מה למדנו ממתקפת הסייבר בשילוט הרכבות האלקטרוני ברחבי איראן?

ביום שישי, ה-9 ביולי 2021, פגעה מתקפת סייבר בשילוט הרכבות האלקטרוני ברחבי איראן. ההתקפה שינתה את הכיתוב בשילוט מסופי הרכבת כך שהוצגו בו הודעות על ביטולים או עיכובים של רוב הנסיעות או כולן, וצוין שלקוחות המעוניינים במידע נוסף יכולים להתקשר למספר טלפון מסוים, שהיה למעשה המספר בלשכתו של האייתוללה עלי חמינאי. שירותי החדשות האיראניים דיווחו תחילה על "כאוס חסר תקדים" בתחנות הרכבת, אך בהמשך העלימו את הדיווח מאתריהם. בהודעה שהוציאו אחר מכן נטען כי ההתקפה לא הצליחה לגרום לשיבוש כלשהו.

התקפה זו ממחישה עד כמה רלוונטיים היו דבריו של שאנון רמסאיוואק בפודקאסט על אבטחת מערכות תעשייתיות (Industrial security) שפורסם לפני חצי שנה. באותו פרק דיבר שאנון על חשיבותו הרבה של  השילוט האלקטרוני לביצועי מערך הרכבות ואף לבטיחות הרכבות. כמו כן הסביר שאנון כי לעיתים קרובות אין מקבלי החלטות הבכירים מודעים לכך שמערכי השילוט שלהם חשופים מאוד לניסיונות חבלה.

אף שעדיין מועטים הפרטים הידועים על המתקפה באיראן, ברור כי מערכי השילוט של חברות הרכבות חשופים להתקפות סייבר הרבה יותר מאשר מערך האיתות ומערך הפיקוד והבקרה של הרכבות. הסיבה לכך פשוטה: רוב חברות הרכבת בעולם מפרסמות עדכונים מקוונים של לוחות הזמנים באתר האינטרנט שלהן ולעיתים אף באפליקציות טלפון נייד, הנגישות באמצעות האינטרנט. פרסום עדכונים כאלו מחייב את קיומו של נתיב תקשורת, המעביר לאינטרנט את נתוני מיקומו של קטר הרכבת.

במערכות מחשוב חדשניות של חברות רכבת נמנע מצב שבו נתיב תקשורת כזה מוגן על ידי חומות אש בלבד, מכיוון שכל נתוני המיקום ולוחות הזמנים מועברים ממערכות בקרת הרכבות אל האינטרנט דרך שערי אבטחה חד כיווניים. כך נחסמת פיזית כל אפשרות למתקפה של תוכנות זדוניות הנשלחות בכיוון השני, מהאינטרנט למערכות הבקרה.

אך מעבר למסקנות הספציפיות בנוגע למערך הרכבות, ההתקפה באיראן ממחישה שוב את החשיבות בסיווג ובהפרדה נאותים של מערכות ה-IT וה-OT הארגוניות. אני ממליץ לכל העוסקים באבטחת OT לבצע סימולציה מחשבתית של תרחיש שבו מושבתים כל המחשבים המחוברים לתשתיות ה-IT . האם בתרחיש כזה עדיין יתאפשר להמשיך בביצוען של פעולות OT פיזיות?

כאשר דנים ספציפית בהפרדה בין מערכות ה-IT ל-OT, עולה השאלה: האם פריט כלשהו מציוד ה-IT שנפגע או הושבת הינו למעשה חיוני לביצוע פעולות פיזיות בכל רגע נתון?. במתקפת הסייבר על הרכבות באיראן נפגע מערך השילוט, שהינו חיוני לשם הפניית נוסעים לרכבות שלהם, וברוב המקרים מונגש לנוסעים באמצעות רשתות IT. במתקפת סייבר אחרת, שבוצעה לאחרונה כנגד צינור הנפט המרכזי של חברת הנפט האמריקאית קולוניאל פייפליין, היו דיווחים שלפיהם במערכות המחשוב ששימשו למעקב אחר המוצרים המובלים בצינור– בנזין ודלק סילוני – ולחיוב הלקוחות על מוצרים אלו (בילינג) היה שילוב כה הדוק  בין רשתות ה-IT וה-OT, עד שהצינור לא יכול היה להמשיך ולפעול כשרשת ה-IT הושבתה.

