התשתית הלאומית הקריטית של בריטניה (CNI) נקראת כך מסיבה כלשהי. עם זאת, הכמויות הגדולות של נתונים רגישים שספקים מאחסנים, הסובלנות הנמוכה שלהם להפסקות והקריטיות שלהם לביטחון הלאומי והכלכלי הופכים אותם גם ליעדים. שחקני מדינת לאום נועזים, האפקטיביסטים ופושעי סייבר בעלי מוטיבציה כלכלית מוצאים יותר ויותר פערי אבטחה לניצול.
בעולם, יותר משתי חמישיות (42%) דיווח פרצות נתונים במהלך השנה האחרונה, ו-93% ראו גידול בהתקפות. עם חקיקה נכנסת בבריטניה צפויה בשנה החדשה, חברות CNI צריכות בבירור לשפר את חוסן הסייבר שלהן. החדשות הטובות הן שכבר קיימים סטנדרטים שינחו אותם במאמצים אלה.
מה קורה?
אין חברת CNI טיפוסית, מספקי שירותים ועד שירותים פיננסיים, ארגוני בריאות ויצרנים ביטחוניים. אבל רבים נפגעו מאותם איומים, כולל ניצול המוני של נקודות תורפה על ידי שחקנים רוסים ומסעות פרסום דיוג ממוקדים מ האקרים של המדינה האיראנית.
בבריטניה, בשנת 2024 נרשמו תוכנות כופר והפרות נתונים משמעותיות אצל ספק מרכזי של NHS (Synnovis) ובשעה משרד הבריאות, שעלול לסכן חיים. היו התקפות כופר הכוונה לבתי חולים לילדים ורב-סרן ספקי תחבורה. אך מלבד התקריות המבודדות הללו, אנו יכולים לחשוף את המגמות הבאות:
איומי פנים: לפי Thales, 30% מארגוני CNI חוו אירוע איום פנימי במהלך השנה האחרונה. לְחוּד, בריידוול מזהיר כי 35% ממנהיגי האבטחה של CNI מאמינים שצרות כלכליות אישיות מאלצות עובדים לפנות לגניבת נתונים וחבלה.
מתח ושחיקה: מנהיגי ביטחון, במיוחד, חשים את הלחץ. בשנת 2022, א נטען בדוח ש-95% חוו גורמים שעשויים לגרום להם לעזוב את תפקידם ב-12 החודשים הקרובים.
עיכוב תקציבים: אחוז תקציבי ה-IT (33%) ו-OT (30%) בשנת 2024 המיועדים לאבטחת סייבר נפל באופן דרמטי מ-2023 נתונים של 44% ו-43% בהתאמה.
ירידה בביטחון בכלים: בריידוול טוענת שכמעט שליש (31%) ממובילי האבטחה של CNI דירגו את "האמון בכלי אבטחת סייבר" כאתגר מרכזי ב-2024, עלייה שנתית של 121%.
קווים מטושטשים בין איומי מדינה לפשעי סייבר: תפקידה של המדינה הרוסית במחסה ועידוד התקפות ממניעים כלכליים על בתי חולים ו-CNI אחרים בבריטניה זועק יותר ויותר ברמות הגבוהות ביותר.
ה-NCSC ציין בה סקירה שנתית: "באמצעות פעילותה באוקראינה, רוסיה מעוררת השראה בשחקנים שאינם מדינתיים לבצע התקפות סייבר נגד ה-CNI המערבית. גורמי איומים אלו אינם נתונים לשליטה רשמית או גלויה של המדינה, מה שהופך את פעילותם לפחות צפויה. עם זאת, זה לא מפחית מאחריותה של המדינה הרוסית להתקפות המונעות האידיאולוגיות הללו".
תחכום הולך וגדל. למרות שלא התמקדו בבריטניה, הקבוצה הסינית וולט טייפון הציגה כלי מסחר מתוחכמים בקמפיין רב-שנתי שנחשף מוקדם יותר ב-2024, במהלכו חדר לרשתות CNI בארה"ב כדי לחבל בשירותים קריטיים במקרה של עימות.
"מערכות CNI רבות מסתמכות על טכנולוגיה מיושנת, מה שהופך אותן לפגיעות להתקפות וקשות לאבטחה. ניווט בדרישות רגולטוריות מורכבות ומתפתחות דורש משאבים ומומחיות משמעותיים", אומר המנהל הטכני לאבטחת מידע של Thales EMEA, כריס האריס, ל-ISMS.online.
"בנוסף, מחסור באנשי אבטחת סייבר מיומנים פוגע ביכולת לנהל ולהגיב לאיומים ביעילות. איזון בין אימוץ טכנולוגיות חדשות לבין שמירה על אמצעי אבטחה חזקים הוא אתגר מתמשך".
ה-CTO של בריידוול, מרטין ריילי, מסכים ומוסיף שטכנולוגיה תפעולית (OT) היא אתגר מרכזי נוסף עבור חברות CNI.
