ווטרפול מנסה לפתור את אתגר האבטחה של הפעלה-מרחוק של רשתות תעשייתיות

[בתמונה: צוות החברה במשרדיה בישראל. מקור: עמוד הלינקדאין של החברה]

חברת הסייבר ווטרפול סקיוריטי (Waterfall Security) השיקה מוצר אבטחה חדש, שנועד לתת מענה לאחד מאתגרי האבטחה הגדולים ביותר בעולם התעשייתי: כיצד לאפשר גישה בטוחה מרחוק לרשת תפעולית כלשהי (OT). גישה כזו מרחוק נדרשת, למשל, במקרים שבהם יש צורך לתפעל או לתקן מערכת תפעולית כלשהי המצויה באתר מרוחק.

מוצר הדגל של ווטרפול, Unidirectional Gateway, מתבסס על רכיב חומרה שמייצר חיץ "פיזי" חד-כיווני בין הרשת התפעולית (OT) לרשת המידע החיצונית (IT). פתרון זה מספק, להערכת החברה, אבטחה הרמטית מפני חדירה לרשת, תוך כדי שהוא מאפשר למשתמש לקבל דיווח של נתונים מהמערכת התפעולית, כמו למשל במערכות אנליטיקה, טלמטריה וחיזוי עסקי (BI).

התעשייה רוצה "גישה מרחוק"

ווטרפול עובדת מול חברות תעשייתיות ממגזרים שונים כמו תשתיות קריטיות, גז ונפט, אנרגיה מתחדשת וכדומה. לדברי מייסד ומנכ"ל החברה, ליאור פרנקל, בשיחה עם Techtime, ככל שרמת האוטומציה בתעשיות שונות הולכת ומשתכללת כך גם יש צורך גובר בפתרונות של תפעול מרחוק של אתרים. "השוק משתכלל והמערכות התעשייתיות עברו מודרניזציה. כיום ניתן להפעיל מערכות מרחוק, ובתעשייה מחפשים פתרונות שיאפשרו לממש באופן בטוח את היכולת הזו. זה יכול לחסוך בצורה ניכרת בעלויות תפעוליות וכוח אדם. במקרים רבים, זה לא אפשרי לשלוח אנשים לכל אתר ואתר, כמו למשל תחנת תמסורת באמצע צינור גז במדבר".

הפלטפורמות הקיימות של גישה מרחוק מתבססות למעשה על שרת וירטואלי בענן (VPN) שמתווך בין שני המחשבים. ואולם, בפלטפורמות הללו, נוצר למעשה תקשורת ישירה עם הרשת התפעולית, תקשורת שפותחת אותה לסכנות של העולם החיצוני, וזאת תוך שימוש בשכבת הגנה מבוססת-תוכנה כמו "חומת אש".

פרנקל: "זו חלופה עם רמת סיכון בלתי סבירה, כי היא מחייבת אותך לפתוח את הרשת התפעולית לעולם החיצוני, ויש בכך סיכונים רבים. כמו כן, הפרוטוקולים של פלטפורמות הגישה מרחוק הם מאוד מורכבים, ועל כן מספקים כר פורה לניצול של האקרים. גם המחשב שממנו אתה מנהל את התקשורת עם השרת המרוחק חשוף לסכנות כמו השתלטות או גניבת זהות. עם זאת, בהיעדר חלופות, אנשים בעולם התעשייתי נאלצים לעיתים לקחת את הסיכון הזה".

תקשורת ישירה מדומה

הפתרון החדש של ווטרפול, שזכה לשם HERA (Hardware Enforced Remote Access), מנסה לשמר את היכולת לתפעל מרחוק, באופן אינטראקטיבי, את מערכת הבקרה התעשייתית – וזאת מבלי שתתקיים בפועל תקשורת ישירה בין מחשב המשתמש לרשת התעשייתית.

כיצד הדבר אפשרי? נתחיל בצד המשתמש: במחשב שלו מותקן מסוף (client) של ווטרפול, שבו הוא מקליד את הפעולות שהוא רוצה לבצע במחשב התעשייתי המרוחק. תפקידו של המסוף הוא להעביר הלאה, באופן נקי ומוצפן, אך ורק את הקשות המקלדת ותנועות העכבר של המשתמש. ההצפנה של פעולות אלה מתבצעת באמצעות רכיב ה-TPM המותקן במחשב המשתמש. זהו רכיב חומרה המצוי במרבית מחשבי הפרימיום בשוק, הוא מותקן על גבי לוח-האם ותפקידו הוא לשמור את מפתחות ההצפנה הייחודיים של המחשב. המסוף של ווטרפול עושה שימוש במפתחות ההצפנה הללו כדי להצפין את התקשורת.

