Skybox Security: מיקוד-יתר של מנהלי אבטחת סייבר בעמידה בתקנים ורגולציות - מתכון לאסון

על פי מחקר החברה, מנהלי אבטחת מידע מרגישים בטוחים כי הם עומדים בתקנים ורגלוציות. עם זאת, בחברה טוענים כי מדובר בתחושת כזב שיוצרת תפיסת מציאות מעוותת בתחום ה-OT

Skybox Security: מיקוד-יתר של מנהלי אבטחת סייבר בעמידה בתקנים ורגולציות - מתכון לאסון

רון דוידסון, CTO וסגן נשיא למחקר ופיתוח, סקייבוקס (צילום: ענת לנדוי - משק 8)

מחקר חדש של חברת הסייבר הישראלית-גלובלית סקייבוקס סקיוריטי (Skybox Security) מגלה כי 83% מהארגונים סבלו מפרצת אבטחת סייבר בטכנולוגיה התפעולית (Operational Technology) שלהם בשלוש השנים האחרונות.

הדבר נבע מהערכת מצב פחותה לגבי סיכוני אבטחת הסייבר בסביבה התפעולית שלהם. המחקר אף חשף כי ארגוני OT נוטים לזלזל בסיכון של מתקפת סייבר - 73% מה-CIOs וה-CISOs בארגונים אלה "בטוחים מאוד" שהארגונים שלהם לא יסבלו מפרצת OT ב-2022.

אחד הממצאים המפתיעים במחקר הוא שחלק ממקבלי ההחלטות בתחום אבטחת הסייבר, מודים שנפרצו אך באותה עת מכחישים שהם פגיעים. האמונה שהתשתית שלהם בטוחה — למרות הראיות המעידות על מצב הפוך — הובילה לאמצעי אבטחה לקויים בסביבת ה- OT.

"סביר לחשוב שמנהלי אבטחה יסיקו מסקנות מפגיעויות שהתגלו בתשתיות שלהם בעקבות פרצות אבטחה. למרבה הצער, רק כאשר מכונות ברצפת הייצור מפסיקות לעבוד או מתחילות לפעול בצורה מסוכנת, מה שעלול לעלות לחברה הון רב, מחלחלת ההבנה בארגון כי איחר לקריאת ההשכמה", אמר רון דוידסון, CTO וסגן נשיא למחקר ופיתוח, סקייבוקס.

הכחשה מוזרה לכאורה זו, מעלה את השאלה מדוע יש הבדל כזה בין המציאות לתפיסה לגבי אבטחת OT. לעתים קרובות הניתוק מתחיל ברמה התפקודית: חלק מבעלי התפקידים מסרבים להאמין שמערכות ה-OT שלהם פגיעות, בעוד שאחרים מאמינים שהפרצה הבאה מסתתרת מעבר לפינה.

על פי המחקר, 73% מה-CIOs ו-CISOs בארגוני OT בטוחים מאוד ברמת ההגנה של מערכת אבטחת ה-OT שלהם, לעומת 37% בלבד מקרב מנהלי המפעלים בתעשייה זאת שסבורים כך, כנראה מפני שיש להם יותר ניסיון ממקור ראשון עם ההשלכות המעשיות של התקפות סייבר.

סיבה נוספת לתחושת הביטחון הכוזבת של ארגוני OT היא שבחלק מהחברות חושבים שהוספת פתרונות אבטחה נוספים פשוט יעלימו את הבעיה. לאחר שנפרצו, אמרו מקבלי ההחלטות באבטחת ה-OT כי שתיים משלוש הפעולות המובילות שנקטו היו הגדלת תקציב אבטחת המידע ורכישת טכנולוגיה חדשה.

אולם, יותר שכבות טכנולוגיות יוצרות יותר בעיות נראות (ויזיביליות), ובמקרים מסוימים, חומות האש עצמן מגיעות עם פגיעויות מובנות. יתכן שאחת הסיבות הקריטיות ביותר להכחשה ארגונית של הסכנה, נובעת מהאמונה כי ציות לתקנות (compliance) הוא שווה-ערך לאבטחה.

המחקר מצא כי עמידה בתקנות ובדרישות הרגולציה עמדה בראש דאגתם של כל מקבלי ההחלטות ב- OT. קל להבין מדוע ציות לתקנות הוא נושא מטריד ביותר עבור מקבלי ההחלטות: כמות התקנות עצומה, הן משתנות לעתים קרובות וקשה לפרש אותן.

בסביבת OT, דרישות האבטחה והמתודולוגיות הן רבות, לדוגמה: דרישות תאימות ל-STIG, תאימות NERC CIP, עמידה במתודולוגיית FAIR, מודל CVAR (Cyber Value at Risk) ועוד.

בפרצות הקמעונאיות הגדולות מלפני כחצי עשור, מרבית הארגונים שהותקפו עמדו בתקן PCI DSS ובכל זאת ספגו פגיעה קשה ביותר. יש להבין כי עריכת ביקורת (audit) מספקת הערכה שנכונה לנקודת זמן מסוימת ומוגבלת ליחידה עסקית או לטכנולוגיה ספציפית, כך שאינה יכולה לכסות את כול הארגון. על כן, מי שמוביל את אבטחת הסייבר בארגון חייב ליישם תוכנית מקיפה הכוללת בקרות מתאימות בכל השכבות.

מיקוד המאמצים רק בתאימות לתקנות גורם להזנחת אזורים שנמצאים מחוץ לטווח זה ועדיין מהווים חלק ממשטח התקיפה של הארגון. תוקפים מכירים את הנטייה הזו ויבצעו את ההתקפות שלהם בהתאם. לכן, בעוד שמירה על תאימות היא חיונית, חשוב באותה מידה לנקוט בצעדים לחיזוק האבטחה מעבר למה שמחייבת הרגולציה. 

"צוותי אבטחה הסבורים כי עמידה בדרישות תאימות כמו STIG או NERC CIP הצפון-אמריקאי, יהפכו אותם לבלתי חדירים לפריצות, יופתעו כאשר יותקפו. תאימות לתקנות, מעצם הגדרתה, היא מענה לצורכי האבטחה המינימליים. לכן, תשתית "תואמת" – ללא אבטחה גמישה יותר — עדיין יכולה להיות רגישה לפריצה", אמר דוידסון. "המחשבה שעמידה בתקני אבטחה ורגולציה היא 'כדור הכסף' שיבטיח הגנה מלאה על מערכות OT הינה מתכון לאסון".

אולי יעניין אותך גם