חוסן סייבר לתשתיות קריטיות במסגרת חוק SOCI של אוסטרליה

חוק SOCI (אבטחת תשתיות קריטיות) האוסטרלי שינה את האופן שבו גופים אחראיים מנהלים סיכונים סייבר ותפעוליים. החוק מעביר את הדגש מתיאום מדיניות ברמה גבוהה לעמידות תפעולית הניתנת להוכחה, הנתמכת בשיטות מוכחות לניהול סיכונים.

התיקונים האחרונים מחזקים את ציפיית ממשלת אוסטרליה כי בעלי תשתיות קריטיות יעברו ממסגרות סטטיות לאמצעי בקרה מעשיים ותפעוליים, במיוחד בתחום אבטחת הסייבר ואבטחת המידע.

על פי חלק 2A לחוק SOCI, על הגופים האחראיים להקים, לנהל ולפעול בהתאם לתוכנית CIRMP (תוכנית לניהול סיכונים בתשתיות קריטיות). דרישה זו חלה על כל המגזרים, לרבות:

תוכנית ה-CIRMP מחייבת ארגונים לטפל בסיכונים בארבעה תחומי סיכון. כל תחום סיכון מחייב אמצעי בקרה הניתנים לאכיפה ולביקורת, אשר מצמצמים את הסיכון המהותי לנכסי התשתית הקריטית.

גורמי הסיכון כוללים:

1. אבטחת סייבר ואבטחת מידע
2. כוח אדם
3. שרשרת האספקה
4. אבטחה פיזית

הסעיפים הבאים מתארים כיצד קטגוריות סיכון אלה מתורגמות לאמצעי אבטחה תפעוליים בסביבות של תשתיות קריטיות.

ה-CIRMP מחייב ארגונים ליישם אמצעי בקרה שמצמצמים סיכוני סייבר משמעותיים העלולים לפגוע בזמינות, בשלמות או באמינות של נכסי תשתית קריטיים. איומי סייבר נפוצים כוללים פישינג, תוכנות זדוניות, תוכנות כופר ומתקפות מניעת שירות.

איומים מבוססי קבצים נותרים אחד ממקורות הגישה הראשוניים הנפוצים ביותר. על ארגונים להבטיח אבטחה של תהליכי העלאה, הורדה, העברה והכנסה של קבצים לסביבות IT ו-OT כאחד.

MetaDefender OPSWAT נועד למנוע איומים המועברים באמצעות קבצים בטרם יגיעו למשתמשים או למערכות קריטיות. הוא משתלב בתשתית הקיימת כדי לבדוק העלאות, הורדות, קבצים מצורפים לדוא"ל והעברות קבצים, מבלי לשבש את תהליכי העבודה התפעוליים.

MetaDefender Core בטכנולוגיות זיהוי מרובות כדי לתמוך בבדיקה רב-שכבתית, כולל:

• טכנולוגיית הסריקה המרובה Metascan™ הכוללת יותר מ-30 מנועי הגנה מפני תוכנות זדוניות
• זיהוי מבוסס חתימות, היוריסטי ומבוסס למידת מכונה
• זיהוי יום אפס לפני ביצוע, המונע על ידי בינה מלאכותית ומבוסס על למידת מכונה
• ניתוח מוניטין קבצים וניתוח חתימות

במקרה של איומים לא ידועים ואיומים מסוג "יום אפס", טכנולוגיית Deep CDR™ מבצעת ניקוי קבצים מעמיק כדי להסיר באופן רקורסיבי איומים מוטמעים כגון סקריפטים, מאקרו ותכנים שאינם תואמים למדיניות, ולאחר מכן מייצרת מחדש קבצים בטוחים ושמישים תוך שמירה על תפקודיות העסק.

ניתוח Adaptive מאפשר תצפית התנהגותית בסביבה מבוקרת. Proactive DLP™ בודק את תוכן הקבצים כדי לאתר מידע רגיש ולבצע פעולות המבוססות על מדיניות, כגון מחיקה, השחרה או הוספת סימן מים לתוכן, לפני שהקבצים מועברים למשתמשים או למערכות.

