יש פרצה שעוברת דרך ארכיטקטורת האבטחה של רוב הארגונים. היא לא מופיעה בתרשימי הארגון. לא מסומנת בסקירות הסיכונים השנתיות. כמעט לא עולה בדיוני הדירקטוריון בנושאי אבטחה. ועדיין – היא מתרחבת מדי שנה, וגורמי איום מתוחכמים כבר גילו איך לנצל אותה.
הפרצה נמצאת בנקודה שבה מערכות האבטחה הפיזיות נפגשות עם תשתיות הסייבר Cyber-Physical Systems). מדובר לאו דווקא בחולשה טכנית במובן המסורתי – אלא בנקודת עיוורון מובנית שנוצרת מהאופן שבו ארגונים חילקו מאז ומעולם את אחריות האבטחה ביניהם. הפרצה הזו חושפת נכסים קריטיים בדרכים שאף אחד מהצוותים, כשהם עובדים לבד, לא מסוגל לזהות או לטפל בהן.
בעיית הארכיטקטורה שאף אחד לא אחראי עליה
בואו נסתכל על רוב הארגונים הגדולים, גופים ממשלתיים, או מפעילי מתקנים. תמצאו בהם שתי פונקציות אבטחה נפרדות. יש צוות אבטחת מידע – אנליסטים, מהנדסים ואדריכלים שמתמקדים ברשתות, תחנות קצה, מערכות זהות ומידע. ויש צוות אבטחה פיזית – האחראים לבקרת כניסה, מעקב, ניהול היקף והתגובה בשטח.
שני הצוותים מקצועיים. לעיתים קרובות שניהם גם מצוידים היטב. ושניהם פועלים עם תמונה חלקית מהותית של נוף האיומים.
הסיבה היא מבנית ולא עניין של יכולת. אנשי אבטחת המידע מבינים רשתות, פרוטוקולים ומשטחי תקיפה דיגיטליים. הם מאומנים לחשוב על איומי סייבר בשפת הסייבר. אנשי האבטחה הפיזית מבינים מתקנים, כוח אדם ופגיעויות מרחביות. הם מאומנים לחשוב על חדירה פיזית בשפה פיזית. מה ששני הצוותים לא ממוקמים לבדוק בצורה שיטתית – הוא מה קורה כשהתחומים האלה מתחברים. ובימינו, הם מתחברים בכל מקום.
מערכות בקרת כניסה פועלות על TCP/IP. מצלמות מעקב מתקשרות דרך רשתות ארגוניות. פלטפורמות לניהול מבנה (BMS) שולטות במיזוג אווירותאורה ומערכות כיבוי אש דרך ממשקים שניתן להגיע אליהם מחוץ למבנה. יחד, מערכות אלו יוצרות סביבת CPS - Cyber-Physical Systems - שבה אירוע סייבר עלול לייצר השפעה פיזית ישירה, ולהפך.
כל אחד מהרכיבים האלה הוא בו-זמנית אלמנט אבטחה פיזית ונכס דיגיטלי מחובר לרשת, כל אחד מהם מייצג משטח תקיפה שמשתרע על שני התחומים, וביחד הם מרחיבים משטח התקיפה המשולב (Cyber-Physical Attack Surface) של הארגון. במרבית הארגונים, האחריות לאבטחת המשטח הזה – לא שייכת לאף אחד באופן מוגדר.
מה משמעות השילוביות ב-CPS בפועל
המונח 'CPS ' קיים בשיח המקצועי כבר מספיק זמן כדי להפוך לז'רגון. בעולם התשתיות הקריטיות נהוג להתייחס לתופעה זו כ-Cyber-Physical Convergence – חיבור הולך ומעמיק בין מערכות פיזיות, מערכות OT ותשתיות IT ארגוניות. מה שזה מתאר בפועל זה שחיקה של גבול שפעם הפך את פונקציות האבטחה הנפרדות לדבר הגיוני – הגבול שבין העולם הפיזי לעולם המחובר לרשת.
לפני עשור, רוב מערכות האבטחה הפיזיות היו מבודדות למדי. פאנלי בקרת כניסה תקשרו דרך פרוטוקולים קנייניים. מצלמות הקליטו לאחסון מקומי. ניהול מבנה (BMS) התבצע דרך תשתית ייעודית ומנותקת. היום? הבידוד הזה נעלם. ניהול מרחוק, ניטור משולב, ניתוח נתונים ותגובה אוטומטית – כל אלה הפכו את השילוביות ב- CPS לברירת המחדל. אותה תשתית IP שנושאת את תקשורת העסק, נושאת גם פידים של וידאו, טלמטריית חיישני דלתות, בקרת כניסה, ופקודות שליטה סביבתית.
משטח התקיפה לא רק התרחב – הוא שינה צורה. תוקף שמכוון למתקן כבר לא צריך לבחור בין גישה סייבר לגישה פיזית. הוא יכול לנוע בין התחומים ולהשתמש בכל אחד כדי לאפשר את השני.
