מתקפת סייבר השביתה את כל הפאבים של חברת X-Fab הבלגית

בתמונה למעלה: מפעל הייצור של X-Fab בגרמניה. מקור: X-Fab

בתחילת החודש נאלצה קבלנית הייצור הבלגית X-Fab להשבית את מערכות המידע ואת קווי הייצור בכל ששת מפעליה בבלגיה, גרמניה, מלזיה וארצות הברית, לאחר שנפלה קורבן למתקפת סייבר. בשבוע שעבר, כ-7 ימים לאחר המתקפה, הודיעה החברה שהיא חידשה את הפעילות באחד ממתקני הייצור, ושהיא צפויה במהלך השבוע הקרוב לחדש את הפעילות בשאר המפעלים. "המטרה הראשונה במעלה כעת היא לחזור לפעילות ייצור מלאה, ולאחר מכן לאושש את יתר מערכות המידע", מסרה.

החברה דיווחה שהמתקפה לא הסבה נזק כספי משמעותי, אך הודתה כי מועד האספקה של חלק מההזמנות יידחה לרבעון האחרון 2020, ושהיא דוחה את מועד פרסום דו"ח הרבעון השני מיולי לסוף אוגוסט. בעקבות אירוע הסייבר, הדמימה X-Fab את פעילות החברה למשך שבועיים. במקור, המהלך תוכנן להתבצע בסוף הרבעון כחלק מצעדי חיסכון הננקטים עקב משבר הקורונה.

חברת X-Fab מתמחה בייצור רכיבים אנלוגיים בטכנולוגיות MEMS ו-CMOS בגיאומטריות של 0.13µm-1.0µm למגזרי המדיקל, התעשייה, האוטומוטיב והצריכה. קיבולת הייצור שלה היא כ-100 אלף פרוסות של 200 מילימטר בחודש. החברה מעסיקה כ-3,800 עובדים ומכירותיה בשנת 2019 הסתכמו בכ-500 מיליון דולר.

סכנה לקניין הרוחני

בדיקה שערכה החברה העלתה כי היתה זאת מתקפת כופרה מסוג maze, שבה התוקף מצפין את המידע של המותקף ודורש כופר כספי, בדרך כלל במטבעות דיגיטליים, על-מנת להסיר את ההצפנה ולאפשר למשתמש גישה מחודשת אל המידע שלו. בשיחה עם Techtime הסביר ליאור פרנקל, מייסד ומנכ"ל חברת הסייבר התעשייתי Waterfall, שמתקפת maze היא מתקפת כופר מסוכנת ביותר ומציבה איום ממשי על הקניין הרוחני של הפאב.

פרנקל: "מעצם העובדה שהם ניתקו וסגרו מיידית את כל אתרי הייצור, ניתן להבין שהנוזקה נכנסה גם לתוך רשתות הייצור שלהם (OT – Operational Network). בתקיפת maze המידע המוצפן נשלח מחוץ לארגון, אל שרתים הנמצאים בשליטת התוקפים. פירוש הדבר שהאיום כאן הוא כפול: אם לא תשלמו, לא רק שהחברה מושבתת – אלא שגם כל הקניין הרוחני והמידע שלה יופצו ברשת. כך ששיחזור המידע מגיבוי, לא מספק פתרון הולם למקרה הזה".

גם TSMC הותקפה על-ידי האקרים

תקיפת X-Fab ממחישה עוצמת סיכוני הסייבר בתעשייה. הממשק הגובר בין המערכות התפעוליות (OT) לבין מערכות המידע והרשת החיצונית (IT), כחלק מהטרנספורמציה הדיגיטלית של תחום ה-Industry 4.0, מאפשר שימוש במערכות חכמות יותר של אוטומציה, ניהול-מרחוק ואנליטיקה, אך גם חושף את הרשת הפנימית בפני מתקפות מבחוץ.

