מעבדת קספרסקי חושפת יותר מ- 400 מערכות בקרה תעשייתיות עם פרצות קריטיות

91.1% ממערכות הבקרה התעשייתיות פרוצות לאיומים; כנראה שייכות לארגונים גדולים
כדי למזער את הסיכון הקיים למתקפת סייבר, מערכות בקרה תעשייתיות (ICS) אמורות לפעול בסביבה מבודדת פיזית. אבל לא תמיד זה המצב. בדוח אופק איומי ה- ICS, חושפים מומחי קספרסקי 13,698 מערכות המשובצות רכיבי ICS עם חשיפה לאינטרנט, וסבירות גבוהה כי הן שייכות לארגונים גדולים. ארגונים אלה כוללים חברות אנרגיה, תחבורה, חלל ותעופה, גז ונפט, כימיקלים, רכבים וייצור מזון ומשקאות, ממשלות, ומכונים פיננסים ורפואיים. 91.1% מהמערכות האלה ICS מכילות פרצות אותן ניתן לנצל מרחוק. אבל זה עדיין לא הגרוע ביותר – 3.3% ממארחי ה-ICS בארגונים אלה מכילים פרצות קריטיות הניתנות להפעלה מרחוק.

פתיחה של רכיבי ICS אל האינטרנט מייצרת הזדמנויות רבות, אבל לצידם גם בעיות אבטחה. מצד אחד, מערכות מקושרות הן גמישות יותר ומאפשרות תגובה מהירה למצבים קריטיים והטמעה של עדכונים. מצד שני, ההתרחבות אל האינטרנט מעניקה לעברייני סייבר הזדמנות לשלוט מרחוק ברכיבי ICS, דבר אשר יכול לגרום לנזק פיזי לציוד וכן סיכון אפשרי לכל התשתית החיונית.

התקפות מתוחכמות על מערכות ICS אינן חדשות. ב-2015, קבוצה מאורגנת של האקרים הנקראת BlackEnergy APT התקיפה חברת אנרגיה באוקראינה. באותה השנה דווח באירופה על שני אירועים נוספים שכנראה קשורים להתקפות סייבר: התקפה על מפעל פלדה בגרמניה ועל שדה התעופה פדריק שופין בוורשה.

התקפות נוספות מסוג זה צפויות להתרחש גם בעתיד מאחר ומשטח ההתקפה הוא עצום. 13,698 השרתים הללו, הממוקמים ב- 104 מדינות, הם רק חלק קטן מסך השרתים עם רכיבי ICS הזמינים ברחבי האינטרנט.
כדי לסייע לארגונים המפעילים ICS לזהות נקודות תורפה אפשריות, מומחי מעבדת קספרסקי ביצוע מחקר לגבי איומי ICS. הניתוח שלהם התבסס על OSINT (מודיעין פתוח) ומידע ממשאבים ציבוריים כגון ICS CERT, כשתקופת המחקר הוגבלה לשנת 2015.

הממצאים המרכזיים לגבי אופק האיומים עבור מערכות בקרה תעשייתיות הם:
· סך של 188,019 מערכות המארחות רכיבי ICS זמינות דרך האינטרנט – הן נמצאות ב- 170 מדינות.

· רוב הרכיבים הנגישים מרחוק ממוקמים בארה"ב (30.5% - 57,417( ואירופה. באירופה, גרמניה מחזיקה בהובלה (13.9% -26,142), ואחריה ספרד (5.9% - 11,264), וצרפת (5.6% - 10,578)

· 92% (172,982) מהמערכות המארחות רכיבי ICS עם נגישות מרחוק מכילות פרצות. 87% מהמארחים מכילים פרצות בסיכון בינוני ו- 7% מהם מכילים פרצות קריטיות.

· מספר הפרצות ברכיבי ICS גדל פי 10 במהלך 5 השנים האחרונות: מ- 19 פרצות ב- 2010 ל- 189 פרצות ב- 2015. רכיבי ה- ICS הפרוצים ביותר היו ממשקי אדם מכונה (HMI), מכשירים חשמליים ומערכות SCADA.

· 91.6% (172,338 מארחים שונים) מתוך כל מכשירי ה- ICS הזמינים מרחוק משתמשים בפרוטוקול חלש לקישוריות אינטרנט, דבר היוצר הזדמנות לתוקפים לבצע מתקפת "האדם שבאמצע".

"המחקר שלנו מראה כי ככל שתשתית ה- ICS גדולה יותר, כך גדל הסיכון כי יימצאו בה פרצות אבטחה חמורות. זו אינה אשמת ספק תוכנה או חומרה בודד. מטבען, סביבות ICS הן שילוב בין רכיבים המחוברים ביניהם, שרבים מהם מחוברים לאינטרנט ומכילים בעיות אבטחה. לא ניתן להבטיח ב- 100% שבהתקנת ICS מסוים לא יהיה לפחות רכיב אחד פגיע בכל נקודה בזמן. אין משמעות הדברים כי אין דרך להגן על מפעל, תחנת כח, או אפילו לחסום התקפות סייבר על עיר חכמה. מודעות פשוטה לגבי פרצות ברכיבים הנמצאים בשימוש בתוך מתקן תעשייתי מסוים היא דרישה בסיסית לניהול אבטחה במפעל. זהו אחד היעדים של הדוח שלנו: לייצר מודעות בקהל היעד הרלוונטי", אמר אנדריי סובורוב, ראש הגנת תשתיות חיוניות, מעבדת קספרסקי.

במטרה להגן על סביבות ICS מפני התקפות סייבר אפשריות, מומחי מעבדת קספרסקי ממליצים על האמצעים הבאים:
· עריכת ביקורת אבטחה מלאה: הזמנת מומחי אבטחה תעשייתית היא כנראה הדרך המהירה ביותר לזהות ולהסיר פרצות אבטחה המתוארות בדוח.

· בקשת מודיעין חיצוני: אבטחת מידע מסתמכת כיום על ידע לגבי אפיקי התקפה אפשריים. השגת מודיעין שכזה מספקים מוסמכים מסייעת לארגונים לחזות התקפות עתידיות על תשתית תעשייתית של חברה.

· אספקת הגנה בתוך ומחוץ להיקף הארגוני. טעויות מתרחשות. אסטרטגיית הגנה טובה מקדישה משאבים לזיהוי התקפות ותגובה אליהם – כדי לחסום התקפה לפני הגעתה לאובייקטים קריטיים.

· בחינה של שיטות הגנה מתקדמות: תרחישי דחיה כברירת מחדל עבור מערכות SCADA, בדיקות שלמות קבועות עבור בקרים, וניטור ייעודי לרשת כדי להגביר את האבטחה הכוללת של החברה וכדי להקטין את הסיכויים לפריצה מוצלחת – תומכים בהגנה אפילו אם חלק מהרכיבים הפגיעים אינם ניתן לעדכון או להסרה.

את הדוח המלא אודות אופק האיומים למערכות בקרה תעשייתיות ניתן למצוא Securelist.com