בשונה מפלטפורמות הגישה-מרחוק, פעולותיו של המשתמש עוברות הלאה אל המחשב המרוחק על גבי פרוטוקול מינימלי ופשוט, שלמעשה אוצר אך ורק את הקשות המקלדת ותנועות העכבר. כך למעשה שום פיסת קוד זדונית לא יכולה לעבור ממחשב המשתמש למחשב המרוחק – מאחר שלתוקף אין שום "קוד עודף" שהוא יכול לנצל ולהעביר לרשת ה-OT.

גם במחשב של הרשת התעשייתית המרוחקת יש אמצעי אבטחה, בדמות רכיב חומרה, HERA Gateway, שמפלטר את אריזות המידע  הנכנסות ויודע, על סמך מפתחות ההצפנה של ה-TPM, שמדובר במשתמש מורשה ושרק הפקודות הבסיסיות ביותר נכנסות פנימה. לאחר שעברו את תהליך הבדיקה, הפקודות המבוקשות מבוצעות במחשב התעשייתי.

בנוסף לעובדה שהתקשורת מוגבלת ללחיצות עכבר ומקלדת, מוצפנת ומאושרת, ישנה הפרדה מבוססת חומרה בין התקשורת הנכנסת לתקשורת היוצאת (התקשורת היוצאת היא למעשה "צילומי מסך") מרשת ה-OT – כל כיוון תקשורת מתקיים על גבי שער הפרדה חד-כיווני נפרד, שמאפשר למידע לזרום רק בכיוון אחד.

פרנקל: באופן הזה, למרות שלא באמת נוצר ממשק ישיר בין שני המחשבים, למשתמש יש חוויה אינטראקטיבית של גישה-מרחוק. הוא מבצע פעולות ומקבל גם חיוויים מהרשת התעשייתית בזמן אמת. בתצורה הזו, כל ניסיון פריצה מחייב משאבים ורמת תחכום שלמעשה הופכים את המשימה לכמעט בלתי אפשרית".

ווטרפול, שהוקמה ב-2008, מעסיקה כ-150 עובדים, מרביתם בישראל וכ-20 עובדים בסניף החברה בוושינגטון. לחברה יש אלפי לקוחות בארץ ובעולם, כשהסקטורים המרכזיים הם אנרגיה וחשמל, גז ונפט, מים וכימיקלים.

 

חברת הסייבר התעשייתי ווטרפול פתחה משרדים בהולנד

[בתמונה: צוות החברה במשרדיה בישראל. מקור: עמוד הלינקדאין של החברה]

חברת הסייבר התעשייתי ווטרפול (Waterfall) חנכה משרד חדש בהולנד, שיהיה המשרד הראשון של החברה על אדמת אירופה. המשרדים יכללו גם מעבדה להדגמת הפתרון של החברה. לדברי החברה, לקוחותיה ביבשת אירופה מונים תחנות כוח, תקנים של גז טבעי נוזלי, מסילות רכבת, מפעלי ייצור, שדות תעופה ומתקני תשתית ותעשייה נוספים. לווטרפול יש כיום משרדים בישראל, וושינגטון, סינפור והאמירויות.

לדברי ווטרפול, התערערות היציבות הגיאו-פוליטית באזור, כמו גם רגולציות חדשות המחייבות הגנת סייבר על תשתיות קריטיות, הובילו ממשלות וגופים פרטיים לתת דגש מוגבר להגנה על מערכות תפעוליות קריטיות מפני מתקפות סייבר, והדבר הוביל לביקוש גובר לפתרונות ההגנה של החברה.

