סכנות אבטחת מידע וסייבר למערכות ניהול מבנה
תשתיות ומערכות המבנה והאבטחה ההיקפית מבוססות מחשוב ולפיכך, חושפות את הארגון ללא מעט סיכונים אפשריים בזירת הסייבר. משפחת המערכות לניהול מבנים ה-BMS Building) Management Systems) הפכו עם השנים לליבת הניהול של כלל מערכות המבנה מדלתות ושערים, דרך תאורה, מיזוג ומערכות מים, גלאים ומערכות אזעקה מעליות ומערכות האבטחה. פגיעה במערכות אלו יכולה לגרום לנזק רב בניהול המבנה ובמקרי קיצון ככלי לפיגועי טרור.
מאת: אור שלום – יועץ ומומחה לאבטחת סייבר
תחת משפחת ה-BMS נכללות תשתיות מיזוג האוויר, מערכות האוורור, תאורה, חשמל מים, ביוב, מערכות בטיחות וכיבוי אש, חנייה ואבטחה. מאחר והמערכות היום הן חכמות וממוחשבות הרי שבראיית התוקף קיימות לא מעט הזדמנויות תקיפה אפשריות היכולות להשפיע על הפונקציונאליות או, לחילופין, הזדמנויות לצורכי תקיפה באמצעות מערכות אלו על הארגון. כך, לדוגמא, מניפולציה אפשרית על מערכות המיזוג במטרה להשפיע על תהליכי המיזוג והאוורור בחדרי שרתים, הצפת מבנים, השתלטות על מצלמות וכד'. חמור מכך, היכולת לפגוע באופן ישיר בבני אדם ע"י חבלה במערכת המעליות שתביא לקריסתן, יצירת פאניקה שתביא ליציאה מבוהלת מהמבנה במסגרתו ייפגעו אנשים ועוד.
העובדה כי בתוך הארגון קיימות פונקציות שונות האמונות או מתחזקות את המערכות תורמת גם היא להיבטי ביזור האחריות, מעיבה על תהליכי העבודה ופותחת עוד סיכונים אפשריים (כדוגמת פיזור אחריות על טיפול באזורים וממשקי הסייבר). לא מעט סיכוני אבטחה נוצרים גם בשל התלות בגורמים חיצוניים וצד ג' לרבות ספקיות תוכנה וחומרה, מתקינים, טכנאים, אנשי אחזקה, וגורמים נוספים על ציר שרשרת האספקה. לא פעם קיים גם נתק מקצועי בין גורמי הגנת הסייבר בארגון לבין הגורמים האמונים על האבטחה הפיזית. נתק זה נובע בעיקרו מהנחה (ואולי גם הציפייה של גורמים שונים בארגון לרבות גורמי הביטחון בארגון) שצוותי ה-IT מכסים, ממילא, את היבטי הסייבר בכיסוי ארגוני כולל. בתוך כך, מנהל הביטחון בארגון נדרש לא פעם לסוגיות אבטחה הקשורות בסייבר מטעמים שונים, לרבות הטעם של הגנה וחסינות המערכות. ניקח כדוגמא אירוע קלאסי פשוט של התקנת מצלמות בארגון כאשר המזמין הוא גוף הביטחון שאפיין, מן הסתם, תוכנית לפריסת מצלמות אבטחה במטרה לשלוט רוחבית על האזור והשטח מפני האיומים. עפ"י רוב, עיקר המיקוד יהיה לתוכנית פריסת המצלמות ולהיבטים הפיזיים והתפעוליים כאשר לא תמיד מציב מנהל הביטחון בארגון את מלוא התשומות הנדרשות לאיומי הסייבר. בהיעדר הגדרות ייעודיות לצמצום סיכוני סייבר עלולות מצלמות האבטחה להוות יתרון משמעותי דווקא עבור התוקף. במבחן התקלה יהיה קשה לתלות את האשמה בגורמים חיצוניים כי אם בגורם האמון על תפעול המערכות. על כן, חייב מנהל הביטחון בארגון לשכלל גם את נושאי הסייבר וחסינות המערכות ביחד עם גורמים רלוונטיים בארגון. כחלק מתהליך צמצום סיכונים בראיית מנהל הביטחון ישנן מספר פעולות שעשויות להבטיח את הפחתת סיכוני הסייבר. לצורך המחשת הנושא נתייחס במאמר זה לשתי מערכות – מצלמות האבטחה ובקרות הכניסה אך דוגמאות והמלצות אלו נכונות לכלל מערכות ניהול המבנה.
