חדשות ואירועים

מערכות תפעוליות והקישור לרשת האינטרנט

אחד ההיבטים ההכרחיים בטרנספורמציה דיגיטלית של מפעל או קו ייצור הוא היבט התקשורת ואבטחת התקשורת. אם במפעל מסורתי, המערכות התפעוליות הן מעין "איים בודדים" שאינן מתקשרות עם מערכות חיצוניות, הרי שבמפעל חכם, מכונות, קווי ייצור, תוכנות לניהול הייצור ומערכות בקרה ושליטה "מדברים" אלה עם אלה באופן שוטף.

התקשורת הזו היא הבסיס לאוטומציה, ניהול-מרחוק, איסוף ועיבוד דאטה, שקיפות ואנליטיקה מתקדמת. ואולם, ההיבט הזה גם חושף את המערכות התפעוליות לסיכוני סייבר משמעותיים, שחשוב לתת אליהם את הדעת בכל תהליך של הטמעת מערכות חכמות ומקושרות.

מהות האיום נובעת מכך שבמפעל חכם, המערכות התפעוליות (OT) מחוברות למערכות המידע (IT) – ומכאן לרשת האינטרנט. הממשק הזה מאפשר לתוקפי סייבר נתיב גישה מרחוק לחדור אל קווי הייצור.

בשנים האחרונות חל גידול מדאיג בהיקף תקיפות הסייבר על מתקנים תעשייתיים וקווי ייצור. ההתקפות הללו מובילות לעיתים להשבתות ייצור, דרישת כופר או גניבת קניין רוחני ונזק למוניטין. על פי פרסום של חברת Fortinet, דווח על סקר שנעשה בנובמבר 2019, שמצא כי כ-74% מאנשי המקצוע בתחום ה- OT חוו ב-12 החודשים האחרונים תקיפות סייבר, שהובילו לפגיעה בפעילות הייצור. התקפות על אתרי יצור קריטיים יכולות לגרום להפסדים כספיים, סיכון מוניטין המותג, לפעמים אפילו אובדן חיים או איום על הביטחון הלאומי.

ללמוד מהאחות הגדולה: ה-IT

חברת פורטינט (Fortinet) היא מחברות הסייבר הגדולות בעולם, אשר שמה לה למטרה לאפשר הגנה בעולם הדיגיטלי על אנשים, מכשירים ונתונים בכול מקום.

החברה נסחרת בנסד"ק בשווי של מעל 4 מיליארד דולר, יש לה מעל 635,000 לקוחות ויותר מ-50 קווי מוצר, שכולם מתמקדים גם בהגנה על מערכות תפעוליות (OT), כדוגמת חומות אש ייעודיות, מתגים מאובטחים, תוכנות DECEPTION, SANDBOX ועוד.

צור סגל, מנהל תחום ה-OT בחברת Fortinet, דיבר בכנס לייצור מתקדם שהתקיים בנצרת על הפער המשמעותי שבו מצוי העולם התעשייתי בכל הנוגע לאבטחת סייבר.

"ככלל, העולם התעשייתי הרבה פחות מוגן בהשוואה למגזרים אחרים מבחינת אבטחת סייבר. התעשייה עוברת מהפכה דיגיטלית מואצת, אך מבלי לתת את הדעת כראוי להגנת הסייבר הנדרשת. זה משול לנהיגה במכונית, כאשר תקר קטן באחד מהגלגלים משבית את הנהיגה במכונית. יש מחסור במודעות ובהבנה, ברגולציה וביישום. עם זאת, אנחנו כן עדים בשנים האחרונות להתעוררות, בייחוד בתחום התקינה, אך גם ביישום."

בעוד שעולם התעשייה עדיין עושה את צעדיו הראשונים בתחום אבטחת הסייבר, הן ברמת המודעות והן ברמת היישום, תחום ה-IT והסייבר הינו מאוד מפותח ובשל ומהווה חלק אינטגרלי ומובנה בכל התהליכים של הרשתות הארגוניות. לדעתו של צור סגל, עולם ה-OT מאמץ מזה כחמש שנים את הגישות הנהוגות בעולמות ה-IT.