מחסום פיזיקאלי בפני הפורץ

ווטרפול הוקמה ב-2008. הפתרון של החברה, המשלב חומרה ותוכנה, מספק להערכת החברה לרשתות תעשייתיות הגנה הרמטית מפני ניסיונות תקיפה מרחוק. מרכיב החומרה, המותקן בממשק שבין הרשת התפעולית (OT) לבין הרשת החיצונית (IT), כולל שני מודולים: TX, הנמצא בצד הפנימי של הרשת התעשייתית וכולל לייזר, ו-TX, הנמצא בצד החיצוני וכולל תא פוטו-אלקטרי. בין שני המודולים מחבר סיב אופטי בודד. המערך הזה מהווה מעצור פיזיקלי חד-סטרי: הלייזר מאפשר יציאה של נתונים (פוטונים) החוצה דרך הסיב האופטי, אך התא הפוטו-אלקטרי, שאינו פולט פוטונים, מונע כניסה של ביטים פנימה אל הרשת התעשייתית.

כדי לאפשר בכל זאת את שיתוף המידע מהרשת התעשייתית החוצה, ולאפשר את השימוש במערכות אנליטיקה, מרכיב התוכנה של ווטרפול מבצע באופן רציף שכפול של המידע שמופק ברשת התעשייתית הפנימית לתוך ענן נפרד. כך, כאשר המשתמש מתשאל את מערכות האנליטיקה ומבצע פעולות, הוא עושה זאת בענן המשוכפל, שדרכו לא ניתן להיכנס פנימה.

ווטרפול מאבטחת את אספקת הגז בין ליטא ופולין

חברת הסייבר התעשייתי ווטרפול (Waterfall) פרסה את מעצור הסייבר החד-כיווני שפיתחה לאורך תשתית הולכת הגז בין ליטא ופולין. פתרון החומרה, שהותקן במספר צמתים ברשת הצינורות, מאפשר למערכות התפעוליות, כדוגמת המשאבות ומערכות הבקרה, לשדר נתונים תפעוליים החוצה אל מערכות המידע, ובה בעת חוסם כל אפשרות לתוקפי סייבר לחדור פנימה ולהשבית או לפגוע במערכות. זוהי למעשה תשתית הצינורות המחברת בין משקי הגז של ליטא, פולין, פינלנד והמדינות הבלטיות לבין משק הגז של האיחוד האירופי. התשתית שבה נפרס הפתרון מתופעלת על ידי חברת Amber Grid בליטא ו-Gaz-System בפולין.

פתרון אבטחת הסייבר נפרס באחרונה, והוא נועד בין היתר למנוע התקפות סייבר מצד רוסיה על רקע המלחמה באוקראינה והסנקציות שבכוונת האיחוד האירופי להטיל על ייבוא גז מרוסיה, דבר שעשוי לגרור תגובת נגד מצד רוסיה. מנכ"ל ומייסד החברה, ליאור פרנקל, אמר בשיחה עם Techtime: "באירופה ישנה הבנה הולכת וגוברת בצורך לחזק את חומת הגנה הסייבר על תשתיות קריטיות. המגמה הזו החלה עוד לפני המלחמה, על רקע שורה של תקריות סייבר על תשתיות גז, אבל אין ספק שהמלחמה הפכה את זה לכורח המציאות. אנחנו מעורבים בעוד מספר פרויקטים דומים באזור."

הגנת סייבר ברמה הפיזיקלית

ווטרפול הוקמה ב-2008. הפתרון של החברה, המשלב חומרה ותוכנה, מספק להערכת החברה לרשתות תעשייתיות הגנה הרמטית מפני ניסיונות תקיפה מרחוק. מרכיב החומרה, המותקן בממשק שבין הרשת התפעולית (OT) לבין הרשת החיצונית (IT), כולל שני מודולים: TX, הנמצא בצד הפנימי של הרשת התעשייתית וכולל לייזר, ו-RX, הנמצא בצד החיצוני וכולל תא פוטו-אלקטרי. בין שני המודולים מחבר סיב אופטי בודד. המערך הזה מהווה מעצור פיזיקלי חד-סטרי: הלייזר מאפשר יציאה של נתונים (פוטונים) החוצה דרך הסיב האופטי, אך התא הפוטו-אלקטרי, שאינו פולט פוטונים, מונע כניסה של ביטים פנימה אל הרשת התעשייתית.

ליאור פרנקל

כדי לאפשר בכל זאת את שיתוף המידע מהרשת התעשייתית החוצה, ולאפשר את השימוש במערכות אנליטיקה, מרכיב התוכנה של ווטרפול מבצע באופן רציף שכפול של המידע שמופק ברשת התעשייתית הפנימית לתוך ענן נפרד. כך, כאשר המשתמש מתשאל את מערכות האנליטיקה ומבצע פעולות, הוא עושה זאת בענן המשוכפל, שדרכו לא ניתן להיכנס פנימה.