אם מהסימולציה שלנו יעלה כי אכן יש רכיבי IT שהינם חיוניים לביצוע פעולות פיזיות בכל רגע נתון, עלינו להביא זאת לידיעתם של מקבלי ההחלטות הבכירים בארגון. השבתה של רשת IT היא מצב בלתי רצוי; שיבוש ופגיעה בפעולות פיזיות הם לרוב מצב חמור שבעתיים. אם הארגון מחליט שהוא אינו מוכן לקחת את הסיכון של השבתת OT עקב פגיעה ב-IT, חובה לנקוט באמצעים. ייתכן שנצטרך להעביר חלק ממערכות ה-IT, כגון מערכות שילוט רכבות, לרשת OT, ולהגן על מערכות אלו באמצעות שערי אבטחה חד-כיווניים, בדיוק כפי שאנו מגנים על מערכות ה-OT הקריטיות האחרות שלנו.

לחילופין, ייתכן שנצטרך לאחסן עותק של מידע OT חשוב, כגון מדידות של תוצרים וזרימה בצינור, לא רק ברשת ה-IT אלא גם קרוב יותר למקום שבו מיוצר המידע ברשת ה-OT. כך נוכל לשמור על קיום רציף של הפעולות הפיזיות, וכאשר יסתיים שחזורן של מערכות ה-IT מגיבויים נוכל לעדכן מערכות אלו בנתונים שאוחסנו במערכות ה-OT בזמן ההשבתה. בנוסף, ייתכן שנצטרך לאחסן במערכות ה-OT שלנו גיבוי של פקודות הייצור או נתוני הלו"ז לשבוע-שבועיים הקרובים. כך נבטיח שגם אם מערכות ה-IT המייצרות נתונים אלה נפגעות, עדיין יהיו למערכות ה-OT שלנו ההוראות הדרושות להמשך תפקוד רציף בזמן שאנו מתקנים את רשת ה-IT.

תוכניות יקרות לאבטחת OT, המבוססות על פתרונות תוכנה בלבד, לא יעזרו לנו במיוחד אם הן אינן יכולות למנוע מהתקפות IT להתפשט למערכות ה-OT. הן יהיו אפילו פחות יעילות אם רשת ה-IT כוללת רכיבים קריטיים להמשך תפקוד המערכת, כך שכל פריצה של רשת זו מאלצת אותנו להשבית את הפעילות. אמנם שערים חד כיווניים מונעים פיזית כל אפשרות לאיומי אבטחה המגיעים מרשת ה-IT אל מערכות OT, והם זולים יותר מתוכנות יקרות לאבטחת סייבר, אך הם אינם מהווים תחליף להכנת שיעורי בית.

בצעו את הסימולציה המחשבתית. בדקו אילו מערכות IT הן קריטיות לתפעול. אם אנו רוצים למנוע השבתת פעולות, אין ספק שאנו חייבים להגן על רשתות ה-OT שלנו באמצעות שער אבטחה חד כיווני. אך עלינו גם לוודא שכל מערכות התפעול הקריטיות שלנו נמצאות ברשתות המוגנות באופן חד-כיווני, ולשמור ברשתות אלו עותק גיבוי של כל הנתונים המגיעים אל המערכת ויוצאים ממנה ואשר נדרשים לשם הבטחת הרציפות של ביצוע פעולות במקרים של קריסת ה-IT.

אם אתם מעוניינים בתובנות מעמיקות יותר בנוגע להגנה חד-כיוונית על רשתות OT, המתאפשרת ללא כל פגיעה ביכולת לתת מענה למגוון רחב של צרכים עסקיים – כולל יצירה ותחזוקה של מערכות מותאמות אישית, עדכוני אנטי-וירוס וגישה מרחוק – הזמינו עותק חינם (באנגלית) של ספרו האחרון של מחבר זה: Secure Operations Technology.

תוכלו גםֹ לבקש מפגש ייעוץ חינם עם אחד מאדריכלי הפתרונות החד-כיווניים של Waterfall.