תכנון תהליך המשכיות עסקית בסייבר בזירות תפעולית בקווי ייצור

תכנון תהליך המשכיות עסקית בסייבר בזירות תפעולית בקווי ייצור

Production line. image by pixabay

This post is also available in: enEnglish (אנגלית)

על ידי אור שלום

רשתות ה-OT התפעוליות (Operational Technology) מהוות אתגר אבטחתי עבור גורמי האבטחה בסייבר. רשתות אלו הינן רשתות קריטיות בסקטורים שונים, כגון תשתיות אנרגיה, קווי ייצור (רכב, ורובוטיקה, מזון, פארמה, אמל"ח). הן פועלות גם כרשתות תפעול, המשולבות במערכות שליטה ובקרה (כדוגמת מסוע למזוודות בשדות תעופה), מערכות מבנה ומערכות לניהולן (BMS- Building Management Systems)  האמונות, בין היתר,  על תפעול בטיחות ושלום הדיירים ועוד.  המורכבות התפעולית, ואיומי האבטחה מחייבים היערכות, יכולת להמשכיות עסקית ויכולות התאוששות מהירה מאירועי סייבר בזירות ה- OT בכלל וקווי הייצור, עליהם נתמקד, בפרט. בתכנון היערכות זו ישנם כמה רבדים תומכים ובתוך כך מדיניות בארגון, תהליך מיפוי וניתוח סיכונים (בראיית תוקף) המושתת בעיקרו על הגדרת תהליכי ליבה ואזורים קריטיים, הצטיידות ברכיבים  ותוכנית תרגולים לשמירת כשירות בסייבר.

ראשית, יש להבחין בין ה- BCP ) Business continuity Program) כמושג שמטרתו להבטיח את ההמשכיות עסקית, במקרה בו עסקינן במאמר זה תחת התקפת סייבר, לבין משבר סייבר עצמו. מטרת ה- BCP כתוכנית המשכיות עסקית להבטיח כי הפונקציונליות העסקית בקווי הייצור תמשיך לתפקד גם תחת אירוע לא צפוי. בתפיסת התמודדות עם משבר סייבר עצמו מקומו של תהליך זה יתבטא ע"פ רוב בשלב ההכלה (Containment) בו תימדד אופן ההתמודדות והיכולת להתגבר על התקיפה, למניעת הידרדרות למשבר הסייבר עצמו ולהמשיך בתהליך הפרודוקטיבי של קו הייצור. יכולות אלו יתבטאו  בין היתר בתהליכים שונים (טכנולוגים כדוגמת היכולת לאפס בקרים  או רכיבים לאחר תקיפה ולחזור להגדרות היצרן, תהליכי גיבוי וחזרה לכשירות, לחילופין הצטיידות ברכיבים ובקרים קריטיים לצורך החלפה לאחר אירוע וכד'. בתהליכי או"ש (ארגון ושיטות) היכולת לעבור לעבודה ידנית הן בתהליך הייצור והן בתהליכי התיעוד ורישומיי הלקוחות.

סקר סיכונים – ניתוח ומיפוי באופן המצביע על תהליכי ליבה וראיית התוקף:

קיימים לא מעט מתודולוגיות למיפוי וניתוח סיכונים  ברשתות IT ורשתות OT.  את עיקר המשאבים לניתוח הסיכונים רצוי לרכז סביב המערכות והתהליכים הנלווים באזורים הבאים: הבקרים (PLC), ה- Data Historian כ- Database Servers, עמדות המהנדסים, וה- HMI עצמם. סקר הסיכונים צריך להתבצע בראיית התוקף  תוך שימוש במודיעין והוא  חייב להיות מותאם ייעודית לזירה התפעולית וביחס לסקטור עצמו. על אף שקיימים דפוסים קבועים בתקיפת רשתות תפעוליות קיים גם שוני הן בהתעניינות התוקף, המוטיבציה והכלים ורמת הידע. תהליך ניהול הסיכונים חייב להיות מקיף בהתייחסותו לנושאים מהותיים בסביבות התפעוליות כולל סיכונים על ציר שרשרת אספקה , חולשות בפרוטוקולים , בעיות בעדכוני תוכנה , קישוריות בין רכיבים (תוכנות ובקרים), סיכונים ממערכות תומכות (כדוגמת גנרטורים), התייחסות לרכיבי outdoor לרבות חבלה פיזית  שתוביל לפגיעה מחשובית ותפעולית.