"בעולם ה-IT המודעות ורמת ההגנה מאוד גבוהות. בכל ארגון יש איש מיומן שאחראי על אבטחת המידע. כל פעולה שכיחה, כמו חיבור מחשב נייד או עבודה בענן, כפופה לנהלי אבטחת המידע וכל חריגה מהם מנוהלת ומייצרת התראה. לעומת זאת, לא תמיד למנהל רצפת הייצור יש את הידע והמודעות הנדרשים בתחום הסייבר. בעולם התעשייתי, מחברים לעיתים מכונות לרשת בלי פיקוח, וזה מסוכן."

בשנים האחרונות התגבשו בתעשייה מספר תקנים, שמספקים קווים מנחים להגנת סייבר על מערכות תפעוליות. אחד התקנים הבולטים בתחום הסייבר התעשייתי הוא התקן הבינלאומי IEC62443, אשר מפרט את האמצעים, הנהלים והתהליכים הנדרשים כדי להבטיח רמת הגנה ראויה על מערכות תפעוליות OT ומערכות בקרה ושליטה. התקן מורכב ממספר חלקים, ומיועד עבור כל שרשרת האספקה החל מהיצרנים של ציוד הבקרה, בוני המכונות, האינטגרטורים שמטמיעים את מעטפת ההגנה ומנהלי האבטחה במפעלים האחראים על אבטחת המידע באופן שוטף.

לדברי צור סגל, התקן מספק מפת דרכים מקיפה עבור מנהלים בתעשייה המעוניינים לשדרג את מדיניות ההגנה שלהם בקווי היצור כתוצאה מהדיגיטליזציה. "בסופו של דבר, האחריות נופלת על כתפי המנהלים והדירקטוריון. לדוגמה, התקן מפרט את האחריות של היצרן והאינטגרטור ובאחריות ההנהלה לוודא שמערכות הייצור, שרשרת האספקה והחיבור לIT עומדים בו."

המתכון לסייבר נכון: סגמנטציה, מתגים מאובטחים ומיעוט ספקים

צור סגל: "לפי התקן, אחד ההיבטים החשובים ביותר בהגנה הוא לייצר סגמנטציה [פיצול, הפרדה] בין חלקי הרשת התפעולית. זאת כדי שכלל מערכות הייצור לא יהיו חשופות זו לזו.

במקרה של פריצה לתוך הרשת התפעולית, לתוקף לא תהיה גישה לכל המערכות, אלא לחלק מאוד מוגבל, מכיוון שמערך הייצור חולק לאיי עבודה נפרדים המקושרים בצורה מוגבלת ומפוקחת.

את ההפרדה מבצעים לפי ה"תהליכים העסקיים" השונים (Business processes), וחשוב ליישמם במפעל המודרני באופן אופקי וגם אנכי. למשל, הפרדה בין קו ייצור אחד למשנהו, בין ה-SCADA לרצפת הייצור, או בין אתרי הייצור השונים, ולפעמים גם בין מכונות. בין סגמנט לסגמנט מציבים חומת אש (Firewall), שמייצרת את החציצה לפי הסטנדרט."

צור סגל מבהיר כי הסגמנטציה אינה פוגעת בתפעול השוטף. "במסגרת הסגמנטציה, אתה מגדיר הגבלות והרשאות שמבטיחות שמי שצריך לקבל גישה במסגרת תהליך עבודה כלשהו, יקבל את הרשאה הנדרשת. בעולם ה-OT אפשר לעשות את זה, כי לא מחליפים מכונות, בקרי תהליך או משתמשים באופן תדיר."

