קצת רקע
עולם הבקרה הקדים את עולם טכנולוגיית ה IT וכבר קיים המון זמן, מפעלים עם מכונות ייצור ובקרים קיימים זה זמן רב.
לאורך הזמן הוכנסו לעולם הזה טכנולוגיות אשר נועדו לשפר, לסייע ולייעל ברמת התקשורת, אוטומציה ואופטימיזציה.
כיום יש שילוב מעניין בין טכנולוגיות IT לעולם התפעול ה- OT .
כמעט כל מפעל משתמש בטכנולוגיות אלו אשר לצערנו הובילו לסיכונים הנובעים מהפעילות.
הסיכונים דומים לעולמות ה IT אך בד בבד הם שונים, מגוונים ומורכבים ולכל מפעל יש את הייחודיות שלו בהתאם למה שהוא מייצר.
בעולם ה- IT האבטחה נוגעת בראש ובראשונה למידע וכסף ואילו בעולמות התעשייה סדר העדיפויות שונה, אבטחת התהליך היא החשובה ביותר.
בטיחות, זמינות, אפקטיביות הן המילים הדומיננטיות בתהליך זה.
מה עוד שונה בין עולמות ה IT וה OT?
קודם כל אנשים. בעולם ה-OT בעלי הבית הם אנשי תפעול, ייצור ומהנדסים.
לאנשים אלו יש אוריינטציה שונה, הם רגילים לסביבה בה סייבר לא היה קיים ומפעלים עבדו ללא הפסקה.
ההבנה כי ישנו שילוב חדש בין סייבר לתעשייה הוא תהליך מורכב וארוך ויש צורך ברתימת ההון האנושי ע"י ניהול נכון והעלאת מודעות לנושא.
מרבית התקיפות מגיעות מעולם ה-IT כי הוא יותר פתוח לכיוון האינטרנט. עולם ה-OT מורכב בגלל ריבוי המכונות והתהליכים וההשפעות הישירות שלהם על ההמשכיות העסקית וניהול הייצור.
כאשר נתקף שרת דואר בארגון אפשר להקפיא את השימוש בו ולבדוק מה קרה אבל מערכת בקרה אי אפשר לשתק כל כך מהר בגלל ההשלכות האפשריות לייצור ולהגנת הסביבה.
כלי נפוץ כמו PT בעולם ה -IT אינו מקובל בסביבת ה OT אלא אם הוא מבוצע על סביבת מעבדה או סביבה דיגיטלית משוכפלת של רצפת הייצור.
הנזקים בעולמות התעשייה, בשונה מסביבה IT רגילה, יכולים להיות הרסניים ברמת הייצור וההשפעה הסביבתית. כאשר פס ייצור מושבת הרבה כסף הולך לפח וכאשר יש דליפה של חומרים מסוכנים כי מכונה או בקר לא מתפקדים הנזק האפשרי ברור לכולם.
נשמע לא פשוט, איך מקבלים הכוונה?
המשרד להגנת הסביבה במהלך פורץ דרך נתן תוקף לנושא החשוב ברגולציה. הרגולציה מסתמכת על ניהול חומרים מסוכנים אך רלבנטית לכל גוף תעשייתי.
הרגולציה נתמכת במדריך מפורט המנחה את הארגונים בישראל ומכיל הנחיות ברורות ויעילות להעלאת החוסן האבטחתי.
המדריך מכיל בין היתר הנחיות לביצוע סקר סיכונים, הערכת סיכונים המתאימה לכל מפעל, רשימת בקרות, דרכי עבודה ועוד.
ישראל נחשבת למובילה בתחום והמדריך תורגם לשפות זרות, הוצג ברחבי העולם וזוכה לאהדה רבה.
קישור למדריך הגנת הסביבה:
טוב אני אקרא את המסמך אבל קודם כל חשוב לי להבין, על מה הכי חשוב להגן?
בשורה בתחתונה הכי חשוב להגן על מה שמייצר לנו את הכסף, כלומר רצפת הייצור.
פס ייצור מושבת מוביל להפסדים עצומים וכל ארגון צריך להבין מהם הנכסים המרכזיים להמשכיות עסקית, כלומר על מה הכי חשוב להגן כדי לא להפסיק לייצר.
במציאות של הגנת הסביבה השאלה קצת תשתנה למה הכי מסוכן בתהליך הייצור.
שוב, חשוב לציין בתעשייה אי אפשר לחסום באופן מהיר כל כך ויש לשמור על האיזון המורכב בין הגנה להפרעה. במציאות בה עולם האבטחה מפריע, הארגון ידחה במוקדם או במאוחר את גישת האבטחה.
בדומה לארגונים אחרים, מילת המפתח היא לאפשר.
לספקים בתעשייה יש כוח רב יותר מספקים בעולם ה- IT, לכן יש לכלול אספקטים של אבטחה כבר בשלבי הרכש והמו"מ. יש למפות את הספקים, הנכסים ותהליכי העבודה.
מהם וקטרי התקיפה המרכזיים?
חיבור מרחוק – כל תמיכה ושירות מרחוק למכונות ולבקרים. ישנם ארגונים ללא חיבור מרחוק, חיבור לא מנוהל, חיבור מנוהל ע"י הספק וחיבור מנוהל ע"י הלקוח. צריך לתת את הדעת לסוג החיבור, הצורה בה הוא מאובטח, שימוש בסיסמאות, נהלי התקשרות ועוד.
תקיפת עובדי התפעול – תקיפה ישירה של המחשבים של המעורבים בתכנון ובניהול הייצור.
התקנים ניידים ומחשבים אישיים.
מהן אבני היסוד בהיערכות לאבטחת ה- OT?
לפני הכול זוהי אחריות ההנהלה והמנכ"ל ליישם תורת הגנה בארגון.
ישנו צורך בין חיבור בין הCISO לצד התפעולי ומנהלי הבקרה. הצוותים שלהם צריכים להיות מעורבים בתהליכים אשר נרקמים בהקשר לאבטחת ה OT .
אנשי התפעול מכירים את עולם הייצור ואת האלמנטים הקריטיים בו ואנשי האבטחה מבינים מן הסתם באבטחה.
רצוי מאוד לערוך סקר סיכונים רחב ומיפוי נכסים כדי ללמוד על נקודות התורפה אשר ייחודיות לכל ארגון. תהליך זה ילמד אותנו על המכונות, בקרים, צורות חיבור, ספקים, חוזי התקשרות, ניהול רשתות, תהליכים, ממשקים ועוד.
מודעות והכוונה לתרבות סייבר היא חלק משמעותי ברתימת הכוח האנושי להעלאת חוסן החברה.
ישנן טכנולוגיות אשר יכולות לעזור בתהליך המיפוי לאורך זמן ולזהות נקודות חולשה, חשוב שהטכנולוגיה לא תעמיס על תהליך הייצור ולא תגרום לכשלים אפשריים.
טוב, מה הכי חשוב לזכור?
סייבר בתעשייה הוא תחום חדש שהולך ומתפתח.
התחום מרתק, מתגמל ומלא אתגרים מגוונים שלא רואים בסביבת ה -IT.
צריכים עוד א.נשים שיצטרפו לענף כדי לקדם את התעשייה בישראל.
אבטחה לא נועדה להפריע היא מאפשרת ותומכת בהמשכיות העסקית של התעשייה.
חשוב להתייחס בעדינות לנושא ולשאוף להעלאת המודעות וליצירת תרבות מכוונת סייבר.
רתימת ההנהלה וה.אנשים בתעשייה קריטית להצלחה.
שיתוף פעולה הוא הכרחי.