ווטרפול מעסיקה כ-100 עובדים, מרביתם בישראל וכ-20 עובדים בסניף החברה בוושינגטון. לחברה יש אלפי לקוחות בארץ ובעולם, כשהסקטורים המרכזיים הם אנרגיה וחשמל, גז ונפט, מים וכימיקלים.

[מקור תמונה עליונה: Gaz-System]

ווטרפול וננולוק יגנו ביחד על תשתיות קריטיות

[תמונות אילוסטרציה: תחנת כוח, ויקיפדיה]

שיתוף פעולה ישראלי בתחום הגנת הסייבר על תשתיות קריטיות. חברת ווטרפול (Waterfall Security) וחברת ננולוק (NanoLock) הכריזו על שיתוף פעולה, שבמסגרתו יציעו לחברות מתחומי האנרגיה והתשתיות הקריטיות פתרון משולב המתבסס על הטכנולוגיה של שתי החברות. לדברי החברות, הסינרגיה בין הפתרונות יספק הגנה הדוקה והוליסטית יותר לכל השכבות השונות של מערכי התפעול והייצור מפני תרחישי הסייבר השונים.

הפתרון של ווטרפול יושב בממשק התקשורת שבין מערכות המידע (IT) לבין מערכות הייצור והתפעול (OT) ומייצר חציצה חד-כיוונית המונעת חדירת סייבר מבחוץ פנימה, ואילו הפתרון של ננולוק מותקן ברמת המכשיר ומספק הגנה על מערכות-קצה מקושרות כמו למשל בקרים תעשייתיים וחיישנים מפני ניסיונות של אנשים מבפנים או מבחוץ לערוך, בזדון או בשגגה, שינויים בלתי מורשים בקוד של המכשיר. .

יניר לובשטיין, סמנכ"ל פתרונות סייבר בננולוק, הסביר כי לשיתוף הפעולה יש היגיון טכנולוגי ועסקי כאחד. "ווטרפול מייצרת הפרדה בין תשתיות הייצור לאינטרנט, ואילו אנחנו מספקים הגנה ברמת הבקר או החיישן. מאחר שלטכנאים או ספקים עשויה לעיתים להיות גישה למכשירי-הקצה, למשל בעת פעולות תחזוקה, חשוב להגן עליהם. הפתרון שלנו מאפשר שימוש במכשירי הקצה רק לצרכי טלמטריה, ומונע ניסיונות בלתי מורשים לשנות את ההגדרות. זו לא רק הגנה מפני תקיפות זדוניות אלא גם מפני טעויות אנוש שעשויות לגרום לתקלות ולפגוע ברציפות התפעולית. מתקני תשתיות קריטיות כפופים כיום לדרישות הדוקות יותר מצד הרגולציה, וגם גל התקיפות בתקופה האחרונה הגביר את המודעות בקרב התעשייה."

שתי גישות שונות לסייבר תעשייתי

ננו-לוק, שהוקמה ב-2016, פיתחה טכנולוגיה המגינה על רכיבי קצה ממתקפות סייבר ומתקפות פנים-ארגוניות, על-ידי חסימת הכתיבה לזיכרון מכשיר הקצה ויצירת ערוץ מאובטח לעדכוני קושחה. הדבר חיוני במיוחד להתקני IoT, אשר מבוססים על פתיחת מערכות קריטיות בפני רשתות תקשורת רבות, שרמת האבטחה שלהן אינה ידועה. הפתרון של ננו-לוק הינו אגנוסטי, כלומר יכול לפעול על כל מעבד ובכל מערכת הפעלה. כמו כן, הוא אינו צורך כלל כוחות עיבוד או חיי סוללה, ועל כן מתאים במיוחד לאביזרי IoT בעלי משאבי עיבוד והספק מוגבלים כמו מדי מים וגז חכמים. ננולוק עובדת עם חברות תשתיות ותעשייה ועם ספקיות שירות ביפן, הודו, ספרד, שוויץ, סינגפור, הולנד, ארצות הברית וישראל.

