יצרנים ומפעלי תעשייה מרגישים בשנים האחרונות דחיפות סביב נושא אבטחת סייבר ואין זה פלא, בהתחשב בכך שהמגזר שלהם הינו יעד מספר אחד למתקפות כופרה. מתקפות כופרה מאיימות להשפיע על יצרנים ומפעלי תעשייה על ידי השבתת הייצור, גם דרך מתקפות שרשראות האספקה, מה שמוביל להפסדים כספיים משמעותיים באמצעות תשלומי כופר, ירידה בהכנסות ועלויות גבוהות להתאוששות. למרות האיומים הללו קיים מחסור בולט באנשי אבטחת סייבר אשר יכולים להגן על יצרנים מפני פושעי סייבר. יש לציין כי באמצעות הכשרה וכלים מתאימים, עדיין יכולים יצרנים ליישם עמדת אבטחת מידע חזקה, גם אם אין להם מומחה אבטחה במשרה מלאה. להלן נפרט כיצד יכולים יצרנים לחזק את אבטחת הסייבר שלהם ואם תתרחש מתקפת סייבר, מהם צעדים שעליהם לנקוט כדי לשלוט בנזק.
בהשוואה לארגונים, פגיעים במיוחד עסקי ייצור קטנים עד בינוניים לאיומי סייבר בשל רמת מוכנות נמוכה יותר, מידע לא מספיק מוגן והנכונות שלהם לשלם דמי כופר כדי לסיים את האירוע מהר ככל האפשר. חשוב להבין כי חיזוק אבטחת הסייבר חיוני לבטיחות המוצר, הבטחת האיכות של המוצא והיעילות התפעולית של המפעל כולו. לדוגמה, הטמעת בקרות מחמירות על מערכות בקרה תעשייתיות (ICS), טכנולוגיה תפעולית (OT) ומערכות תכנון משאבים ארגוניים (ERP) יכולה להפחית פגיעויות אבטחה. באמצעות אסטרטגיית ניהול סיכונים מקיפה, יכולים יצרנים להגן על לקוחות קצה, להבטיח המשכיות תפעולית, לשמור על קניין רוחני ולהגן על כספם ושמם הטוב. עם זאת, גם עם אמצעי מניעה חזקים, עדיין קיימת האפשרות של מתקפת סייבר ולכן, על יצרנים להיות מוכנים לזהות סיכוני סייבר.
התזמון הינו קריטי בעת הערכת איומי סייבר בייצור וזיהוי מוקדם הינו הדרך היעילה ביותר למנוע מתקפות כופרה. ככל שפריצת הסייבר לא תתגלה זמן רב יותר, כך עלולים פושעי סייבר להסב נזק גדול יותר לקווי ייצור, לרשתות האספקה ולקניין הרוחני. למרבה המזל, אפילו צוותי IT מצומצמים יכולים ליישם אמצעי הגנה חזקים ללא צורך במומחה ייעודי לאבטחת סייבר.
בענף הייצור, סימני אזהרה נפוצים כוללים פעילות חריגה במקטעי הרשת השולטים במכונות, קווי ייצור או מערכות ERP. אינדיקטור נפוץ נוסף הוא תעבורת רשת יוצאת דופן, מה שיכול לקרות כאשר למישהו יש גישה חיצונית למידע או שהוא כבר חדר לתוך מערכת המחשוב ומבצע בה פעילויות זדוניות. יצרנים עשויים להבחין בהעברות מידע בלתי צפויות ממערכות בקרת פיקוח ורכישת נתונים (SCADA) או רכיבי OT קריטיים אחרים. מומלץ תמיד לשקול תרחיש שבו מבחין היצרן בעלייה חריגה בתעבורת הרשת בשעת לילה מאוחרת כאשר קווי הייצור בדרך כלל אינם פעילים. חריגה זו יכולה להצביע על כך שגורם בלתי מורשה מנסה להעביר נתונים או לבצע פעילויות זדוניות אחרות במערכת המחשוב. דגלים אדומים אחרים כוללים פעילויות ניהול בלתי מורשות, כגון התקנת תוכנות ללא אישור או כניסות משתמשים ממקומות חריגים או ממכשירים לא מוכרים. זיהוי סימני האזהרה הללו חיוני לגילוי מוקדם ולתגובה מהירה וכן, למניעת פרצות מידע קלות מלהפוך לאירועי סייבר חמורים.
