בשנים האחרונות, מתקפות סייבר על מתקני שפכים בארה"ב הדגישו עד כמה פגיעה יכולה להיות טכנולוגיה תפעולית. בתחילת 2024, ערים רבות בטקסס חוו גישה מרחוק למערכות ה-SCADA שלהן על ידי תוקפים, מה שאף גרם למיכל מים לעלות על גדותיו לפני שהצוות החזיר לעצמו את השליטה. תקרית דומה בטיפטון, אינדיאנה, אילצה את המפעילים לעבור לפעולות ידניות לאחר שזוהתה פעילות לא סדירה במערכות המפעל. אירועים אלה הדגישו את הסיכונים הכרוכים בחיבור תשתית טיפול לרשתות ארגוניות או רשתות הפונות לאינטרנט וחיזקו מדוע חברת שירות זו לא יכלה להתפשר על שמירת מערכות ה-OT שלה ללא מרווח אוויר.
היכן שביטחון ונראות מתנגשים
הבנת נתוני היסטוריון
היסטוריון של AVEVA הוא מסד נתונים תעשייתי מיוחד שנועד ללכוד ולאחסן נתונים בנפח גבוה, בסדרות זמן, ממערכות OT כגון חיישנים, בקרים ופלטפורמות SCADA. ברמת המתקן, היסטוריון מקומי רושם נתוני עיבוד (המידע התפעולי הגולמי שנוצר על ידי מערכות בקרה וחיישנים תעשייתיים) עבור מפעילים, ומבטיח שהם יכולים לנטר ציוד ופעילות טיפול בזמן אמת.
היסטוריון ארגוני ברמה 1 ממלא תפקיד שונה: הוא אוסף עדכוני היסטוריון ממספר מתקנים, ומעניק לצוותי הארגון תצוגה מאוחדת לדיווח, ניתוח ותכנון. האתגר מתעורר כאשר יש צורך להעביר נתונים מהיסטוריונים מקומיים אלה לרמת הארגון מבלי לפתוח נתיב חזרה למערכות OT קריטיות.
האתגר של Secure שיתוף נתונים
באחד ממתקניה, חברת החשמל הייתה צריכה להעביר נתונים מהיסטוריון מקומי של AVEVA להיסטוריון דרגה 1 ברשת הארגונית שלה. נתונים אלה היו חיוניים לניטור ודיווח ברמת הארגון, אך קישוריות האינטרנט של רשת הארגון הפכה את האינטגרציה הישירה ללא בטוחה.
שמירה על בידוד מערכות OT הייתה חיונית, מכיוון שכל נתיב חזרה לסביבת הבקרה עלול לספק וקטור לתקיפה. יחד עם זאת, השארת ההיסטוריונים בידוד הגבילה את יכולתו של הארגון לשתף תובנות בין מיקומים ולשפר את היעילות. האתגר היה להשיג את שתי המטרות: לשמור על הפרדה קפדנית תוך מתן אפשרות לנראות בזמן אמת.
חומות אש וכלים מבוססי תוכנה אחרים לא הספיקו. הם לא יכלו להבטיח תקשורת חד-כיוונית, דרשו תחזוקה שוטפת, ועדיין חשפו נכסים קריטיים לסיכון. לכן, הארגון נזקק לפתרון שיאכף בידוד פיזי תוך מתן אפשרות לנתונים חיוניים לנוע החוצה.
יצירת Secure נתיב לנתונים בזמן אמת
חברת החשמל פנתה אל OPSWAT ונפרס MetaDefender Optical Diode (Fend) יחד עם פלטפורמת התוכנה eRIS. eRIS הוא כלי ניהול ודיווח נתונים הנמצא בשימוש נפוץ במגזר המים לתרגום ומסירת נתוני Historian בצורה מאובטחת, מה שהופך אותו למתאים באופן טבעי לפריסה זו.
MetaDefender Optical Diode (Fend) הוא התקן אבטחת סייבר מבוסס חומרה המשתמש בבידוד אופטי כדי להבטיח תקשורת חד-כיוונית. בתכנון, הוא חוסם פיזית כל תעבורה נכנסת כדי למנוע גישה מרחוק או חדירת תוכנות זדוניות, וההגנות המובנות שלו מפני מניעת שירות, שיבוש ותנודות בחשמל מסייעות להבטיח שנתוני Historian ימשיכו לזרום בצורה אמינה גם תחת לחץ.
