כיפת הברזל של פרויקטי הסייבר
אם בעבר יצרניות המידע היו בעיקר ממשלות ומוסדות ציבור, בעשורים האחרונים נוצר "שוק של מידע" שמגיע מכל מקום אפשרי ולכן ההגנה על המידע הופך לקריטי עוד יותר. איך עושים את זה נכון? מי הגופים שזקוקים להגנה יותר מכל, וכיצד ייתכן שתוקפים והאקרים מצליחים לחדור למחשבי חברות למרות הגנות סייבר יקרות ומורכבות?
בשיתוף רפאל מערכות לחימה מתקדמות
פרויקטים להגנה מפני סייבר עבור המגזר העסקי מציבים מורכבויות שונות, בראש ובראשונה בעיית אבטחה קלאסית כגון פרטיות ורגולציה. אתגרים אלה הם דברים שבשגרה, אולם המורכבות עולה עוד יותר כאשר מדובר בפרויקטים לאומיים.
המורכבות נובעת ממאפיינים כמו כמות ומגוון סוגי המידע (big data), מידור, פרטיות ברמה שבין האזרח לממשל ועוד. מעל לכל מרחף נושא האחריות - הנזק שעלול לנבוע מדליפת מידע או פגיעה בזמינות הנו גדול בהרבה מנזק כלכלי או סטטוטורי והוא עלול לפגוע בחלקים גדולים מהציבור ואף לגרום לשיבושים חמורים ביכולת התפקוד וההתנהלות התקינה של המדינה. רובנו מכירים לפחות אחת מהנקודות הרגישות שמטרידות רבים מאיתנו - והיא דליפת של פרטי תעודת הזהות והדרכון הביומטרי לגופים מפוקפקים שעלולים להשתמש בזהותנו. לזאת נוסף כמובן לסוגיות רגישות הקשורות בביטחון הלאומי.
אך מגוון הגורמים המאיימים על תשתית לאומית אינו כולל רק פשיעת סייבר סטנדרטית, אלא גם גורמי טרור ומדינות המשתמשות בזירת הסייבר כאמצעי להתנגחות מדינית וצבאית.
מרחב הפתרון
פעמים רבות נשמעים מפי מנהלי חברות לאחר תקיפת סייבר, התבטאות כגון: "השקענו הרבה באבטחת מידע והגנה מתקיפות סייבר, ובמשך שנים אנחנו רוכשים ומיישמים באופן שיטתי את מיטב כלי האבטחה בשוק, אז איך ייתכן שבכל זאת התוקפים הצליחו?". התשובה אינה פשוטה. לרוב, מדובר באוסף של נסיבות נקודתיות, החל משימוש בכלים לא מתאימים, דרך טעויות ביישום ועד לכוח אדם לא מיומן בהטמעת פתרונות סייבר. כאשר מחפשים את המכנה המשותף, מגיעים למסקנה שבארגון שהותקף לא הייתה ראייה הוליסטית של נושא הסייבר, קרי משהו במרובע של טכנולוגיה, מתודולוגיה, כוח אדם מיומן ומודעוּת, היה לוקה בחסר.
ברמה הלאומית, האופציה לחבר אוסף מפוזר של פתרונות סייבר אינו מספק. חברות המתמחות בפתרונות סייבר נדרשות לייצר פתרון הוליסטי המותאם היטב לתהליך המבצעי והעסקי הספציפי לארגון ברמה הולמת, ולא פחות מכך לטפל ב-"attack surface", קרי המקומות הפוטנציאליים דרכם ניתן לתקוף את הארגון.
בישראל פועלות חברות רבות שעוסקות בלחימת והגנת סייבר, ביניהן רפאל המוכרת לכולנו מפיתוחים, כגון: כיפת ברזל, שרביט קסמים ומעיל רוח, המהווים פרויקטים ברמה לאומית. אולם אלה הם רק חלק קטן ממגוון הפתרונות הלאומיים שסיפקה החברה בעשורים האחרונים למדינת ישראל. בשנת 2015 רפאל נבחרה על-ידי מטה הסייבר הלאומי של מדינת ישראל לספק את פתרון ה-CERT הלאומי, שתפקידו להגן ולהתמודד עם אירועי סייבר ברמה הלאומית. בסוף שנת 2017 נבחרה על-ידי חברת מטריקס לפתח את חליפת ההגנה בפרויקט לאומי נוסף הנקרא "חוסן", שבמסגרתו מקים בנק ישראל את מאגר נתוני האשראי הלאומי של מדינת ישראל.
"כמענה לאיומים החדשים החליטה רפאל להוביל תפיסת פתרון מערכתית, על פיה ייצרה בתחום הסייבר את מערכת CYBER DOME שנותנת מענה הוליסטי, שלם, מרמת מדינה ועד לרמת הארגון, כולל חברות אזרחיות", מספר אריאל קארו, סמנכ''ל וראש מנהלת מודיעין סייבר ברפאל בראיון ל-ynet. "מדובר במרחב חדש שלוקח עולמות ידע מתחומים שונים, מחבר אותם יחד ומביא את עולם המתודולוגיה המודיעינית מה שיוצר פתרונות ייחודים המאפשרים לנו להיות מובילי שוק", מציין קארו. "אנחנו יוצרים פתרון תפור על פי מידות מדויקות לבעיה אותה ניתחנו מקצה לקצה, פתרון שמשלב יכולת ניתוח רכיבים ויכולת פיתוח ייחודית".
