טכנולוגיית המידע תופסת לעתים קרובות את הכותרות, במיוחד עכשיו כשאנחנו נכנסים לעידן חדש של הכל המופעל על ידי בינה מלאכותית. אבל דווקא טכנולוגיה תפעולית (OT) היא שעדיין מניעה חלק ניכר מהעולם. ממפעלי ייצור ועד תחנות כוח, ובתי חולים ועד רשתות תחבורה, טכנולוגיה זו בדרך כלל מתממשקת עם העולם הפיזי, כדי לשלוט במכונות חיוניות ברמה תעשייתית. יש רק בעיה אחת: היא מעולם לא תוכננה באמת להתמודד עם נוף איומי הסייבר של ה-21.st מֵאָה.
זו הסיבה הדרכה חדשה מהמרכז הלאומי לאבטחת סייבר (NCSC) צריכה להתקבל בברכה על ידי מפעילי OT. היא מדגישה את הצעד הראשון החיוני להבטחת OT: נראות. והיא מציעה את תקן ISO 27001 כדרך מצוינת להגיע לשם.
למה אבטחת OT חשובה
בהתחשב בכך ש-OT מפעיל מערכות בקרה תעשייתיות, לא צריך קפיצת דמיון גדולה כדי להבין מה מונח על כף המאזניים. חטיפת מערכות כאלה תאפשר לגורמי איום לשבש תשתיות קריטיות (CNI). למעשה, בשנה שעברה התגלו יריבים בחסות מדינה סינית בתוך רשתות CNI אמריקאיות, לאחר... הציבו את עצמם מראש להפעיל התקפות הרסניות במקרה של סכסוך צבאי.
מלבד הנזק הפיזי הפוטנציאלי לאנשים פרטיים ולחברות שלמות שעלול להיגרם כתוצאה מהתקפות כאלה, הן עלולות לגבות מחיר כלכלי ותדמיתי כבד מספקי CNI ומפעילי OT אחרים. רק לפני מספר חודשים, חברת ביטוח מארש מקלנן ביקש לכמת היקף הסיכון הזה, תוך שימוש במאגר התביעות הקנייני שלה ומודיעין נוסף. היא חישבה כי הסיכון הפיננסי השנתי הקשור לאירועי OT יכול להגיע עד 329.5 מיליארד דולר (250 מיליון ליש"ט).
האתגר הוא שמערכות OT לרוב מוגנות בצורה גרועה. ציוד מחזיק מעמד הרבה יותר זמן מערך IT טיפוסי, כלומר לעתים קרובות עליו להריץ תוכנות ומערכות הפעלה מדור קודם שעבורן אין עוד תיקונים זמינים. אם עדכוני אבטחה זמינים תיאורטית, בדרך כלל ניתנת עדיפות לזמן פעולה על פני אבטחה. ומכונות אלו פועלות לעתים קרובות בסביבות קריטיות שבהן הוצאתן מהאינטרנט לצורך בדיקה ויישום תיקונים היא מאתגרת מבחינה לוגיסטית. פרוטוקולי תקשורת מיושנים ולא מאובטחים יכולים גם ליצור סיכוני אבטחה נוספים.
מה אומר ה-NCSC
הגישה של ה-NCSC היא נבונה: אי אפשר להגן על מה שלא רואים. לשם כך, היא רוצה שמפעילי OT יתמקדו תחילה ביצירת "תמונה סופית" של ארכיטקטורת ה-OT שלהם. זה הרבה יותר עמוק מרשימת נכסים גרידא, כולל:
- רכיבי כגון התקנים, בקרים, תוכנה ומערכות וירטואליות, כולם מסווגים לפי קריטיות, חשיפה ודרישות זמינות.
- קישוריות: כלומר, כיצד נכסים אלה מקיימים אינטראקציה בתוך רשת ה-OT ומחוצה לה
- ארכיטקטורת מערכת רחבה יותר כולל אזורים, צינורות ואמצעי פילוח; הוראות חוסן; והנימוקים מאחורי בחירות התכנון
- גישה לשרשרת אספקה ולצד שלישי: כלומר, אילו ספקים, אינטגרטורים וספקי שירותים מתחברים לסביבת ה-OT, וכיצד מנוהלים ומוגנים החיבורים.
