הקשר הסמוי שבין אבטחה פיזית לאבטחת סייבר
הקשר הסמוי שבין אבטחה פיזית לאבטחת סייבר
מאת מירי אופיר, דירקטור מחקר ופיתוח בצ’ק פוינט
"כלא אווין הוא כתם על הטורבן השחור והזקן הלבן של הנשיא", הנשיא הוא המנהיג האיראני, אברהים ראיסי, והטקסט הזה הוצג על מסכי מצלמות האבטחה בכלא אווין בטהרן, אוגוסט 2021. באותו אירוע הושבת כליל מערך מצלמות האבטחה של בית הסוהר. סרטון שמתעד את ההשתלטות על המצלמות הועלה לטוויטר וליוטיוב ושם ללעג את מערך האבטחה של בית הסוהר הידוע לשמצה בשל ההתעללויות שעוברים האסירים. שנה לאחר מכן, ביולי 2022 אירעה מתקפה זהה בכלא גזל האסר בקראג’, 20 ק”מ מערבית לטהרן. שני בתי הסוהר הם מתקני כליאה לאסירים פוליטיים.
הפעולות בוצעו על ידי מתנגדי משטר, האקרים האקטיביסטים איראניים מקבוצה המזדהה תחת השם “הצדק של עלי”. בכל אחד מהאירועים, הם הצליחו להשבית כליל את מערך מצלמות האבטחה בכלא, וביחד עם המתקפה הדליפו לעיתונות המקומית והאירופאית מאגר של סרטונים המתעדים אלימות קשה בין כתלי הכלא; סוהרים בועטים באסירים מחוסרי הכרה ומשליכים אותם במסדרונות, ניסיונות התאבדות של אסירים, התפרעויות קשות. מטרתם הייתה להביך את המשטר האיראני ולחשוף את הפרות זכויות האדם המבוצעות בכלא.
התיעוד כולל סדרה של אירועי אלימות במשך חודשים, ומוכיח שההאקרים השיגו שליטה על המצלמות מבלי להיחשף זמן רב. אצלנו בירושלים, ב-23 בנובמבר 2022 אירע פיגוע בתחנת אוטובוס בכניסה לירושלים. בשעת בוקר מוקדמת הגיע לתחנה מחבל תושב מזרח העיר בשם איסלאם פרוח, והניח מטען חבלה אותו הפעיל מרחוק. המטען התפוצץ וגרם למותם של נער ומבוגר.
לאחר הפיגוע קבוצת ההאקרים האיראנית, “מטה משה”, פרסמה תיעוד של הפיגוע מרגע הנחת המטען ועד לאחר הפיצוץ.
התיעוד צולם במקור על ידי מצלמה קבועה שמשרתת גוף ביטחוני ישראלי. ההאקרים הצליחו לפרוץ למצלמה שהייתה מוגנת עם סיסמא חלשה, מבלי שנחשפו, ושהו שם זמן רב קודם לכן.
כאן צריך לשאול – האם זה רק צירוף מקרים, שלאותם טרוריסטים איראניים הייתה גישה למצלמה ששולטת על התחנה שבה התבצע הפיגוע? האם ייתכן, לחילופין, שהתחנה הזו נבחרה משום שהייתה להם גישה מוקדמת למצלמה – מה שאיפשר להם לאסוף מודיעין בקלות, לתכנן את הפיגוע בצורה מדוקדקת, ולנהל את המבצע בזמן אמת, כל זה מרחוק.
שני איומי סייבר מרכזיים קיימים במערכות אבטחה. הראשון, כיעד ישיר לטובת השבתת מערך האבטחה או איסוף מודיעין, כפי שראינו במקרה של בתי הכלא באיראן והפיגוע בירושלים. האיום השני, הוא שימוש
במצלמות המחוברות לרשת הארגונית כדי לדלג פנימה ולהגיע לנכסים אחרים ברשת. הגנות הסייבר במערכות אבטחה הן לרוב חלשות מאד, ולכן מהוות יעד מועדף וקל לתוקפים. ישנן מערכות אבטחה רבות שכבר נפרצו על ידי תוקפי סייבר מבלי שמפעילי המצלמות מודעים לכך, והושתל בהן סוכן רדום שיכול להיות מופעל ביום פקודה. קשה מאד לזהות מכשיר שכבר הודבק כאשר הנוזקה לא פעילה בצורה אקטיבית. במידה ומערכות האבטחה שלכם הודבקו בנוזקה, או שיש להן פוטנציאל הדבקה מהיר, אתם עלולים להיות היעד הבא.
