מים נט פורטל מקצועי למים.
מחברים: שי שובל, מנהל מערכות מידע (CIO) הגיחון; דניאל ארנרייך, יועץ SCCE
פרסום
אחד הגורמים המשפיעים על רווחתם של האזרחים במדינה תלוי בפעולה תקינה של מערכות מים וביוב. חברת הגיחון היא תאגיד אזורי למתן שירותי מים וביוב לכמיליון איש, תושבי אזור ירושלים רבתי. התושבים באזור אינם יכולים לשרוד יותר מכמה שעות ללא פעולה תקינה של תשתיות קריטיות אלה. איומי תקיפה קיברנטית על מערכות אלה באם מתרחשות במכוון או על ידי פעולה שגויה, הפכו את ההגנה על תשתיות אלה לעדיפות ראשונה של מדינת ישראל, וגם עבור ההנהלה של חברת הגיחון.
סקירה
חברת הגיחון בע"מ היא תאגיד הביוב והמים של ירושלים שמפעילה כ-50 מתקני מים וביוב (מאגרי מים, תחנות שאיבה, תחנות לדחיפה לביוב, מווסתי לחץ, ניטור של איכות המים, וכו') הממוקמים במקומות מפוזרים גיאוגרפית ברחבי העיר (www.hagihon.co.il). התקשורת עם מתקנים אלה מופעלת בעיקר על ידי רשת אלחוטית, והמתקנים נשלטים על ידי מערכת פיקוד ובקרה (פו"ב) הידועה בשם Supervisory Control and Data Acquisition- SCADA.
המומחים בתחום מערכות פו"ב מודעים היטיב לכך שלא קיים פתרון יחיד שיכול לספק הגנה קיברנטית מושלמת. בנוסף, מהנדסי פו"ב בחברת הגיחון הבינו שביצוע הרחבות רשת מצטברות, שיתאימו לצרכים עתידיים בסביבה עירונית דינמית, דורשות פריסה הדרגתית של מגוון פעולות כדי להבטיח המשכיות תפעולית של המערכות (business continuity) והיערכות לאירועים בלתי צפויים. כמו כן, מנגנוני הגנה קיברנטית מתקדמים חייבים להיות מיושמים במערכת פו”ב הקיימת מבלי שיגרמו לשינויים משמעותיים ויקרים, ויסתפקו בשדרוגים והוספת פתרונות הגנה.
מאמר זה (Case study) מדגיש את אתגרי האבטחה הקיברנטית שיושמו על ידי צוות חברת הגיחון, ומציג תהליכים מקובלים (Best Practices) להטמעה יעילה של הגנה קיברנטית עבור מערכות פו"ב למתקני מים וביוב.
סיכונים מערכת פו”ב
הוספת אבטחה קיברנטית למערכות פו”ב דורשת סקירה מפורטת של החומרה ומערכת ההפעלה, רכיבי התקשורת ותוכנות יישום (application program). לפני הגדרת הפתרון הטכני להגנה קיברנטית יעילה למהנדסי חברת הגיחון היה חשוב ללקט ולנתח את רשימת האיומים והסיכונים הנלווים לפעולה תקינה ורציפה של מערכת פו"ב למתקני המים והביוב.
מערכת הפו”ב של חברת הגיחון מורכבת ממרכז בקרה יחיד (Human Machine Interface-HMI) מבוסס על MS WindowsTM , מערכת בקרה (HMI) נפרדת למקרה חירום (Disaster Recovery -DR), רכיבי תקשורת אלחוטית לבקרה מרחוק, מגוון בקרים (Programmable Logic Controller- PLC, Remote Terminal Units – RTU) ורשת תקשורת תפעולית (Operation Technology-OT) המשלבת תשתית פיזית ואלחוטית. בעבר המבנה של מערכת הפו"ב התמקדה בהשגת אמינות ובטיחות (safety and reliability), ובמהלך הזמן החומרה ומערכת ההפעלה הפכו למיושנות. מערכת הפו”ב של חברת הגיחון בדיוק כמו רוב מערכות פו"ב ברחבי העולם, הפכו לפגיעות לאיומי תקיפה קיברנטית שפותחו לאחרונה, הידועות בשם איום מתקדם מתמיד .(Advanced Persistence Threat-APT) בין הסיכונים הידועים נכלל גם הסיכון להחדרת נוזקה (malware) מתוך שרשרת האספקה, כגון מניפולציות בעת התיקון של יחידות אלקטרוניות.
