מדוע החלטות ביטחוניות אוטונומיות שאינן נתונות לפיקוח מהוות סיכון בתשתיות קריטיות

• האוטומציה היא מרכיב חיוני בתהליכי העבודה המודרניים של התקנת תיקונים, קביעת סדר עדיפויות לפגיעויות, ניטור תצורות ותיקון תקלות.

• ביצוע פעולות אבטחה אוטונומיות ללא פיקוח, לרבות פריסת תיקונים, שינויי תצורה או תיקון אוטומטי, טומן בחובו סיכון תפעולי בסביבות שבהן השבתה עלולה לגרור השלכות בטיחותיות או כלכליות.

• שינוי שבוצע בזמן הלא נכון ברשת חשמל, בקו ייצור או ברשת ביטחונית אינו מהווה אי-נוחות קלה. זהו אירוע.

• שלוש מסגרות מנחות את התחום הזה: NERC CIP (אנרגיה/שירותים ציבוריים), IEC 62443 (מערכות בקרה תעשייתיות) ו-NIST SP 800-82 (אבטחת ICS). שלושתן מדגישות את הצורך באישור מתועד, אימות, בדיקה ואחריות על שינויים בתחום האבטחה.

• תהליכי עבודה אוטונומיים יכולים לתמוך בממשל תאגידי כאשר שלבי אישור, מדיניות ורישומי ביקורת משולבים בתהליך. הם הופכים לנטל כאשר "המערכת החליטה" מחליפה את האישור האנושי האחראי.

• ה-AI מספק את הערך הרב ביותר בשכבת הניתוח: ממצאים המדורגים לפי רמת סיכון, התראות על סטיות בתצורה, רשימת תיקונים לפי סדר עדיפות — ולא בשכבת הביצוע.

• המודל היעיל: הבינה המלאכותית מציגה מידע, בני האדם מאשרים את הפעולה, וכל שינוי נרשם תחת זהות אחראית.

תיקון תוכנה מותקן מחוץ לחלון התחזוקה בתחנת משנה. כלל בחומת האש משתנה על ידי מערכת תיקון אוטומטית במהלך מחזור ייצור. שינוי בתצורה מתפשט ברחבי רשת OT מבוזרת לפני שמפעיל כלשהו בודק אותו.

התרחישים שונים זה מזה, אך דפוס הכשל זהה: מערכת אוטומטית פעלה ללא אישור אנושי, וכאשר מישהו הבחין בכך, השינוי כבר הגיע לסביבת הייצור.

האוטומציה הפכה כיום למרכיב חיוני בפעולות האבטחה המודרניות, במיוחד לאור קיצור משך הזמן של ניצול פרצות וחלונות הזמן לתיקון. הסיכון אינו טמון באוטומציה עצמה, אלא בביצוע אבטחה אוטונומי המיישם שינויים המשפיעים על הסביבה הייצורית ללא אישור אנושי אחראי, ללא הקשר תפעולי וללא תיעוד של תהליך האישור.

בסביבות של תשתיות קריטיות, החלטות אלו כרוכות בסיכון תפעולי, שפיקוח אנושי מובנה נועד למנוע.

הגל הנוכחי של פלטפורמות בינה מלאכותית בעלות יכולת פעולה עצמאית משקף את האופן שבו ביצוע אוטונומי מעצב מחדש את פעולות האבטחה, במיוחד בסביבות ה-IT הארגוניות שבהן המהירות היא מטרת התכנון העיקרית.

תשתיות חיוניות פועלות תחת אילוצים שונים בתכלית.

לא ניתן להפעיל מחדש ממסר הגנה ברשת חשמל באמצע מחזור. לא ניתן לבטל תוך שניות שינוי בתצורה של בקר לוגי מתוכנת (PLC) השולט בקו ייצור. שלב תיקון אוטומטי המופעל במהלך תהליך ייצור משפיע על תהליכים פיזיים, ולא רק על שרתים.

צוותי האבטחה בסביבות אלה צריכים לבחון את היכולות האוטונומיות לאור שאלה אחרת: לא "באיזו מהירות המערכת יכולה להגיב?", אלא "מי נושא באחריות כאשר המערכת טועה?"

לפני הביקורת הבאה שלכם לפי תקן NERC CIP או IEC 62443, ענו על השאלה הבאה: האם פלטפורמת האבטחה הנוכחית שלכם מייצרת תיעוד מתועד, הכולל חותמת זמן, המציין מי אישר כל שינוי אבטחה?

