הצורך ליישם תקנים ספציפיים לאבטחת סייבר של מערכות בקרה תעשייתיות בתשתיות קריטיות

28/02/22

במאמר זה אתן מספר הפניות ליישום גישה מתודולוגית, שפותחה על בסיס התנסויות בינלאומיות, תוך שימוש בתקן ספציפי, IEC62443, עבור הגנת סייבר של תשתיות קריטיות הנחוצות לתפקוד המדינה.

המצב בו אנו חיים מראה לנו מדי יום שלמלחמות סייבר יש מאפיינים שונים לחלוטין מעימותים מסורתיים. מתקפת סייבר עוקבת אחר עקרונות הלוחמה האסימטרית: אין חזית מוגדרת היטב, התקפות יכולות להגיע בכל נקודה ובכל זמן. גם עם משאבים מוגבלים, עלול להיווצר נזק מהותי: לכן יש להפיץ, לעדכן ולבנות את ההגנה על פי קריטריונים מוצקים, מאושרים ומשותפים.

בעולם התשתיות הקריטיות, לרציפות האספקה ​​של שירותי השירות הציבורי יש את העדיפות הגבוהה ביותר ויש לשמור עליה, על מנת להבטיח שלא ייגרם נזק לאנשים, לסביבה או למערכות תהליכים. נזק שעלול להוביל לאובדן עצום של חיי אדם והון פיננסי.

מנקודת מבט זו, חקיקת השקל תרמה תרומה חזקה בזיהוי יעדים קריטיים, זיהוי סיכונים ואפשרה להתוודע לאמצעי הגנת הסייבר האמיתיים הקיימים במדינה.

לאחר השלמת הצעד הראשון, חשוב שעכשיו תילקח בחשבון הספציפיות של מערכות בקרה תעשייתיות, המייצגות כמעט תמיד את הלב הפועם של תשתית המספקת שירותים חיוניים. חשבו על DCS (מערכת בקרה מבוזרת) במפעל פטרוכימי או בתעשיית תרופות, SCADA (Supervision Control And Acquisition Data) ברשת חלוקת חשמל, גז או מי שתייה, BMS (מערכת ניהול מבנים) לבקרה של מבנה בית חולים. ובכן, יש להגן על כל התשתיות הללו בזמן כדי להבטיח את תפקודן, על פי כללים ברורים, מוגדרים היטב וקלים ליישום, מבחינת טכנולוגיות ותהליכים. ושהם מובנים וישימים בהקשר שאינו מוקדש אך ורק לטכנולוגיית מידע (IT), אלא שמושפע משיטת הפעולה של מי שמתקשר עם העולם הפיזי-קיברנטי, ולעתים קרובות אין להם רקע מעמיק בתחום זה.

בטיחות וביטחון

באוצר המילים של מערכות בקרה תעשייתיות נעשה שימוש בטרמינולוגיה הנגזרת מהשפה האנגלו-סכסית המבדילה בין בטיחות וביטחון.

באיטלקית אין לנו את ההבחנה הזו, אנחנו מדברים על "בטיחות" במובן מקיף, אבל להבחנה דוברת האנגלית יש סיבה משלה: "בטיחות" קשורה לבטיחות HSE, כלומר בריאות, בטיחות וסביבה "(מילולית: בריאות, בטיחות וסביבה), בעוד ש"אבטחה" עוסקת באבטחת מידע, שבעולם התעשייתי אינן, לעומת זאת, אלו הנוגעות לנתונים אישיים, אלא הנתונים הדרושים לקיום תהליך פעיל ומתפקד כהלכה.

במפעלים מסוימים ישנן מערכות שנועדו להגן על בטיחות, מה שנקרא Safety Instrumented Systems (SIS) אשר יש להן את המשימה לפעול כקו הגנה קיצוני לפני שמערכת יכולה לייצר נזק קטסטרופלי. כדוגמה, ה-SIS הן המערכות המפקחות על כיבוי חירום לפני שיכול להתרחש פיצוץ בכור תהליך, בסגירת חלק מהמפעל הנתון לשריפה, כדי שהאש לא תתפשט. המערכות המווסתות את התנועה במנהרה. ובכן, מערכות אלו חייבות כבר לעמוד ברמות הבטיחות המדויקות של SIL (Safety Integrity Level) המוגדרות בסטנדרטים בינלאומיים (בין היתר IEC 61511, IEC61508), שנלקחו גם מהחוקים הלאומיים המעניקים לכבד סולמות בטיחות בהתאם לסיכונים. להפחתת הערכת הנזקים שעלולים להיגרם כתוצאה מהתקלה שלהם.

סולם הבטיחות לבטיחות עובר מ-SIL1: ערך מינימלי, ל-SIL4: בטיחות מקסימלית למערכת.

עמידה ב-SIL היא פרקטיקה הנהוגה כבר זמן מה ומקובלת בכל המגזרים התעשייתיים והתשתיות הקריטיות ומאפשרת הגדרה ברורה ומדויקת כיצד להגן על בני אדם, בין אם הם עובד, משתמש או אזרח מנזק שעלול להיווצר. להיגרם על ידי מכונות, מובנות במובן הרחב שלהן.

בדומה לשיטת סיווג "בטיחות" בסולם קל להבנה וישימות, קיים תקן "דה פקטו" ספציפי להגנה על מערכות בקרה תעשייתיות OT (Operational Technology) מפני התקפות סייבר: IEC62443, אשר מניח כעת א. ערך אופקי, כלומר תקף בכל הקשר תשתיתי שבו יש מערכות או רשתות שיש להגן עליהן מפני פעולות אנושיות זדוניות (אבטחה).