במקרה של מתקפת סייבר, על יצרנים צריכים לנקוט בצעדים הקריטיים להלן כדי למנוע נזק משמעותי ולהתחיל בתהליך השחזור:
- בידוד מערכות מושפעות: זיהוי ובידוד מהרשת באופן מיידי של מערכות מחשוב שנפגעו כולל מכונות ייצור, פסי ייצור, מערכות SCADA או תוכנת ERP. אם בידוד אינו אפשרי, יש להשבית מערכות מחשוב אלו כדי למנוע התפשטות נוספת.
- יצירת מסמך תקרית: שמירה ועדכון של מסמך לתיעוד מערכות מחשוב מושפעות, למשל מכונות CNC, מערכות רובוטיות או בקרי לוגיקה הניתנים לתכנות (PLC) – זאת, לשם תיאום תגובה של כל הצוות.
- בדיקת מערכות זיהוי: סקירות מערכות זיהוי קיימות כגון אנטי-וירוס, זיהוי ותגובה של נקודות קצה (EDR), מערכות אבטחת מידע וניהול אירועים (SIEM) ומערכות מניעת חדירות (IPS) – עבור סימני פריצה כגון חשבונות חדשים שנוצרו, או אינדיקציות למנגנוני נוכחות זדונית במערכות המחשוב.
- דיווח על התקרית: יצירת קשר עם סוכנויות רלוונטיות כגון המשטרה, ספקי אבטחת המידע של המפעל – לשם סיוע בהתמודדות עם המתקפה. בנוסף מומלץ להודיע לגופים או לעמותות ספציפיות לתעשייה העשויים לספק תמיכה.
- תיאום תקשורת: עבודה עם צוות התקשורת כדי להבטיח מידע מדויק משותף פנימי וחיצוני, בהתאם להנחיות התקשורת הארגונית של החברה. יש להשתמש בשיטות תקשורת לא סטנדרטיות (למשל, שיחות טלפון ואפליקציות הודעות מוצפנות) כדי להימנע מזליגת מידע לפושעי הסייבר. יש להודיע לבעלי עניין מרכזיים כולל ספקים ולקוחות, אודות השפעות אפשריות על לוחות הזמנים של הייצור.
- בנייה מחדש ושחזור מערכות: תעדוף ובנייה מחדש של מערכות מחשוב קריטיות, תוך התמקדות בשיקום פעולות ייצור, כגון מערכות ייצור (MES), ממשקי אדם-מכונה (HMI) ומערכות בקרת ייצור חיוניות אחרות. יש לבצע איפוסי סיסמאות עבור חשבונות מושפעים ושחזור נתונים מגיבויים מוצפנים לא מקוונים, כדי להבטיח את השלמות והזמינות של נתוני הייצור.
- תיעוד לקחים: לאחר שהאירוע כבר בשליטה, יש לתעד את התובנות ולעדכן בהתאם את המדיניות, התוכניות והנהלים הארגוניים. יש לערוך סקירה לאחר התקרית כדי לזהות פערים בתגובה ולשפר את העמידות בפני מתקפות סייבר עתידיות.
מפעלי ייצור ואנשי מקצוע מכירים את הדחיפות הנדרשת לטיפול באיומי אבטחת סייבר. על ידי זיהוי סימני אזהרה מוקדמים, תגובה מהירה לתקריות וחיזוק עמדת אבטחת הסייבר שלהם, יכולים יצרנים להגן על עצמם מפני גל מתקפות הסייבר ההולך וגובר, מה שיאפשר לתעשייה לבנות חוסן ולהבטיח את המשכיותם של תהליכי ייצור קריטיים.