"מכשירי OT חסרים את ההקפדה של אבטחה ארגונית, עם חששות מתמשכים לגבי השפעה על תפעול ובריאות ובטיחות. למערכות מדור קודם, רבות בנות יותר מ-20 שנים, אין לעתים קרובות יכולות אבטחה מודרניות, והמגמה להתכנסות של OT עם מערכות IT מגדילה את משטח ההתקפה", הוא אומר ל-ISMS.online.
"בשל מחסור במיומנויות, CISOs לא יכולים להתקשר למומחיות ספציפית ל-OT לפתח תוכניות אבטחת סייבר פרופורציונליות ולגשר על IT ואבטחת OT כדי להפחית את הסיכון הזה. נפוץ במיוחד הוא עלייתם של מכשירי קצה ב-IT OT ותשתיות IoT, שניתן לנצל אותם בהתקפות חיים מחוץ לאדמה, שבהן ממוקדים כלים לגיטימיים בתוך המערכת".
ריילי מוסיפה שבמקרים מסוימים, פערי מיומנויות עלולים אפילו להוביל צוותי OT לאמץ אמצעים שחוסמים בטעות את גישת המשתמש, וגורמים נזק לתשתית פיזית או אפילו סיכון לחיי אדם.
מה דורשים הרגולטורים?
הצורך לבנות חוסן ב-CNI ניכר במגמות ובאירועים שלעיל, אבל יש גם צורך רגולטורי הולך וגדל. ספקים בבריטניה עם פעילות ביבשת חייבים לציית למערכת חדשה וקפדנית של אבטחה בסיסית דרישות ב-2 שקלים. ההנחיה גם מבהירה כי מנהיגים עסקיים בכירים יישאו באחריות רבה יותר לכשלים באבטחת סייבר, לרבות אחריות אישית להפרות חמורות.
בבריטניה, נכנס הצעת חוק אבטחת סייבר וחוסן יעדכן את תקנות השקל לשנת 2018 כדי לכסות יותר נותני שירותים, להעצים רגולטורים ולחייב דיווח על אירועים. עדיין לא כל הפרטים עובדו, אבל כיוון הנסיעה הכללי מנקודת מבט רגולטורית בבריטניה הוא בחינה מדוקדקת יותר של חברות CNI.
מה חברות CNI יכולות לעשות בשנת 2025
"ה-NCSC מאמין כי חומרת האיומים בהנהגת המדינה אינה מוערכת וכי אבטחת הסייבר של תשתיות קריטיות, שרשראות אספקה והמגזר הציבורי חייבת להשתפר", אומר ה-NCSC במסמך. סקירה שנתית.
זה הכל טוב מאוד, אבל איך ספקים יכולים לשפר את עמדת האבטחה שלהם באופן ספציפי?
"CNI מתמודדת עם איומים, אתגרים והזדמנויות מגוונות. אמצעים יזומים, כמו תגובות רשמיות של תוכנות כופר וביקורת תאימות, הם חיוניים", טוען האריס של Thales.
"טכנולוגיות מתפתחות כמו 5G, ענן, ניהול זהויות וגישה ו-GenAI מציעות יעילות חדשה כשהן משולבות בפעולות CNI. ציפיות גבוהות יותר והתחייבויות מוגברות לחוסן תפעולי ואמינות ישפרו את האבטחה ויפחיתו את הרגישות עבור ארגוני CNI."
תקן שיטות עבודה מומלצות ISO 27001 יכול להיות נקודת התחלה טובה עבור רבים, ולספק גם "מסגרת חזקה" לניהול סיכוני אבטחה, הוא ממשיך.
"עמידה ב-ISO 27001 מבטיחה שמפעילי CNI מיישמים שיטות עבודה מומלצות באבטחת סייבר, כולל הערכת סיכונים, ניהול אירועים ושיפור מתמיד", אומר האריס.
ריילי של בריידוול תומך גם בגישות שיטות עבודה מומלצות בתעשייה.
"אסטרטגיית אבטחת סייבר של שיטות עבודה מומלצות בספק CNI טיפוסי מיישרת רישומי סיכונים IT ו-OT כדי להעריך סיכונים בצורה הוליסטית. זה צריך להיות מונע על ידי מיזוג ומיפוי בקרות ISO 27001 ל-NIST CSF, NCSC CAF, תקנות NIS או מסגרות OT ספציפיות כמו IEC 62443", הוא מסביר.
"ISO 27001 לבדו אינו מניע לשיפור אבטחת CNI. ארגונים רבים שומרים על היקף והצהרת תחולה אחת המכסה רק את הארגון. זו הסיבה שכל כך חשוב לארגוני CNI לשלב מסגרות ותקנות אחרות באסטרטגיה שלהם ל-ISMS רב-היקף. בניית ISMS רב-היקף יכולה להיות מסובכת, אבל זה לא בלתי אפשרי אם OT ו-IT מופרדים בצורה יעילה ומשולבות תקנות רלוונטיות".
