נקודת התורפה החדשה: המערכות שבין ה־IT ל־OT

תמונה: Pixabay

בזמן שרוב הארגונים ממקדים את מאמצי ההגנה שלהם סביב שרתי IT ומערכות בקרה תעשייתיות (OT), קבוצות כופרה כבר עברו לשלב הבא ומכוונות למערכות שנמצאות בדיוק באמצע: לא מנוהלות רשמית על ידי צוות ה־IT, לא נתפסות כחלק מה־OT הקריטי, אבל אחראיות לחלקים מרכזיים בתהליך התפעולי.

לפי דיווח של אתר The Register, התוקפים מזהים את הפוטנציאל של תקיפה על מה שמכונה "מערכות ביניים": רכיבי תיוג, תהליכי ערבוב חומרים, הפצה או אחסון, שמחברים בין המידע לתשתית הפיזית. אלה מערכות שקל יותר לפרוץ אליהן, אבל פגיעה בהן יכולה לשתק את התהליך כולו.

טים קונווי, בכיר בתוכנית ICS של מכון SANS, אמר לאתר הבריטי כי ההשפעה על מערכות כאלה אינה פחותה מהשבתת שרתים: במקרים מסוימים מדובר במינון תרופתי שגוי, ערבוב חומרים מסוכן או הדפסה שגויה של תוויות, והעבריינים יודעים את זה.

כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime

אבל כופר הוא לא הדבר הראשון שהתוקפים מחפשים: במקום לדרוש תשלום מידי על מערכות מוצפנות, חלק מהקבוצות שואפות להשאיר את המערכת פעילה, אבל בסטייה מסוכנת, עד שנוצר בלאי שמוביל לקריסת ציוד או לנזק בלתי הפיך. לפי הדיווח, במתקפות רבות לא נדרש אפילו ידע במערכות OT, אלא גישה לשרת Windows בודד שמחובר לשרת לא מאובטח, שמחובר גם לרשת התפעולית וגם לרשת הארגונית.

זה בדיוק סוג הנזק שמוביל ארגונים לשלם: לא מתוך לחץ תקשורתי או רגש, אלא מתוך הבנה שהנזק לתהליך התפעולי, או לחיי אדם, מוחשי ומיידי.

גם מדינות זיהו את החולשה

על פי הדיווח, לא רק עבריינים פיננסיים מגלים עניין במערכות הללו: סין, רוסיה ואיראן כבר תקפו רכיבים מהסוג הזה לא כדי לשתק מערכות, אלא כדי לשמור על שליטה שקטה עד הרגע המתאים. באירוע שדווח בתחילת השנה, קבוצה המזוהה עם משמרות המהפכה באיראן השתמשה בנוזקה שפותחה במיוחד כדי להשתלט מרחוק על מערכות ניהול מים בארה"ב ובישראל.

לפי הדיווח המערכות לא הופלו, הן המשיכו לפעול עם שינויים קטנים שבכוחם להרוס תשתית לאורך זמן. נציין כי הפריצה זוהתה וטופלה, כך שכעת כבר אינה פעילה.

המסקנה הברורה היא כי הארגונים חייבים להתחיל למפות מחדש את אותן מערכות חיבוריות. אם הן לא ממופות, לא מנוהלות ולא נבדקות הן יהיו הראשונות להיפגע. ולפי המתקפות האחרונות, זה כבר לא תרחיש תיאורטי אלא כיוון פעולה מועדף.