הגנה קיברנטית יעילה על תשתיות עירוניות לניהול מערכות המים והביוב

הגנה קיברנטית יעילה על תשתיות עירוניות לניהול מערכות המים והביוב

This post is also available in: enEnglish (אנגלית)

המומחים למערכות שליטה ובקרה (שו"ב) (-Supervisory Control and Data Acquisition SCADA) מודעים היטב לכך שלא קיים אמצעי אחד ("no silver Bullet"), המספק הגנת קיברנטית מוחלטת. המפעילים של תשתיות המים והביוב עירוניות חייבים לנקוט בכל אמצעי הזהירות וליישם טכנולוגיות חדישות כדי להיות ערוכים לבלתי צפוי, ולמרות השימוש במחשבים מיושנים ומערכת הפעלה ורשתות תקשורת מהדור הקודם הם חייבים להיות מוכנים לאתגרים אלה. עם שדרוג יכולות תקיפה קיברנטית  של תוקפים שממומנים על ידי מדינות וארגונים עוינים, ההגנה על מערכות שו”ב, ובמיוחד על מגוון סוגי מערכות בקרה מיושנות הפכו משימה מאתגרת. מערכות המים וביוב העירוניים נחשבים תשתיות קריטיות, כיוון שאלה משפיעים ישירות על הרווחתם והבריאות של האוכלוסייה. כאשר אנו מודעים גם לאיומים שנגרמים על ידי טעויות תחזוקה, שגיאות ותקלות של המפעילים, יש צורך בגישה יעילה במיוחד אשר מסוגלת להבטיח את הבטיחות ואמינות (Safety and Reliability) של תשתיות אלה.

ישנן מספר דרכים להגנה על מערכות שו”ב, ולכל שיטה יש את היתרונות והחסרונות שלה. בעבר האבטחה הקיברנטית של מערכות שו”ב הסתמכה בעיקר על שימוש במכשירי חומת אש (firewall), נתבים חד-כיווניים (diode), מערכות האזור המפורז (DMZ) להפרדה רשתות, וכו'. המגמה החדשנית בתחום זה מתייחסת לשימוש במערכות לגילוי התנהגות חריגה (Anomaly Behavior Analysis) תוך שימוש בטכניקות  Big Data Analysis, שמסוגלים לאתר תקיפות וחריגים במערכות תעשייתיות (Industrial Intrusion Detection Systems-IIDS). לאור טיעונים אלה אפשר לשאול; מדוע שיטה זו מספקת הגנה קיברנטית יעילה יותר מאלה המתאפשרים על ידי טכנולוגיות אחרות. ישנן מספר סיבות לכך:

  • מאפשרת איסוף נתונים (raw data) משרתי שו”ב ומאגרי מידע היסטוריים ולבצע ניתוח מהיר
  • יעילה לאיתור תקיפות שהוחדרו למערכת השו"ב ואלה שהגיעו דרך האינטרנט וממוקדים למערכת שו”ב
  • התהליך אינו מסתמך על שיטות הגנה המבוססות על "חתימות" (signatures) שפורסמו ונקודת תורפה ידועות.
  • יעילה לאיתור התקפות קיברנטיות, טעויות מפעילים ומצבים יוצאי דופן הנגרמים על ידי תקלה טכנית
  • מבצעת ניתוח של מצבים חריגים בתקשורת וגם תהליכים חריגים. השיטה מבוססת על ערכי בסיס נלמדו
  • המערכת לא מתערבת ולא מפריע לפעולת מחשבי השו”ב ולא מעמיסה את השרתים של מערכת השו”ב
  • מתמודדת ביעילות עם תקיפות החוסמות גישה (DoS), מתקפות DoS מבוזרות ותקיפות ZeroDay על המערכת
  • יעיל להגנה על מערכות שו”ב מודרניות, כמו גם מדור קודם ומגוון של בקרים מיצרנים שונים (RTU, PLC)
  • מערכות IIDS לגילוי התנהגות חריגה ניתנות לשדרוג והרחבה כנדרש ההתאמה למערכת השו"ב שלך
  • מערכת מחשוב זו היא קלה להתקנה והטמעה, אינו דורשת הכשרה יקרה ופועלת באופן אוטומטי
  • המערכת מאפשרת איתור תהליך שו”ב לא אופטימלי והניתוח מסוגל להצביע על הזדמנויות לחיסכון
  • יכולה לפעול בשילוב עם מערכות SIEM – Security Information and Event Management של ספקים אחרים
  • יעילה באותה מידה לניהול יצור אנרגיה חשמל בתחנות כוח, כמו גם מערכות חלוקת חשמל (EMS, DMS)
  • הפעלה תואמת עם מערכות בקרה מבוזרות (DCS) המשמשות לשליטה פעולת תחנת הכוח גדולות
  • התוכנה לזיהוי תהליכים חריגים IIDS ניתנת לשדרוג ולעדכון מרחוק כחלק מחוזה שירות עם הספק

בעוד התקפות הסייבר של היום נעשות על ידי גופים מקצועיים המופעלים על ידי מדינות עוינות וארגונים מסחריים אתגרי הגנת הסייבר הפכו מורכבים יותר. המסקנה היא, כי תשומת לב מיוחדת נדרשת והשקעה שיטתית והדרגתית להשגת פעולה רציפה, בטוחה ואמינה (Safety and Reliability) של תשתיות מים וביוב לרווחתם של האנשים במדינה.

דניאל ארנרייך (BSc) הוא יועץ עצמאי במסגרת Secure Communications and Control Experts-SCCE. דניאל רכש ניסיון מקצועי של יותר מ-25 שנה בתחום מערכות בקרה והגנה על תשתיות חשמל מים, גז ודליקים כחלק מפעילותו בחברות מוטורולה, סימנס ווטרפול סקיוריטי.


למידע נוסף


הרשמה לניוזלטר

SIMILAR ARTICLES

Security. image by pixabay

רובוט פפר חשוף למתקפות של כופרות

חברת גיטהאב הייתה מטרה למתקפת DDoS

רכב פרמדיקים

first responders

nanotechnology