"אי אפשר ליישם אותם כלים ונהלים ב-IT ו-OT, אבל אפשר לשאוף לסטנדרט"

אלמוג אפיריון, תמונה: בן יצחקי

המהפכה התעשייתית 4.0 הביאה איתה איחוד בין שתי מערכות שלא תמיד הסתדרו זו עם זו: OT ו-IT. איפה שפעם עבר קו מפריד ברור בין רצפת הייצור (OT) לדאטה סנטר והיישומים (IT), היום יש שכבת רשת, טלמטריה ואוטומציה שמזהה ומטפלת בתקלות לפני שהן גורמות לנזק משמעותי. אך למהלך הזה יש מחיר. מערכות OT לא נבנו לשילוב עם מערכות IT, וכאשר מחברים רשת ארגונית חשופה לרשת ייצור ישנה, נוצרת קרקע פורייה לתוקפים.

מתקפת הסייבר על יצרנית הרכב JLR, ששיתקה את מפעליה וגרמה לנזק של עשרות מיליוני ליש"ט בשבוע, ממחישה היטב את הסיכון. לפי חלק מהדיווחים, הנזק הכלכלי של המתקפה עמד על 50 מיליון ליש"ט בשבוע וממשלת בריטניה נחלצה לעזרה והעמידה הלוואה של 1.5 מיליארד ליש"ט במטרה למנוע פגיעה משמעותית יותר בשרשרת האספקה של החברה.

כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime

"האירוע של JLR ממחיש עד כמה הייצור הוא הלב הפועם של כל ארגון תעשייתי וכמה פגיעה בו גוררת נזק משמעותי", אומר בראיון מיוחד ל-ITtime אלמוג אפיריון, מנכ"ל ומייסד שותף של Cyolo, המתמחה בפתרונות גישה מאובטחת מבוססי זהות (Zero Trust) עבור מערכות IT ו-OT. "חדירה שולית למערכת IT מנהלית יכולה בהיעדר בידוד נכון להפוך להשבתה רוחבית של מפעלים שלמים".

אפיריון, לשעבר CISO באורבוטק ומפקד יחידת סייבר בחיל הים, מציין כי ככל שהמערכות הופכות מקושרות יותר, כך גם קו הגבול מיטשטש. "פעם היה גבול ברור בין רשת הייצור לרשת הניהולית", הוא  אומר, "היום יש משטח אחיד שבו נתונים ותהליכים נעים בין הסביבות. התוקפים מנצלים את הפערים בין המדיניות, הכלים ותחומי האחריות. בעולם שבו הכול מחובר, האבטחה כבר לא נמדדת לפי גובה החומות, אלא לפי איכות השליטה בזהויות ובמדיניות הגישה, ולכן Zero Trust הוא הכרח, במיוחד ב-OT, שבו תקלה אחת עלולה להשבית קו ייצור שלם".

האחריות על אבטחת ה-OT צריכה להישאר בידי ה-CISO או אנשי ה-OT, רק שלא תגיע בהנחתה מלמעלה

היכן עובר הגבול?

סיולו הוקמה ב-2020 וגייסה עד כה 81 מיליון דולר בשני סבבים שונים, בין היתר מהקרנות National Grid Partners ,Glilot Capital Partners, Flint Capital, Differential Ventures ו-Merlin Ventures. יחד עם אפיריון את החברה הקימו דדי ירקוני, סמנכ״ל טכנולוגיה, וערן שמואלי הארכיטקט הראשי.

בחברה רואים כיום ממקור ראשון את תהליך "ההתלכדות" על יתרונותיו וחסרונותיו: "האתגר והחובה של מנהלי אבטחה כיום הוא למצוא את האיזון בין התייעלות טכנולוגית לבין שמירה על שליטה ובקרה"' אומר אפיריון, "האינטגרציה בין OT ל-IT היא מנוע חיוני לחדשנות וליעילות, אבל הגבול עובר ברגע שחיבור הופך לנתיב כניסה ומעבר מידע ופקודות ואינו מנוהל: כאשר אין נראות, אין תיעוד אמיתי של מי התחבר, לאן ולמה – וכל תחקור אירוע הופך לתעלומה".