דפוס האיום מרובה הוקטורים
חשבו על דפוס האיום ששילוביות ב-CPS מאפשרת. גורם תוקפני מתחיל בסיור סייבר – זיהוי ספק מערכת ניהול המבנה, מיפוי ארכיטקטורת בקרת הכניסה, איתור דגמי מצלמות מעקב. מודיעין זה, הזמין בשילוב של מחקר קוד פתוח וסריקת רשת בסיסית, מצייר תמונה של הסביבה הפיזית מבלי לדרוש נוכחות פיזית.
מתוך המודיעין הזה, התוקף מזהה נקודת כניסה מחוברת לרשת — אולי מצלמת IP עם אישורי כניסה ברירת מחדל, שרת בקרת גישה עם פגיעות firmware שלא טופלה, או פורטל ניהול המבנה הנגיש מהאינטרנט הציבורי. הפריצה הראשונית היא דיגיטלית. אבל המטרה עשויה להיות פיזית לחלוטין: השבתת מצלמות ספציפיות לפני חדירה, שכפול נתוני אישורים לכניסה בלתי מורשית, או מניפולציה של בקרות סביבתיות ליצירת שיבוש תפעולי.
הדפוס ההפוך אפשרי באותה מידה. גישה פיזית לחדר שרתים, ארון תקשורת או טרמינל לא מאובטח יכולה לספק את אחיזת הרגל לפריצת סייבר שאחרת הייתה דורשת ניצול מרחוק מתוחכם. תוקף שמסוגל להיכנס לבניין – דרך tailgating, הנדסה חברתית, או שימוש באישור שנפרץ – עשוי להשיג בדקות מה שאחרת היה דורש שבועות של תקיפה מרחוק.
אף אחד מהדפוסים האלה אינו היפותטי. שניהם משקפים מתודולוגיות תקיפה מתועדות שנצפו בסקטורי תשתיות קריטיות, מערכות בריאות, מוסדות פיננסיים ומתקני ממשל ברחבי העולם.
למה צוותים שעובדים בנפרד לא יכולים לסגור את הפרצה הזו
הבעיה המבנית היא לא שצוותי אבטחת המידע ואבטחה הפיזית אינם מוכשרים. הבעיה היא שכל אחד מהם בנוי עבור עולם שהשתנה – עולם שבו הגבול בין הפיזי לדיגיטלי עדיין היה ברור.
צוותי אבטחת מידע מבצעים בדיקות חדירה, הערכות פגיעויות ותרגילי מודלינג איומים המתמקדים במערכות דיגיטליות. כשהם בוחנים מערכות בקרת כניסה, הם בדרך כלל מעריכים תצורת רשת, פרוטוקולי אימות וסטטוס עדכונים. הם לעיתים נדירות מעריכים את ההשלכות הפיזיות של פריצה – מה אומרת דלת שנפתחת בכשל לגבי בטיחות אנשים, או מה פירוש כניסה לא מורשית לחדר שרתים לגבי שלמות המערכות שם.
צוותי אבטחה פיזית מבצעים הערכות אתר, בודקים בקרות גישה ומעריכים כיסוי מצלמות. כשהם בוחנים פגיעויות, הם בדרך כלל מעריכים מחסומים פיזיים, פרוטוקולי שמירה ונהלי תגובה. הם לעיתים נדירות מעריכים את משטח תקיפת הסייבר של המערכות שהם מפעילים – האם מצלמות מעקב מוקשחות מפני פריצה מרחוק, או האם פלח הרשת הנושא נתוני בקרת גישה מבודד כראוי.
הפער בין שתי נקודות המבט הזו לא מתמלא בפגישות בין-תחומיות. נדרשת גישת עבודה שונה מהיסוד – כזו שבוחנת את מצב האבטחה בשני התחומים בו-זמנית, ממפה את התלות ההדדית בין מערכות פיזיות לסייבר, ומזהה פגיעויות שנראות רק כשמסתכלים על התמונה המלאה.
הפער בין אבטחת מידע לאבטחה פיזית הוא לא עניין של כישורים - הצוותים מוכשרים. מדובר בכשל שיטתי, שדורש דרך חשיבה אחרת לגמרי.
הסיכון המוגבר בתשתיות קריטיות
בסביבות OT ו-ICS) Industrial Control Systems), הגבול בין מערכות תפעוליות, בקרת מבנה ותשתיות IT ארגוניות הולך ומיטשטש. תהליך זה יוצר תלות הדדית עמוקה בין זמינות פיזית, רציפות תפעולית ואבטחת סייבר.
בסקטורי תשתיות קריטיות – אנרגיה, מים, תחבורה, בריאות ומתקני ממשל – סיכון השילוביות של CPS נושא השלכות שמתרחבות הרבה מעבר לאובדן נתונים או שיבוש תפעולי.
מערכות בקרה תעשייתיות ורשתות טכנולוגיה תפעולית (OT), שפעם נחשבו נפרדות מ-IT הארגוני, משולבות היום עמוקות עם מערכות מידע ארגוניות. אותה דינמיקת שילוביות שפועלת במתקנים מסחריים מתרחשת בקנה מידה גדול יותר ועם סיכויי נזק גבוהים יותר בסביבות שבהן מערכת שנפגעה עלולה להשפיע על בטיחות הציבור, המשכיות שירות, או ביטחון לאומי.
