זוהתה פלטפורמת תקיפה חדשה כנגד מערכות שו"ב
מאת: מערכת Telecom News, 15.12.17, 12:19

התקיפה בוצעה באמצעות פלטפורמת תקיפה בשם .Triton עפ"י החשד, התקיפה בוצעה ע"י גורם מדינתי. עד היום זוהו מעט מאד תקיפות ישירות כנגד ציוד השו"ב של מערכות בקרה תעשייתיות. תיאור התקיפה, מטרות התוקף ודרכי התמודדות.

דווח, שלאחרונה התקבלו דיווחים על תקיפה, שבוצעה כנגד ארגון המפעיל תשתיות קריטיות, שבמהלכה הותקפה מערכת הבטיחות SIS - Safety Instrumented  System  של הארגון. התקיפה בוצעה באמצעות פלטפורמת תקיפה בשם n Trito וכוונה כנגד מערכת בטיחות תעשייתית מתוצרת חברת שניידר אלקטריק בשם.Triconex  עפ"י החשד, התקיפה בוצעה ע"י גורם מדינתי.

עד היום זוהו מעט מאד תקיפות ישירות כנגד ציוד השו"ב (שליטה ובקרה) של מערכות בקרה תעשייתיות. המוכרת ביותר היא התקיפה המכונה Stuxnet כנגד מערכות העשרת אורניום באיראן ב-2010.  

תקיפה נוספת בשם Crashoverride/Industroyer בוצעה כנגד תשתיות חשמל באוקראינה בסוף.2016

מהן מערכות ?SIS
מערכות אלו הן מערכות בקרה תעשייתיות ייעודיות, שמשמשות במקביל למערכות השו"ב הרגילות ומטרתן לזהות תנאים חריגים )כגון לחץ גבוה, חום פעולה חריג וכו'( בתהליך הייצור או ההפעלה של המערכת התעשייתית, ולנקוט אחת מ-2 פעולות:

השבת המערכת למצב תקין בטיחותית,Safe State 
או סגירת המערכת בצורה בטוחהSafe Shutdown  כדי למנוע נזק לציוד, פגיעה בסביבה או סיכון לחיי אדם. 

תיאור התקיפה
התוקף השיג נגישות לעמדת ההנדסהEngineering Workstation  של מערכת ה SIS-ומשם השתמש בפלטפורמת התקיפה הנ"ל כדי לנסות ולשנות את אופן פעולתם ותכנותם של בקרי מערכת הבטיחות.

כתוצאה מפעילות התוקף, חלק מהבקרים נכנסו למצב כשל ובוצעה סגירה מבוקרת של התהליך. הארגון שהותקף ביצע חקירה של האירוע ובה נמצא, שבשל השינויים, שביצע התוקף במערכות, בדיקת אימות בין 2 מערכות יתירות נכשלה, ולכן מערכת הבטיחות ביצעה סגירה מבוקרת.

מיקום מערכות SIS לניטור התהליך
בעבר, הייתה מקובלת הפרדה מוחלטת בין מערכת השו"ב של התהליךICS  לבין מערכת הבטיחות.SIS  מטרת ההפרדה המוחלטת היא להבטיח את עצמאותה ותפקודה הרציף של מערכת הבטיחות. בהנחה, שתוקף מצליח לתקוף את מערכת השו"ב, מערכת הבטיחות היא קו ההגנה האחרון של הארגון למניעת נזק ופגיעה ברכוש ובחיי אדם (למעט מאפיינים פיזיים של המערכות והתהליכים כגון שסתומי פריקת לחץ מכניים וכד').

בעשור האחרון ארגונים משלבים לעיתים את פעולת המערכות, או מאפשרים להן לתקשר, וזאת בעיקר משיקולי עלות ונוחות תפעול. שינוי זה מגביר את הסיכון לשיבוש פעולתה של מערכת הבטיחות. 

מטרות התוקף
לתוקף עלולות להיות מטרות שונות כאשר הוא בוחר לתקוף ולשבש את מערכת הבטיחות:
1) ביצוע סגירה של התהליך כדי לגרום נזק כספי ותדמיתי.
2) נטרול מערכת הבטיחות,  כדי להגדיל הסיכוי לכשל בתהליך וגרימת נזק.
3) נטרול מערכת הבטיחות, ובמקביל מניפולציה של מערכת הבקרה לגרימת נזק בפועל.

פרטים נוספים ניתן למצוא - כאן.

דרכי התמודדות
יש לשאוף להפרדה של מערכת הבטיחות ממערכת השו"ב של התהליך, וממערכות ה- ITהמנהלתיות של הארגון, ככל שניתן.

במידה שנדרשת הוצאת מידע ממערכת הבטיחות אל מערכות אחרות, מומלץ לעשות שימוש באמצעי תקשורת חד-כיוונית
בחומרה.Data Diode

במערכות בטיחות רבות מותקן אמצעי הגנה פיזי (מפתח) המונע את תכנותן ושינוי אופן פעולתן. מומלץ להעביר מפתחות אלה בשגרה למצב ריצהRun  ולא להשאירם במצב המאפשר תכנותProgram .

מומלץ לאפיין תהליכים ניהוליים, שיאפשרו מעקב אחר מצב המפתח הנ"ל, וזיהוי של שינוי בלתי מורשה בו.

מומלץ לאפיין אמצעי בקרת גישהAccess Control  פיזיים ולוגיים מחמירים לכל הציוד השייך למערכת הבטיחות.

מומלץ, שבמערכות המחשוב השונות (שרתים, עמדות קצה, עמדות הנדסה) של מערכת הבטיחות ייושם מנגנון המאפשר הרצת תוכנה, שאושרה מראש בלבד.Application Whitelisting