בחמש השנים האחרונות אחת מהמילים הכי טרנדיות בעולם הטק הייתה Industry 4.0 - מונח המתייחס לחברות יצרניות הנמצאות בתהליכי חדשנות דיגיטלית, ולמעשה מייצג את "המפעל החכם" - תפיסה ארגונית לניהול מפעלים ותהליכים תעשייתיים באופן חכם העושה שימוש ב IOT (האינטרנט של הדברים) כדי לגרום לכל חלקי המפעל (מכונות, פסי יצור ועוד) לתקשר זה עם זה מתוך הכוונה למקסם את תפוקת המפעל ולייעל תהליכים.
אבל המהפכה הזו לא עצרה במפעלים: החל מאמצעי השקייה, דרך תאורה חכמה, ועד מצלמות אבטחה - קשה לחשוב היום על רכיב כלשהו בארגון מודרני שאינו מחובר לרשת בצורה כזו או אחרת. הקישוריות הזו מגיעה עם ערך עצום - מעבר לשליטה, כיבוי והפעלה - הרי שהחיבור לרשת מייצר שלל נתונים סטטיסטיים על פעילות הרכיבים והמערכות השונות שכאמור עוזרות לארגונים לייעל את פעילותם בצורה שלא היית האפשרית עד כה. כעת נראה כי עם הקישוריות מגיעות גם סכנות חדשות ואתגרים לא מוכרים.
המפעלים הופכים לחכמים ובאותה נשימה גם לפגיעים
"חיבור של בקרים תעשייתיים לסביבה אינטרנטית הוא מגמה עולמית שיש בה תועלת רבה להגברת הפרודוקטיביות" אומר יאיר עטר מייסד שותף ו- CTO של OTORIO. "החל משימוש במידע לטיוב הייצור, דרך שליטה מרוכזת על מספר רב של תהליכים ועד צמצום התלות בכוח אדם ועוד - אין ספק שהתועלת היא אדירה ויש בכוחה למנף תעשיות שלמות" מסביר עטר. "הסיכון נוצר כאשר הטכנולוגיה מותקנת בצורה לא מאובטחת, למשל על ידי חיבור ישיר של הבקרים לרשת האינטרנט שלא דרך הרשת הפנימית של החברה, שימוש בסיסמאות ברירת המחדל ואי הגדרת סיסמאות חזקות, אי-הגבלת הרשאות הגישה לרכיב, חוסר במוצרי אבטחה והצפנה משלימים, ועוד. במרבית המקרים מערכות אלו נבנו ללא חשיבה עמוקה על אבטחת מידע, לכן ברגע שמתגלים רכיבי בקרה החשופים לאינטרנט ללא פיקוח - הרי שהדרך לשיבושם מתקצרת משמעותית".
OTORIO היא חברת סייבר המתמחה בהגנה על תשתיות קריטיות ותעשיות יצרניות כשמאחורי החברה עומדים תא"ל במיל דניאל ברן, מייסד מערך הסייבר ההגנתי של צה"ל, ראש חטיבת ההתעצמות ומפקד יחידת לוטם לשעבר, ורס"ן (מיל') יאיר עטר, לשעבר מפקד יחידת ההתערבות המטכ"לית בסייבר של צה"ל וכעת ה־CTO של החברה. OTORIO מגנה כיום על מגוון רחב של תעשיות יצרניות, חברות תחבורה ותשתיות קריטיות - ששיבוש פעולתן עלול לשבש מדינות שלמות. פלטפורמת הדור הבא שפיתחו בחברה להגנה על תשתיות וחברת יצרניות מבוססת על גישה חדשנית בעולם הסייבר שנקראת SOAR ראשי תיבות של Security Orchestration Automation and Response, שלמעשה מבצעת אוטומציה מוחלטת לפעולת ההגנה ולדברי החברה היא היחידה בעולם שפותחה מתחילתה ועד סופה עבור התעשייה. לצד הפלטפורמה, אוטוריו מספקת שירותים מקצועיים, שביחד מהווים פתרון סינרגטי ועוטף לכלל צרכי הסייבר של התעשייה, ובכלל זה הערכת סיכוני סייבר בארגון, ניהול חמ"ל סייבר, טיפול באירועי אבטחה ועוד.