מדוע מערכות אלו נחשבות החוליה החלשה בעולם הסייבר?
מנהלי אבטחת מידע ומנהלי מחשוב בארגונים נוטים לייחס תשומת לב פחותה לרשתות תפעוליות ה- Operation) OT Technology) ולמערכות אבטחה פיזית מאשר לרשתות ה- Information) IT technology). בהרבה ארגונים נוכל לראות מדיניות סייבר מחמירה המיושמת בקפדנות ברשת ה-IT, במחשבים האישיים ובחשבונות המשתמשים. המדיניות כוללת אכיפת סיסמאות חזקות ודרישת הזדהות
עם אימות כפול, התקנת עדכוני אבטחה בצורה סדירה, וניטור מתמיד של כלל אירועי האבטחה במערכת מרכזית. מכשירי האינטרנט של הדברים (IoT – Internet of Things) גם כאלו שמחוברים לרשת הארגונית
מוחרגים ללא הצדקה, ובייחוד מערכות המופעלות ברשתות נפרדות. ישנה תפיסה שגויה שבהיותם פועלים ברשת נפרדת, הם לא חושפים את הארגון לאיום, ושאין עליהם סיכון ישיר. במבחן המציאות, דווקא אותם
מכשירים מהווים סכנה מתמדת לארגון, ופעמים רבות בשל הגדרת תצורה לקויה או טעות של הגורם האנושי, הרשתות הנפרדות למעשה מחוברות לאינטרנט או לרשת הארגונית הרגישה.
הקב”טים ומנהלי האבטחה הפיזית, לא מודעים לסיכונים, או שהם מושכים את ידיהם מעיסוק באיומי סייבר, מאחר ואין להם ידע או הכשרה בתחום הזה. וכך מערך מצלמות האבטחה נופל בין הכסאות, והופך להיות הנקודה החלשה במעגל הגנת הסייבר הארגוני.
על כך מתווספת הבעיה המהותית של היעדר יכולות אבטחה מובנות בתוך המכשירים והיותם חשופים בצורה אינהרנטית לסיכוני סייבר, בשל מה שאפשר לקרוא לו "כשל שוק" שלא הוסדר עדיין.
מערכות אבטחה, כמרבית מכשירי IoT מותקנות עם קושחה שמסופקת על ידי היצרן. במקרים רבים יצרנים בוחרים לספק תוכנות רזות תוך דילוג על עקרונות חשובים של כתיבת תוכנה מאובטחת. עקרונות אלו
הם "הלחם והמים" של מהנדסי תוכנה בעלי הבנה והכשרה באבטחת מידע, אך לצערנו יצרנים של מכשירי IoT לא תמיד מודעים אליהם. עולם אבטחת המידע נתפס כמורכב ומסובך, והיצרנים מעדיפים להתמקד
בשיפור והרחבת יכולות פונקציונליות של המוצר שלהם ולא להתעסק בהוספת שכבות אבטחה למוצר שלהם. השקעה נמוכה בהגנות סייבר מובנות נובעת גם מהמירוץ להיות הראשון בשוק להוציא מוצר חדש,
כדי להשיג דומיננטיות בשוק.
אחת הבעיות השכיחות בעולם פיתוח התוכנה הוא הנושא של חולשות תוכנה. מפתחים משתמשים בחבילות קוד פתוח וברכיבי צד שלישי נפוצים, אלו מהווים יתרון עצום למפתחים וחוסכים זמן עבודה
יקר. מצד שני, הם דורשים עדכון מתמיד בכל עת שמתפרסמת חולשת תוכנה, חולשות תוכנה מתפרסמות מדי יום ביומו, במיוחד עבור חבילות קוד פתוח פופולריות.
בשנת 2022 פורסמו למעלה מ-22 אלף חולשות תוכנה חדשות. שימוש ברכיבים שאינם מעודכנים, חושף את המשתמשים והמכשירים לפגיעויות אבטחה חמורות שמנוצלות על ידי תוקפי סייבר.
למרבה הצער, יצרני IoT לא בהכרח מקפידים על שחרור תיקוני אבטחה. מודעות המפתחים לסיכונים לא גבוהה, עלות שחרור גרסה חדשה יקרה, והדרישה מצד המשתמשים לא חזקה מספיק. יתרה מזאת, אותם יצרנים, שלוקחים אחריות ומוציאים עדכונים תקופתיים, מגלים שהמשתמשים שלהם לא טורחים לעדכן את המוצרים.