"ההיבט השני שחשוב להקפיד עליו הוא ברמת מתגי התקשורת והרשת, והחשיבות שיהיו מאובטחים. השילוב של מתגים מאובטחים וחומות אש מאפשר לנהל את כל רכיבי רשת הייצור ומספק נראות (Visibility), של מה מחובר למה, כמו בעולם ה-IT. זו המטרה שלנו ב Fortinet- להביא את הפתרונות והסטנדרטים מעולם ה-IT לעולם ה-OT." ה- Visibility היא תכונה מובנית ביחידות ה- NGFW (יחידות חומת האש) ומציגה את טופולוגית החיבורים בין המתגים ורכיבי הבקרה בקווי היצור (ראו איור מספר 1), וגם את חיבורי ה IP ברשת לפי מודל הפורדו. (ראו איור מספר 2).

איור מספר 1

איור מספר 2

המגמות הטכנולוגיות האסטרטגיות המובילות של Gartner® לשנת 2022:

דוח רשת אבטחת סייבר קובע כי תחומי תקיפה חדשים נפתחו עקב מעבר לעבודה מרחוק בהשראת מגיפת הקורונה חברי צוות מרוחקים, התקני מחשוב קצה, רשתות וירטואליות, טכנולוגיות IoT והיבטים אחרים של טרנספורמציה דיגיטלית דורשים אסטרטגיות אבטחה גמישות ומדרגיות. התשובה לבעיה זו היא ארכיטקטורת רשת אבטחת סייבר רחבה, משולבת ואוטומטית.

לפי מרבית הערכות הכלכלנים, שנת 2023 צפויה להיות שנת האטה ואף מיתון בכלכלה העולמית. צור סגל מתריע כי תקופות של קושי כלכלי מתאפיינות דווקא בהתגברות בפעילות הסייבר העוינת.

"ראינו את זה במשבר הקורונה. הפגיעה הכלכלית והמעבר לעבודה-מרחוק, הובילו לעלייה בהיקף המתקפות. התמריץ של התוקפים הוא לרוב כלכלי. ישנן המון מתקפות כופרה בעולם הייצור. פעמים רבות, למרבה הצער, החברות מעדיפות לשלם את הכופר ולהשתיק את המקרה, מטעמים כלכליים ומוניטין – מה שכמובן מזמין מתקפות כופרה נוספות. כולם מעריכים כי בשנת 2023, איומי הסייבר בתעשייה צפויים להתגבר. החשש שלי הוא שבגלל הידוק החגורות, אנשי התעשייה יעדיפו לדחות את ההשקעה בסייבר במערכות הייצור, וזה מסוכן, כי מתקפה קטנה מוצלחת אחת יכולה להסב נזק עצום. חישוב וניהול סיכונים הוא המפתח לתחילת כל פעילות אבטחת סייבר בתעשייה. התעשייה צריכה להביא בחשבון שהרגולציה נכנסת לתחום הזה יותר ויותר, ובמוקדם או במאוחר כולם יידרשו לבצע את ההשקעה הזו."

תיאור מקרה: חברת הבונים

בתהליכי האבחון והטמעה שהמכון לייצור מתקדם מקיים מול חברות יצרניות, מושם דגש גדול על תחום אבטחת הסייבר, וזאת כדי שהחברות לא יהיו חשופות מבלי דעת לאיומים הללו.

כך למשל, חברת הבונים, המתמחה בייצור ברזים ומפעילים פניאומטיים, הטמיעה, במסגרת תהליך טרנספורמציה מול המכון לייצור מתקדם, פתרונות בתחום הרובוטיקה והאוטומציה. במקביל, במהלך תהליך האבחון נתגלו חוסרים משמעותיים בהיבט הגנת הסייבר: תשתיות הרשת לא עמדו בדרישות האבטחה, וכך גם התקשורת הארגונית מול החברה-בת. כל אלה ייצרו סיכון אבטחה משמעותי.

לאחר בדיקה שערכה חברת IPV Security, המתמחה בביצוע סקרי סיכונים ומבדקי אבטחה, יושמו המלצותיה לשיפור מערך האבטחה. בחברת הבונים הביעו שביעות רצון גדולה מהתהליך. החברה מבצעת כיום פרויקט המשכי, שמטרתו להעביר את כל השרתים לענן ולחבר בין כל החברות-בנות בצורה מאובטחת.

עריכה לשונית וספרותית: יוחאי שוויגר.