אל תפספס
האם המתקפה האיראנית יצאה בכלל ממנוע חיפוש?
רק לפני מספר חודשים חשפו בחברה כי מספר מדאיג של חברות תעשייתיות מרחבי העולם נמצאו כמדליפות מידע רגיש לרשת ללא ידיעתן, בין היתר גם את מה שמוגדר כקניינם הרוחני. בין החברות והארגונים שנמצאו כמדליפות מידע היו גם כמה מיצרניות הרכב הגדולות בעולם, יצרניות מוצרי צריכה, מזון ומשקאות, יצרניות מוצרי אלקטרוניקה ועוד. המחדל האבטחתי ההוא נבע מחיבור מואץ של מכונות ומחשבים תעשייתיים לרשת האינטרנט במגזר היצרני לצד שימוש לא מושכל ב- VirusTotal, פלטפורמה שיתופית לזיהוי נוזקות שבבעלות גוגל.
"אם בעבר המחשבה הרווחת הייתה בתעשייה שמפעלים מנותקים מהאינטרנט, מהעולם החיצון - נראה כי זה כבר לא המצב, בטח שלא בשנים האחרונות" אומר עטר. "העולם נהיה יותר דיגיטלי וזה מביא כמובן הרבה הזדמנויות. אם חברות יצרניות לא 'הולכות' לכיוון הדיגיטליזציה, הן בעצם חודלות מלהיות תחרותיות ברמת הייצור, ועלויות הייצור. בהקשר הזה הסייבר והגנת הסייבר הרבה פעמים נשכחו מאחור, גם אם לא במכוון, בעיקר כי הרבה מערכות כאלו נבנו לפני עשרות שנים, בלי שום מחשבה או משמעות של אבטחה נגד תקיפות מבחוץ של גורמים עויינים" מסביר עטר. "פתרונות אבטחת המידע הזמינים היום לתעשייה הם מוגבלים, בלשון המעטה. לסביבה התעשייתית שפה משלה (דהיינו, פרוטוקולים), תקנים, רגולציות ומיליוני מערכות ומכשירים שייחודיים רק לה. חוסר הבנה מעמיקה והשאלת פתרונות מעולמות ה- IT לסביבה התעשייתית הייחודית, עלולים לגרום לבעיות הדומות לאלו שהם מנסים לפתור".
ועל כל האתגרים הללו התווסף לו בחודשיים האחרונים גם אתגר חדש - הקורונה. התפשטות נגיף הקורונה האיצה תהליכים והטמעה של עבודה מרחוק. בשעה שמאות מיליוני אנשים נמצאים בהסגר, מפעלים וחברות חיוניות היו חייבות לעבוד תחת מגבלות קפדניות. הדבר הוביל לכך שהעולם התעשייתי האיץ הליכי פיתוח והטמעה של עבודה מרחוק, אך לא בהכרח דאג לאבטחתם התקינה של אלו. "החיבור מרחוק תופס תאוצה בעידן הקורונה אומר עטר. ובשעה שתעשיות ההיי-טק רגילות לעבודה מהבית, התעשיות היצרניות מסתגלות למציאות חדשה, כשאין להן את הניסיון הטכנולוגי. כדי להמשיך לייצר הם מתחברים מרחוק, כשהם מקבלים הרשאות רחבות למערכות שנמצאות בפס היצור".
בתחילת החודש פורסמו דיווחים על כך שאיראן תקפה תשתיות מים בישראל, מה שעורר סערה גדולה בקרב הסייבר ניישן. בדיקה ב-Shodan, מנוע החיפוש המאפשר מציאת התקנים המחוברים לרשת האינטרנט, מעלה כי בשבועות האחרונים נצפתה עלייה בכמות המערכות התעשייתיות המחוברת לרשת - ככול הנראה בהשפעת הקורונה והנחיות העבודה מרחוק. הצצה פשוטה בנעשה בישראל מגלה שהמצב לא יותר טוב עם מאות רכיבים חשופים - גלויים לכל גורם עויין ברשת. כך ללא שום כלים מתוחכמים או ידע מורכב מדי - ניתן לשתק תשתיות שלמות, לגנוב סודות מסחריים ולפגוע ביכולות ייצור של מפעלים.