שילוב גורמי סייבר ארגוניים בליווי הפרויקט והפעילות – בכדי להבטיח מעורבות קרובה והדוקה של גורמים אלו בפעילות.
תהליך ניתוח סיכונים מקדים הכולל את הערכת הסיכון משימוש במצלמה – תהליך זה יכוון את מנהל הביטחון לאופן שילוב בקרות שיפחיתו את הסיכון. תהליך הניתוח והערכת הסיכון מושפע, בין היתר, מהדגם (וחולשותיו), חיבוריות וקישוריות, הערכת סיכונים אפשריים הנובעים מהסביבה והמיקום (בדגש על מצלמות ה-Outdoor), ועד לרמה של הערכת הנזק בהיבטי זליגת מידע מאותה המצלמה (הן בהיבטי רגישות ביטחונית, פרטיות וכד').
בחינת משמעות חיבוריות וקישוריות FOTA (Firmware Over The Air)/OTA (Over The Air) – הגם שנראה מעט מורכב, התהליך מסתכם בבחינת הקישוריות לאינטרנט. היכולות של תקשורת זו מאפשרת העברת מידעים בצורה יעילה וקבלת עדכוני חומרה ותוכנה באמצעות רשת האינטרנט. מאידך, קיימים סיכונים אפשריים לתקשורת ושליטה לא מבוקרת ע"י היצרן או הספק לרבות קבלת מידעים מתוך המערכת (לרוב, מידע לצורכי תפעול) כמו גם ניצול קישוריות זו ע"י גורם עוין (Men In The Middle) לצורכי תקיפה. הנחת העבודה היא כי, כאמור, קישוריות זו יכולה להחליש את הארגון ואף לספק לתוקף יכולת לאיסוף מודיעין באמצעות השתלטות על המצלמות בקישוריות זו. על כן, הבקרות האפשריות והדרישה היא סביב ניתוק מוחלט מרשת האינטרנט ונטרול יכולת ה-OTA, לחילופין במקומות בהם נדרשת שליטה במצלמות מרחוק (סניפים גלובליים וכד') יש להטמיע שליטה המבוססת על ארכיטקטורת אפס אמון (Zero Trust Architecture) המתבססת על תהליכי אימות לנכס (המחשב המאושר לביצוע הפעילות) ולישות (המשתמש או הגורם המאושר לפעילות) המאושרת לשימוש מחוץ או במקרים מסוימים בתוך הארגון. הצלבה לאימות יכולה להתבסס על כתובת ה-IP או ה-MAC Address של המחשב, אימות ביומטרי או אימות כפול (2FA/MFA) ככל שקיים צורך בתקשורת זו, יש לממש גם ניטור במטרה להצביע על החריג ועל פעולות לא מאושרות.
החלפת סיסמאות ה-DEFULT למצלמות – אחת מהפעולות החשובות נוכח העובדה כי בתהליכי ההתקפה הבסיסיים מנסה התוקף לבצע שימוש בסיסמאות היצרן (המפורסמות באתרי היצרן ובאינטרנט), הן בתקיפה פיזית ומנגנונים לניחוש סיסמאות והן בתקיפה באמצעות מנועי SHODAN ודומיו.
מימוש הגדרות אבטחה הקיימות בתוכנת המצלמה והמערכות – היצרניות מודעות לסיכונים והם מספקות הגדרות אבטחה מקצועיות אותן יש לממש לאחר עיון והבנת המשמעויות.