בעולם הארגוני מתבטא הנזק של תקיפות סייבר בעיקר בגניבת מידע – אולם בעולם התעשייתי מתקפה עשויה להשבית כליל את פעילות המפעל – ולעיתים גם לסכן חיי אדם. "מפעלים אשר רשתות הייצור שלהם נגישות לאינטרנט, ישירות או דרך הרשת הארגונית, נמצאים תחת איום תמידי של תקיפות סייבר. אין פיירוול שלא ניתן לתקיפה, ובסביבות ייצור תעשייתיות אם הנוזקה חדרה לתוך הרשת שלך, הנזק עשוי להיות חמור".

"מפעלי ייצור רגישים יותר ממפעלים תעשייתיים"

אין זו מתקפת הסייבר הראשונה על פאב בתעשיית השבבים. באוגוסט 2018 הותקפה גם TSMC, קבלנית הייצור הגדולה בעולם, במתקפת כופרה שחדרה לתוך קווי הייצור שלה. בעקבות הפריצה נאלצה TSMC להשבית שלושה מפעלים למשך שלושה ימים. הנזק הכספי היה ניכר ונאמד, לפי החברה, בכ-180 מיליון דולר – כ-2% מהכנסות החברה באותו רבעון.

מבדיקה שערכה החברה עלה כי הפריצה נבעה מאי-עמידה בנהלי בטיחות המידע של הארגון (SOP), כאשר אחד ממנהלי קו הייצור חיבר ציוד חדש לרשת הפנימית מבלי לבצע סריקת וירוסים. מרגע שהמחשב החדש הופעל הווירוס התפשט בכל הרשת התעשייתית ואף הדביק מפעלים מרוחקים שהיו מחוברים לאותה רשת.

פרנקל מסביר כי סקטור מפעלי הייצור רגיש אף יותר מהסקטור התעשייתי הכללי. "פאבים רבים שמחוברים לרשת. אולם בגלל שמערכי הייצור במפעלי ייצור השבבים מכילים גם מידע מסחרי רגיש, החשש הוא גם משיבוש הייצור וגם מגניבת סודות מסחריים.

"לרוב החיבור נעשה 'בתום לב', מכיוון שמנהלי האבטחה מתחום ה-IT בארגונים הללו רגילים לסמוך על הפיירוולים שלהם, אך לא השכילו להפנים שהם לא מתאימים לסביבה התעשייתית". חברת ווטרפול דיווחה לא מכבר כי פתרון הסייבר שלה, הכולל חומרה ותוכנה, במכון טיפול השפכים שפד"ן.

ווטרפול פרסה תשתית סייבר במתקני השפד"ן

[בתמונה: אחד ממתקני השפד"ן]

חברת הסייבר התעשייתי ווטרפול (Waterfall Security) מראש-העין פרסה את תשתית אבטחת הסייבר שלה במתקן טיפול השפכים שפד"ן שבאזור ראשון לציון. הפתרון של ווטרפול, הכולל חומרה ותוכנה, יאפשר למנהלי האתר להמשיך ולהשתמש במערכות האנליטיקה והניהול-מרחוק מבלי לסכן את הרשת התעשייתית, המחברת את המשאבות ומערכות הטיהור השונות. באחרונה קיבלה ממשלת ישראל החלטה המאפשרת למשרד הגנת הסביבה להתנות את מתן היתר הרעלים למפעלים העוסקים בטיפול בכימיקלים מסוכנים, בהתקנת אמצעי הגנת סייבר ממשית מפני מתקפות שעשויות לפגוע בסביבה ובשלום הציבור.

השפד"ן הוא מתקן טיפול השפכים הגדול בארץ והוא אחראי על איסוף, טיפול והשבת שפכים של ערי גוש דן, ובכלל זה תל אביב, ראשון לציון, חולון, בת-ים ועוד. במקום מותקנת תוכנת האנליטיקה iGreen של חברת IOSight הישראלית, המאפשרת למנהלי המכון לנטר פרמטרים תפעוליים שונים. הפתרון של ווטרפול למעשה יבצע שכפול רציף של המידע הנאסף על ידי הפלטפורמה של IOSight אל ענן נפרד, וכך יאפשר את המשך השימוש בה מבלי לחשוף את הרשת התעשייתית למתקפות סייבר. בין ווטרפול ו-IOSight קיים שיתוף פעולה בארץ ובעולם, המאפשר למתקני תשתית לבצע את הטרנספורמציה הדיגיטלית לעולם התעשייה החכם (Indusry 4.0) תוך הקפדה על אבטחת הסייבר.