- הקשר עסקי והשפעה: הבנת מה יקרה מבחינה תפעולית, פיננסית וביטחונית אם נכס/חיבור ייכשל או ייפגע
השמיים הנחיות NCSC, אשר עוצבה גם על ידי סוכנויות בארה"ב, קנדה, ניו זילנד, הולנד וגרמניה, מבוססת על חמישה עקרונות. היא מכוון מפעילי OT לגבש תהליכים להקמה וניהול של "הרקורד הסופי" שלהם, זיהוי וסיווג נכסים, זיהוי ותיעוד קישוריות ותיעוד סיכונים של צד שלישי.
הגנה על הרישום הסופי שלך
אולי הכי מעניין הוא עקרון 2: הקמת תוכנית לניהול אבטחת מידע במערכות OT. הדבר הופך להיות חיוני לאור רגישות המידע הכלול ברשומה הסופית. זה יכול לכלול מידע עיצובי ועסקי, נתוני זהות והרשאה, נתונים תפעוליים הקשורים לבקרה בזמן אמת של מערכות OT, והערכת סיכוני סייבר ובטיחות.
יריבים יכולים להשתמש במודיעין זה כדי "לשפר" את התקפותיהם, על ידי בניית תמונה הקשרית של ארכיטקטורת המערכת, ובחירת רכיבים למיקוד ולניצול, אומר ה-NCSC. "לארגון שלך צריכים להיות מדיניות ונהלים מתועדים בבירור לגבי אופן אבטחת כל סוג מידע", מוסיף הארגון - וקורא לארגונים לשקול את שלישיית ה-"CIA" הקלאסית. משמעות הדבר היא להבטיח:
- מידע רגיש נגיש רק למערכות ולמשתמשים המורשים לקבל גישה (סודיות)
- המידע שלם, שלם ואמין, ולא שונה (שלמות)
- ארגונים מגנים על המידע מפני הפסקות פעילות, עיכובים ופגיעה בזמינות השירות (הזמינות)
היתרון של ISO 27001
ה-NCSC ממליץ למפעילי OT "להשתמש בתקנים כגון ISO / IEC 27001 "כדי לסייע ביישום מערכת ניהול אבטחת מידע של OT." זוהי מוזיקה לאוזניו של סם פיטרס, מנהל ה-CPO של ISMS.online, שאומר שזה משקף קונצנזוס גובר: "עקרונותיה של מערכת ניהול אבטחת מידע מובנית ומבוססת סיכונים חלים ביעילות רבה על OT כמו שהם חלים על IT."
פיטרס מספר ל-ISMS.online כי לאחר שעבד עם התקן במשך שנים רבות, הוא יודע בדיוק עד כמה הוא יכול להיות יעיל בניהול סיכונים הקשורים ל-OT.
"אני יודע ממקור ראשון ש-ISO 27001 מספק גישה עקבית לנראות נכסים, ניהול תצורה ובקרת שינויים - כולם קריטיים בסביבות OT מורכבות ומורכבות, שבהן שינויים לא מתוכננים עלולים להיות בעלי השלכות בטיחותיות בעולם האמיתי", הוא מוסיף. "זה גם מחזק את האבטחה בשרשראות האספקה על ידי מסדיר את אופן ניהול הגישה, התיקונים והתחזוקה של צד שלישי."
תקן ISO 27001 מסייע גם מבחינה טכנית, בסיוע לארגונים לגשר על הפער בין IT ל-OT באמצעות "טרמינולוגיה משותפת, בקרות סטנדרטיות וטיפול בסיכונים מבוסס ראיות", אומר פיטרס.
"זה בהחלט תומך בקריאתה של ה-NCSC לתפיסה סופית של ארכיטקטורת ה-OT, תוך הבטחה שהחלטות אבטחה מונעות על ידי ידע מערכתי מדויק ועדכני ולא על ידי הנחות יסוד", הוא מסכם.
"למען הסר ספק, לא מדובר כאן על שילוב בקרות IT על גבי מערכות OT. מדובר על יישום מערכת ניהול מוכחת שמתאימה לאילוצים הייחודיים של מערכות תעשייתיות, תוך מתן עדיפות לזמינות, בטיחות וחוסן תוך שמירה על עקיבות ושיפור מתמיד. האיזון הזה הוא בדיוק מה ש-OT היה צריך כבר זמן מה."