ניתוח מניפולציות טכנולוגיות או פיזיות אפשריות בראיית התוקף על המצלמות – במטרה להטמיע בקרות מפצות על התהליך. במחקר שבוצע באוניברסיטת בן גוריון בשנת 2018 הוכחה יכולת מניפולטיבית מעניינת נוספת הנשענת על הונאת מערכת לזיהוי פנים ע"י שימוש באיפור. באמצעות ניתוח תוכנת המצלמה ותהליך AML (adversarial machine learning) התקבלו Inputs לשימוש במימיקות ואיפור לצורך עיבוי ובאופן המערים על המערכת. המחקר מעניין גם בשל חוסר הבולטות המקשה להציף את החריג (המאופר) בסביבות כדוגמת שדה תעופה וכד'. מחקר זה ועוד יכולות ואירועים נוספים בעולמות האבטחה משליכים על הצורך בהכרת מניפולציות אפשריות על מצלמות אבטחה (ומערכות אבטחה בכלל) והיכולת לסכל אותן.
מניעת יכולת התעסקות בשילוב מנגנוני Anti- tamper – מתבסס על תהליך ניתוח הסיכונים ותיעדוף משימות באופן הבא: מצלמות Outdoor, מצלמות באזורים ציבוריים ובסוף המצלמות Indoor שמצויות, מן הסתם, באזורים יותר מבוקרים ומפוקחים.
תהליך בדיקת חדירות חוסן קבוע – במטרה להבטיח דרישות אלו ולבחון את סידורי האבטחה סביב ההגנה על המצלמות והסיכונים האפשריים הנובעים מהמצלמות.
סיכונים הנובעים ממערכות למניעת גישה ורכיבי קוראי כרטיסים כחקר מקרה:
גם מערכות ותשתיות הבקרה בארגון מחייבים תהליך של גידור סיכונים. כך, לדוגמא, בראיית התוקף, היכולת לנצל ולהשתלט על מערכת הנפקת התגים או רכיבי הקצה מאפשרים תהליך איסוף מידע רגיש על גורמים ארגוניים וכן יכולות נוספות לביצוע מניפולציות על הרשאות וכד'. הסיכון נובע בעיקרו מהפריצות האפשרית להשתמש בקוראי תגים מסוגים שונים הפותחים הזדמנויות לסיכוני חומרה ותוכנה עבור הארגון. בשיקולי ההצטיידות נלקחו בחשבון גם שיקולי הפריסה הארגונית (לדוגמא סניפים גלובליים) ולעיתים גם כיכולת להזדהות עם הכרטיס בתחנת העבודה בסביבות חוץ ארגוניות. שיקול מרכזי נוסף, לאור הצורך בהצטיידות רחבה, הוא גם שיקול העלות. כך, בחקר מקרה על אופן ההצטיידות האפשרית וההטמעה של קוראי כרטיסים בארגון מסוים בחו"ל עלו מספר סיכונים אפשריים שנבעו מרכיב קורא הכרטיסים. הסיכון בשימוש בקוראי הכרטיסים (PIV-Personal Identity Verification) קיים גם מעצם שימוש ברכיבי חומרה או תוכנה מוטמנים או לא מוגנים בסייבר. תוכנת החומרה, כללה פקודות וקודים עוינים באופן החושף את הארגון לסיכונים הבאים: יכולת העתקה, גניבת נתונים (לרבות תפקיד), הרשאות, לסיכוני חשיפת פרטיות.
בלא מעט ארגונים קיים תהליך של הנפקת תג לעובדים. תהליך הנפקת התגים כולל תהליך רישום ב- DATA BASE ייעודי ומתן הרשאות רוחביות בארגון ומחוצה לו. השימוש בתג מאפשר גם לצורך שימוש והזדהות באמצעות רכיב חומרתי למחשבי הארגון. ניתוח סיכונים, המתבסס מטבעו גם על ניתוח אירועים, יעלה לא מעט סיכונים אפשריים ברמת הארגון. סיכונים אלו כרוכים בין היתר בתהליך ההוספה והשיוך במאגרי המידע הכולל סיכוני סייבר (וגם סיכונים משפטיים) של דליפת מידע פרטי של העובדים, הרשאות ופרטים נוספים. חקר מקרה זה, מעלה מספר בקרות המאפשרות את הפחתת הסיכון:
תהליך מיפוי סיכונים הנובעים מתהליך שרשרת אספקה בתהליכי ההצטיידות.
שילוב בקרות סייבר בתהליך אישור ספקים – כדוגמת שימוש במחשבונים להערכת הסיכון הנובע מהספקים.
