סקר: למרות מתקפות מוצלחות - מרבית מנהלי אבטחת המידע בטוחים שתשתיות ה-OT שלהם מוגנות

אייל הראל, מנהל תשתיות תקשורת מחשוב ואבטחה, סקייבוקס סקיוריטי, טוען כי מנהלי אבטחה נוטים להשקיע בתחומים שהם יודעים למדוד. ״אלו שאינם מבינים את סביבת ה-OT, אינם "מוצאים" משאבים להקצות לכך״, טוען הראל 

סקר: למרות מתקפות מוצלחות - מרבית מנהלי אבטחת המידע בטוחים שתשתיות ה-OT שלהם מוגנות

צילום פרטי, מותר לשימוש

83% מהארגונים נפגעו מפרצת סייבר בטכנולוגיה התפעולית (OT) שלהם ב-36 החודשים הקודמים. יחד עם זאת, 73% מה-CIO וה-CISOs שהשתתפו בסקר שערכה סקייבוקס סקיוריטי, "בטוחים מאוד" שהארגונים שלהם לא ייפגעו מאירוע סייבר, או אירוע נוסף השנה.

הסיבה לסתירה הזו היא במילה אחת: אדישות, אשר מהווה אולי את הסיכון המשמעותי ביותר לאבטחת תשתיות קריטיות. אדישות עלולה להגיע מחוסר ידע, תקציב או משאבים. 

פיגור של עשור

אבטחת הטכנולוגיה התפעולית (OT) נמצאת כיום בפיגור של לפחות עשור לעומת אבטחת מערכות מידע (IT). הפער הגדול נובע בעיקר מכך שבאופן היסטורי, רשתות והתקני OT  לא היו צריכים לדאוג מפני התקפות מבוססות רשת האינטרנט.

עד לפני עשור בערך, לא היה כמעט צורך בתקשורת אוניברסלית חיצונית עבור ארגונים תפעוליים או מתקני ייצור ותעשייה. אם נחבר זאת לחוסר המומחיות הכללית שקיימת בתחומי הקישוריות ופרוטוקולי הרשת והתקשורת של מכשירי OT, קל להבין מדוע מצב האבטחה של סביבות OT נמצא בפיגור.

ממצא נוסף שעלה בסקר הוא ש"עמידה בתקנות ובדרישות" היא הדאגה העיקרית של מקבלי ההחלטות בתחום אבטחת OT, למרות שתקני הציות לרגולציה הוכחו כבלתי מספיקים במניעת אירועי אבטחה. מנהלי ציות בוודאי יודעים שציות אינו שווה ערך אבטחה.

זוהי תובנה שמערבת ידע, אחריות ויכולת, וסביר להניח שרוב המנהלים מכירים אותה, רק שהם נאלצים להתאים את התגובות שלהם למשאבים מוגבלים. כך נוצרת תסמונת "הכחשה סבירה" או תסמונת "זו לא העבודה שלי" – אשר פוגעות בצורה קשה באבטחת ה-OT.

עלייה בהתקפות נגד תשתית קריטית

לאחרונה, חלה עלייה מדאיגה בהתקפות נגד תשתית קריטית ומערכות OT אחרות, אך מעט השתנה. אחד הממצאים המפתיעים של המחקר הוא שחלק מאנשי צוות האבטחה מכחישים שהם פגיעים, אך מודים שנפגעו.

האמונה שהתשתית שלהם בטוחה - למרות שהעובדות מראות את ההיפך - הובילה לאמצעי אבטחה לא מספקים של OT. איפה נגמרת ההכחשה ומתחילה האדישות? התשובה מורכבת יותר – וקשורה  גם להיעדר מומחיות בתחום אבטחת OT.

הפער במיומנויות הסייבר ב-OT כבר עצום ונראה בלתי עביר. ניקח כדוגמא גוף כמו מפעל מים עירוני, שמעסיק עד שלושה אנשי IT המכסים את כל הארגון וחובשים כובעים רבים. אין להם את הידע העמוק הדרוש לאבטחת רשת ה-OT.

כאשר הספקים של מערכות המים השונות שאחראים להפעלת המערכת דורשים גישה מרחוק, היא עלולה להינתן בלי לקחת בחשבון את הסיכונים. מצב זה חוזר על עצמו בכל מקום, כי לגופים רבים אין תמיד את המשאבים הנדרשים להעסקת אנשי אבטחת סייבר מיומנים.

חוסר המומחיות הוא לא רק ברובד ההנדסי - הוא קיים גם בשכבת הניהול. למרבית ה-CISOs יש כיום נגישות למספר עצום של שותפים וחברות ייעוץ, שיכולים לספק ייעוץ על נוהלי אבטחה כלליים עבור הארגון. למנהלי OT לרוב אין משאבים כאלה, מאחר ועלותם גבוהה לאור ייחודיות ומורכבות התחום.

חוסר ידע עלול לגרום להם להסתמך על שיטות ישנות ומוכרות, כמו היצמדות לעמידה בתקנות, במקום לפעול למניעת חשיפה לסיכונים בשיטות ניהול אבטחה פרואקטיביות.

חוסר הבנה של תחום ה-OT

מנהלי אבטחה נוטים להשקיע בתחומים שהם יודעים למדוד. פרשנות אפשרית אחת היא ש-CISOs האחראים על אסטרטגיית אבטחה אינם מבינים את סביבת ה-OT ולכן הם אינם "מוצאים" משאבים להקצות לכך.

מצד שני, לצוות ה-OT אכפת מסיכוני האבטחה, אך לא מספיק כדי לתעדף אותם על פני יעדי ייצור. מנהלי IT, מצידם, מחויבים להגן על נתונים ועושים זאת על ידי תיקון ועדכון מתמיד של הרשת כולה, אך פעולות אלו עלולות לגרום להפסקת הייצור. בסופו של דבר הכול מסתכם בסוד הגלוי הזה: מנהלי מפעלים יודעים שיש סיכונים, אבל נותנים עדיפות לייצור. 

כאשר יש יותר מדי חולשות אבטחה שצריך לתקן ומעט מדי נראות, מומחיות ומשאבים, נוצר צוואר בקבוק שמוביל לחוסר מעש - ומשם הדרך להפרות אבטחה יקרות היא קצרה ביותר.

אז מה הפתרון לאבטחת טכנולוגיה תפעולית? לעבור מאדישות וחוסר מעש לעמדה של חוסן, בעזרת תוכנית פרואקטיבית לניהול עמידות האבטחה. תוכנית כזאת תספק לארגון את הנראות בכל רשתות ה-OT שלו, תעניק לו את היכולת להימנע מחשיפה לאיומים על ידי זיהוי המקומות בהם הוא מועד להתקפות סייבר, ולבסוף תספק לו אפשרויות אופטימליות לתיקון החולשות.