Shodan הינו מנוע חיפוש בדומה לגוגל, אך במקום לחפש מילים, הוא מחפש את המכשירים שמחוברים לאינטרנט. הוא מציג את כל המכשירים המחוברים, מידע שעשוי לשמש ולהפוך אתכם ליעדי תקיפה. כך למעשה, המנוע חיפוש יכול לאתר את כל המצלמות, חיישנים, מדפסות, מנורות ולמעשה - כל מה שמחובר לאינטרנט. בניגוד למחשבים שמגיעים עם חומת אש ואבטחה מתקדמת, רוב מוצרי "האינטרנט של הדברים" מגיעים ללא אבטחה מתקדמת, מה שהופך אותם לפריצים במיוחד. המנוע חיפוש מאתר מיון המכשירים לפי מדינות ומוצרים, מה שהופך את פעולת החיפוש לפשוטה במיוחד. יותר מזה, הוא אפילו מראה אם מחוברת מצלמה עם סיסמת ברירת מחדל, כך שכל אחד יכול לצפות מרחוק.
האם ייתכן כי המתקפה האיראנית בוצעה אחרי מודיעין שהגיע מ-shodan?
על אף שפרטי התקיפה לא פורסמו במלואם, ברור שרכיבים המחוברים ישירות לאינטרנט וניתנים לזיהוי דרך שירותים דוגמת shodan, הם פגיעים יותר ומושכים אליהם תוקפים. אין ספק כי איראן וגורמים עוינים אחרים מנסים לנצל פערים אלו ומנטרים באופן מתמשך את החשיפה של ישראל ותשתיותיה. כאמור, אין זה מן הנמנע כי איראן השתמשה במידע זה ו/או תנסה להשתמש בו בעתיד.
מה מצב ההגנה על התשתיות בישראל?
לאור המודעות הטובה הקיימת בישראל וגם מתוך האיומים הרבים, הרי שמצבה של ישראל טוב ביחס למדינות אחרות, יחד עם זאת, ניתן לראות (במפה) שהחשיפה קיימת ואינה אפסית. למעשה ניתן לומר כי כיום יש בישראל מאות בודדות של בקרים תעשייתיים החשופים לאינטרנט, ביחס לכ-125,000 בעולם כולו. בסך הכול מצבנו לא רע, אבל יש לציין שניתן לאיים ולפגוע בבקרים תעשייתיים גם אם הם לא מחוברים ישירות לאינטרנט, אלא דרך רשתות ארגוניות. במילים אחרות - אם כל הבקרים של מקורות מחוברים לרשת פנימית של מקורות, וניתן לתקוף את הרשת, אז האפקט יכול להיות הרסני לא פחות מבקרים ספוראדיים המחוברים לאינטרנט.
"צריך לזכור שהמדינה הקטנה שלנו צוברת לעצמה הרבה עניין, בין אם זה ברמת המדינות כמו שראינו עם איראן, ובין אם זו רמה של קבוצות האקרים. פעם זו הייתה נחלת מעצמות, היום זו נחלת הכלל. יש הרבה אנשים וקבוצות שלא אוהדות ישראל, וזירת הסייבר הפכה לזירת מלחמה לכל דבר ועניין. ישראל הפכה למוקד עניין. אני חושב שלשמחתנו אנחנו במצב טוב כי בתחום הזה לומדים הכי טוב מניסיון והתחככות. בתור מי שעשה את זה ברמה מדינתית, זה מורגש". הרבה חברות סייבר, והכי קל זה לתת את השירות ואז 'ללמוד' על החברות והמתקפות. מה שמעניין שבעולם התעשייתי בארץ, דווקא מבחינת דיגיליטיזציה אנחנו ממש לא מתקדמים. בסוף ישראל היא לא מדינה שמבוססת ייצור תעשייתי באופן רחב".