ככל שמתקרבים ₪2, כיצד יכולים ארגונים לצמצם מתקפות סייבר מסכנות חיים?

מאת פיל מונקסטר • 18 יולי 2024

2 ש"ח יועברו לחוק בכל המדינות החברות באיחוד האירופי בעוד שלושה חודשים. היא מחייבת אבטחה בסיסית משופרת, תגובה לאירועים, אבטחת שרשרת אספקה ועוד הרבה יותר כדי להפוך את מפעילי השירותים החיוניים ליותר עמידים בסייבר. אם לארגונים היה ספק מדוע נחוצות תקנות כאלה, אל תסתכל רחוק יותר מהקטסטרופה האחרונה של תוכנת הכופר של NHS.

למרבה המזל, שיטות עבודה מומלצות בתעשייה יכולות לסייע רבות גם לייעל את התאימות של 2 שקלים וגם להפחית את הסיכויים לאירוע סייבר מסכן חיים.

שירותי בריאות תחת אש

בסופו של דבר, מתקפת תוכנת הכופר שהייתה לה השפעה כה קטסטרופלית על חולי NHS כוונה לספק שירותי בריאות ידועים מעט של שירותי פתולוגיה, ובזמן כתיבת שורות אלה, היא גרמה לביטול של למעלה מ-800 ניתוחים מתוכננים ו-700 פגישות חוץ. מסודר מחדש, כולל כמה הליכים שעלולים להציל חיים. הנתונים הללו מתייחסים לשתי הנאמנות של NHS המושפעות ביותר - King's College Hospital NHS Foundation Trust ו-Guy's and St Thomas' NHS Foundation Trust - ורק ל-3-9 ביוני, כך שהשיבוש בפועל יהיה גבוה אף יותר.

בנוסף לביטולים, ה-NHS היה נאלץ לערער עבור תורמי דם ומתנדבים בעקבות התקרית. למרות שהספק המדובר, Synnovis, מתכנן לשחזר חלק מפונקציונליות ה-IT "בשבועות הקרובים", הוא הזהיר ש"שיקום טכני מלא" ייקח זמן רב יותר, וסביר להניח שיבוש במשך "חודשים".

שחקני כופר מתמקדים בשירותי בריאות בתדירות הולכת וגוברת, ובכל פעם שהם עושים זאת, קיים פוטנציאל להפרעות בשירות להשפיע על מטופלים עלולה לסכן חיים. באלבמה בשנת 2021, אמו של ילדה בת תשעה חודשים הגישה תביעה נגד בית החולים שבו נולדה בתה, בטענה שהוא לא חשף כי סבלה אז מהתקפת תוכנת כופר. מכיוון שמתקפת הסייבר שיבשה מכשירי טכנולוגיה מבצעית קריטית (OT), הרופאים לא היו מסוגלים לעקוב אחר מצבו של הילד כראוי, לדברי האם. למרבה הצער, היא נותרה עם פציעות מוח קשות ונפטרה תשעה חודשים לאחר מכן.

סיכוי של 25% למוות

כמובן, שירותי בריאות הם רק אחד מני מגזרי תשתית לאומית קריטית (CNI) שבהם להתקפות סייבר עשויות להיות השלכות קטלניות. דו"ח מרשם הסיכונים הלאומי של הממשלה לשנת 2023 מעריך שלתקפת סייבר רצינית על CNI יש סיכוי של 5-25% להתרחש במהלך השנתיים שלאחר מכן. זה טוען שהדבר עלול לגרום להרוגים של עד 1000 בני אדם ולהרוגים של עד 2000.

בארגונים רבים כאלה, השימוש בטכנולוגיות OT ו-IoT הוא שעלול לחשוף אותם להתקפות עם השפעות קינטיות מסוכנות. ניתן לראות זאת בענף הטיפול במים, שם א התוצאה הייתה מתקפת 2016 באיומים שחקני איום משנים את רמת הכימיקלים במי השתייה ארבע פעמים לפני שהפיגוע סומן.

לדברי אנטון שיפולין, אוונגליסט אבטחת סייבר במומחה אבטחת OT רשתות נוזומי, ביצוע התקפות סייבר ממוקדות מסכנות חיים היא מאתגרת אך אפשרית.

"זה דורש מספר תנאים עבור שחקן האיום, כולל ידע בתהליך, זמן, כסף, כוח אדם ומטרה פגיעה", הוא אומר ל-ISMS.online.

"עם זאת, כאשר תהליכים קריטיים או מסוכנים לחיים תלויים במידה רבה בטכנולוגיות דיגיטליות, אפילו התקפות לא ממוקדות או תקלות טכנולוגיות עלולות לסכן את המערכות הללו, שעלולות לגרום למוות או לפציעות. זה נכון במיוחד במגזרים כמו בריאות, רובוטיקה תעשייתית וכימיקלים".

