אתר זה עושה שימוש בעוגיות על מנת להבטיח לך את חוויית הגלישה הטובה ביותר.
איך לאבטח מערכות בקרה תעשייתיות בעידן האינטרנט של הדברים

איך לאבטח מערכות בקרה תעשייתיות בעידן האינטרנט של הדברים

מי לא מכיר את המונח "האינטרנט של הדברים" (IoT): מיליארדי התקנים המחוברים לאינטרנט ואוספים מידע מסוגים שונים עלינו ועל חיי היומיום שלנו. בעוד שרוב הכותרות עוסקות באינטרנט של הדברים וברלוונטיות שלו לצרכנים, כמו למשל בשירותי בריאות או מכוניות, גם המגזרים התעשייתיים מתחילים לאמץ התקנים מחוברים.

12.09.2016, 10:09 | בשיתוף CyberArk
חברות בענפי הייצור, האנרגיה, השירותים ועוד בודקות כיצד לחבר לאינטרנט התקנים שיעזרו להן לייעל מערכות בקרה תעשייתיות (ICS), למשל. אך באותה מידה שיש חששות מהאבטחה של האינטרנט של הדברים, גם מערכות הבקרה התעשייתיות ניצבות בפני איומי אבטחה וההתקנים המחוברים רק מחמירים את הבעיה.

אנו מדברים כאן על "האינטרנט התעשייתי של הדברים" (IIoT) אשר כבר היום הינו מטרה להתקפות. עובדה זו מטרידה במיוחד משום שמדובר ביסודות של האינטרנט של הדברים: התכונה שהופכת את ה-IIoT לגורם המשנה את כללי המשחק, היא בדיוק נקודת התורפה באבטחתו.

הכוונה לכך, שכל הרכיבים – המיוצרים בדרך כלל על ידי יצרנים שונים – מדברים זה עם זה. יצרנים אלה יכולים לדרוש, ואכן דורשים גישה מרחוק למערכות מסיבות שונות, כמו למשל כדי לדחוף עדכונים או כדי לאסוף נתונים. מאחר ורבים מהיצרנים האלה מגיעים במקור מהצד הצרכני של "הדברים", האבטחה אינה מובנית בהתקנים שלהם ברמה הדרושה.

לכן, עברייני סייבר עלולים לתקוף את יצרני ה-IIoT מתוך הבנה שהם יכולים לנצל את המערכות שלהם כדי להשיג גישה למערכות של ארגונים ספציפיים. זוהי שיטה נוספת לעקוף את מערכי ההגנה של חברה: לתקוף צד שלישי שיש לו גישה או שמתחזק חלק מהתשתית המחוברת של עסק אחר.

התקפות כאלו אינן דבר חדש. ההתקפה הזאת, למשל, הופנתה כלפי שלוש חברות המייצרות תוכנה למגזר התעשייתי. קוד זדוני הושתל בתהליכי עדכון התוכנה שלהן וכאשר העדכונים הועברו למערכות של הלקוחות של אותן חברות, התוקפים השיגו גישה לנתונים, מערכות ושירותים חיוניים.

העובדה שהתוקפים הצליחו להכניס עדכונים זדוניים לשרתי הקורבנות רומזת בפירוש שהייתה להם גישה פנימית כלשהי לרשת. סביר גם להניח שהיו להם מספיק הרשאות כדי להעלות את העדכונים שהודבקו בקוד הזדוני. ההרשאות או הפריבילגיות האלו קשורות לחשבונות אנושיים או למערכות אוטומטיות המועדות לחטיפה אם לא מנהלים אותן כראוי.

כמובן שקשה מאוד ללקוח להשפיע על רמת האבטחה של היצרן שמוכר לו מוצרים. אבל יש מה לעשות. לקוחות צריכים להבין את קשרי התלות הקיימים בשרשרת האספקה ולהכיר את נקודות התורפה. כל החוליות בשרשרת צריכות להיות כפופות לאותה רמת בקרה כמו רמת הבקרה הפנימית.

בנוסף, הלקוחות יכולים לנסות להגיע להסכמה עם היצרן על חוזה או הסכם רמת שירות (SLA) המבטיח בקרת אבטחה מספקת. הבקרה הזו יכולה להיות ספציפית לאינטראקציה בין היצרן ללקוח, כמו למשל וידוא שלמות העדכונים לפני שהלקוח מוריד אותם.

כדאי גם לבחון האם יש מרכיב אנושי מעורב ומה הם אמצעי הבקרה המבטיחים שההרשאות בטוחות. יש להפעיל את אותו תהליך כאשר מגדירים מי מאנשי היצרן יוכל להיכנס לסביבת הלקוח. ניהול הרשאות כזה מפקח על האנשים שיכולים להיכנס מרחוק לתשתית שלכם.

בסופו של דבר, אפשר להרחיב את הפתיחות של האינטרנט של הדברים והתקשורת בין מרכיביה השונים ולהחיל אותה ליצרנים ולקוחות. מהלך כזה חיוני בכדי להבטיח רמת אבטחה נאותה.

אבטחה של מערכות בקרה תעשייתיות, ועוד איומים אחרים, יידונו בכנס המקצועי השנתי של סייבר ארק ישראל

שיערך ב"לאגו" ראשון לציון, ביום חמישי, 22 בספטמבר 2016. הכנס הוא הזדמנות להכיר את הטרנדים האחרונים בעולם הסייבר, למצות את תשתית סייבר ארק הקיימת בכל ארגון, לפגוש מומחי אבטחה ולשמוע מחברות הגדולות בשוק כיצד הן מתמודדות עם אותם איומים וצרכים תפעוליים.

 

לפרטים נוספים אודות הכנס לחץ כאן>>

 

תגיות