כשהאויב לא נכנס דרך הדלת
בשנת 2021 ניסה האקר לא מזוהה להרעיל את אספקת המים של העיר אולדסמאר בפלורידה. הוא פרץ מרחוק למערכת השליטה של תחנת הטיהור והגביר את ריכוז הנתרן הידרוקסיד לרמות מסוכנות לחיים. טכנאי ערני שם לב לשינוי בזמן אמת ועצר את המהלך. זה לא סרט. זה קרה. ומאז, מאות מקרים דומים תועדו ברחבי העולם, רובם מבלי שהציבור ידע עליהם דבר.
התשתיות הקריטיות של מדינה מודרנית, רשתות החשמל, מערכות אספקת המים, הרכבות, הנמלים, שדות התעופה, הן עמוד השדרה של החיים כפי שאנחנו מכירים אותם. כשהן פועלות, אף אחד לא שם לב. כשהן קורסות, כל דבר מתמוטט. זה בדיוק מה שהופך אותן למטרה האטרקטיבית ביותר בעיני גורמי סייבר עוינים.
מי עומד מאחורי המתקפות ולמה
הנטייה הטבעית היא לדמיין האקר בודד שיושב בחדר חשוך ומנסה לגרום נזק. המציאות מורכבת הרבה יותר. המתקפות על תשתיות קריטיות מגיעות בדרך כלל ממדינות לאום כמו רוסיה, סין, איראן וצפון קוריאה, שמפעילות יחידות סייבר מתוחכמות שעובדות שנים על מטרה יחידה. לצידן פועלות קבוצות פשע מאורגנות שמחפשות כסף, ולפעמים גם האקטיביסטים שרוצים לשלוח מסר פוליטי.
מתקפת הסייבר הידועה לשמצה על רשת החשמל של אוקראינה ב-2015 השביתה את החשמל לכ-230,000 איש בעיצומו של חורף קשה. מאחוריה עמדה קבוצה רוסית בשם Sandworm. שנתיים מאוחר יותר, NotPetya, נוזקה שמוצאה גם כן רוסי, גרמה לנזק עולמי של יותר מ-10 מיליארד דולר. חלק גדול מהפגיעה היה בתשתיות לוגיסטיות ותחבורתיות.
המוטיבציה ברורה: פגיעה בתשתיות יוצרת כאוס, מחלישה ממשלות, פוגעת באמון הציבור, ומאפשרת למדינות יריבות להפעיל לחץ בלי לשגר אפילו כדור אחד.
נקודות החולשה שלא מדברים עליהן מספיק
אחד האתגרים הגדולים ביותר בהגנה על תשתיות קריטיות הוא גיל הציוד. מערכות שליטה תעשייתיות רבות, הידועות בשמותיהן SCADA ו-ICS, תוכננו לפני עשורים, בתקופה שבה האינטרנט בקושי היה קיים. הן מצוינות במה שהן עושות, אבל הן לא תוכננו עם מחשבה על אבטחת סייבר. חיבורן לרשתות מודרניות פתח עליהן חלונות שלא היו שם מלכתחילה.
בנוסף, הגידול ברכיבים חכמים, חיישנים, מדי צריכה חכמים, מצלמות IP מחוברות, יצר אינספור נקודות כניסה פוטנציאליות. כל מכשיר שמחובר לרשת הוא עוד דלת שיכולה להיפרץ. ובמערכות תשתית, לא תמיד מישהו בודק אם הדלת נעולה.
גורם נוסף שמוסיף לפגיעות הוא שרשרת האספקה. ציוד שמגיע מיצרנים זרים, תוכנה שנכתבת על ידי קבלני משנה, עדכונים שמגיעים ממקור שלא נבדק, כל אלו יכולים לשמש כנקודת כניסה לתוקפים. פרשת SolarWinds ב-2020 הדגימה בצורה מדויקת כיצד תוכנה לגיטימית ומוכרת יכולה לשמש כסוס טרויאני שמחדיר נוזקה לאלפי ארגונים בו-זמנית.