שון טאפטס, שותף מנהל לתשתיות קריטיות ב-Optiv, מסכים שתוכנת כופר היא עדיין האיום החזק ביותר ל-CNI, בהתחשב במספר העצום של קבוצות בגדול ובקלות שבה רבים יכולים לנצל פערים בהגנה.

"האקר שמפוצץ תחנת משנה או בית זיקוק הוא לא בלתי אפשרי, אבל קשה מאוד. תזדקק לארגון פריצה מתקדם מאוד בשילוב עם צוות שיודע איך פועלות תחנות כוח", הוא אומר ל-ISMS.online.

"התרחיש הסביר יותר הוא שהאקר ברמה נמוכה מכניס למערכת חבילת תוכנות כופר של סחורות ועוצר תהליך פיזי. אם התהליך הזה הוא מסוע, משאבת שמן, מפסק חשמלי או מערכת בקרת רכבת הרים, הדברים יכולים ממש לצאת מכלל שליטה. המוטו הנוכחי של התעשייה שלנו הוא 'אבטחת סייבר היא בטיחות'. בטיחות היא אבטחת סייבר'. אנחנו רוצים שהציוד ליד אצבעותיו של הטכנאי שלנו יהיה בשליטתם".

הרחקת איומים והצלת חיים

כל הגורמים הללו מעלים את ההימור במידה ניכרת עבור מובילי אבטחת סייבר הפועלים בתעשיות כאלה. אז נשאלת השאלה, איך הם יכולים לשפר את חוסן הסייבר עד לנקודה שבה הסיכון לחיים מנוהל כראוי?

"CISOs צריכים לחשוב איך הם יוכלו להמשיך לספק שירותי חירום במקרה של הפסקת רשת ממושכת ולשלב זאת בתוכנית תגובה לאירועים", מייעץ שותף S-RM לתגובה לאירועים, ג'יימס טייטלר.

"הם צריכים גם לערוך תרגילי שולחן קבועים כדי לוודא שכל הצדדים הרלוונטיים מודעים לתפקידים ולאחריות שלהם מבעוד מועד", הוא אומר ל-ISMS.online.

על פי Tufts של Optiv, 2 שקלים יספקו סט שימושי של שיטות אבטחה מומלצות לעבוד לקראתן.

"ההתמקדות של NIS2 בקביעת קו בסיס של אבטחת סייבר שחברות יכולות לצמוח אליו היא חשובה ביותר כדי לשחרר תקציב מעסקים בעלי רווחים נמוכים היסטורית", הוא טוען.

עם זאת, לאור יציאתה של בריטניה מהאיחוד האירופי, הרגולציה לא תחול על כל הארגונים. עם זאת, ₪2 הוא לא המשחק היחיד בעיר, על פי Shipulin של Nozomi Networks.

"כמעט כל תעשיות התשתית הקריטיות המשתמשות במערכות סייבר-פיזיות נשלטות על ידי תקנות מקומיות או תקנים בינלאומיים המתייחסים לאבטחת המערכות הללו", הוא מסביר. "לכן, הגישה הטובה ביותר היא להתחיל בבדיקת הנחיות אבטחת הסייבר שסופקו על ידי הרגולטור בתעשייה או איגודים בינלאומיים ספציפיים למגזר."

תקני שיטות עבודה מומלצות כמו ISO27001 וגם IEC 62443 יכולים לעזור. הראשון יפחית בעיות אבטחה במערכות IT שעלולות להיות מנוצלות על ידי שחקני תוכנת כופר, והאחרון שימושי במיוחד מכיוון שהוא תוכנן במיוחד עבור סביבות OT כגון מערכות בקרה תעשייתיות.

"התקן הזה נבנה על ידי מתרגלים, לא רגולטורים. הישימות שלו גבוהה מאוד ומותאמת לצרכי התעשייה שלנו", אומרת Tufts של Optiv.

עם ההימור כה גבוה, CISOs במגזרי CNI חייבים לחזור על הרגל הקדמית.

פיל מונקסטר

פיל מונקאסטר הוא עיתונאי IT כבר 20 שנה. הוא התחיל את דרכו ככתב בארגון IT Week בשם IT Week בשנת 2005 והתקדם לתפקיד עורך חדשות לפני שעזב כדי להמשיך בקריירה עצמאית. מאז, פיל כתב עבור כותרים כולל The Register, שם עבד ככתב אסיה בזמן שהתבסס בהונג קונג במשך יותר משנתיים, MIT Technology Review, SC Magazine, Infosecurity Magazine ואחרים.