תקן NERC CIP-007 מחייב נהלי ניהול תיקונים ספציפיים עבור כל שינוי המבוצע בנכסי הסייבר במערכת החשמל המרכזית: הערכה מתועדת, ראיות לבדיקות ולוחות זמנים לפריסה. תקן IEC 62443-2-3 מגדיר את אחריות האישור לניהול תיקונים ולשינויי תצורה במערכות אוטומציה ובקרה תעשייתיות (ICS), לרבות מי נושא באחריות לכל פעולה. תקן NIST SP 800-82 קובע כי שינויים באבטחת מערכות ICS מחייבים הערכת סיכונים, בדיקות אימות ותיאום עם בעלי העניין התפעוליים לפני הפריסה, ולא לאחריה.

תהליכי עבודה אוטונומיים יכולים לתמוך במודל בקרה זה כאשר הממשל הארגוני משולב בתהליך באמצעות אישורים מבוססי מדיניות, מעגלי פריסה, בקרות על חלונות תחזוקה ויומני ביקורת מפורטים.

אך ביצוע אוטונומי אינו משתלב במודל זה כאשר הוא מסתיר את שרשרת האישורים. השינוי מתרחש, היומן מראה שהמערכת פעלה, והמבקר שואל מי אישר את הפעולה. כאשר אין אירוע אישור אנושי שניתן לייחס לו אחריות, הרישום אינו שלם.

פלטפורמות הנשלטות על ידי בני אדם, שבהן מתועדים שלבי ההרשאה, מייצרות תיעוד ביקורת. פלטפורמות אוטונומיות שאינן נתונות לפיקוח גורמות לאחריות משפטית.

פלטפורמות לניהול אבטחה מחזיקות מטבען בגישה מיוחדת. פלטפורמה המוסמכת להטמיע שינויי תצורה, לפרוס תיקונים ולנהל מדיניות במאות פריסות היא בדיוק סוג הנכס שתוקף ייתן לו עדיפות.

כאשר פלטפורמה זו פועלת באופן אוטונומי, שטח החשיפה להתקפות מתרחב באופן משמעותי. מערכת אוטונומית שנפרצה יכולה לבצע פעולות בהיקף נרחב בכל פריסה מחוברת, עוד בטרם יזהה המפעיל האנושי את הפריצה. התוקף יורש את סמכות הביצוע של הפלטפורמה ומשתמש בה בו-זמנית לניהול תיקונים, שינויים בתצורה ואכיפת מדיניות.

זה לא עניין תיאורטי. בתחילת שנת 2026, שלוש פרצות "יום אפס" קריטיות בפלטפורמת ניהול תיקונים נפוצה אפשרו הרצת קוד מרחוק ללא אימות בסביבות ארגוניות. הסוכנות לביטחון סייבר ותשתיות (CISA) סימנה את הפרצות הללו ופרצות דומות כ" פרצות שנוצלו" (Known Exploited Vulnerabilities ) המחייבות תיקון מיידי. פלטפורמה אוטונומית שנפרצה באמצעות פרצות כאלה יכולה להפיץ שינויים זדוניים לכל נקודת קצה מחוברת עוד לפני שתופעל אפילו התראה אחת.

פלטפורמה המחייבת אישור אנושי לפני ביצוע שינויים מגבילה את היקף הנזק. כאשר נדרש אישור אנושי לפני הביצוע, סביר להניח שפרטי הזדהות גנובים לבדם לא יגרמו לשינויים אוטומטיים בהיקף נרחב.

הטיעון נגד ביצוע אוטונומי ללא פיקוח אינו טיעון נגד בינה מלאכותית או אוטומציה בתחום האבטחה. הבינה המלאכותית מספקת את הערך הרב ביותר ברמות הנכונות: ניתוח, קביעת סדרי עדיפויות, תמיכה בתיאום ותמיכה בקבלת החלטות.

ההנחיות של CISA מדגישות באופן עקבי את פערי הנראות כאתגר מרכזי עבור ארגוני תשתית קריטית המנהלים נכסים מבוזרים. הבינה המלאכותית מטפלת בבעיה זו באופן ישיר: איסוף נתוני אירועים, יצירת קורלציה בין אותות בפריסות שונות, איתור סטיות בתצורה והצגת ממצאים מסודרים לפי סדר עדיפות לבדיקה אנושית. האנליסט הוא זה שעדיין מקבל את ההחלטות, אך הבינה המלאכותית מסייעת לו לעשות זאת במהירות רבה יותר, תוך הסתמכות על מידע איכותי יותר.