כיצד מדינות מגיבות לאיום
ממשלות ברחבי העולם מתעוררות לאט, אבל בהחלטיות גוברת. ארצות הברית הקימה את CISA, הסוכנות לאבטחת סייבר ותשתיות, שאחראית על תיאום ההגנה בין הממשלה לגורמים הפרטיים. האיחוד האירופי פרסם את NIS2, הנחיה מחמירה שמחייבת ארגונים בתחומי אנרגיה, תחבורה, בריאות ועוד לעמוד בסטנדרטים מינימליים של אבטחה ולדווח על אירועים בתוך 24 שעות.
ישראל, שנמצאת בחזית של מתקפות סייבר ממדינות עוינות, פיתחה מודל ייחודי. מערך הסייבר הלאומי עובד בשיתוף צמוד עם התעשייה הפרטית, צבא ורשויות אזרחיות. זה לא מקרה שחברות אבטחת סייבר ישראליות נמצאות בין המובילות בעולם, זו תוצאה של שנים של עבודה, ניסיון קרבי אמיתי, ותרבות של היערכות לגרוע מכל.
המגמה הגלובלית ברורה: מעבר מגישה של "נגיב אחרי" לגישה של "נזהה מראש". זה אומר השקעה ביכולות מודיעין סייבר, ניטור רציף של רשתות תשתית, ושיתוף מידע בין מדינות ברמה שלא הייתה קיימת לפני עשור.
מה עושים ארגונים פרטיים שמנהלים תשתיות
רוב תשתיות החשמל, הגז, המים והתחבורה בעולם המערבי מנוהלות על ידי חברות פרטיות. זה יוצר דינמיקה מורכבת: מצד אחד, ממשלות רוצות לאכוף סטנדרטים גבוהים של אבטחה. מצד שני, חברות פרטיות עובדות עם תקציבים ולוחות זמנים. לא תמיד אבטחת סייבר עולה על ה-ROI המיידי.
החברות שמובילות בתחום עושות כמה דברים ספציפיים. ראשית, הן מפרידות פיזית בין הרשת התפעולית לרשת המשרדית, שיטה שמכונה air gap. כך גם אם מישהו פורץ לרשת המחשבים הרגילה, הוא לא מגיע אוטומטית לשליטה על הציוד הפיזי.
שנית, הן משקיעות ב-OT Security, אבטחה ספציפית למערכות תפעוליות, ענף שצמח בצורה מסחררת בשנים האחרונות עם שחקנים כמו Claroty, Dragos ו-Nozomi Networks שמתמחים בדיוק בזה.
שלישית, הן עורכות תרגילים סדירים של תרחישי מתקפה, בדיוק כמו תרגיל אש, כדי לבדוק שהצוותים יודעים מה לעשות כשהדבר קורה באמת. לא אם, כשה.
הצומת שבין טכנולוגיה, מדיניות ואנשים
הטעות הנפוצה היא לחשוב שאבטחת תשתיות קריטיות היא בעיה טכנולוגית בלבד. בפועל, הגורם האנושי נשאר החוליה החלשה ביותר. פישינג ממוקד לעובד בתחנת כוח, סיסמה חלשה על מערכת שליטה שפונה לאינטרנט, קבלן שמחבר מחשב נייד לא מאובטח לרשת תפעולית, אלו הדרכים שבהן מתחילות מרבית הפריצות.
ההשקעה בהכשרת עובדים, ביצירת תרבות ארגונית שבה כל אחד מרגיש אחראי לאבטחה, ובנהלים ברורים לזיהוי ודיווח על חשד, חשובה לא פחות מרכישת מוצר הגנה חדש.
העתיד שמגיע מביא איתו אתגרים נוספים. כלי בינה מלאכותית מאפשרים לתוקפים לזהות חולשות מהר יותר ולהתאים מתקפות באופן דינמי. מצד שני, אותם כלים עצמם עומדים לרשות המגינים, לניטור אנומליות, זיהוי דפוסים חריגים, ותגובה אוטומטית בזמן אמת.
המרוץ בין מתקפה להגנה לא יפסק. אבל ככל שהמדינות, הארגונים והאזרחים יבינו את גודל האיום ויפעלו בהתאם, כך הסיכוי לשמור על אותן תשתיות שדבר לא עובד בלעדיהן, יגדל משמעותית.