יכולות בדיקה נוספות כוללות:

• אימות סוג הקובץ האמיתי
• חילוץ ארכיונים וסריקה רקורסיבית
• File-based vulnerability assessment
• מניעת אובדן נתונים ובדיקת תוכן

יכולות אלה תומכות ביעדי CIRMP באמצעות:

• צמצום התלות בטכנולוגיית זיהוי אחת בלבד
• איתור ומניעת מתקפות "יום אפס"
• הפקת ראיות הניתנות לבדיקה בנוגע לבדיקת נאותות בזיהוי איומים

על פי תוכנית ה-CIRMP, סיכונים הנובעים מכוח אדם כוללים סיכונים הנגרמים על ידי עובדים, קבלנים, קבלני משנה, מתמחים ואנשים אחרים בעלי גישה לנכסי תשתית קריטיים. על הארגונים לבחון מי נחשב לעובד חיוני, איזו רמת גישה יש לו, והאם גישה זו עלולה להוות סיכון מהותי.

אמצעי אחסון נשלפים ומכשירים ניידים נותרים אמצעי תפוצה נפוצים להחדרת תוכנות זדוניות לסביבות OT, במיוחד ברשתות מנותקות או מופרדות. ללא אמצעי בקרה הניתנים לאכיפה, נתיבים אלה עלולים לעקוף את מערכות ההגנה ההיקפיות.

MetaDefender MetaDefender Media נועדו לאכוף בקרות אבטחה בנקודות הכניסה של המדיה ובשכבת ממשק האדם-מכונה (HMI).

MetaDefender Kiosk של הסריקה והחיטוי של אמצעי אחסון נשלפים לפני שהקבצים מורשים להיכנס לסביבות מאובטחות. הוא אוכף מדיניות אבטחה שהוגדרה מראש ומייצר יומני רישום לתמיכה בדרישות הביקורת.

MetaDefender Media Firewall בדיקה מובנית ואכיפת מדיניות עבור העברת נתונים בין רשתות, כולל מקטעי OT. הוא מונע מקבצים בלתי מורשים או מסוכנים לחדור למערכות קריטיות.

אמצעי בקרה אלה תומכים בדרישות הבטיחות של כוח האדם ב-CIRMP באמצעות:

• צמצום הסיכון לפעילות זדונית או רשלנית מצד גורמים פנימיים
• אכיפת טיפול מאובטח במדיות נשלפות ברשתות OT
• הגבלת השימוש במכשירים שלא אושרו
• שיפור השקיפות לגבי מי מעלה קבצים ומתי

חוק SOCI מגדיר במפורש את הסיכונים בשרשרת האספקה כקטגוריית סיכונים מהותית במסגרת תוכנית ה-CIRMP. על הגופים האחראים לטפל בסיכונים הנובעים מספקים, קבלנים, יצרני ציוד מקורי (OEM) וספקי שירותים חיצוניים.

חשיפה בשרשרת האספקה עשויה לנבוע מהגורמים הבאים:

• נקודות קצה של צד שלישי המתחברות לרשתות קריטיות
• דרכי גישה מרחוק לסביבות OT
• מכשירים ניידים שהובאו לאתר על ידי קבלנים
• Software ופעולות תחזוקה

מפעילי תשתיות קריטיות רבים מסתמכים על קישוריות מרחוק לצורך ניטור נכסים, ביצוע אבחונים וביצוע שדרוגים באתרים מבוזרים או אזוריים. ללא אמצעי בקרה מתאימים, נתיבי גישה אלה עלולים להוביל לחדירת איומי סייבר לסביבות רגישות, לרבות רשתות OT מנותקות או מחוברות חלקית.

OPSWAT MetaDefender MetaDefender Access™ נועדו להפחית את הסיכון הנובע מאינטראקציות של צד שלישי עם מערכות קריטיות.
MetaDefender Drive ומעריך מחשבים ניידים, מחשבים שולחניים ושרתים זמניים מחוץ למערכת ההפעלה המארחת, לפני שהם מתחברים לסביבות מאובטחות. הוא מזהה תוכנות זדוניות, מאתר נקודות תורפה ומאמת את תקינות המכשיר, כדי להבטיח שרק מערכות מהימנות יורשו להיכנס לרשתות מבוקרות או מנותקות.

MetaDefender OT Access פתרון גישה מרחוק מאובטח, שתוכנן במיוחד עבור סביבות OT ו-CPS (מערכות פיזיות-קיברנטיות). הפתרון מאפשר קישוריות מבוקרת עבור צדדים שלישיים ועובדים מרחוק, תוך אכיפת בקרות גישה מדויקות ומדיניות לניהול הפעלות.