לדבריו, הבעיה מתחילה כאשר נפתחות הרשאות למקרה הצורך. "חיבור הסביבות חייב לבוא עם אבטחה שמוודאת שכל גישה לרשת היא הכרחית. זה לא משנה מאיזה צד אתה מגיע – IT או OT – אלא אם אתה אמור להיות שם ואם עכשיו זה הזמן. כך אפשר לתמוך בקדמה בלי לאבד שליטה".

מייסדי סיולו: אלמוג אפיריון, דדי ירקוני, ערן שמואלי. תמונה: באדיבות החברה

אפיריון מדגיש כי האחריות על אבטחת ה-OT צריכה להישאר בידי ה-CISO או אנשי ה-OT, אך תוך שיתוף פעולה אמיתי. "האבטחה לא יכולה להיות מונחתת מלמעלה. היא צריכה להיבנות יחד עם אנשי התפעול, בשפה שלהם, בלי להוסיף עליהם עומס".

הסיבה למיקוד הייחודי של סיולו, טוען אפיריון, היא מכיוון שהם הבינו כי "מערכות OT לא תוכננו לגמישות אבל הפתרונות עבורם צריכים להיות גמישים ולהתאים למציאות בשטח. גישת Zero Trust היא אינה דורשת בהכרח התקנת Agent, אלא אוכפת מדיניות לפי זהות המשתמש, תפקידו והקונטקסט של הצורך בחיבור. כך ניתן לאבטח גם קווי ייצור או מערכות בקרה ותיקות שלא ניתן להתקין בהן עדכונים".

נקודות התורפה הבולטות

ומה לגבי הענן? אפיריון רואה בו גם הזדמנות וגם סיכון. "הענן מביא יתרונות עצומים כמו ניתוח בזמן אמת ונראות משופרת, אך במקביל פותח משטחי תקיפה חדשים, והמפתח הוא איזון. יש מקרים שבהם נכון להשאיר את הענן מחוץ לתחום ומקרים שנכון להשתמש בו ככלי הגנה יעיל".

נושא נוסף שמדאיג את אפיריון הוא חיבורי צד ג'. על פי דוח Mitratech לשנת 2024, 61% מהארגונים חוו דלף מידע שמקורו בצד שלישי. "גורמים צד ג' הם סיכון מרכזי. הם מתחברים מרחוק ממכשירים שהארגון לא מנהל ותחת מדיניות שלא בשליטתו. חיבור כזה חייב להיות זמני, מבוקר ומבוסס זהות כדי לשמור על שליטה ונראות מלאה".

האם אנחנו מתקדמים לעבר סטנדרטיזציה מלאה של אבטחת IT ו-OT, או שזו אשליה שנשברת כשפוגשים את המציאות של פסי ייצור ורכיבים ישנים?
"אי אפשר ליישם את אותם כלים והנהלים בשני העולמות – אבל כן ניתן לשאוף לסטנדרטיזציה של עקרונות. במקום לכפות אחידות, צריך לבנות אבטחה חכמה שמבינה את ההבדלים ושומרת על רציפות גם בתוך מורכבות. זו לא אשליה – זו אבולוציה בלתי נמנעת".

ולבסוף, אפיריון צופה שינוי תפיסתי. "הרגולציה תתמקד בזהויות חזקות וניהול הרשאות מדויק, וה-AI עצמו ידרוש אבטחה ייעודית. אבל השינוי האמיתי יהיה תודעתי: ארגונים יבינו שאבטחה טובה לא נמדדת בכמות ההתראות, אלא ביכולת לשמור על המשכיות תפעולית גם כשהאיומים מתפתחים".