IT News פורטל המחשוב העסקי וההייטק של ישראל
הדברים נאמרו בפאנל מומחים בנושא אבטחת תשתיות קריטיות בישראל שערכה חברת פורטינט
פורטינט, מובילה עולמית באבטחת סייבר המניעה את האיחוד בין ביצועי תקשורת ואבטחה, קיימה פאנל במשרדי החברה בהרצליה בנושא אבטחת תשתיות קריטיות (OT) בישראל, בו התארחו מומחים מטעם הרגולטור, המגזר הציבורי והמגזר הפרטי: אסף טורנר – ראש יחידת הסייבר המגזרית, משרד האנרגיה; חן גיראט – מנהל הגנת הסייבר בחברת החשמל; ויגאל גויטע – מנכ"ל ומייסד חברת Scadasudo המספקת מוצרים ושירותים מתקדמים בתחומי אבטחת הסייבר ל-OT. את הפאנל הנחה צור סגל – מנהל פיתוח עסקי לתחום ה-OT בפורטינט.
אבטחת הסייבר של ה-OT היא לא אבטחת הסייבר של ה-IT
"בניגוד למערכות IT שבהן המוקד הוא טיפול במידע ונתונים, ב-OT מדובר בשמירה על בטיחות תפעולית, המשכיות תהליכי הייצור ומניעת פעילות שתפגע באיכות הייצור ובמכונות. לכן, גם הדגשים, הסיכונים והשיקולים לא מגיעים אך ורק משיקולים של הגנת מידע, אלא משיקולים שאומרים מה יכול להתרחש אם אותה תשתית תיפגע או שייגרם לה נזק", הסביר יגאל גויטע לגבי מאפייני אבטחת הסייבר הייחודיים של מערכות OT בתשתיות ומתקנים קריטיים לעומת תשתיות IT.
חן גיראט הוסיף ואמר כי, "הנושא של הבטיחות פוגש אותנו גם בהיבט של ההגנה. זה מגביל אותנו ביכולת להיות תגובתיים לדברים שקורים במערכות ה-OT בצורה אוטומטית. מאוד קשה להתנהל בעולם ה-OT בשל החשש מפגיעה בתהליך הייצור והרגישות להשפעה על תהליכי הייצור בארגון. זה מגביל את היכולת להיות אוטומטיים ומשליך על היכולת להגן, לנטר וללמוד. חלק משימושי ה-OT הם שימושים "מרוחקים" – משאבת מים, עמוד חשמל, מקומות בהם התקשורת היא אלחוטית, מה שמציב רגישויות נוספות בהיבט הבטיחות וההגנה. התרחשו לא מעט אירועים כאשר ממשקים של בקרים כאלה היו חשופים לעולם החיצון ועשו עליהם מניפולציה פשוטה שהפריעה לתהליך הייצור. כמו כן, אין הרבה אנשים מיומנים בנושא הסייבר בתחום ה-OT וגם זה משפיע על היכולת שלנו להגן על המערכות".
אסף טורנר התייחס לנושא וציין כי, "אם אנחנו מסתכלים על IT, רואים היום את כל היצרנים משחררים כל הזמן עדכונים. לעומת זאת, אנחנו כמעט ולא רואים את יצרני ה-OT עושים זאת וזה נובע מחוסר מודעות וראייה של מערכות ה-OT כסטטיות. גם אם יש צורך לעדכן בקר ICS, הלקוח ימתין הרבה מאוד זמן – חצי שנה, שנה, ולפעמים אפילו יותר – כדי לחכות להשבתה של המתקן. גם Virtual Patching או כל נושא אחר של טיפול בבעיות מהווים אתגרים בתחום ה-OT".
פתרונות אבטחה ייעודיים לתחום ה-OT – יש "חיה" כזאת?
לדעתו של חן גיראט, "אנו נדרשים ליישם טכנולוגיות IT כדי להגן על נקודות התורפה ב-OT – כאשר כמו שאמרנו, היא טכנולוגיה יחסית מיושנת, העיצוב המקורי שלה הוא מוטה-תפעול ולא מוטה-אבטחה והקושי בהחלפת התקנים, הגנה עליהם ועוד, מחייב אותנו להשתמש ב-IPS שמותאם לאזורי ה-OT. בסוף, נדרש לבצע התאמה מעולם ה-IT הקלאסי לעולמות ה-OT. אפשר לשפר עוד אזורים, אבל צריך להתמודד עם הסוגייה שכנראה נגיע לנקודה שבה לא נוכל להגן על נקודות הקצה, אלא רק על הסביבה שלה".
