשי אבטחת המידע בארגון מגבילים את תחום עיסוקם בסביבת ה-IT בלבד.

הבסיס הנורמטיבי להגנת סייבר על מערכות ה-OT

בשנים האחרונות בישראל (ובעולם) חל גידול משמעותי בנפח מעורבות הרגולטור בנושא הגנת הסייבר בתחום ה-OT בארגון. כך, לדוגמה, אגף שוק ההון, ביטוח וחיסכון במשרד האוצר פרסם בשנת 2016 חוזר בנושא ניהול סיכוני סייבר בגופים מוסדיים שבו נכתב: "הערכת הסיכונים תתייחס בין היתר למערכות OT ולסביבות פיתוח ובדיקות, העשויות להכיל מידע רגיש או לגלם חשיפות למערכות הגוף המוסדי כולו".

המשרד לאיכות הסביבה פרסם בינואר 2020 מדריך סייבר בנושא "עמידה בתנאים של היתר רעלים בתחום הסייבר בתעשייה". מדריך זה כולל דרישה לניהול נאות של סיכוני הסייבר בסביבת ה-OT ברשימת התנאים לקבלה ותיקוף מחדש של היתר הרעלים.

למשרד האנרגיה ולרשות הממשלתית למים ולביוב קיימים נהלים מחייבים שקובעים סטנדרט הגנה נדרש בנוגע לרשתות הבקרה של יצרני החשמל וספקי המים והביוב.

המלצות לביקורת ניהול סיכוני ה-OT בארגון

כצעד ראשון, יש לקבל הבנה בסיסית בנוגע לשימוש בטכנולוגיות תפעוליות בארגון, ובכלל זה:

  1. הכרת היקף השימוש של הארגון המבוקר ב-ICS ) Industrial Control Systems) וב-BMS (Building Management Systems).
  2. הבנת רמת הקריטיות של התהליכים המנוהלים על ידי המערכות הללו ורמת הסיכון השורשי הגלומה בתהליכים הללו.
  3. מיפוי בעלי התפקידים הרלוונטיים לתפעול מערכות אלו ולמנגנוני הגנת הסייבר המוטמעים בהן. מומלץ לברר ולבחון האם קיים ניהול נכסים נאות: מיפוי רכבים ותרשימי רשתות, פירוט קישורים הדדיים וחיצוניים, רשימת גורמי שרשרת אספקה רלוונטיים, רשימת מורשים לגישה מרחוק, נהלים לעדכון רכיבים, הקשחה ועוד.
  4. בחינה האם מתקיים תהליך סדור לניהול סיכוני סייבר בסביבת ה-OT, ובחינה האם קיימת תפיסה לניהול אירוע סייבר ברשתות ה-OT ולהתאוששות ממנו. חשוב מאוד לוודא כי תפיסה זו עולה בקנה אחד עם התפיסה הארגונית הכללית להמשכיות עסקית.
  5. בחינה האם נערך סקר סיכוני סייבר בסביבת ה-OT, ואם בוצע – נדרש לבדוק מהו סטטוס יישום ההמלצות שעלו בו לשיפור רמת הגנת הסייבר הכוללת בארגון (בדגש על התחומים המשותפים לסביבת ה-IT).
  6. בחינה האם סגל התפעול מודע לסיכוני הסייבר האפשריים.

לאחר שלמבקר הפנימי ישנה הבנה בסיסית בנוגע לשימוש בטכנולוגיות תפעוליות בארגונו, מומלץ לתכנן ביקורת ייעודית מקיפה בנושא, בדגש על העמידה ברגולציה הרלוונטית. מומלץ להיעזר במתודולוגיות ייעודיות (הנגזרות לרוב מהנחיות המפורטות במדריךNIST Special Publication 800-82 Revision 2"Guide to Industrial Control Systems (ICS) Security") ותשתמש בכלים טכנולוגיים תואמים שחלקם שונים מסביבת ה-IT. כך למשל, בסביבת ה-OT לא מקובל לבצע סריקות רשת אקטיביות, ולכן מנתחים לרוב את הקלטת התעבורה במצב "offline".

לסיכום, מתקפות הסייבר הולכות ומתפתחות גם לטכנולוגיות תפעוליות שמשמשות לניטור ובקרה של תהליכים תפעוליים, תעשייתיים, יצרניים ופיזיים בארגון. לכן על הארגון והמבקר הפנימי להכיר ולזהות את השוני ואת ההשפעות של איומי סייבר על הסביבה הפיזית לעומת סביבות אחרות, לדעת מהם הסיכונים ולהבין איך לנהל אותם ולהתגונן מפניהם.

 

אודות הכותב/ת

רפאל גולוב

MA במדיניות ציבורית
מבקר פנימי, משרד נבון ויספלד רואי חשבון

[email protected]