הסיבות לכך רבות, בראשן, מאמץ תפעולי גדול הנדרש לתחזוקת מערכות מבוזרות, עדכון קושחה למכשיר IoT הוא במקרים רבים מסובך יותר מאשר עדכון תוכנה למחשב, יש עדיין מכשירים שיכולים לקבל עדכונים רק דרך התקני USB, לעיתים אנו מוצאים שהמכשירים מותקנים במקומות שאינם נגישים בקלות, למשל מצלמות שמותקנות על גבי גדרות או על עמודים גבוהים מאד, או מרוחקים מרחק של מאות קילומטרים מצוות הניהול. בנוסף, עדכוני תוכנה לעיתים דורשים אתחול למכשירים, וישנם מכשירי IoT שבהם כל השבתה היא בעייתית או רגישה מאד. בנוסף, קיים החשש מעדכון זדוני וניצול לרעה של מנגנוני עדכון
התוכנה על ידי תוקפים.
במבחן המציאות, במרבית המכשירים מופעלת גרסת התוכנה המקורית המכילה חולשות ידועות מרובות.
בארצות הברית ובאירופה אנחנו רואים רגולציה מתפתחת, גם בהקשרי סוגיות פרטיות והחשש מריגול זר, וגם בהיבטי אבטחת מידע באשר למכשירי IoT. האיחוד האירופי מקדם חקיקה נרחבת שדורשת מיצרנים להוסיף יכולות הגנת סייבר בתוך המכשירים מתוך הבנה שמכשירים אלו מהווים איום חמור וממשי לחוסן וליציבות הפיננסית של ארגונים ולחברה בכלל. על פי עקרונות חוק חוסן הסייבר האירופאי, מכשירים לא יאושרו לשוק האירופאי המשותף, אם לא יעמדו בדרישות סייבר על פי התקן האירופאי.
בארצות הברית, רגולציית הסייבר מתמקדת באספקטים הגאו-פוליטיים, כחלק מהמאבק האמריקני כנגד ההתעצמות הסינית והחשש מאיסוף מודיעין. ההנחיות האמריקאיות אוסרות שימוש בהתקנים רגישים כמו נתבים, מצלמות ומכשירי הקלטה שלא אושרו על ידי משרד הסחר במתקנים פדרליים.
בישראל עדיין אין רגולציית סייבר למכשירי IoT, ישנה הנחיה כללית שהספק צריך לציין את רמת הסיכון שהמכשיר חושף, אבל אנחנו רואים שהמודעות של המשתמשים עולה, והם באים עם דרישות ושאלות לספקים.
מה קב"טים ומנהלי אבטחה יכולים לעשות?
כבכל איום אחר, נדרש לעשות ניתוח איומים כדי להבין את רמת הסיכון ואת הסבירות להתממשות האיום. בקטגוריית מכשירי IoT , בראש הרשימה נמצאים מכשירים "בעלי עיניים ואזניים" כמו מצלמות וציוד
הקלטה, מכשירים עם סיכון לבטיחות המשתמשים כמו מעליות ורחפנים, ונתבים וציוד תקשורת בהיותם שער כניסה לארגון.
הפרקטיקות המקובלות מציעות להתחיל את התהליך ברכישת מכשירים מחברה מוכרת ואמינה, לתכנן את ההטמעה בצורה קפדנית, כולל ניטור שוטף, זיהוי חריגויות, וגיבוש נוהל עדכון למכשירים אלו. בנוסף, נדרש
להטמיע מערכות ניטור שיודעות לזהות ולהתריע על אירועי סייבר במערכות אלו.
הפרקטיקות האלו יעילות אולם לא הרמטיות מספיק, הן גם דורשות מאמץ גדול ממנהלי הרשתות. בארגון ממוצע יש כיום כמאות ואף אלפי מכשירי IoT מדגמים שונים, כולל טלויזיות חכמות, מדפסות, נתבים, מצלמות, מעליות, שערי כניסה, חיישנים ועוד.
המרדף אחרי התקנת עדכונים הוא אינסופי, ולא מספיק מותאם למכשירי IoT בשל כל הסיבות שצוינו.