יכולות אלה תומכות בדרישות CIRMP בנוגע לסיכונים בשרשרת האספקה באמצעות:

• הגנה על מערכות קריטיות מפני הפרעות או שיבושים הנגרמים באמצעות נכסי צד שלישי
• הגבלת הגישה למערכות ולפונקציות מורשות
• שיפור השקיפות בכל הנוגע לאינטראקציות של ספקים וקבלנים עם תשתיות קריטיות

איומים פיזיים וסביבתיים נותרים מרכיב מרכזי בתוכנית ה-CIRMP. בסביבות התשתית הקריטית המודרניות, האבטחה הפיזית משתלבת יותר ויותר עם הסיכונים הקיברנטיים, במיוחד כאשר מערכות OT מסתמכות על זרימת נתונים מבוקרת בין רשתות IT ו-OT.

בסביבות רבות של תשתיות קריטיות פועלות מערכות OT ישנות, שבהן לא ניתן לפרוס כלי אבטחה מסורתיים לנקודות קצה. כתוצאה מכך, יש ליישם אמצעי אבטחה בגבולות הרשת ובנקודות העברת הנתונים.

הנחיות רגולטוריות ותקני תעשייה ממליצים בדרך כלל על שימוש בשערים חד-כיווניים, המכונים גם "דיודות נתונים", כדי להגן על רשתות OT רגישות. אמצעי בקרה אלה אוכפים זרימת נתונים חד-כיוונית כדי למנוע גישה בלתי מורשית, הזרקת פקודות או הוצאת נתונים ממערכות קריטיות.

MetaDefender אוכפת העברת נתונים חד-כיוונית מבוססת חומרה. באמצעות מניעה פיזית של תעבורה בכיוון ההפוך, היא מבטלת את הסיכון להתקפות נכנסות מבוססות רשת בסביבות מקוטעות.

כאשר היא מיושמת במסגרת ארכיטקטורת DMZ (אזור מפורז) ומשולבת עם בקרות חומת אש רב-שכבתיות, גישה זו תומכת ב:

• הפחתת הסיכון להפצת תוכנות זדוניות בין רשתות IT ו-OT
• הגנה מפני גישה מרחוק בלתי מורשית למערכות קריטיות
• שמירה על המשכיות תפעולית
• תכנון רשת המודע לסיכונים באופן מובהק, בהתאם לעקרונות ה-CIRMP

באמצעות בקרה על אופן העברת הנתונים בין אזורי אמון, ארגונים יכולים לחזק את החוסן הפיזי והסייבר בסביבות שבהן הזמינות והבטיחות הן קריטיות.

חוק SOCI האוסטרלי ותוכנית ה-CIRMP מייצגים שינוי משמעותי בציפיות הרגולטוריות. על הגופים האחראיים לחרוג מהצהרות כוונות בלבד ולהוכיח כי אמצעי בקרת הסיכונים מיושמים בפועל ומשופרים באופן מתמשך.

הרגולטורים מצפים מהארגונים להוכיח כי אמצעי הבקרה:

• בהתאם לרמת החשיבות של הנכס ולפרופיל האיומים
• משולב בתהליכי העבודה התפעוליים
• בתמיכת רישום, ניטור ופיקוח על הניהול
• מסוגל לעמוד בבדיקה קפדנית מצד הדירקטוריון והרגולטורים

CIRMP אינה מסגרת תאימות סטטית. היא מחייבת בקרות מונעות, ניתנות לאכיפה וניתנות לביקורת בכל הקשור לאיומים בתחום הסייבר, כוח האדם, שרשרת האספקה והסכנות הפיזיות.

אבטחה מונעת ממלאת תפקיד מרכזי בעמידה בציפיות אלה. אמצעי הבקרה חייבים לפעול בנקודות כניסה נפוצות, על פני גבולות ה-IT, ה-OT וה-ICS, וכן בתוך נתיבי האינטראקציה עם צדדים שלישיים. כמו כן, עליהם לספק את השקיפות והראיות הנדרשות לתמיכה בממשל תאגידי, בביטחון ובמעורבות רגולטורית.

ההתמקדות OPSWATבהגנה על תשתיות קריטיות תומכת באופן ישיר בדרישות התפעוליות והרגולטוריות של חוק SOCI האוסטרלי. יישום אמצעי בקרה טכניים הניתנים לאכיפה במסגרת תוכנית CIRMP מחזק הן את רמת הציות לתקנות והן את החוסן בפועל.

בסביבות של תשתיות קריטיות, אבטחה מונעת אינה דבר אופציונלי. היא מהווה בסיס לשמירה על הזמינות, הבטיחות ואמון הציבור. כדי ללמוד כיצד להתאים את אסטרטגיית ה-CIRMP שלכם לאמצעי בקרה מונעים הניתנים לאכיפה, פנו למומחה OPSWAT .