אותה מתקפה, ההבדל במוכנות: שני סיפורי מקרה מרצפת הייצור

שני מפעלי ייצור, אותו שבוע, אותה מתקפה בדיוק. אחד חזר לייצור באותו יום. השני עמד ימים. ההבדל לא היה התוקף, ולא המזל, אלא מה שכל אחד מהם הכין מראש.

שני מפעלי ייצור, אותו שבוע, אותה מתקפה בדיוק. אחד חזר לייצור באותו יום. השני עמד ימים. ההבדל ביניהם לא היה התוקף, ולא המזל. הוא היה במה שכל אחד מהם הכין מראש. הנה שני הסיפורים, ומה שאפשר ללמוד מהם.

הכניסה: זהה בשני המקרים

לפני שנפצל לשני המסלולים, חשוב להבין שנקודת ההתחלה הייתה זהה, כי כך זה קורה באמת. בשני המפעלים, התוקף נכנס דרך אותה חולשה נפוצה: גישת VPN (חיבור מרחוק לרשת הארגון) שלא הייתה מוגנת ב- MFA Multi-Factor Authentication אימות דו-שלבי — הוכחת זהות ביותר מדרך אחת (סיסמה + קוד לנייד, למשל). (אימות דו-שלבי). עובד אחד, סיסמה אחת שדלפה, ואין שכבת הגנה שנייה. זה לא תרחיש אקזוטי, זו דרך הכניסה הנפוצה ביותר למתקפות על יצרנים.

מכאן, בשני המקרים, התוקף התחיל לנוע ברשת ולחפש את הדרך מ- IT Information Technology מערכות המידע המשרדיות — מחשבים, שרתים, מיילים ומערכות ניהול. (מערכות המשרד) אל OT Operational Technology המערכות שמפעילות את הייצור — בקרים, חיישנים, מכונות וקווי ייצור. (מערכות הייצור). וכאן, בדיוק כאן, שני המפעלים נפרדו לדרכים.

מפעל א': ניהול סייבר רציף

מפעל ב': בלי ניהול סייבר רציף

אותה מתקפה. ההבדל היה במוכנות

הנה הנקודה שאי אפשר לפספס: התוקף היה זהה. החולשה הראשונית הייתה זהה (VPN ללא MFA). אפילו ההזדמנות הייתה זהה. כל מה שהפריד בין "חזרנו לייצור באותו יום" לבין "עמדנו ימים" היה מה שכל מפעל הכין מראש.

מה באמת הבדיל ביניהם: הכנה מוקדמת

קל להסתכל על הטבלה ולחשוב שמפעל א' פשוט קנה כלים טובים יותר. זו לא הנקודה. ההבדל לא היה במוצרים, אלא בתהליך שנבנה מראש, חודשים לפני המתקפה, כשהכול היה רגוע. שלושה דברים, ספציפית, עשו את ההפרש:

• מדיניות אבטחה כתובה · לא תחושה כללית של "אנחנו זהירים", אלא מסמך שמגדיר מי ניגש למה, מה מותר ומה אסור, ואיך הארגון מתנהל. במפעל ב' לא היה מסמך כזה, אז כל החלטה התקבלה באלתור, בלחץ, ברגע הגרוע ביותר.
• תוכנית תגובה לאירוע (Incident Response Plan) · מסמך שמגדיר בדיוק מה עושים כשמזהים פריצה: מי מתקשר למי, מה מנתקים קודם, איך מבודדים, מתי מערבים גורמים חיצוניים. מפעל א' הפעיל תרחיש כתוב; מפעל ב' התחיל לחשוב מאפס כשהקו כבר עמד.
• תרגול שוטף · וזו הנקודה שהכי קל לפספס: תוכנית על הנייר שלא תורגלה שווה מעט מאוד ברגע האמת. מפעל א' תרגל מראש, אז כשזה קרה, הצוות פעל מתוך שריר ולא מתוך פאניקה. זה ההבדל בין "יש לנו תוכנית במגירה" ל"הצוות יודע מה לעשות".

שלושת אלה, מדיניות, תוכנית ותרגול, הם הליבה של ניהול אבטחת מידע מקצועי, כפי שמגדירות מסגרות בינלאומיות כמו CISM CISM · Certified Information Security Manager הסמכה בינלאומית מובילה לניהול אבטחת מידע, המתמקדת באסטרטגיה, ניהול סיכונים ותגובה לאירועים. . הם לא נבנים ביום המתקפה. הם נבנים מראש, וזה בדיוק מה שניהול סייבר רציף מספק: לא תגובה אחרי, אלא מוכנות לפני.

מה כל זה אומר עליך

אם קראת את שני הסיפורים ותהית "באיזה מפעל אני?", זו בדיוק השאלה הנכונה. רוב היצרנים הבינוניים נמצאים קרוב יותר למפעל ב' ממה שהם חושבים, לא כי הם רשלנים, אלא כי אין להם מישהו שתפקידו לחשוב על זה ברציפות. צוות ה-IT עסוק בלהשאיר את הדברים עובדים; אבטחה רציפה היא דיסציפלינה אחרת.

הדברים שהצילו את מפעל א' לא היו יקרים או אקזוטיים: אימות דו-שלבי, הפרדת רשתות, גיבוי מבודד, ותוכנית תגובה כתובה ומתורגלת. כל אחד מהם הוסבר בהרחבה בפוסטים הקודמים שלנו, על OT מול IT, על סיכוני הסייבר במפעלי ייצור, ועל חובות תיקון 13. מה שמחבר את כולם הוא מישהו שמסתכל על התמונה המלאה ומחליט מה לעשות קודם.

← OT מול IT: מה ההבדל ולמה זה קריטי

← סיכוני הסייבר במפעלי ייצור

← חובות תיקון 13: מה לעשות

אתה לא צריך להחליט היום אם אתה מפעל א' או מפעל ב'. אתה צריך לדעת. הצעד הראשון הוא תמונת מצב: איפה הפערים, מה מחובר למה, ומה ייתן לך את ההגנה הגדולה ביותר ראשון. משם בונים, בקצב שלך, את המוכנות שעושה את ההבדל בין שני הסיפורים.

← באיזה מפעל אתה? קבע שיחת היכרות (30 דק', בחינם, ללא מחויבות)

תוכן זה הוא מידע כללי ואינו מהווה ייעוץ אבטחת מידע פרטני. לבחינת המוכנות של הארגון שלך מומלץ להיוועץ בגורם מוסמך.