מאז שפותחה יכולת החיבור האינטואיטיבי והמהיר בין ארגונים שונים, באמצעות יכולות האינטרנט וההזדמנויות שהן מציעות, היו מי שראו בכך הזדמנות לצמיחה והתפתחות התעשייה ובמקביל, מי שראו בכך הזדמנות לתקיפה ולפגיעה מסוגים שונים במשתמשי האינטרנט והיישומים הנשענים עליו. יעדי התקיפה הראשונים היו מערכות המידע האישיות והארגוניות (IT), כשעל-ידי תקיפתן מצאו התוקפים יכולות לעשות רווחים קלים. לדוגמא התקפות מסוג כופרה, יכולת פגיעה בתחרות החופשית בשוק ע"י השתלטות על מידע ערכי לפירמה והפצתו ברבים ועוד. כמובן שהשוק פיתח יכולות הגנה שונות, הקשיח את מערכות המידע והקשה על התוקפים להשיג יעדיהם, כל זאת בעולם ה-IT.
ואז הגיעה תורה של התעשייה.
על-פי רוב, העוסקים במערכות הבקרה בתעשייה נטו לחשוב שהם מוגנים מפני התקפות סייבר משום ש"רשת הבקרה לא מחוברת לעולם החיצון", כי פרוטוקולי התקשורת אינם סטנדרטיים ועוד. בשנים האחרונות אנו עדים ל-3 מגמות שמתפתחות במקביל:
- מגמות ההתפתחות בשוק התעשייתי שואפות לקישור מידע ישיר בין תשתיות הייצור לתשתיות הניהול הארגוניות, שאיפה הולכת וגוברת לקיומן של מערכות מידע כלל-ארגוניות, קישור בין המיכון ברצפת הייצור למערכות הניהול הארגוניות וזאת על-מנת לייעל תהליכי רכש, תהליכי בקרת ביצועי הפירמה ועוד.
- ההבנה של התוקפים, כי פוטנציאל הרווח (כספי, מודיעיני או נזק ליריב) כתוצאה מתקיפת סייבר של מערכות הייצור (OT) עולה לאין שיעור על פוטנציאל הרווח כתוצאה מתקיפת מערכות המידע (IT).
- זמינות כלי התקיפה – בעידן הרשת האפילה (Dark net), היכולת להשיג כלי תקיפה אשר בעבר היו נחלת מעצמות בלבד, הפכה כלי עובר לסוחר.
מכאן המסקנה היחידה המתבקשת היא שכל החפץ בהמשך ייצור תקין שמתנהל ללא חריקות, חייב לטפל בניטור והגנת סייבר במערכות הייצור.
בין ניטור להגנת סייבר
הגנת סייבר כמוה ככל משימת הגנה אחרת. בעולם הביטחוני פיסי, נהוג לדבר על "מעגלי הגנה". לשם המחשה, אתאר את תפקיד המכ"מ המותקן על קו החוף. אותו מכ"מ לכשעצמו לא ימנע את ההתקפה העשויה להגיע מהים אולם, אם ייבחר המכ"מ הנכון ויוצב במקום הנכון ייתן התראה בזמן הנכון כך שהכוחות המגנים יעשו מלאכתם בהצלחה.
כך גם מערכת הניטור נשוא מאמר זה. תפיסת מעגלי ההגנה שמקורה בהבנה שלא ניתן להקים קו הגנה שאיננו ניתן לפריצה וחדירה. לעולם יהיה יתרון לתוקף, היוזמה תהיה שלו ולעומתו, המתגונן תמיד יגיב לניסיונות תקיפה מוכרים ברמה כזו או אחרת.
ואם בעולם ההגנה הביטחונית – פיסית עסקינן, הרי שידועה חשיבות תשתית המודיעין (המכ"מ שתואר לעיל הוא חלק מאותה מערכת) מדוע אם כן רכיב המודיעין כה דומיננטי בעולם ההגנה?
בלחימה המודרנית (באשר היא) קיימת ההכרה כי התוקף לא מתעורר יום בהיר אחד, מחפש הזדמנות הנקרית בדרכו ויוצא לתקוף אותה. כך הדברים נכונים ברמת המדינה, ברמת לוחמת הטרור וכמובן גם בלוחמת הסייבר.
תוקף, לפני שייצא לתקוף, יבצע תחילה חקירה מודיעינית, יבחן את המושא לתקיפה, יחפש נקודות תרפה, ינתח כיצד להפוך את נקודות התורפה לנקודות אחיזה/ראש גשר להתקפה הפיסית, לעתים יפתח כלי תקיפה ייעודי שינצל את התורפה שאיתר ורק לאחר שכל התנאים הפיסיים יתאימו לתוקף, יצא למתקפה.
אותו רציונל בדיוק עובד בתחום התקפות הסייבר, התוקף, לאחר שיש בידיו קצה חוט באובייקט המיועד לתקיפה, יפעל לאיתור חולשות ביעד, יאסוף מודיעין, ייצור לעצמו נקודת אחיזה בקורבן, יפתח/ יתאים את הכלים העומדים לרשותו למושא התקיפה ורק כאשר התהליכים יבשילו, יצא להתקפה. תהליך זה, מרגע הגיית עצם ההתקפה, יצירת ראש הגשר ועד לביצוע ההתקפה יארך חודשים ארוכים עד שנים, תקופה זו היא התקופה שבה המתגונן, אם יבין שנבנית נגדו התקפה, יוכל למנוע אותה בעודה באיבה, רק אם ידע על כך!
לשם כך, עליו לנטר את תשתיות הייצור שלו.
מה זה שירות SOC-OT
SOC (Security Operation Center) – הנו מרכז ניטור ובקרה שנועד לאפשר גילוי מוקדם של תחילת היווצרות של התקפת סייבר. תפקיד הניטור הוא להימצא ב"צמתים" הנכונים של מערכת הייצור, ללמוד את ההתנהגות הנורמלית של המערכת ולהתריע ברגע שמתגלית חריגה מהנורמלי. התהליך כולו מתבצע באמצעות למידת מכונה/בינה מלאכותית, הגדרת המותר וגבול המותר, ברגע שקיימת חריגה מעין זו, לקבל התרעה מתאימה.
גילוי החריגה הינו שילוב של מיכון מתאים, חדשני, כזה שנמצא במקומות הנכונים בתהליך הייצור לצד אנשים מיומנים ומקצוענים – אנליסטים (בדיוק כמו שנעשה במודיעין הלאומי). אותו שילוב מאפשר העברת מידע מבעוד מועד על העומד להתרחש וכך, לטפל בחולשה שבגינה בוצעה החדירה למערכת הייצור ונטרול האיום.
כמובן ששכבת ההגנה המתוארת כאן איננה בלעדית, ישנם פתרונות נוספים שתכליתם הקטנת סיכוני הסייבר ב OT, אלה יפורטו בעתיד.
על קבוצת מפטגון
קבוצת מפטגון, שותפה מרכזית, ותיקה ומוכרת בתהליכים המפעליים בישראל (בתעשיות הכימיה, המזון , התרופות ועוד), חרתה על דגלה חדשנות ורלוונטיות.
ההבנה העמוקה, שאיום הסייבר על התעשייה הינו איום משמעותי, הביאה את מפטגון להקים גוף סייבר אשר יהווה חלק מההערכות להגנה על המערכות התעשייתיות ולאפשר לתעשייה הישראלית להמשיך להתמקד ביתרונה היחסי - ייצור מוצרים, ללא כל צורך בהתמודדות עם הגנת הסייבר על תהליכי הייצור.
יהודה אילון הוא מנהל הסייבר בקבוצת מפטגון