ראיון: מתעוררים מעשור של קונספציה שגויה

בעולם המצב גרוע, בישראל פשוט לא אוהבים לדבר על זה. ניסינו להבין מתומר נורי, CTO במלם תים, מה המצב האמתי של הגנת התשתיות בעולם ובישראל, וגם למדנו איך בלוקצ'יין משתלב בהגנה.

"בגדול, בעולם המצב בכי רע", אומר תומר נורי, CTO במלם תים, המתמחה בהגנה על תשתיות חיוניות. "אנחנו נמצאים אחרי 10 שנים של איזשהי, נקרא לזה, מיסקונספציה".

"עמימות הייתה חלק מארגז הכלים של כל התשתיות החיוניות. המקומות הכי קריטיים והכי רגישים פעלו במשך הרבה שנים מתוך תפיסה שאם אני מיוחד ולא מחובר לאינטרנט, ואני מבוסס על פרוטוקולים ייעודיים, אז משמע אני בטוח. כיום אנחנו יודעים שאם אתה מיוחד, זה לא אומר שאתה בטוח, זה רק אומר שקשה יותר לאבטח אותך", מוסיף נורי.

נורי פועל יותר מ-  25 שנה בתחום אבטחת המידע והסייבר, עם עבר צבאי בתחום, בתפקידים של אנליסט וארכיטקט. ב- 10 השנים האחרונות נורי עוסק במחקר וניתוח מגמות בתחום, והוא משמש כיועץ לגופים בעלי תשתיות קריטיות ואסטרטגיות במשק.נורי מוביל את תים סייבר, חטיבת הגנת הסייבר של תים מקבוצת מלם תים, הכוללת קרוב ל- 60 אנשים.

הקונספציה השגויה שנורי מתריע בפניה, עלולה להוביל לאירוע מטה-פיזי: "לא אירוע שנגמר במימד הקיברנטי", אומר נורי. "זו אינה  טרנזאקציה מקוונת שנגנבת מבנק, יש לאירוע כזה השפעה על התשתית הפיזית. זה אומר גם סיכון חיי אדם לפעמים".

"האתגר נובע לא רק מהמורכבות של הסביבה הטכנולוגית, אלא מהעובדה שכמעט כל תשתית קריטית כדוגמת תשתיות לייצור אנרגיה, טיפול במאגרי מים, שפכים וכו' היו במשך שנים רוכשות את התשתית הטכנולוגית המרכזית (טורבינות, משאבות, מערכות קיטור וכו) מאותו יצרן דומיננטי שהיה מספק להם גם את תשתית התקשוב והאבטחה. רמת האבטחה מפני איומי סייבר שהגיעה עם אותם תשתיות הייתה ירודה מכיוון שאותה עמימות הובילה את היצרנים לחשוב מחוץ למיקוד בתחום האיומים הקיברנטיים. מעבר לכך אף ארגון לא היה מעיז לאתגר את מה שאומר אותו יצרן ולהגיד או קיי בוא תביא משהו אחר. עכשיו מבינים שיש בעיה ומתחילים לטפל. זה לא פשוט, זה גם לא ארגונים שניתן לעשות בהם שינויי רוחב מהירים. המשמעות היא בפועל שגוף עויין שחודר לסביבה יכול לבצע נזק עצום ע"ב הפרוטוקולים הלגיטמיים עצמם ויכולת הזיהוי והבלימה של האיום בציר הזמן היא מאוד מוגבלת.

עד כמה אנחנו ערוכים בפני איומי סייבר?

"באופן גלובלי אנחנו  התשתיות הקריטיות והאסטרטגיות רחוקות מהמצב הרצוי, יש דינמיות והשקעה גדולה יותר היום בתחום האנרגיה כיוון שייצור אנרגיה קשור לשימור חיים באופן תקין אבל אנרגיה היא חוליה אחת בשרשרת קריטית של תשתיות שלא מאובטחות כהלכה היום ויכולות להשפיע על התפקוד התקין של כל שגרת חיים. חברת חשמל פה בארץ הוא גוף שונה בהבנה שלו של מימד האיום ובתהליכים שמבצעים פה בהשוואה לחברות חשמל אחרות בחו"ל ובכלל לתשתיות קריטיות בארץ ובעולם, אומר נורי ומוסיף כי "יש לה הבנה חזקה בסייבר, ויש לה את המשאבים, והיא משקיעה בזה – היא כבר ערוכה ועושה דברים.. לצערי באיזורים אחרים בארץ מאמצים את הגישה הישראלית שמבוססת על על כך שעד שמישהו לא חוטף הוא גם בדרך כלל לא עושה. יש אירועים מאוד קשים, פה פחות מדברים על זה. אבל גם בארץ וגם בחו"ל סדום ועמורה".

"אני יכול להגיד שבתחומים מסוימים, לדוגמא במתחמים חכמים, גם בארץ מתחילים פרויקטים של Cyber by Design, בהם קבלן הסייבר נבחר במעמד קבלן השלד. אבל זה לא גורף, עדיין לא כולם. עדיין מסתכלים על סייבר בעולם הזה כעוד קוביה, וזה לא נכון. זה לא עוד גיבוי, עוד מערכת שו"ב, עוד אתר DR. זה משהו שצריך לעבור כחוט השני לכל רוחב הפרויקט".

כדוגמא לאירועים שהתרחשו, מביא נורי פגיעה במערכות חימום בפינדלנד: "זה מקום מאוד קר, אז אם אתה משבית כמה בלוקים באזור מסוים, אתה מגיע למצב מסכן חיים. בארה"ב, כמעט בכל שנה יש אירוע קשה בתחום של מים ושפכים. הייתה התקפה עצומה באוקראינה על האנרגיה, הכי גדולה המתועדת, שאי אפשר להתכחש לזה שזה סייבר. 40 אלף תחנות משנה שנפגעות, ומשאירות מאות אלפי אנשים בלי חשמל זה אירוע מאוד גדול"

בישראל עד כמה אנחנו קרובים לאירוע קריטי כזה?