ניהול פגיעויות ותיקונים לפי דירוג סיכונים הוא התחום שבו היתרון הזה בא לידי ביטוי בצורה הבולטת ביותר. דירוג מהיר של מאות פגיעויות לפי מידת הניצול, חשיבות הנכס וחשיפה מספק לצוותי האבטחה רשימה מסודרת לפי סדר עדיפויות, שאותה הם יכולים ליישם במסגרת חלון התחזוקה, ולא זרם נתונים גולמי שהם נדרשים למיין בעצמם.

אותו עיקרון חל גם על חריגות בתצורה: מערכות ה-AI מזהות חריגות במאות נקודות קצה; בני האדם מחליטים אילו שינויים לבטל ומתי.

השאלה הרלוונטית בכל הנוגע ליכולת בינה מלאכותית בפלטפורמת אבטחה אינה "האם היא יכולה לפעול באופן אוטונומי?", אלא "האם היא מגבירה את היעילות של צוות האבטחה?"

מדובר בפילוסופיות עיצוב שונות, ובסביבות מפוקחות, להבחנה זו יש חשיבות.

ניהול אבטחה בפיקוח אנושי אינו מעיד על ניהול אבטחה איטי. הוא מעיד על ניהול אבטחה מובנה: הבינה המלאכותית חושפת מידע, האוטומציה מאיצה את תהליכי העבודה, ובני האדם מקבלים את ההחלטות. כל פעולה מתועדת תחת זהות שניתן לתת עליה דין וחשבון.

בפועל: לוח מחוונים מרכזי מאגד אירועי אבטחה, תאימות תיקוני תוכנה בנקודות קצה, תקינות התצורה וממצאי חריגות בכל הפריסות המחוברות. המנהלים בוחנים את הממצאים המדורגים לפי רמת הסיכון, מעריכים את ההקשר התפעולי (לרבות האם חלון תחזוקה פתוח כרגע באתר היעד, או האם שינוי בתצורה אומת ביחס לחומרה הספציפית הזו), ויוזמים פעולות באמצעות שלב אישור מכוון.

עבור ארגונים המנהלים סביבות מבוזרות, הדבר מצריך פלטפורמה המאפשרת גישה לכל פריסה מממשק יחיד, לרבות סביבות מנותקות מרשת (air-gapped) וסביבות לא מקוונות, שבהן ניהול מבוסס ענן אינו אפשרי. הפלטפורמה מספקת למנהלי הנתונים את המידע הדרוש להם כדי לפעול בביטחון.

חברת EPAM Systems (ספקית עולמית של שירותי הנדסת פלטפורמות דיגיטליות ופיתוח תוכנה, המעסיקה כ-40,000 עובדים ב-30 מדינות) נאלצה להתמודד עם לחץ גובר להבטיח את אבטחת כוח העבודה המפוזר, המשתמש בהיקף נרחב במכשירים אישיים (BYOD), מבלי לפגוע בתפוקתו. באמצעות השימוש Central Management My Central Management MetaDefender , הארגון השיג נראות ושליטה על עמידה בדרישות התאימות של למעלה מ-70,000 מכשירים המשמשים את עובדיו, לקוחותיו וקבלניו ברחבי העולם.

הפלטפורמה אפשרה לצוות האבטחה של EPAM לאמת את תאימות המכשירים, לאתר יישומים לא רצויים, לזהות פגיעויות שלא תוקנו ולאכוף מדיניות גישה – והכל מבלי לפגוע בפריון המשתמשים. EPAM שילבה גם MetaDefender כדי לסרוק קבצים שהועלו לאחסון המרכזי שלה, ועיבדה יותר מ-50 מיליון קבצים ביום בשיא העומס. לצוותי האבטחה הייתה תמונה מלאה של המצב. כל ההחלטות נותרו בידיהם. קראו את הסיפור המלא כאן.

יש ליישם בינה מלאכותית בתחומים שבהם היא מייצרת ערך מבלי ליצור סיכון ביישום: מיון פגיעויות לפי רמת סיכון, זיהוי סטיות בתצורה, קורלציה של חריגות, וממצאים מסודרים לפי סדר עדיפות לבדיקה אנושית.

הימנעו מפלטפורמות המבלבלות בין הערך האנליטי של הבינה המלאכותית לבין סמכות ביצוע בלתי מבוקרת. בדקו האם הפלטפורמה מייצרת את תיעודי האישור הנדרשים על פי מסגרת הציות שלכם. אם התשובה היא "המערכת החליטה", זהו אינו תיעוד אישור מספק בסביבות תשתית קריטיות המפוקחות על ידי הרגולטור.