מומחי חברת הגיחון החלו את המלאכה על ידי זיהוי סיכונים הקשורים לאספקת מים ותפעול מערכת הביוב שנבעו מניצול עוין של נקודות תורפה קיברנטית (cyber vulnerability exploit) במערכת פו”ב:
א) שינוי זדוני של פרמטרים תפעוליים במטרה לגרום להפרעה בתפקוד הרשת
ב) יצירת הפרעה לניטור איכות מים ונתונים – וכך לגרום הפסקה מידית של אספקה
ג) חסימת זרימה של המידע למרכז הבקרה- כך לשבש את תהליכי אופטימיזציה
ד) יצירת הפרעה למערכות בקרת לחץ וגילוי דליפה – המביא לגידול פחת המים
נקודות של חדירה
בשלב השני זוהו האפשרויות לחדירות פיזיות וגרימת נזקים, הכוללים:
א) כניסה פיזית לא מורשה של אנשים לאתרים מרוחקים,
ב) התנהגות חסרת אחריות של עובדים המורשים להיכנס לאתרים אלה ולגשת להתקני הבקרה.
פרסום
יש לציין כי השמירה על תקשורת אמינה בין מרכז הבקרה (HMI) ובין המתקנים המרוחקים היא קריטית, אולם הפרעה קצרה לא צפויה לגרום להפסקה בתפעול המערכת ורק עלולה להנמיך רק במעט את יעילות הפעולה. בעוד שהשימוש ברשתות ציבוריות, כגון נתב לנקודת הגישה (Access Private Network-APN) בין רשת סלולרית ורשת תקשורת פיזית, נוח וחסכוני הוא בהחלט מגדיל את הסיכון של תקיפה קיברנטית.
אבטחת מערכת פו"ב
עם הבנה ברורה של נקודות התורפה הרלוונטיות והאיומים על המערכת, ההערכה היא כי לא קיים אמצעי הגנה יחיד ("there is no silver bullet") המספק אבטחה קיברנטית מוחלטת לכל מערכת פו”ב. משכך חברת הגיחון אימצה את הגישה של הגנה שכבתית (layered defense). פריסה של הגנה שכבתית היא גם הגנה מאתגרת עבור התוקפים כי הם חייבים להתגבר על רבדי הגנה נוספים כדי לבצע גישה לא מורשית לאתר ולמערכת הפו"ב. חלק משכבות האבטחה פרוסים כיום בחברת הגיחון, בעוד שאחרים בשלבי בחינה:
- א. אמצעי אבטחה פיזיים (מצלמה, בקרת גישה) לכלל האתרים המרוחקים וכמובן על מרכז הבקרה מפני גישה לא מורשית, ופעילות עוינת של אנשים בעלי מורשות.
- ב. הקשחה אפקטיבית (חסימה /השבתה) של יציאות התקשורת במחשבים המורשים להתקשר עם מערכות הפו”ב התקני התקשורת והבקרים במתקנים (,Bluetooth ,Wi-Fi אינפרה אדוםPCMCA, USB , )
- ג. דבקות לנהלים ולמדיניות האבטחה הקיברנטית של החברה הקשורה להקפדה על סיסמאות מורכבות, שימוש בלעדי במחשבים ספציפיים ובפרוטוקולים ייעודיים לצורך חיבור לרשת OT למטרות תחזוקה פנימית.
