אתגרי אבטחת הסייבר של התשתיות הקריטיות בישראל

כדי לבחון את אתגרי אבטחת הסייבר של התשתיות הקריטיות בישראל, פורטינט קיימה פאנל בהשתתפות מומחים מטעם הרגולטור, המגזר הציבורי והמגזר הפרטי: אסף טורנר – ראש יחידת הסייבר המגזרית, משרד האנרגיה; חן גיראט – מנהל הגנת הסייבר בחברת החשמל; ויגאל גויטע – מנכ”ל ומייסד חברת Scadasudo המספקת מוצרים ושירותים מתקדמים בתחומי אבטחת הסייבר ל-OT. את הפאנל הנחה צור סגל – מנהל פיתוח עסקי לתחום ה-OT בפורטינט.

אבטחת הסייבר של ה-OT היא לא אבטחת הסייבר של ה-IT

“בניגוד למערכות IT שבהן המוקד הוא טיפול במידע ונתונים, ב-OT מדובר בשמירה על בטיחות תפעולית, המשכיות תהליכי הייצור ומניעת פעילות שתפגע באיכות הייצור ובמכונות. לכן, גם הדגשים, הסיכונים והשיקולים לא מגיעים אך ורק משיקולים של הגנת מידע, אלא משיקולים שאומרים מה יכול להתרחש אם אותה תשתית תיפגע או שייגרם לה נזק”, הסביר יגאל גויטע לגבי מאפייני אבטחת הסייבר הייחודיים של מערכות OT בתשתיות ומתקנים קריטיים לעומת תשתיות IT.

אסף טורנר התייחס לנושא וציין כי, “אם אנחנו מסתכלים על IT, רואים היום את כל היצרנים משחררים כל הזמן עדכונים. לעומת זאת, אנחנו כמעט ולא רואים את יצרני ה-OT עושים זאת וזה נובע מחוסר מודעות וראייה של מערכות ה-OT כסטטיות. גם אם יש צורך לעדכן בקר ICS, הלקוח ימתין הרבה מאוד זמן – חצי שנה, שנה, ולפעמים אפילו יותר – כדי לחכות להשבתה של המתקן. גם Virtual Patching או כל נושא אחר של טיפול בבעיות מהווים אתגרים בתחום ה-OT”.

פתרונות אבטחה ייעודיים לתחום ה-OT – יש “חיה” כזאת?

לפי יגאל גויטע: “פתרונות IT הם פתרונות טובים למעטפת והם באים לטפל בדאטה. כשאני לוקח מוצר שבא לטפל בדאטה ונותן לו לטפל באבטחת OT, אני בבעיה כי הוא לא מכיר את הפרוטוקול התעשייתי ואת התהליך התעשייתי הרלוונטי ומספיק שתופעל פקודה בפרוטוקול שתגיד לבקר לשנות את השעון שלו, אני מוצא את עצמי באירוע של תקלה תפעולית. אנחנו מדברים על אירוע אחר לגמרי ולכן, פתרונות OT חייבים להיות בנויים להכיר את הפרוטוקולים, להכיר את התהליך ולהבין את פקודות ה-OT. פתרון הגנת סייבר שאני מספק לחברת החשמל שונה לחלוטין ממה שאני נותן למפעל תעשייתי. יש צורך בכל היכולות והידע כדי לתת לזה מענה. פספוס של מילי-שנייה והטורבינה עפה באוויר. הפתרונות צריכים להיות מתאימים ל-OT. פתרונות IT מספקים הגנה מעולה למעטפת, אבל ב-OT כבר נדרשים הפתרונות המעמיקים והייעודיים לתחום ה-OT, זה חייב לקרות”.

ארגוני ה-OT זקוקים לנראות, אאוטסורסינג ולימוד אישי

אחד הנושאים שעלו לדיון בפאנל זהו המחסור המהותי בידע של מרבית ארגוני ה-OT בתחום הסייבר ומה הפעולות שעליהם לבצע בשלב הראשוני כדי להעלות את רמת אבטחת הסייבר שלהם בזמן קצר ובהשקעה מינימלית. בהתייחסו לכך, אסף טורנר ציין כי השלב הראשון הוא ניהול נכסים וקבלת נראות בנוגע למצב.

חן גיראט ציין כי מבחינתו, “הטיפול חייב להיעשות על ידי כוח אדם חיצוני שכל היום עוסק בזה, מומחים שחיים OT, חברות שנושמות OT וכאלה שיכולות להכשיר וללמד ובעת הצורך, לייעד אנשים שיידעו לעשות את העבודה hands-on”.

יגאל גויטע הוסיף כי: “צריך שיהיה לך הרבה ידע על התהליך לפני שאתה מסוגל לבוא ללקוח ולהגיד לו מה לעשות. לוקח המון זמן ללמוד את התחום וזה מצריך גם מוטיבציה שלא לכל אחד יש. הרעיון הוא לתת ידע בסיסי לאנשים כדי שיידעו לקשר בין כל המומחים לבין אנשי הסייבר וה-IT. להביא אנשים שזאת המומחיות שלהם, שמבינים את התהליכים והתחומים האלה. אתם צריכים לספק לאנשים שלכם הדרכה בסיסית”.

לרתום את היצרנים לעבודה משותפת

חן גיראט סיכם ואמר כי, “לא צריך לפחד לשבת עם היצרנים ולהוביל אותם לטכנולוגיות ולתפיסות החדשות ולראות איך מחברים אותם, למרות שמדובר בציוד רגיש שמחזיק תהליכים רגישים. אני מאמין שאנחנו לא צריכים לפחד לאתגר את היצרנים ובעצם לרתום אותם לשינוי הטכנולוגי שעולם ה-OT עובר. כשיבוא יצרן, לקוח, רגולטור וגוף שמבצע את ההטמעות בשטח, ייקחו את התובנות ויחברו ביניהם כדי לוודא שהיצרנים מחוברים לפעילות שלנו – יש לנו נוסחת מנצחת”.