IT News פורטל המחשוב העסקי וההייטק של ישראל
- צוותי אבטחת סייבר הודו כי רשתות ה-OT שלהם נפרצו אבל הכחישו שהארגון שלהם פגיע למתקפות סייבר
- לדברי החוקרים, מיקוד-יתר של מנהלי אבטחת סייבר בעמידה בתקנים ורגולציות הוא מתכון לאסון באבטחת מערכות OT
מחקר חדש של חברת הסייבר הישראלית-גלובלית סקייבוקס סקיוריטי (Skybox Security) מגלה כי 83% מהארגונים סבלו מפרצת אבטחת סייבר בטכנולוגיה התפעולית (Operational Technology) שלהם בשלוש השנים האחרונות. הדבר נבע מהערכת מצב פחותה לגבי סיכוני אבטחת הסייבר בסביבה התפעולית שלהם. המחקר אף חשף כי ארגוני OT נוטים לזלזל בסיכון של מתקפת סייבר – 73% מה-CIOs וה-CISOs בארגונים אלה "בטוחים מאוד" שהארגונים שלהם לא יסבלו מפרצת OT ב-2022.
אחד הממצאים המפתיעים במחקר הוא שחלק ממקבלי ההחלטות בתחום אבטחת הסייבר, מודים שנפרצו אך באותה עת מכחישים שהם פגיעים. האמונה שהתשתית שלהם בטוחה — למרות הראיות המעידות על מצב הפוך — הובילה לאמצעי אבטחה לקויים בסביבת ה- OT.
"סביר לחשוב שמנהלי אבטחה יסיקו מסקנות מפגיעויות שהתגלו בתשתיות שלהם בעקבות פרצות אבטחה. למרבה הצער, רק כאשר מכונות ברצפת הייצור מפסיקות לעבוד או מתחילות לפעול בצורה מסוכנת, מה שעלול לעלות לחברה הון רב, מחלחלת ההבנה בארגון כי איחר לקריאת ההשכמה", אמר רון דוידסון, CTO וסגן נשיא למחקר ופיתוח, סקייבוקס.
הכחשה מוזרה לכאורה זו, מעלה את השאלה מדוע יש הבדל כזה בין המציאות לתפיסה לגבי אבטחת OT. לעתים קרובות הניתוק מתחיל ברמה התפקודית: חלק מבעלי התפקידים מסרבים להאמין שמערכות ה-OT שלהם פגיעות, בעוד שאחרים מאמינים שהפרצה הבאה מסתתרת מעבר לפינה. על פי המחקר, 73% מה-CIOs ו-CISOs בארגוני OT בטוחים מאוד ברמת ההגנה של מערכת אבטחת ה-OT שלהם, לעומת 37% בלבד מקרב מנהלי המפעלים בתעשייה זאת שסבורים כך, כנראה מפני שיש להם יותר ניסיון ממקור ראשון עם ההשלכות המעשיות של התקפות סייבר.
סיבה נוספת לתחושת הביטחון הכוזבת של ארגוני OT היא שבחלק מהחברות חושבים שהוספת פתרונות אבטחה נוספים פשוט יעלימו את הבעיה. לאחר שנפרצו, אמרו מקבלי ההחלטות באבטחת ה-OT כי שתיים משלוש הפעולות המובילות שנקטו היו הגדלת תקציב אבטחת המידע ורכישת טכנולוגיה חדשה. אולם, יותר שכבות טכנולוגיות יוצרות יותר בעיות נראות (ויזיביליות), ובמקרים מסוימים, חומות האש עצמן מגיעות עם פגיעויות מובנות.
אולם יתכן שאחת הסיבות הקריטיות ביותר להכחשה ארגונית של הסכנה, נובעת מהאמונה כי ציות לתקנות (compliance) הוא שווה-ערך לאבטחה. המחקר מצא כי עמידה בתקנות ובדרישות הרגולציה עמדה בראש דאגתם של כל מקבלי ההחלטות ב- OT. קל להבין מדוע ציות לתקנות הוא נושא מטריד ביותר עבור מקבלי ההחלטות: כמות התקנות עצומה, הן משתנות לעתים קרובות וקשה לפרש אותן. בסביבת OT, דרישות האבטחה והמתודולוגיות הן רבות, לדוגמה: דרישות תאימות ל-STIG, תאימות NERC CIP, עמידה במתודולוגיית FAIR, מודל CVAR
(Cyber Value at Risk) ועוד.
בפרצות הקמעונאיות הגדולות מלפני כחצי עשור, מרבית הארגונים שהותקפו עמדו בתקן PCI DSS ובכל זאת ספגו פגיעה קשה ביותר. יש להבין כי עריכת ביקורת (audit) מספקת הערכה שנכונה לנקודת זמן מסוימת ומוגבלת ליחידה עסקית או לטכנולוגיה ספציפית, כך שאינה יכולה לכסות את כול הארגון. על כן, מי שמוביל את אבטחת הסייבר בארגון חייב ליישם תוכנית מקיפה הכוללת בקרות מתאימות בכל השכבות.
מיקוד המאמצים רק בתאימות לתקנות גורם להזנחת אזורים שנמצאים מחוץ לטווח זה ועדיין מהווים חלק ממשטח התקיפה של הארגון. תוקפים מכירים את הנטייה הזו ויבצעו את ההתקפות שלהם בהתאם. לכן, בעוד שמירה על תאימות היא חיונית, חשוב באותה מידה לנקוט בצעדים לחיזוק האבטחה מעבר למה שמחייבת הרגולציה.
"צוותי אבטחה הסבורים כי עמידה בדרישות תאימות כמו STIG או NERC CIP הצפון-אמריקאי, יהפכו אותם לבלתי חדירים לפריצות, יופתעו כאשר יותקפו. תאימות לתקנות, מעצם הגדרתה, היא מענה לצורכי האבטחה המינימליים. לכן, תשתית "תואמת" – ללא אבטחה גמישה יותר — עדיין יכולה להיות רגישה לפריצה", אמר דוידסון. "המחשבה שעמידה בתקני אבטחה ורגולציה היא 'כדור הכסף' שיבטיח הגנה מלאה על מערכות OT הינה מתכון לאסון".
אודותSecurity Skybox
סקייבוקס סקיוריטי הינה חברת סייבר ישראלית-גלובלית המפתחת פלטפורמה לניהול האבטחה ברשתות ארגוניות. עם יכולות נראות, אנליזה ואוטומציה, סקייבוקס מאפשרת למנהלי אבטחה ו-IT ביותר מ-500 ארגונים מהגדולים בעולם, להתמודד עם השינויים הדינמיים בזירת התוקפים על ידי מיפוי, תיעדוף ותיקון מהיר של נקודות התורפה והחולשות ברחבי הרשת הארגונית. הפלטפורמה, האגנוסטית לכלל פתרונות הסייבר הקיימים בשוק, מבצעת אופטימיזציה חכמה של מדיניות האבטחה ושל תהליכי השינוי בכל הרשתות וסביבות הענן של הארגון.
סקייבוקס סקיוריטי היא חברה פרטית, שנוסדה בישראל בשנת 2002 על ידי גידי כהן, המכהן כמנכ"ל החברה. מטה החברה נמצא בסאן חוזה, קליפורניה, ויש לה נוכחות גם באירופה ובאסיה-פסיפיק. עד היום הושקעו בחברה כ-287 מיליון דולרים והיא מעסיקה כ-350 עובדים, כמחציתם במשרדים בהרצליה פיתוח.
לאתר החברה: https://www.skyboxsecurity.com/company/