בכל פיירוול יש פרצה

ווטרפול הוקמה עוד ב-2007, כשתחום הסייבר התעשייתי כמעט ולא היה קיים. בשיחה עם Techtime סיפר מייסד ומנכ"ל החברה, ליאור פרנקל, כי הקים את ווטרפול לאור ניסיונו בחברה הקודמת שהקים, Gita Technologies, שעסקה בסייבר התקפי. לדבריו, הקלות שבה הצליחו בחברה לחדור למתקנים תעשייתיים גרמה לו להבין את מימדי הבעיה. "לא היתה פעם אחת שבה לא הצלחנו לבצע את הפריצה. זה הציק לי וגרם לי להבין את החולשה הגדולה של המתקנים הללו."

מייסד החברה ליאור פרנקל

לשיטתו של פרנקל, נקודת התורפה של העולם התעשייתי נעוצה בהסתמכות על פתרונות תוכנה, כדוגמת פיירוול (firewall), שאמורים לסנן חדירה פנימה של משתמשים לא מורשים. "בכל תוכנה יש באגים וחולשות. פיירוול, ומערכות הגילוי למיניהן, לא יכולות למנוע אבסולוטית ניסיונות תקיפה. אם בעולם הארגוני, הסיכון הוא בגניבת מידע, בעולם התעשייתי חדירת סייבר עלולה להשבית כליל את המתקן ולעיתים גם לסכן חיים, ולכן יש צורך בפתרון מקיף יותר. בווטרפול, פיתחנו טכנולוגיה חלופית שמאפשרת לשתף מידע החוצה מהרשת התעשייתית אבל לא מאפשרת למידע להיכנס פנימה. זהו פתרון הרמטי"

מחסום פיזיקאלי בפני הפורץ

הפיתרון של ווטרפול, המשלב חומרה ותוכנה, מספק להערכת החברה לרשתות תעשייתיות הגנה הרמטית מפני ניסיונות תקיפה מרחוק. מרכיב החומרה, המותקן בממשק שבין הרשת התפעולית (OT) לבין הרשת החיצונית (IT), כולל שני מודולים: TX, הנמצא בצד הפנימי של הרשת התעשייתית וכולל לייזר, ו-TX, הנמצא בצד החיצוני וכולל תא פוטו-אלקטרי. בין שני המודולים מחבר סיב אופטי בודד. המערך הזה מהווה מעצור פיזיקלי חד-סטרי: הלייזר מאפשר יציאה של נתונים (פוטונים) החוצה דרך הסיב האופטי, אך התא הפוטו-אלקטרי, שאינו פולט פוטונים, מונע כניסה של ביטים פנימה אל הרשת התעשייתית. "החומרה מייצרת מצב שאין שום דרך, פיזיקאלית, להכניס דברים פנימה."

כדי לאפשר בכל זאת את שיתוף המידע מהרשת התעשייתית החוצה, ולאפשר את השימוש במערכות אנליטיקה, מרכיב התוכנה של ווטרפול מבצע באופן רציף שכפול של המידע שמופק ברשת התעשייתית הפנימית לתוך ענן נפרד. כך, כאשר המשתמש מתשאל את מערכות האנליטיקה ומבצע פעולות, הוא עושה זאת בענן המשוכפל, שדרכו לא ניתן להיכנס פנימה. "יש לנו לקוחות שכל כך סומכים על המערכת שלנו, שמלבדה הם לא מתקינים שום פתרון תוכנה אחר."

ווטרפול מעסיקה כ-100 עובדים, מרביתם בישראל וכ-20 עובדים בסניף החברה בוושינגטון. לדברי פרנקל, לחברה יש אלפי לקוחות בארץ ובעולם, כשהסקטורים המרכזיים הם אנרגיה וחשמל, גז ונפט, מים וכימיקליים. החברה גם מתכננת להקים סניף נוסף בסינגפור ולכוון לעולם הבניינים החכמים.