מיותר לציין שהתשתיות האסטרטגיות של ישראל נמצאות "על הכוונות" של מדינות וארגוני אויב רבים שישמחו להוביל לאירוע משבש, "מה שמפרסמים פה בדרך כלל, לא יודע אם זה נושא של אגו או משיקולי בטחון זה את מה שהצליחו לעצור", אומר ונורי ומציין כי צריך לזכור שכיום טווח הזיהוי של אירוע הוא בדרך כלל שנה, ולכן ייתכן שכרגע יש איומים פעילים שלא זוהו.

"בגדול, בתחום של תשתיות קריטיות, אנחנו מגדירים 3 היררכיות של אירועים. יש "דיסרפטיב", אירועים משבשים שפוגעים בשגרת יום. פוגעים בעבודה אבל לא נוצר נזק. יש אירועים שהם ברמת "דיסטרקטיב", בהם נוצר נזק תשתיתי. ויש אירועים שהם ברמה של ממש סכנה, יכולים לפגוע בזמינות תשתית לאומית או בחיי אדם. בקטגוריה הראשונה והשניה כבר חווינו כאן בארץ. בקטגוריה השלישית, לשמחתנו זה עוד נחסך מאיתנו. אבל זה בהחלט אחד מהתרחישים".

נורי מביא לדוגמא לאירועים: "ברמה הראשונה זו יכולה להיות פגיעה במערכת החימום, אני פורץ לך למערכת מיזוג ומפעיל את הכריזה במקביל. יוצר לך תנאים שאתה לא יכול לעבוד בהם. אבל זה לא נורא, אתה יכול לתקן את זה או לעבור לעבוד במקום אחר. בקטגוריה שניה, לדוגמא, התקפה על מערכות UPS, על מערכת אספקת כח, משהו מתוחכם שכבר ראינו בפועל וגרם בעבר נזק לשרתים למערכי מידע. הדוגמא השלישית, זה תרחיש שאנחנו נותנים לו מענה. נניח שאתה מקים חמ"ל ויש לו דלתות אלקטרוניות, ואתה מפעיל מערכת כיבוי אש בתוך החדר. לדוגמא, בבית מלון פרצו ונעלו את האורחים בתוך החדר, עד שהמלון לא שילם את הכופר. לא נעים, לא נורא, אבל היה יכול להיות הרבה יותר גרוע מזה".

מהם הפתרונות שזמינים כיום?

"בעולם הזה של מענה, יש היום כמה קטגוריות של פתרונות. יש יצרנים שבאים לתת פתרון שהוא מבוסס על מערכות הגנה רשתיות  שהוסיפו למערכות שלהם את היכולת להבין את הפרוטוקולים המיוחדים באותה סביבה, ולמעשה לזהות איזשהי חריגה. הרמה היותר מתקדמת היא הגנה מערכתית. יש חברות שנותנות יכולת להתבונן על מפה ולהבין איזה רכיבים וציוד משולב במערכת הקריטית. לדוגמא במערכת של חניונים, אפשר לבחון מערך של חשמל בתשתית של בנין חכם איזה בקרים משולבים במרחב והאם בוצע שינוי באותו מערך. וגם עולם האנליטיקס שהוא חזק מאוד בהגנה בעולם ה- IT, נכנס לתחום של תשתיות קריטיות. יש כיום את היכולת לעשות ניתוח של אירועים בתחום הזה, ולזהות חריגה מאיתותים ואירועים שאין בגינם היסטוריה. זה מגיע לרמה של ארגונים שמקימים SOC קטן שהוא SOC פיזי והמטרה שלו הוא לנטר איומים על התשתיות פיזיות".

כיצד בלוקצ'יין משתלב בעולם האבטחה על תשתיות?

היום האפליקיצה המרכזית בבלוקצ'יין היא ביטקוין. אבל כפלטפורמה היא מושכת הרבה תשומת לשני דברים. אחד ליישומים שהם סייבר בתחום התשתיתי. לדוגמא, היכולת של בלוקצ'יין לעשות הצפנה On The Fly והיכולת לבנות מערכת שמקבלת החלטות ביחד. תחשוב על מקום שיש לך פדרציה בין נתונים, מן מעבר גבול שכזה, ואתה צריך לקבל נתונים ממערכות משטרה וממערכות פנים, ואתה צריך להזין אותם בצורה אוטומטית ולא דרך מערך מרכזי,.

הדבר השני הוא ממש מערכות הגנה, לדוגמא להשתמש בבלוקצ'יין כמערכת הפצה. היתרון הגדול של בלוקצ'יין הוא שאין לו מרכז, ובכך כל משטח הפגיעות שלי יורד משמעותית. ללא גורם מרכזי לדוגמא שמטפל בהרשאות ומפתחות ומהווה סיכון גדול אם נפרץ

היכן עומד האימוץ של בלוקציי'ן באבטחת מידע?

בארה"ב יש מספר זוכים במכרזים בתחום של הומנלנד סקיוריטי, בעיקר בתחום של תקשורת מאובטחת. תחשוב שאתה מקים רשת תקשורת, כמו רשת צבאית, ויש לי יכולת לאחזר כל הודעה ששלחתי ולעדכן במודיעין בזמן אמת. יש כעת סטרטאפים בתחום, ואני מאמין שעוד חצי שנה נראה יותר. זו טכנולוגיה מורכבת והיישום שלה לא טריוויאלי.