מחקר: צוותי אבטחת סייבר הודו שרשתות ה-OT שלהם נפרצו אך הכחישו שהארגון שלהם פגיע למתקפות סייבר
מאת:
מערכת Telecom News, 1.2.22, 17:33
תחושת ביטחון כוזבת של ארגוני OT: מדוע יש הבדל כזה בין המציאות לבין התפיסה לגבי אבטחת OT? לדברי החוקרים, מיקוד-יתר של מנהלי אבטחת סייבר בעמידה בתקנים ורגולציות הוא מתכון לאסון באבטחת מערכות OT.
מחקר של חברת הסייבר הישראלית-גלובלית
סקייבוקס סקיוריטי (
Skybox Security) מגלה, ש-83% מהארגונים סבלו מפרצת אבטחת סייבר בטכנולוגיה התפעולית (
Operational Technology) שלהם ב-3 השנים האחרונות. הדבר נבע מהערכת מצב פחותה לגבי סיכוני אבטחת הסייבר בסביבה התפעולית שלהם. המחקר אף חשף, שארגוני OT נוטים לזלזל בסיכון של מתקפת סייבר - 73% מה-CIOs וה-CISOs בארגונים אלה "בטוחים מאוד", שהארגונים שלהם לא יסבלו מפרצת OT ב-2022.
אחד הממצאים המפתיעים במחקר הוא, שחלק ממקבלי ההחלטות בתחום אבטחת הסייבר מודים, שנפרצו אך באותה עת מכחישים שהם פגיעים. האמונה שהתשתית שלהם בטוחה, למרות הראיות המעידות על מצב הפוך, הובילה לאמצעי אבטחה לקויים בסביבת ה-OT.
רון דוידסון, (בתמונה משמאל, צילום ענת לנדוי),
CTO וסגן נשיא למחקר ופיתוח, סקייבוקס: "סביר לחשוב, שמנהלי אבטחה יסיקו מסקנות מפגיעויות, שהתגלו בתשתיות שלהם, בעקבות פרצות אבטחה. למרבה הצער, רק כאשר מכונות ברצפת הייצור מפסיקות לעבוד או מתחילות לפעול בצורה מסוכנת, מה שעלול לעלות לחברה הון רב, מחלחלת ההבנה בארגון, שאיחר לקריאת ההשכמה".
הכחשה מוזרה לכאורה זו, מעלה את השאלה: מדוע יש הבדל כזה בין המציאות לתפיסה לגבי אבטחת OT?
לעתים קרובות הניתוק מתחיל ברמה התפקודית: חלק מבעלי התפקידים מסרבים להאמין, שמערכות ה-OT שלהם פגיעות, בעוד שאחרים מאמינים, שהפרצה הבאה מסתתרת מעבר לפינה. כאמור, על פי המחקר, 73% מה-CIOs ו-
CISOs בארגוני
OT בטוחים מאוד ברמת ההגנה של מערכת אבטחת ה-OT שלהם, לעומת 37% בלבד מקרב מנהלי המפעלים בתעשייה זאת הסבורים כך, כנראה מפני שיש להם יותר ניסיון ממקור ראשון עם ההשלכות המעשיות של התקפות סייבר.
סיבה נוספת לתחושת הביטחון הכוזבת של ארגוני OT היא, שבחלק מהחברות חושבים, שהוספת פתרונות אבטחה נוספים פשוט יעלימו את הבעיה. לאחר שנפרצו, אמרו מקבלי ההחלטות באבטחת ה-OT, ש-2 מ-3 הפעולות המובילות, שנקטו, היו הגדלת תקציב אבטחת המידע ורכישת טכנולוגיה חדשה. אולם, יותר שכבות טכנולוגיות יוצרות יותר בעיות נראות (ויזיביליות), ובמקרים מסוימים, חומות האש עצמן מגיעות עם פגיעויות מובנות.
אולם יתכן, שאחת הסיבות הקריטיות ביותר להכחשה ארגונית של הסכנה, נובעת מהאמונה, שציות לתקנות (
compliance) הוא שווה-ערך לאבטחה.
המחקר מצא, שעמידה בתקנות ובדרישות הרגולציה עמדה בראש דאגתם של כל מקבלי ההחלטות ב-OT. קל להבין מדוע ציות לתקנות הוא נושא מטריד ביותר עבור מקבלי ההחלטות: כמות התקנות עצומה, הן משתנות לעתים קרובות וקשה לפרש אותן. בסביבת OT, דרישות האבטחה והמתודולוגיות הן רבות, לדוגמה: דרישות תאימות ל-STIG, תאימות NERC CIP, עמידה במתודולוגיית FAIR, מודל CVAR
(Cyber Value at Risk) ועוד.
בפרצות הקמעונאיות הגדולות מלפני כחצי עשור, מרבית הארגונים שהותקפו עמדו בתקן PCI DSS ובכל זאת ספגו פגיעה קשה ביותר. יש להבין, שעריכת ביקורת
(audit) מספקת הערכה הנכונה לנקודת זמן מסוימת ומוגבלת ליחידה עסקית או לטכנולוגיה ספציפית. כך, שאינה יכולה לכסות את כול הארגון. על כן, מי שמוביל את אבטחת הסייבר בארגון חייב ליישם תוכנית מקיפה הכוללת בקרות מתאימות בכל השכבות.
מיקוד המאמצים רק בתאימות לתקנות גורם להזנחת אזורים הנמצאים מחוץ לטווח זה ועדיין מהווים חלק ממשטח התקיפה של הארגון. תוקפים מכירים את הנטייה הזו ויבצעו את ההתקפות שלהם בהתאם. לכן, בעוד שמירה על תאימות היא חיונית, חשוב באותה מידה לנקוט בצעדים לחיזוק האבטחה מעבר למה שמחייבת הרגולציה.
דוידסון: "צוותי אבטחה הסבורים, שעמידה בדרישות תאימות כמו
STIG או NERC CIP הצפון-אמריקאי, יהפכו אותם לבלתי חדירים לפריצות, יופתעו כאשר יותקפו. תאימות לתקנות, מעצם הגדרתה, היא מענה לצורכי האבטחה המינימליים. לכן, תשתית 'תואמת' - ללא אבטחה גמישה יותר - עדיין יכולה להיות רגישה לפריצה. המחשבה שעמידה בתקני אבטחה ורגולציה היא 'כדור הכסף' שיבטיח הגנה מלאה על מערכות OT היא מתכון לאסון".
המחקר המלא -
כאן.