"היום, כל נקודה במבנה מהווה יעד פוטנציאלי למתקפה"

הדברים נאמרו בפאנל מומחים בנושא אבטחת מבנים חכמים בישראל שערכה חברת פורטינט

פורטינט, מובילה עולמית באבטחת סייבר המניעה את האיחוד בין ביצועי תקשורת ואבטחה, קיימה פאנל בנושא אבטחת מבנים חכמים, מערכות בקרת מבנה (BMS) ומערכות ביטחון במשרדי החברה בהרצליה, בהשתתפות מומחים מתעשיית התשתיות הקריטיות (OT): ליאור פלץ – מנהל אבטחת מידע ומנהל טכנולוגיות ראשי בחברת הייעוץ, התכנון והפיתוח EMG; יורם דדון – מנהל חטיבת הביטחון בחברת האינטגרציה ארדן קונטרול טק; וחגי סלע – מנהל כללי של חברת ההפצה Exclusive Networks בישראל. את הפאנל הנחה צור סגל – מנהל פיתוח עסקי אזורי לתחום ה-OT בפורטינט.

צור סגל פתח את הפאנל בסקירה אודות התפתחות אבטחת המידע במבנים חכמים, הכוללים מערכות בקרת מבנה וביטחון: "בתחילת שנות ה-90 החלה המהפכה, בה מבנים וקומפלקסים התחברו לרשתות נתונים מקומיות. כיום, אין מתקן, מערכת או לקוח שלא מחברים את כל המערכות הקיימות לתקשורת חכמה וזה כולל מערכות מיזוג אוויר, מערכות חשמל, גנרטורים, מים, ביטחון, בקרת כניסה ועוד. החיבורים בין המערכות הובילו לגידול משמעותי בשטחי התקיפה ובסיכונים לפרצות אבטחה ומתקפות סייבר".

סגל הוסיף כי: "נושא אבטחת המידע בעולם המבנים החכמים הוא בעל חשיבות עליונה, במיוחד היום, בעידן שבו כל מערכת חכמה – ממצלמה ועד בקר מיזוג אוויר – עשויה להוות נקודת פריצה לרשת הארגונית. כך, קומפלקסים אסטרטגיים הופכים ליעד אטרקטיבי לתקיפות סייבר, כאשר היינו עדים למתקפות המשמעותיות שחווה מגזר הבריאות בזמן הקורונה ברחבי העולם. כיום, כל נקודה במבנה שלכם מהווה יעד פוטנציאלי למתקפה".  

האתגרים של שילוב מערכות OT במבנים עם מערכות ותוכנות IT

בעידן שבו מבנים חכמים מבוססים על BMS ומערכות ביטחון מתקדמות, האתגר הוא לא רק בהגנה על מערכת אחת, אלא בניהול הסיכונים במערך האינטגרציה המורכב כולו. החיבור בין מערכות IT ל-OT מגדיל משמעותית את שטח התקיפה. באשר לאתגרים המרכזיים ולפתרונות בשטח בכל הנוגע לשילוב בין מערכות IT ו-OT, ליאור פלץ מסביר כי: "כשאני מגיע לראשונה לפרויקט, אני מנתח אותו במספר היבטים, כולל מה רמת חשיבות המערכות עליהן יוטמעו מערכות ה-BMS וכמה הן קריטיות ואת האופן שבו הפרויקט יתבצע בפועל. חשוב להבין מי משתתף בתהליך הזה וכמה משאבים יש לארגון מבחינת אנשי מקצוע והסייבר והאם נדרש מיקור חוץ".

הוא הוסיף: "גופים בעלי יכולות וכוח אדם בתחומי הסייבר והתקשורת הם אלו שיש עליהם איומים גדולים יותר. כאשר מדובר בגופים או חברות קטנים יותר או חברות ללא יכולות טכנולוגיות מובנות, ייתכן ונדרש לפשט את הפתרונות – צריך לראות מי האנשים שמשתתפים בפרויקט מצד לקוח, הקבלן והאינטגרטור, כי הדבר הכי קל הוא לשים הרבה פתרונות סייבר מורכבים ולקוות שיהיה בסדר ומישהו ינהל, יתפעל ויתחזק אותם. אם אין אנשי מקצוע שיקימו ויתחזקו את הפרויקט בצורה נכונה ומקצועית, זה למעשה סיכון גדול יותר לארגון, אפילו לפני מתקפות הסייבר. אם נבקש ליישם מערכות הגנה מורכבות בפרויקט שבו אין גוף או קבלן שידע להתמודד עם זה הן בהקמה והן בתחזוקה, זה למעשה אחד הסיכונים הגדולים ביותר".

