מערך הסייבר הלאומי מפרסם מאמר חדש בנושא חשיבות אבטחת מידע במערכות ICS

מערך הסייבר הלאומי במשרד ראש הממשלה מפרסם מאמר חדש בנושא חשיבות אבטחת מידע במערכות Industrial Control Systems, ICS.

איתי בוכנר המהנדס הראשי באגף ה- CERT  במערך הסייבר הלאומי כותב במאמר כי “מערכות ICS הן השם הכולל למערכות המיועדות לתפעול שליטה ובקרה של ציוד ומכונות בקווי ייצור, מתקנים להפקת נפט וגז, מערכות לשליטה על תנועה (רמזורים) וכד’. הפוטנציאל הגלום בחדירה זדונית למערכת ICS הוא מגוון, משום שמערכות אלו הן היחידות שבהן לתקיפת סייבר עלולה להיות השפעה ישירה בעולם הפיזי.

“מערכות ICS מתחלקות למספר קבוצות, אשר שתי העיקריות מביניהן הן   Distributed Control Systems, DCS,  ו-  Supervisory Control and Data Acquisition, SCADA. עם התפתחות הטכנולוגיה, והקישוריות הארגונית לרשת האינטרנט, החלו ארגונים ומפעילים לשלב טכנולוגיות IT מודרניות במערכות אלו, ולעיתים אף לקשרן ישירות לרשת. כתוצאה משינויים אלו הטכנולוגיה מוכרת לעיתים גם בשם   Operational Technology,  להבדיל מ- Information Technology.

“לעומת מערכות IT, שבהן מוכר הצורך לאבטחתן מזה עשורים, הרי שעד לפני מספר שנים, מפעילי מערכות ICS היו פחות מודעים לצורך באבטחת מערכותיהם. הם התעניינו בראש ובראשונה בזמינות ובאמינות המערכות, כך שניתן יהיה לנהל ולבקר את התהליכים השונים בכל עת, לשמור על מעטפת הבטיחות התפעולית הנדרשת  ולשמר את המשכיות הייצור. הפוגען Stuxnet, נגד תשתית הגרעין של איראן, שימש כקריאת הַשְׁכָּמָה חדה וברורה לגבי השינויים הנדרשים”.

בהמשך המאמר מונה המחבר את הסיכונים האפשריים ומימושם בעבר: “הפוטנציאל הגלום בחדירה זדונית למערכת ICS הוא מגוון, משום שמערכות אלו הן היחידות שבהן לתקיפת סייבר עלולה להיות השפעה ישירה בעולם הפיזי.  תוקף עלול לגרום לנזק קצר מועד או ממושך לתהליך, המתבטא בהשלכות כלכליות למפעיל המערכת. במקרים מסוימים עלול להיגרם נזק סביבתי, ולעיתים הנזק עלול להתבטא אף בפגיעה ישירה או עקיפה בחיי אדם.

שני סוגי התקיפה העיקריים כנגד מערכות ICS הם תקיפה במטרה לגרום לעצירת התהליך/הפעולה המבוקרת ובכך לגרום נזק מיידי  ותקיפה איטית וחשאית אשר תסתמך על שינויי לוגיקה בבקרים ו/או הבנה מעמיקה של התהליך תוך מניפולציה מכוונת של התהליך המבוקר.

תקיפה מהסוג הראשון בוצעה כנגד רשת החשמל באוקראינה; תקיפות מוכרות מהסוג השני הן התקיפות Stuxnet  וכן תקיפות נוספות.

באשר לדרכי ההתמודדות האפשריות בתחום זה, “ככלל,  כדי להעלות את רמת החוסן של רשתות ה- ICS, נדרש לתת תשומת לב מיוחדת לנושאים הבאים:

+ בידוד רשת ה- ICS מרשתות הארגון בכלל, ומגישה ישירה לרשת האינטרנט בפרט.

+ שליטה מלאה על התעבורה הנכנסת והיוצאת מ/אל הרשת. הגבלת התעבורה למחשבים ופורטים נדרשים בלבד.

+ אם ניתן להסתפק בתעבורה יוצאת בלבד מרשת ה- ICS, מומלץ להעבירה דרך רכיב חומרה חד-כיווני.

+ סגמנטציה של רשת ה- ICS, על פי פונקציונליות הציוד, ובקרת תעבורה בין הסגמנטים השונים.

+ גיבוש ויישום מדיניות לחסימת השימוש בהתקנים ניידים [DoK, מחשבים ניידים וכו’].

+ גיבוש מדיניות ופתרונות טכנולוגיים לנושא תמיכה מקומית ומרוחקת במערכות ה- ICS.

+ ניהול סיסמאות, הרשאות משתמשים ושירותים תחת העיקרון של הרשאה על פי צורך [Least Privilege , Need To Know] בלבד. מומלץ ליישם מנגנון הזדהות חזקה היכן שניתן.

+ גיבוש פיתרון טכנולוגי לנושא הכנסה מבוקרת של עדכוני תוכנה לרשת.

+ EDR/EPP על המחשבים ברשת,  רצוי כזה שאינו מחייב עדכוני תוכנה יומיים.

+ תמיכה של כלל אמצעי האבטחה הרשתיים בפרוטוקולים הייעודיים לרשתות אלו.

+ ציוד ייעודי לזיהוי אנומליות ותקיפות נגד הרשת או המערכות השונות.