כך עבדה הפריסה:
- התקנת eRIS: תוכנת eRIS הותקנה כשירות Windows בשרת OT AVEVA הקיים, ותרגמה את נתוני Historian לפורמט חד-כיווני.
- בידוד אופטי: לאחר מכן הנתונים עברו בצורה מאובטחת דרך MetaDefender Optical Diode (Fend), שאכפה העברה חד-כיוונית עם בידוד אופטי ברמת החומרה.
- תמיכה בפרוטוקולים: המכשיר תומך באופן טבעי הן בפרוטוקולי IT סטנדרטיים כגון FTP, SFTP, TCP ו-UDP, כמו גם בפרוטוקולים תעשייתיים כמו Modbus ו-BACnet, מה שהופך אותו למתאים במיוחד להעברת נתונים של Historian.
- המרה לארגון: בצד הארגוני, מרכז ה-eRIS המיר את המידע בחזרה לפורמט AVEVA והכין אותו להטמעה במערכת Historian Tier 1.
מעיכובים ידניים לתובנות מיידיות
עם הארכיטקטורה החדשה, חברת החשמל כבר לא הייתה צריכה לבחור בין נראות לאבטחה. מפעילי מתקן הטיפול יכלו לצפות בנתונים מופיעים ב-Historian הארגוני כמעט באופן מיידי, תוך ידיעה ששום דבר לא יוכל לזרום חזרה לסביבת הבקרה. מה שבעבר דרש פתרונות זהירים (איסוף ידני, דיווח מושהה) קרה כעת באופן אוטומטי, מה שנותן הן לצוותי התפעול והן לצוותי הארגון ביטחון במידע שהם משתמשים בו מדי יום.
יתרונות עיקריים
זמן שנחסך בפעילות היומיומית: במקום להמתין לאיסוף ושיתוף ידניים של נתונים, הצוות יכול היה להסתמך על זרם קבוע של מידע מוכן לניתוח.
שקט נפשי לצוותי אבטחה: ההעברה החד-כיוונית שנכפתה על ידי חומרה גרמה לכך שגם אם רשת הארגון נפגעה, מערכות ה-OT נותרו ללא שינוי.
נראות טובה יותר ברחבי הארגון: צוותי הארגון השיגו את הנראות הדרושה להם מבלי להפריע או להעמיס על צוות המתקן.
קל לשכפול בין מתקנים: עם פריסה פשוטה ודורשת תחזוקה נמוכה, חברת החשמל תוכל לשכפל את אותו מודל במתקנים אחרים בכל עת שיידרש.
לראשונה, הארגון יכל לראות את התמונה המלאה של פעילותו בזמן אמת, תוך ידיעה שהמערכות הקריטיות ביותר שלו עדיין מוגנות על ידי פער אוויר אמיתי.
בניית עתיד של Secure פעולות מים
עם העברות נתונים מאובטחות של Historian, חברת החשמל ממוצבת להרחיב את אותו מודל לחלקים אחרים של פעילותה. ניתן לשלב מתקני טיפול נוספים, תחנות שאיבה ומערכות ניטור ברשת הארגונית מבלי לחשוף סביבות OT לאיומים חיצוניים.
הפריסה גם מניחה בסיס לאימוץ שיטות חדשות של ניתוח ותאימות. צוותים ארגוניים יכולים לבנות על זרמי נתונים אמינים בזמן אמת כדי לשפר את הדיווח, לתמוך בתחזוקה חזויה ולהגיב מהר יותר לשינויים תפעוליים. במקביל, מערכות OT נותרות מוגנות על ידי בידוד נאכף חומרה, ומגנות על שירותים חיוניים מפני סוגי מתקפות סייבר ששיבשו מתקני מים ושפכים ברחבי ארצות הברית.
על ידי שילוב של נראות בזמן אמת עם אבטחה בלתי מתפשרת, חברת החשמל יצרה גישה שלא רק עונה על הצרכים של היום, אלא גם מוכנה לדרישות עתידיות בהגנה על תשתיות קריטיות.
למידע נוסף על איך MetaDefender Optical Diode (Fend) יכולה להגן על המתקן שלך תוך שמירה על בידוד מאובטח של מערכות חיוניות.