הצטיידות ברכיבים קריטיים בקווי הייצור – כחלק מהיערכות ליכולת התאוששות :

תהליך ההצבעה על רכיבים קריטיים בהיבטי סייבר נגזר כמובן מתהליך מיפוי הסיכונים (ICS – Critical Cyber Assets Identified). התהליך מכוון לאיתור רכיבים קריטיים בפס הייצור עצמו. קווי הייצור נשענים על לא מעט מערכות, רכיבים, בקרים ולכן המיקוד הנדרש הוא לרכיבים דיגיטאליים (ומתוך החשש לסייבר).  תובנה מעניינת לתיעדוף הרכיבים היא גם מיפוי רכיבים הקרובים לאזורי ה- IP כמועדים לניצול או תקיפה. במיוחד היא מיפוי רכיבים הקרובים לאזורי שכבה 4 ו- 5 (בהתאם למודל פרדו ) בשל סמיכות לשכבות ה- IT הארגוני והאינטרנט.

ניתוח אירועים מהשנתיים האחרונות ובתוך כך השפעות הקורונה על הזירות התפעוליות מעלה לא מעט תובנות. כך לדוגמא הצורך בהצטיידות ויתירות (כחלק מסיכון קיים של אירוע סייבר במצב של עוצר טיסות וכד'). אירוע מעניין נוסף, דווקא בשוק הרכב מעלה רצף של נסיבות שהוביל להשבתה פעילות של יצרנית יפאנית ובתוך כך: תלות בספקית עיקרית, הצטיידות ברכיבים בשיטת Just in time (שמנעו הצטיידות ברזרבות ויכולת להישען על מלאי קיים) ועוד. על אף ההפסדים שנרשמו היכולת לחזור תוך מס' ימים לפעילות סדורה הוכחה והיא כהישג מעניין ביכולת ההתאוששות.  אירועים אלו מכוונים לתובנה מעניינת בתכנון לוגיסטי הצטיידות ומלאי רכיבים המאפשר יתירות ושימוש ברכיבים קודמים שלא מזמן האירוע עצמו, הצורך ביתירות מול מס' ספקים ומעל לכול הצורך בתהליך מיפוי סיכוני סייבר אפשריים על ציר שרשרת האספקה כחלק מתהליך והסכם ההתקשרות מול הספקים.

תהליכי אופטימיזציה בקבלת החלטות של הנהלת הארגון – תכנון הניטור  כשובר שוויון:

מימד הזמן באירוע פועל לרעת הארגון. לעיתים יש חלון זמנים המאפשר עוד את תהליך ההכלה וההימנעות מהידרדרות למצב משברי בסייבר. לשם כך, נדרשות יכולות התערבות של צוות IR המסוגל לבצע ניתוח פורנזי נקודתי מהיר של האירוע, בחינת קצב ההתפשטות והמשמעויות להמשך. תהליך ניטור המערכות הוא רלוונטי גם בעת האירוע בו ניתן לנתח גם את ההשפעה על היכולת הפרודוקטיבית בקצה הייצור. היכולת לתכנן את אופן הניטור בשכבות שונות ברשתות קווי הייצור תאפשר בידוד חקירה וממצאים שייתמכו את החלטות המנהלים להמשך. כך לדוגמא התחקות אחר תהליכי ניטור בשכבת האפס, בזמן האירוע, תוכל לכוון את הגורמים העסקיים למשמעויות וקבלת החלטות לגביי המשך ייצור (שכן היא תאפשר להבחין אם יש חריגה המעידה על פגיעה בפעולה הפיזית עצמה). לפיכך, נכון יהיה לתכנן את פריסת מערכות הניטור בהתאם לשכבות (ע"פ מודל פרדו) ובאופן המותאם לתמוך את החלטות המנהלים גם בזמן אירוע.  או אז, בוצע טיוב של המערכת ומיקסום הפונקציונאליות שלה גם בהיבטי אבטחה וגם בהיבטי תפעול.