לדברי אסף טורנר, "האמירה של גבי פורטנוי שמי שלא יחבר את ה-OT שלו לענן תוך חמש שנים לא יהיה רלוונטי – טומנת בחובה הרבה כי כשזה יקרה – וזה כבר קורה בלא מעט מקומות – לא נוכל להתחבא מאחורי הרשתות המבודלות והדיודות ונצטרך פתרונות הרבה יותר חכמים עבור תעבורת ה-OT וגם כדי להתמודד עם בקרים ויותר כוח עיבוד ותקשורת IP".
לכך הוסיף יגאל גויטע: "פתרונות IT הם פתרונות טובים למעטפת והם באים לטפל בדאטה. כשאני לוקח מוצר שבא לטפל בדאטה ונותן לו לטפל באבטחת OT, אני בבעיה כי הוא לא מכיר את הפרוטוקול התעשייתי ואת התהליך התעשייתי הרלוונטי ומספיק שתופעל פקודה בפרוטוקול שתגיד לבקר לשנות את השעון שלו, אני מוצא את עצמי באירוע של תקלה תפעולית. אנחנו מדברים על אירוע אחר לגמרי ולכן, פתרונות OT חייבים להיות בנויים להכיר את הפרוטוקולים, להכיר את התהליך ולהבין את פקודות ה-OT. פתרון הגנת סייבר שאני מספק לחברת החשמל שונה לחלוטין ממה שאני נותן למפעל תעשייתי. יש צורך בכל היכולות והידע כדי לתת לזה מענה. פספוס של מילי-שנייה והטורבינה עפה באוויר. הפתרונות צריכים להיות מתאימים ל-OT. פתרונות IT מספקים הגנה מעולה למעטפת, אבל ב-OT כבר נדרשים הפתרונות המעמיקים והייעודיים לתחום ה-OT, זה חייב לקרות".
ארגוני ה-OT זקוקים לנראות, אאוטסורסינג ולימוד אישי
אחד הנושאים שעלו לדיון בפאנל זהו המחסור המהותי בידע של מרבית ארגוני ה-OT בתחום הסייבר ומה הפעולות שעליהם לבצע בשלב הראשוני כדי להעלות את רמת אבטחת הסייבר שלהם בזמן קצר ובהשקעה מינימלית. בהתייחסו לכך, אסף טורנר ציין כי השלב הראשון הוא ניהול נכסים וקבלת נראות בנוגע למצב: "אתה מגיע למפעלים שלא נמצאים תחת רגולציה וגם כאלו שכן – ורואה שנושא ניהול הנכסים לוקה בחסר במקרה הטוב. צריך לבצע ניהול סיכונים, להבין מאיפה מגיע הסיכון ובאופן כללי, לא לפחד לא לדעת. קודם לשאול שאלות, לראות מה הבעיות, הפערים".
חן גיראט ציין כי מבחינתו, "הטיפול חייב להיעשות על ידי כוח אדם חיצוני שכל היום עוסק בזה, מומחים שחיים OT, חברות שנושמות OT וכאלה שיכולות להכשיר וללמד ובעת הצורך, לייעד אנשים שיידעו לעשות את העבודה hands-on. אני מאמין שדווקא בגלל שזה עולם תוכן שקשה מאוד לשמר בו את הידע, צריך להיעזר ולהישען על גופים חיצוניים שמחזיקים את הידע ועוסקים בזה באופן שוטף. אנחנו מדברים על עלות מול תועלת בזמן קצר. אני חושב שזה שווה את המחיר והערך שתקבלו מהניסיון שהחברה והיועצים מביאים איתם וזה לא בר השוואה".
יגאל גויטע הוסיף כי: "צריך שיהיה לך הרבה ידע על התהליך לפני שאתה מסוגל לבוא ללקוח ולהגיד לו מה לעשות. לוקח המון זמן ללמוד את התחום וזה מצריך גם מוטיבציה שלא לכל אחד יש. הרעיון הוא לתת ידע בסיסי לאנשים כדי שיידעו לקשר בין כל המומחים לבין אנשי הסייבר וה-IT. להביא אנשים שזאת המומחיות שלהם, שמבינים את התהליכים והתחומים האלה. אתם צריכים לספק לאנשים שלכם הדרכה בסיסית. רקע יותר מעמיק לוקח המון זמן ללמוד, אבל גם זה אפשרי".