- ד. הפרדת פריסה ובנייה של הרשת באמצעות מכשירי חומת אש מתקדמים (network zoning) . חיבורים מאובטחים באמצעות מתגים מנוהלים מתקדמים המספקים אבטחה משופרת עבור כל החיבורים לרשת.
- ה. שליטה על הגישה לבקרים במגוון רחב של אמצעי אימות (authentication). אמצעים אלה משלבים הגנה על הגישה הפיסית לאתר המרוחק וגישה לבקרים.
- ו. חומת אש מסוג stateful Inspection משמשת כדי לבדוק תקשורת נכנסת ויוצאת ו מתאימה למערכות בקרה. היא מבצעת בדיקות אלה עם זמן אחזור קצר, על מנת להבטיח שתהליך הבקרה לא יפגע.
- ז. פרוצדורות למניעת התקנת תוכנות לא מורשות (white listing ), המבטיחה שלא יותקן אף יישום לא מורשה שעלול להכיל קוד תוכנה על כל אחד מהמרכיבים הקשורים למערכת פו”ב.
- ח. מערכות אנומאליה לגילוי תהליכים חריגים (Anomaly Detection) מתאימות למערכות פו”ב כיוון שהן אינן דורשות ידע מראש של תהליך ההתקפה. יש לשים לב לכך שמערכות פשוטות אינן יעילות כיוון שהפרמטרים התפעוליים משתנים כל הזמן.
- ט. מערכת לגילוי חדירות למתקנים תעשייתיים Industrial Intrusion Detection System-IIDS) ) לומדת את ההתנהגות של התקשורת התקינה וכך יכולה לזהות אנומאליה בפעולה של מערכות הפו"ב. תהליך זה עשוי לעזור במניעת תקיפה מסוג (Denial of Service – DOS) ו גם התקפות מתוגברות Distributed DoS – DDoS)).
- י. שימוש בתקשורת חד-כיוונית (Unidirectional Security Gateway) להעברת נתונים מרכז הבקרה לצורך איסוף נתונים וניהול דו"חות מבלי לסכן את מסד נתונים ותפעול תקין של מערכת הפו”ב.
- שימוש במגוון סוגים של טכנולוגיות תקשורת אלחוטיות ופיסיות. כאשר מתמודדים עם רשת נתונים רחבה (broadband networks), חשוב להפעיל ערוצים מאובטחים עם אימות והצפנה (authentication & encryption) ברמה גבוהה, במטרה למזער את הסיכון של תקיפה מסוג אדם באמצע (Man in the Middle-MitM) .
- איסוף נתונים למערכת המרכזת אירועים (System Logs-Syslog), והעברתם למערכת לניהול אבטחת אירועים (Security Operation Center-SOC) שבאמצעותה ניתן ליצור התראות לגבי אבטחה קיברנטית.
סיכום
שירותי אספקת המים וניהול מערכת הביוב נחשבים תשתיות קריטיות, כיוון שהם משפיעים ישירות על הרווחה ובריאות של האוכלוסייה. עם השדרוג של יכולות התקיפה הקיברנטית באמצעות תוקפים המופעלים על ידי מדינות וארגונים עוינים, האתגרים להגנת מערכת פו”ב על מתקני המים והביוב, הידועה כלא עדכנית (legacy system) בטכנולוגיה, הפכו להיות מורכבים ביותר.
כאשר עושים הערכה לגבי האיומים ובו בזמן מתחשבים במציאות של מגבלות ואילוצים כספיים, הנהלת הגיחון אימצה גישת הגנה שכבתית. גישה זו משלבת מגוון רחב של פתרונות טכניים – כל אחד ממוקד על רובד נפרד ונקודות התורפה במערכת פו"ב וגם ברשת התפעולית (OT) וכך מיישמת מתודולוגיות הטובות ביותר. הנהלת הגיחון ממשיכה בגישה זו בוחנת פתרונות נוספים לשיפורים בעתיד.