יורם דדון התייחס לנושא והוסיף: "הסייבר היום יותר קשוח מהביטחון בעצמו. בארגונים שאנחנו עובדים איתם יש לקוחות שמבקשים להשאיר את המצב כפי שהוא כי זה עובד עבורם. בקצה השני של המניפה יש פרויקט מערכות ביטחון של מצלמות, הקלטה, בקרות כניסה, שמנוהל על ידי מחלקת ה-IT של הלקוח. היום, כשלי אבטחת מידע בקמפוסים חשובים הביאו את זה לכך שמערכות ביטחון, שצופות באתרי הלקוחות, מקליטות ומאשרות כניסה לאזורים רגישים, הן סוג של איום משמעותי ואויב. מערכות הביטחון ב-OT חייבות  להיות מוגנות ואם נדרשים ממשקים מול ה-IT, הקשר בין שניהם הוא "אירוע" ולכן, הקשר ביניהם חייבים להיות מוגן".

לדברי חגי סלע: "האתגר בקומפלקסים של מבנים הוא רחב – יש מנעד רחב של  מוצרים מהרבה מאוד יצרנים שצריכה להיות ביניהם סינרגיה ואינטגרציה תפעולית במבנים, ולכן, יש מספר לא מבוטל של גרסאות קושחה שכלל לא מנוהלות אצל הלקוחות. האתגר השני הוא רשת האספקה במבנים, שהיא ריבוי המוצרים והמערכות הטכנולוגיות שמנוהלות מרחוק על ידי היצרן או האינטגרטור – ולנקודה זו חייבים לתת הגנה. לרוב המוצרים יש חולשות ידועות ומצד אחד, יש עדיפות לחיבור מקומי למערכות  ומצד שני, הלקוח ונותני השירותים רוצים להיות מחוברים לפיד של מידע מרחוק – בעיקר בתקלות שבר. אין ספק כי השילוב בין מערכות OT ו-IT צריך להיות מנוהל".

חשיבות תחזוקת אבטחת המבנים

תחזוקת מערכות אבטחה במבנים חכמים לא עוצרת ביום המסירה. העדכונים, והבקרות השוטפות קריטיים, אך לעיתים מוזנחים. לדברי חגי סלע, הדרך להבטיח תחזוקת אבטחת מידע רציפה במערכות קריטיות לאורך כל מחזור חיי המבנה היא: "קודם כל, לבחור במוצרים טובים, מוכחים וידועים שחוסכים ללקוח בעיות בהמשך. אחר כך, יש את הקלות של הניהול והתחזוקה שלהם. זה מה שמחפש כל לקוח, אינטגרטור ומשקיע. שם המשחק הוא חיבורים נכונים – אינטגרטורים ומוצרים נכונים".

ליאור פלץ הוסיף: "מכרזים שיוצאים כיום חייבים להתייחס לתקופת חיי המבנה באופן שונה מאשר בעבר. במיוחד בפרויקטי יזמות BOT יש לתת דגש על שירות ועדכונים למערכות אבטחת המידע לאורך שנים רבות – פרק זמן של 15 ועד 20 שנים ויותר. סעיפי תקציב מתוכננים כיום מראש לאורך כל השנים ומוצגים בשקיפות בתהליכי המכרז, לרבות אבטחת מידע".  

יורם דדון התייחס לשירות הנדרש לאורך השנים לפתרונות האבטחה במבנים וציין כי: "מערכות אבטחת ה-OT חייבות להתעדכן מספר פעמים בשנה, לאורך כל השנים, כאשר המענה המיטבי מותאם לצרכי הלקוח ממצב בו חייבים לגשת לכל אתר ולעדכן ועד לעדכונים אוטומטיים מהרשת הפנימית של כל לקוח".

ספקים חיצוניים – נקודת תורפה משמעותית

נושא נוסף שנידון בפאנל הוא התלות הקיימת לעיתים בספקים חיצוניים שמספקים שירותי תחזוקה שוטפת מרחוק וכל גישה שכזו יכולה להוות נקודת תורפה משמעותית אם היא לא מנוהלת היטב.

חגי סלע מנה מספר פתרונות המאפשרים לאזן בין הצורך בגישה מרחוק לצורכי שירות, לבין שמירה על אבטחת מידע מיטבית ואמר: "יש פתרונות מסוגים שונים – 2FA או MFA פיזי שיאפשר גישה למערכות, גם מרחוק. אנחנו מגיעים היום עם גישת Zero Trust מוחלטת ומדברים על מערכות XDR מאוד מפותחות. למבנים יש מערכות קריטיות ולא רצוי לאפשר לתת שירות אם לא עשיתם פעולה של זיהוי ואימות המשתמש והמחשב שלו, הנדרשים לצורך התחברות למבנה. יש פתרון לכל תצורה ארכיטקטונית וצריך לבחור את הפתרון שהכי נכון ליישום. חשוב להדגיש שבמערכות מבנה מדובר על מערכות נפרדות לחלוטין מבחינת תשתיות רשת, מחשבי שו"ב וניהול ולכל פתרון בקמפוס ישנם נותני שירות נפרדים לחלוטין".