תוכנית לשמירת מוכנות וכשירות צוותי ה- IR:

תוכנית לשמירת כשירות בסייבר מחייבת תרגול מצביי חירום בסייבר. תרגול זה חייב לשלב את גורמי ההנהלה לצד גורמים טכניים בארגון. המעורבות של ההנהלה נדרשת בשל הצורך בניהול וקבלת החלטות בזירות שונות כדוגמת: היבטים משפטיים, שרשרת אספקה, זירה ציבורית ודוברות, ניהול משאבים ועוד. פעילות זו תתרום בהמשך גם לניתוח התובנות והנגזרות להיערכות בראיית המנהלים במעמד שאחריי התרגיל (בטח ובטח כמי שחוו על בשרם את המשבר). תהליך קבלת ההחלטות הינו מורכב, המנהלים נדרשים לקבל החלטות מהירות, לגייס שירותי מומחים, לעיתים להיכנס למצב הידברות מול האקרים. אירוע הכופר בחברת הפלדה HYDRO הוא כחקר מקרה מעניין בקבלת החלטות מורכבות ובתוך כך ההשפעה על תפקודם של  כ- 35000 עובדים בסניפים פרוסים, יכולת המעבר לעבודה ידנית, החלטות הקשורות לכ"א והצורך לגייס פועלים לקו הייצור.  לצד תרגול המנהלים ותחת אותו התרגיל יש להפעיל תתי תרגילים לגורמים הטכניים במטרה להבטיח יכולת התמודדות Hands On בארגון. הגדרת המדדים להצלחה יהיו סביב היכולת לאתר את התקלות, בידוד האירוע, יכולות חקירה מהירות לצורך בלימה הכלה וכד' והמאמצים להשיב את פס הייצור כחלק מתהליך התאוששות. התרגילים הפופולאריים לסביבות ה- OT מתמקדים באירועי כופר, תקיפת מערכות ה- HMI, ניצול ומניפולציות על פרוטוקולים, איומים פנימיים ו- Trust Abuse וכן תרחישים פיזיים וחבלה בתשתיות ומערכות המחשוב כחלק ממאמצי התוקף לזרוע נזק מחשובי ע"י תקיפה פיזית (כדוגמת אירוע של מתקפת הכטב"מים על חברת ארמקו).  מדדי ההצלחה ייגזרו מהיכולת להצליב ולאתר שינויים פונקציונאליות בבקרים, יכולת להצליב בין תהליכי הניטור ועוד. תיכנון התרגילים, מכוון להכשרת כוח אדם, שימור הידע גם כנגד סיכונים הנגזרים מתחלופת כוח אדם, עזיבה, החלפת תפקידים וכד'. אי לכך, סרגל האימונים חייב להיות מדורג באופן שהוא משקלל את התובנות והלקחים מהתרגילים הקודמים ומשמר אותם. היבט חשוב נוסף הוא  החיכוך התרגילי ברשתות  ה- OT וה- IT (המשיקות) באופן המבטיח יכולת בלימה בזירות משתנות.

אור שלום – מומחה לאבטחה וסייבר ויועץ למשרדי ממשלה, תעשיות ביטחוניות והמשק, יועץ בינלאומי לפיתוח עסקי לחברות בתחומי ה-HLS והסייבר ומוביל מרכזי מצוינות ותוכניות הדרכה מתקדמות בסייבר ו-HLS לגופים שונים בסקטור האזרחי, הביטחוני, התעשיות והאקדמיה. בעל תואר שני והסמכות אזרחיות וממלכתיות בעולמות אבטחת המידע והסייבר. בין היתר, עוסק בייעוץ לגופים וחברות בניהול סיכונים, חדשנות, תכנון ואפיון מערכי אבטחה טכנולוגיים, מוכנות אבטחתית להתמודדות עם איומים טכנולוגיים כולל אימוני מנהלים ואימוני Hands on  לצוותים הטכניים.


למידע נוסף


הרשמה לניוזלטר