בקרה על הספקים ושילוב בקרות המבטיחות צמצום סיכוני סייבר על ציר התמיכה בהמשך.
זיכוי רכיבים ותוכנות – כדוגמת זיכוי באמצעות מנוע VirusTotal כפי שבוצע באירוע הנדון (חקר מקרה). רצוי שתהליך השימוש במנוע יתבצע כ- offline.
ניהול תהליך רישום העובדים וההרשאות במאגר מידע העובדים ברשת מבודלת ללא גישה לאינטרנט – ככל שקיים צורך בהרשאות גלובאליות יש לבחון משמעויות, סיכונים ובקרות להפחתת הסיכון (כדוגמת הצפנת התווך, מניעת יכולת העתקה וקידוד). בסעיף זה תודגש גם החשיבות המשפטית בהתאם לחוק מאגרי מידע.
בקרה ורידוד מידעים על הכרטיס עצמו.
בקרת הרשאות – אחת לחצי שנה.
הצפנת מידע הקשור בעובדים ותהליכי ההרשאות .
יכולת מיידית לנטרל כרטיס עובד.
החלת ניטור ומנגנונים למניעת זליגת מידע -(DLP- Data leak Prevention) מנגנון לחסימת תעבורת מידע רגיש ותהליכי ניטור על המידע – לרבות הגדרות ניטור אובדן הוא הוצאת מידע רגיש מהארגון לרשת החיצונית באמצעות מערכות ה-DLP. יש לשייך ולהחיל תהליכי DLP באופן זה על מידעים ותהליכים רגישים הקשורים למערכות האבטחה.
בלא מעט אירועים הוכחה יכולת טובה של התוקף להתגבר על מערכות מבנה או מערכות האבטחה בארגון, כדוגמת: מצלמות אבטחה, מערכות למניעת גישה וכדומה – גם באמצעות תקיפת סייבר. היעדר הגדרות, כדוגמת: מניעת חיבור מערכות לא מורשות לרשת או חיבור מערכות לרשת האינטרנט איפשר את ניצולן לצורך תקיפה והתגברות בנקל על מערכות האמונות על האבטחה. הגם שלא מעט הגדרות הן טכניות אך בהיעדר טיפול ע"י גורם ארגוני אזי המעורבות של מנהל הביטחון הכרחית. הצבת דרישות סייבר לצוותים הטכניים תצמצם באופן משמעותי את הסיכונים שהוצגו ויאפשר את תפקודן של המערכות ברמה מבצעית גבוהה.
הכותב הינו מומחה לאבטחה וסייבר ויועץ למשרדי ממשלה, תעשיות ביטחוניות והמשק. בעל תואר שני ובעל הסמכות אזרחיות וממלכתיות בעולמות אבטחת המידע והסייבר. בין היתר, עוסק בייעוץ לגופים וחברות בניהול סיכונים, חדשנות, תכנון ואפיון מערכי אבטחה טכנולוגיים מוכנות אבטחתית להתמודדות עם איומים טכנולוגיים (כולל אימוני מנהלים ואימוני Hands on לצוותים הטכניים) ,פיתוח עסקי לחברות בתחומי ה– HLSוהסייבר ומוביל מרכזי מצוינות ותוכניות הדרכה מתקדמות בסייבר ו– HLS לגופים שונים בסקטור האזרחי, הביטחוני, התעשיות והאקדמיה.
אתר מונגש
אנו רואים חשיבות עליונה בהנגשת אתר האינטרנט שלנו לאנשים עם מוגבלויות, וכך לאפשר לכלל האוכלוסיה להשתמש באתרנו בקלות ובנוחות. באתר זה בוצעו מגוון פעולות להנגשת האתר, הכוללות בין השאר התקנת רכיב נגישות ייעודי.
סייגי נגישות
למרות מאמצנו להנגיש את כלל הדפים באתר באופן מלא, יתכן ויתגלו חלקים באתר שאינם נגישים. במידה ואינם מסוגלים לגלוש באתר באופן אופטימלי, אנה צרו איתנו קשר
רכיב נגישות
באתר זה הותקן רכיב נגישות מתקדם, מבית all internet - בניית אתרים. רכיב זה מסייע בהנגשת האתר עבור אנשים בעלי מוגבלויות.