מערכות לניהול מבנה בבתי חולים שולטות בסביבות הקשורות ישירות לתוצאות המטופלים. כשלי בקרת גישה במתקנים ממשלתיים מאובטחים נושאים השלכות ביטחוניות לאומיות. מערכות ניהול אנרגיה בחברות חשמל הן מטרות לקמפיינים של שיבוש עוין המשלב חדירת סייבר עם סיור פיזי.
בסביבות אלה, עלות איום משולב לא נמדדת בזמן שחזור ועמלות תגובה לאירועים. היא נמדדת בשיבושי שירות, אירועי בטיחות ציבורית ושחיקת אמון מוסדי.
הגישה המשולבת של טנד
המתודולוגיה של טנדו ייעוץ בטחוני בנויה על הכרה יסודית: אבטחה פיזית ואבטחת סייבר אינן שתי שדות נפרדים שלפעמים מוצאים עצמם חופפים. הם חלקים התלויים זה בזה, בסביבת איום אחת, וצריך להעריך ולנהל אותם ככאלה.
הגישה המשולבת הזו מתחילה בהערכה משותפת – צוותים עם מומחיות בשני התחומים מבצעים סקירות אתר מקיפות שממפות פגיעויות פיזיות, מבנה הרשת, תלויות הדדיות בין מערכות ווקטורי תקיפה המשתרעים על שתי הסביבות. המטרה היא לא להפיק שני דוחות נפרדים שמפשרים ביניהם אחר כך. המטרה היא לקבל תמונה אחת, שלמה – שלוכדת את הסיכונים שאף אחד מהצוותים לא היה מגיע אליו לבדו.
מתוך ההערכה המשותפת, טנדו מפתחת המלצות שפונות ישירות למקום שבו שני התחומים נפגשים – מבני ממשל שמתבססים בעלות ברורה על מערכות חוצות-תחומים, בקרות טכניות שמטפלות בחשיפות הפיזיות והדיגיטליות כאחד, ופרוטוקולי תגובה לאירועים שמתאמים בין הצוותים בזמן אמת.
הגישה משקפת את מיקום טנדו בנוף האבטחה: חברה עם מומחיות עמוקה בתחומי האבטחה הפיזית והסייבר כאחד, הפועלת במרחב הקריטי שביניהם – המרחב שרוב הארגונים טרם מיבנו את עצמם לנהל.
השאלות שארגונים צריכים לשאול את עצמם
ארגונים שמעריכים את חשיפתם לסיכון השילוביות ב-CPS צריכים להתחיל בסט שאלות שחוצות את הגבול המסורתי בין הצוותים:
- אילו מערכות אבטחה פיזיות בסביבה שלנו מחוברות לרשת, והאם יש לנו מלאי מלא של אותן מערכות?
- האם המערכות המחוברות לרשת הללו כלולות בתוכנית ניהול הפגיעויות הסייבר שלנו, או שהאחריות נופלת בין הצוותים?
- מתי בפעם האחרונה הוערכו מערכות בקרת הגישה, המעקב וניהול הבניין על ידי צוות עם מומחיות באבטחה פיזית וסייבר גם יחד?
- האם נהלי התגובה לאירועים שלנו מחשיבים תרחישים שמתחילים בתחום אחד ומתפשטים לשני?
- האם יש בעלים מוגדר לאבטחה בנקודת השילוביות בין פונקציות ה-IT והאבטחה הפיזית שלנו?
לרוב הארגונים, תשובות כנות לשאלות האלה חושפות בדיוק את סוג הפרצה המבנית המתוארת לעיל. החדשות הטובות הן שהפרצה הזו ניתנת לטיפול – לא על ידי גיוס עוד אנשים לצוותים הקיימים, אלא על ידי אימוץ גישת עבודה שנבנתה מראש לסביבת האיום המשולבת שקיימת כיום.
שורה תחתונה
אבטחה פיזית ואבטחת סייבר כבר השתלבו. המערכות שארגונים משתמשים בהן להגן על המתקנים שלהם הפכו לחלק ממשטח התקיפה הדיגיטלי שלהם. האיומים המכוונים לאותם ארגונים מנצלים יותר ויותר את שני התחומים בו-זמנית.
ארגונים שממשיכים לנהל את התחומים האלה בנפרד, עם צוותים נפרדים הפועלים תחת מסגרות נפרדות, מקבלים על עצמם פגיעות מבנית שאף צוות לא יכול לסגור לבד. לטפל בה דורש מומחיות משולבת, גישת הערכה משולבת, וממשל משולב.
שילוב זה אינו שאיפה עתידית. עבור ארגונים המפעילים תשתיות קריטיות, מנהלים מתקנים רגישים, או מחזיקים נכסים המושכים גורמים עוינים מתוחכמים – זוהי הכרח תפעולי שנוף האיומים כבר הטיל עליהם.