עקרונות מענה הסייבר לתחום ה-OT
יגאל גויטע פירט לגבי התהליך שהוא עובר יחד עם הלקוחות עד לביסוס אסטרטגיית אבטחת סייבר של ה-OT והסביר כי, "בשלב ראשון כדי להגן על לקוח, אנחנו צריכים להבין מה הם האיומים והסיכונים שלו בארגון שרלוונטיים לתהליך התעשייתי אצלו. אם לא מבינים את זה, אנחנו בבעיה כי אין לנו אפשרות לתת לו מענה. אחרי שהבנו את זה, השלב הבא הוא לעשות מיפוי ובו מוצאים בדרך כלל שמעל 30% מהציוד – הלקוח לא מודע שהוא קיים בארגון. אנחנו מבצעים קודם כל הערכת סיכונים תפעוליים ואז סיכוני סייבר ואז מחברים אותם לתרחישים. ברגע שמספקים את המידע הזה ללקוח, הוא כבר במקום אחר, הוא מבין במה הוא צריך להתמקד ומה לעשות. בשלב הזה בונים איתו תוכנית שלמה שמתחילה בבניית עמידות עבור המערכת. אחר כך מתייחסים לכל נושא הנראות. כשיש נראות, השלב הבא הוא להבין מה עושים ואיך בעת אירוע סייבר. כאן אנחנו עוזרים לבנות תיקי מתקן מלאים כדי לדעת מראש מהם כל התרחישים ולהיות מוכנים לקראתם. השלב הבא הוא הנושא של רציפות תפקודית והשלב האחרון הוא שמירת כשירות – הדרכות של עובדים, תרגולים, סקרים ועוד. זאת המעטפת שאנחנו מספקים ללקוח מבחינת אבטחה ב-OT".
לרתום את היצרנים לעבודה משותפת
חן גיראט סיכם ואמר כי, "לא צריך לפחד לשבת עם היצרנים ולהוביל אותם לטכנולוגיות ולתפיסות החדשות ולראות איך מחברים אותם, למרות שמדובר בציוד רגיש שמחזיק תהליכים רגישים. אני מאמין שאנחנו לא צריכים לפחד לאתגר את היצרנים ובעצם לרתום אותם לשינוי הטכנולוגי שעולם ה-OT עובר. כשיבוא יצרן, לקוח, רגולטור וגוף שמבצע את ההטמעות בשטח, ייקחו את התובנות ויחברו ביניהם כדי לוודא שהיצרנים מחוברים לפעילות שלנו – יש לנו נוסחת מנצחת".
לפאנל המומחים המלא בנושא אבטחת תשתיות קריטיות בישראל לחצו כאן.
למידע אודות פתרונות ה-OT של פורטינט בקרו באתר: www.fortinet.com/OT
אודות פורטינט
פורטינט (נאסד"ק: FTNT) הינה כוח מניע בהתפתחות של אבטחת הסייבר והאיחוד בין תקשורת ואבטחה. מטרתנו היא להגן על אנשים, התקנים ונתונים בכל מקום וכיום אנו מספקים אבטחת סייבר בכל מקום שבו תצטרכו, עם חבילת המוצרים המשולבת הגדולה ביותר הכוללת למעלה מ-50 מוצרים ברמה ארגונית. למעלה מחצי מיליון לקוחות בוטחים בפתרונות של פורטינט, אשר הינם בין הפתרונות בעלי הפריסה הרחבה ביותר, מספר הפטנטים הרב ביותר ובעלי התיקוף הרב ביותר בתעשייה. מוסד ההדרכה של פורטינט (Fortinet Training Institute) מהווה את אחת מתוכניות ההדרכה הגדולות והמקיפות ביותר בתעשייה במטרה להנגיש את הדרכות הסייבר והזדמנויות תעסוקה חדשות לכל המעוניין. FortiGuard Labs, גוף מודיעין האיומים והמחקר המובחר של פורטינט, מפתח ומשתמש בטכנולוגיות למידת מכונה ובינה מלאכותית מובילות כדי לספק ללקוחות בקביעות ובזמן הגנה ומודיעין איומים שניתן לפעול לפיו. למידע נוסף היכנסו לאתר http://www.fortinet.com, בקרו בבלוג של פורטינט או ב-FortiGuard Labs.