לדברי אריאל, אם בעבר יצרניות המידע היו בעיקר ממשלות, בעשורים האחרונים כבר ברור שישנה התפוצצות של מידע. "היום כולם מייצרים מידע וכולם גם צורכים אותו והשאלה היא איך אפשר להצליח לנתב את כל המידע הזה לדרכים ראויות ולהפוך אותו לרלוונטי".
הטכנולוגיה ומוצרי המדף (COTS) בפרויקט
כל פרויקט סייבר מתחיל בהכרח ב-"vulnerability assessment" (הערכת פגיעות) ו-"risk assessment" (הערכת סיכונים) שמטרתם לחשוף את נקודות התורפה של הארגון בהן יהיה צורך לטפל במהלך הפרויקט. לרמה הלאומית מבצעים תהליך משלים שמטרתו לוודא שה-"attack surface", (שטח התקיפה) הנו המינימאלי מבחינת הפונקציונליות הנדרשת בארגון ומבחינת היכולת של התוקף לחדור את מנגנוני ההגנה של הארגון.
לכלל מוצרי האבטחה בשוק קיימים כשלים ונקודות תורפה. גם אם הם אינם גלויים או מפורסמים היום, הם בוודאי ייחשפו מחר. החוכמה היא לדעת לשלב בין פתרונות האבטחה, כך שגם במקרה של כשל, הוא יהיה נקודתי ולא יפיל את כלל פתרון האבטחה של הארגון. לעיתים הדבר דורש להוסיף פיתוח פתרונות ייחודיים להשלמת הפאזל. ככלל, פתרון האבטחה צריך להיות כזה שתוקף המנסה לנטרל את ההגנה על הארגון כדי להגיע לנכסים הקריטיים שלו, לא ירגיש שהוא צועד על קרקע מוצקה.
פן נוסף של הגנה על פרויקטים לאומיים, אשר מקבל פחות תשומת לב גם בעולם האזרחי, הוא הגנה על תשתיות ה-OT) Operational Technology). הכוונה לכל אותן מערכות תשתית אשר בלעדיהן תשתיות המחשוב שלנו לא יוכלו לתפקד - מיזוג אוויר, כיבוי אש, אספקת חשמל ועוד. תקיפת מערכות אלו יכול לייצר נזק קשה וארוך-טווח לתשתיות המחשוב, עד כדי הצורך בהחלפתן.
"מדובר כאן על עולם רגיש מאוד מכיוון שהנזק במקרה של תקיפת תחנת ייצור חשמל למשל, עלול להיות עצום. אנחנו פיתחנו פתרון מוגן פטנט שמטפל בשילוב בין מודלי תקיפה של סייבר, לבין תופעות פיסיקליות וכימיות מה שמאפשר לנו למנוע את הנזק גם אם הפוגען כבר חדר לתוך המערכת", מסביר קארו. "טכנולוגיה זו משלימה את הפער הנדרש כדי לספק הגנה מקיפה וכוללת של המערכות. או במילים אחרות: יצרנו מרחב חדש שלוקח עולמות ידע מתחומים שונים, מחבר אותם יחד ומאפשר לתקוף את הבעיה בזווית שונה ממה שתוקפים אותה במקומות אחרים, מה שמאפשר לנו לתת פתרונות שאחרים לא יכולים".
ההבנה שתשתיות ה- OT דורשות הגנה, ושהגנה זו שונה מהותית מהגנת IT סטנדרטית, עדיין אינה נמצאת במודעוּת הלכה למעשה. רבות מהחברות בשוק מציעות פתרונות לעולם ה- OT, אך הן למעשה מאמצות פתרונות מעולם ה-IT, ובהתאמות קלות מציגות אותם כפתרונות לעולם ה-OT. גישה זו חוטאת לבעיות המרכזיות של הגנה על מערכות OT. לדוגמה, בעיית הזמינות והבטיחות של תהליכים אלקטרו- מכניים. בעולם בו ה-IT וה-OT פועלים ומחוברים בקשר הדוק, אין אופציה לנתק ביניהם ולהזניח את העובדה החשוב הזו, היות שתוקף שמתחיל ברשת ה-IT יזלוג מהר מאוד לעולם ה-OT ולהיפך.
מסיבות אלו ואחרות ניתן להבין מדוע יש לחברות ביטחוניות יתרון מהותי בהגנה על תשתיות קריטיות, כי הן מביאות יכולות פיתוח מוכחות, יכולות אינטגרציה וניסיון רב מעולם ההגנה הקלאסי, הדורש הסתכלות מולטידיסציפלינרית רב-שכבתית. "בעולם הסייבר, התפיסות הקלאסיות תקפות ושומרות על מרכזיותן, את השינוי אנו רואים בכלי הלוחמה ובשפת הפתרון", מסכם אריאל.
בשיתוף רפאל מערכות לחימה מתקדמות