סוף דרכו של הפיירוול

הצורך במעבר נתונים בין רשת ייצור לרשת הנהלה במפעלי תשתיות קריטיות, חייב שימוש בפיירוול כפתרון הגנה. בווטרפול סקיוריטי פיתחו טכנולוגיה חדשה, מבוססת חומרה, המספקת חלופה

photo by: shutterstock.com

תשתיות קריטיות לאומיות ואתרים תעשייתיים רבים, בארץ ובעולם, עברו תהליכי מודרניזציה ושדרוג בשנים האחרונות. הדבר מתבטא, בין השאר, בשימוש נרחב בתשתיות מחשוב סטנדרטיות ובניצול יכולות הקישוריות לייעול ושיפור תהליכי ייצור ותהליכים עסקיים.

מפעלי תשתיות קריטיות מתאפיינים לרוב בקישוריות גבוהה בין אתרי הייצור השונים לבין הנהלת החברה. כמעט כברירת מחדל, ולעיתים תוך הבנה ש"זה מה שיש, ועדיף מכלום", אבטחת הקישור בין הרשת, הקריטית, של אתר הייצור לבין הרשת הניהולית של החברה, בוצעה באמצעות התקנת פיירוול (Firewall) בגבול החיצוני של הרשת הקריטית. זאת, בניסיון להגן על הרשת הקריטית מאיומים "חיצוניים" מכוון רשת הארגון והאינטרנט.

קישוריות זו חושפת את רשת הבקרה למגוון רחב של סיכונים ואיומים רבים החל מווירוסים וסוסים טרויאניים אשר מתפשטים ברשת המנהלתית ויכולים לחדור גם לרשת הבקרה, דרך טעויות אנוש הנגרמות בגישה לא מתוכננת למערכות תפעוליות מ"בחוץ", עובדים ממורמרים או עובדים לשעבר עם מידע פנימי אשר רוצים "לנקום" במעסיק וגורמים שליליים או פליליים המעוניינים להזיק לארגון, לצרכי תעמולה או סחיטה, וכלה בפעילויות טרור או פעולות מלחמתיות אשר באות לפגוע במדינה באמצעות השבתה או מניעת שירות של תשתיות קריטיות לאומיות.

אחת ההנחות הרווחות בקרב מנהלי אבטחת מידע, היא כי פיירוול יכול לשמש כנקודת בקרה "חזקה" בין הרשת המנהלתית לרשתות הבקרה הקריטיות במפעלים ובאתרים התעשייתיים. הבעיה עם הנחה זו טמונה בעובדה שפיירוול ניתן לפרוץ, ולא בקושי רב.

דרוש שינוי פרדיגמה

כחלופה לפתרונות הפיירוול המסורתיים, פיתחה חברת ווטרפול סקיוריטי (Waterfall Security) טכנולוגיה ייחודית, מבוססת חומרה ותוכנה, אשר באמצעותה ניתן להעביר מידע מהרשת המנהלתית לרשת הבקרה, באופן בטוח ומוגן יותר מאשר בשימוש בפיירוול.

מדובר בטכנולוגיה חדשנית, אשר באה לתת פתרון גם לסביבות בהן יש צורך בהיזון חוזר של פקודות או מידע, תחת השם Waterfall FLIP™. באופן פשטני, ה-FLIP מורכב מ-Unidirectional Security Gateway יחיד, אשר יודע "להחליף" כיוון. ה-FLIP יכול להיות מופנה "החוצה" ולשכפל נתונים ושרתים מרשת היצור לשרתים ברשת המנהלתית, או "להתהפך" ולשכפל נתונים ושרתים מהרשת המנהלתית לשרתים ברשת הייצור והבקרה. ה-FLIP בנוי כך שבכל נקודת זמן יכול להיות מופנה לכוון אחד בלבד.

הפתרון החדש מיועד לסביבות תעשייתיות הנדרשות לניטור ושיתוף מידע, וגם מעת לעת, לפיקוד או עדכון מרחוק. דוגמא לצורך כזה הוא ניהול מאובטח של קווי ייצור (Batch Manufacturing/Discrete Manufacturing). לצורך המחשה, ניקח קו ייצור של חברת כימיקלים אשר מייצרת סוגים שונים חומרים בהתאם להזמנות שונות מלקוחות. קו הייצור הזה רגיש וקריטי, ושיבוש בפעילותו עלול לגרום נזקים חמורים לחברה או ללקוחותיה.

בתרחיש זה, בזמן שקו הייצור מייצר את "ההזמנה" הוא נדרש לדווח לרשת הניהול החיצונית נתונים עדכניים על מצב הייצור. אולם, פעמיים ביום, מתעורר הצורך שרשת הניהול תשלח לקו הייצור פקודת ייצור חדשה עם נתוני ההזמנה החדשה לייצור.

על מנת לאפשר את התהליכים הללו, ניתן כמובן להתקין פיירוול בין שתי הרשתות. הבעיה היא שצעד כזה חושף את רשת הייצור כולה, כל הזמן, לחולשות הפיירוול, לחדירות ותקיפות מכוון הרשת החיצונית.

בתרחיש מסוג זה, ובתרחישים דומים, ה-FLIP נותן פתרון בטוח ומאוזן יותר. לאחר התקנתו, הכוון הרגיל אליו יופנה ה-FLIP הינו "החוצה", כך שנתוני הייצור מיוצאים בזמן אמת וזמינים למשתמשי רשת הניהול, אך אין כל קישור או גישה מרשת זו לתוך רשת הייצור. פעמיים ביום ה-FLIP "מתהפך" ומאפשר למשך זמן קצוב, לנתוני ההזמנה הבאה להיות משוכפלים "פנימה" לתוך רשת ייצור. גם בזמן זה, ה-FLIP הינו מערכת חד-כיוונית לחלוטין, ואינה מאפשר תקשורת ו"גישה" לרשת הפנימית.

אין ספק כי טכנולוגיית ה-FLIP מהווה חלופה למוצר הפיירוול במתארים של תשתיות קריטיות ומפעלי ייצור בהם קיים צורך בהגנת סייבר חזקה, לצד תמיכה בתהליכים עסקיים. מדובר בטכנולוגיה שבאה לתת מענה למגוון רחב של סביבות וצרכים, כולל תחנות משנה חשמליות - Electric Substations, תחנות בקרה בקווי צינור, ופלטפורמות אנרגיה ימיות ויבשתיות.

הכותב הוא מנכ"ל ויזם משותף בחברת ווטרפול סקיוריטי.

You might be interested also