התקן נולד בארצות הברית בתחילת שנות ה-2000 כ-ISA99 (החברה הבינלאומית לאוטומציה) ולאחר מכן יושם בעולם כ-IEC62443 (הוועדה הבינלאומית לאלקטרוטכנית). אחד החלקים של תקן זה (מודול 3-3) מגדיר את רמות אבטחת הסייבר שיש ליישם בהתאם לסיכונים והאיומים שיש להגן מפניהם.

מה האיומים? כיצד ניתן לסווג אותם ולאחר מכן ליישם אמצעי הגנה?

בהקשר זה, ישנם מספר סיווגים, אך אחד הסיווגים היעילים ביותר הוא זה של ה-FBI המזהה את הדברים הבאים:

תקן IEC62443-3-3 מגדיר את רמות האבטחה, כרמות אבטחה שיש ליישם, כפונקציה של פרמטרי סיכון המיוחסים לאיומים המפורטים לעיל, בהתבסס על ארבעה גורמים עיקריים: מוטיבציות, מיומנויות, אמצעים ומשאבים.

היישום של רמת אבטחה SL4 מאפשרת לתשתית קריטית לקבל הגנה גבוהה מאוד להתמודדות עם התקפות סייבר המופעלות על ידי APT (Advanced Persistent Threats), כלומר על ידי ארגונים שיש להם משאבים נרחבים, אמצעים מתוחכמים, ידע מעמיק בתחום של מערכות בקרה תעשייתיות (ICS) ואשר להן מוטיבציות חזקות.

כיצד ומדוע להעריך SL ברמת אבטחה?

SL מייצג פרמטר אובייקטיבי, שאינו נתון לסחפים שיכולים לעבור בירושה מניסיונו של הפרט, מכושר השכנוע של ספק טכנולוגיה או מההיסטוריה הקודמת של החברה. תקן IEC62443 מגדיר 7 פרמטרים (דרישות פונקציונליות) שעל פיהם יש להעריך את רמת האבטחה: בקרת אימות זיהוי, בקרת משתמש, שלמות נתונים, סודיות נתונים, זרימת נתונים מוגבלת, תגובה בזמן לאירועים, זמינות מערכת.

לכל FR יש בקרות נוספות שיש לכבד, בהתאם למידת הבטיחות שיש להשיג. כדי להגיע להערכת SL יש רשימות ביקורת ספציפיות למערכות ורשתות, עם יותר מ-100 פריטים לבדיקה.

מה היתרון בהכנסת גישה "מבוססת תקן" להגנה על תשתיות המדינה? גישה כזו נותנת את האפשרות להגדיר בבירור רמת אבטחה מינימלית, בהתבסס על הסיכון שיכול להיות למתקפת סייבר על התשתית עצמה.

מצד המפעיל מוצע מודל סיווג שכבר נכנס לדפוס פעולתו בכל הנוגע לבטיחות פיזית עם רמות SIL שהוגדרו קודם לכן. וכיתרון נוסף, ניתנת למפעילים אפשרות להגדיר נתיב אבטחה שניתן לפתח ב"אבני דרך" על מנת להגיע ליעד ברור של רמת אבטחה, במסגרת זמן סבירה.

הגישה של יישום הגנות סייבר לפי IEC62443 עם רמת אבטחה נפוצה יותר ויותר בעולם. למעשה, כיום פרויקטים רבים, במיוחד בחו"ל, דורשים עמידה ברמות SL2 או SL3, כאשר התשתיות נחשבות קריטיות ולהשפעות של התקפות זדוניות עשויות להיות השלכות על האוכלוסייה או הסביבה.

בהקשר זה, די להיזכר כיצד בשנת 2015, בעקבות מתקפת הסייבר של BlackEnergy על רשת החשמל בקייב, שיצרה הפסקה באמצע העיר, ניתוחים משפטיים הראו כי יישום רמת אבטחה 2 במערכת הבקרה של רשת החשמל היה מונע מהניצול להצליח.

מסקנות

לסיכום, אני סבור שהגיע הזמן לתת תשומת לב מיוחדת לא רק להגנה על פרטיות הנתונים האישיים או שמירת הנתונים העסקיים, אלא גם להגנה על תשתיות קריטיות מבחינת רציפות הפעולה וסיכוני HSE. יישום תקן המוקדש להגנת סייבר של מערכות בקרה תעשייתיות במובן הרחב, כגון IEC61443.

חשוב להקדיש תשומת לב לתת למפעילי שירותים חיוניים מדריכים מסוימים ליישום אמצעי הגנה הומוגניים של מערכת בקרה. יש לדרוש רמות מינימליות של אבטחת סייבר, כגון הגנה על אבטחת תשתיות קריטיות, כפי שכבר קיים בבטיחות. ההגנה על תשתיות המדינה ומערכות הבקרה התעשייתיות חייבות להיות מוגדרות בסטנדרטים ספציפיים, וברמות אבטחה אובייקטיביות ומדידות, אחרת נוכל להסתכן למצוא את עצמנו בחושך או בלי מים, אך עם הנתונים האישיים של החשבונות שלנו נשמרים היטב. ונשמר.

אומברטו קטנאו (מומחה מוסמך IEC62443, PMP)

הפניות:

מדריך להתחלה מהירה: סקירה כללית של תקני ISA / IEC 62443, ברית אבטחת הסייבר הגלובלית של ISA,

https://gca.isa.org/blog/download-the-new-guide-to-the-isa/iec-62443-cyb...

סדרת 62443 של תקנים: אוטומציה תעשייתית ובקרה אבטחה, ועדת ISA99

BlackEnergy: https://attack.mitre.org/software/S0089/ https://www.cisa.gov/uscert/ics/alerts/ICS-ALERT-14-281-01B