הגישה החדשנית יותר מציבה דרישה ליצרנים להטמיע הגנות סייבר בתוך המוצרים עצמם. משתמשים צריכים לדרוש מהיצרנים לתת מענה טוב יותר לתקיפות סייבר על המוצרים שלהם, ולבחון כל מוצר היטב לפני שהם מחברים אותו לרשת הארגונית או לבית שלהם. כאשר לקוח בוחן את מפרט המכשירים, הוא צריך להכניס שיקולי סייבר לתמונה, לשאול את הספק אלו הגנות סייבר מוטמעות במוצר, ולבחור מוצר אמין ובטוח לשימוש.
בארצות הברית, המשרד לביטחון המולדת ביחד עם הסוכנות להגנת סייבר על תשתיות קריטיות (CISA) הוציאה מסמך מפורט שכותרתו "מדריך האבטחה לרכישת התקני IOT". המסמך מדגיש תחומים שבהם יש סיכון מוגבר הנובע מההיבטים הטכנולוגיים של "האינטרנט של הדברים" ותפקידם בעולם הפיזי. הוא מספק מידע על נקודות תורפה וחולשות מסוימות, מציע פתרונות לאתגרים נפוצים ומזהה גורמים שיש לקחת בחשבון לפני רכישה או שימוש במכשירים, מערכות ושירותים של "האינטרנט של הדברים".
בסיכום המסמך הם דורשים מהארגונים לפעול בהתאם להנחיות האלו וחותמים – אימוץ המלצות אלו על ידי כל הארגונים יסייע לחזק את חוסן הסייבר של המדינה, על ידי הבטחת אבטחת הסייבר של טכנולוגיות
האינטרנט של הדברים, לאורך כל מחזור חיי המוצר.
לתפיסתנו, היצרנים המובילים יבינו שהם לא יכולים להתעלם מדרישות סייבר ולהמשיך לגלגל את האחריות על המשתמשים, אם בשל רגולציה ואם בשל דרישת השוק. כאשר לקוחות יבחרו לרכוש רק מוצרים של יצרנים שמכבדים את הצורך שלהם בפרטיות ובהגנה על הנכסים החשובים שלהם, השוק יתאים את עצמו, וידאג לתת מענה ראוי.
בתורת הלחימה בסייבר יש א-סימטריה אינהרנטית, התוקף מספיק לו לנצל חולשה אחת במערכת, אך הרוצה להגן צריך לזהות ולאתר כל חולשה אפשרית ולסגור אותה מבעוד מועד. כחלק מאחריותנו כלפי
לקוחות צ’ק פוינט, החלטנו להביא פתרון ליצרנים שעוזר להם לאבטח את המוצרים שלהם. תפיסת הגנת הסייבר בצ’ק פוינט גורסת שההגנה חייבת להיות מקיפה והרמטית גם ברמת הרשת, וגם בתוך התקני
הקצה, כזאת שחוסמת מתקפות בזמן אמת ולא רק ניטור של מתקפות אחרי שכבר קרו.
הפתרון הייעודי שפיתחנו עבור מכשירי IoT ומערכות אבטחה, לוקח בחשבון את האלמנטים הייחודיים למכשירים אלו, למשל, היותם רזים מאד במשאבי עיבוד, או הצורך לתת פתרון שלא תלוי בעדכוני תוכנה.
כחלק מפרויקט אינטגרציה עם יצרן, אנו מבצעים עבורו סקר סיכונים מקיף, נותנים המלצות ומנחים כיצד לממש את התוכנה על פי עקרונות פיתוח קוד מאובטח. היצרן מקבל מאיתנו ננו-אג'נט חכם להטמעה בתוך
המוצר, שנותן מענה לדרישות רגולציית סייבר וחוסם התקפות סייבר בזמן אמת.
הננו אג'נט הוטמע ורץ בהצלחה במוצרי IoT של יצרנים בארץ ובעולם. בישראל, יש לנו שיתוף פעולה מוצלח עם יצרנית מצלמות האבטחה Provision-ISR. חברת פרוויז’ן עובדת איתנו בצמוד כבר למעלה משנה על מנת להקשיח את המוצרים שלהם ולהוסיף את שכבות ההגנה המתקדמות. מאות מערכות כאלו כבר פרוסות בשטח, והלקוחות שבחרו להתקין את המערכות האלו, נהנים משקט נפשי בידיעה שהארגון שלהם מוגן טוב יותר כנגד התקפות סייבר, ושמצלמות האבטחה לא מהוות את החוליה החלשה במערך ההגנה הארגוני.
בתמונה: עיכובים גדולים כתוצאה מתקיפת סייבר על תחנת רכבת באיראן. התמונה פורסמה במדיה