ווטרפול, שהוקמה ב-2008 פיתחה פתרון הגנה המשלב חומרה ותוכנה, מספק להערכת החברה לרשתות תעשייתיות הגנה הרמטית מפני ניסיונות תקיפה מרחוק. מרכיב החומרה, המותקן בממשק שבין הרשת התפעולית (OT) לבין הרשת החיצונית (IT), כולל שני מודולים: TX, הנמצא בצד הפנימי של הרשת התעשייתית וכולל לייזר, ו-RX, הנמצא בצד החיצוני וכולל תא פוטו-אלקטרי. בין שני המודולים מחבר סיב אופטי בודד. המערך הזה מהווה מעצור פיזיקלי חד-סטרי: הלייזר מאפשר יציאה של נתונים (פוטונים) החוצה דרך הסיב האופטי, אך התא הפוטו-אלקטרי, שאינו פולט פוטונים, מונע כניסה של ביטים פנימה אל הרשת התעשייתית.

ליאור פרנקל

כדי לאפשר בכל זאת את שיתוף המידע מהרשת התעשייתית החוצה, ולאפשר את השימוש במערכות אנליטיקה, מרכיב התוכנה של ווטרפול מבצע באופן רציף שכפול של המידע שמופק ברשת התעשייתית הפנימית לתוך ענן נפרד. כך, כאשר המשתמש מתשאל את מערכות האנליטיקה ומבצע פעולות, הוא עושה זאת בענן המשוכפל, שדרכו לא ניתן להיכנס פנימה. ווטרפול מעסיקה כ-100 עובדים, מרביתם בישראל וכ-20 עובדים בסניף החברה בוושינגטון. לחברה יש אלפי לקוחות בארץ ובעולם, כשהסקטורים המרכזיים הם אנרגיה וחשמל, גז ונפט, מים וכימיקלים

ווטרפול פרסה פתרון הגנת סייבר בתחנת כוח ברומניה

[בתמונה: משרדי החברה בסינגפור]

חברת הסייבר התעשייתי ווטרפול (Waterfall Security) התקינה את מערכת אבטחת הסייבר החד-כיוונית שלה בתחנת כוח ברומניה. ההתקנה בוצעה בשיתוף אינטגרטור מקומי, חברת HTSS, שמתמחה בתחום פתרונות התוכנה למגזר העסקי והתעשייתי ויש לה כ-1,000 לקוחות ב-11 מדינות. באחרונה פתחה ווטרפול שלוחות חדשות בסינגפור ובאיחוד האמירויות.

בשיחה עם Techtime מסר מנכ"ל ומייסד החברה, ליאור פרנקל, כי החברה מאוד פעילה בתחום ההגנה על תחנות כוח. "הסקטור כולו, ברמה העולמית, מעלה הילוך בכל הנוגע להגנה על מערכות הייצור מפני מתקפות סיייבר, וזאת לאור התגברות האיום של מתקפות כופרה."

ווטרפול הוקמה ב-2008. הפתרון של החברה, המשלב חומרה ותוכנה, מספק להערכת החברה לרשתות תעשייתיות הגנה הרמטית מפני ניסיונות תקיפה מרחוק. מרכיב החומרה, המותקן בממשק שבין הרשת התפעולית (OT) לבין הרשת החיצונית (IT), כולל שני מודולים: TX, הנמצא בצד הפנימי של הרשת התעשייתית וכולל לייזר, ו-RX, הנמצא בצד החיצוני וכולל תא פוטו-אלקטרי. בין שני המודולים מחבר סיב אופטי בודד. המערך הזה מהווה מעצור פיזיקלי חד-סטרי: הלייזר מאפשר יציאה של נתונים (פוטונים) החוצה דרך הסיב האופטי, אך התא הפוטו-אלקטרי, שאינו פולט פוטונים, מונע כניסה של ביטים פנימה אל הרשת התעשייתית.

ליאור פרנקל

כדי לאפשר בכל זאת את שיתוף המידע מהרשת התעשייתית החוצה, ולאפשר את השימוש במערכות אנליטיקה, מרכיב התוכנה של ווטרפול מבצע באופן רציף שכפול של המידע שמופק ברשת התעשייתית הפנימית לתוך ענן נפרד. כך, כאשר המשתמש מתשאל את מערכות האנליטיקה ומבצע פעולות, הוא עושה זאת בענן המשוכפל, שדרכו לא ניתן להיכנס פנימה.

ווטרפול מעסיקה כ-100 עובדים, מרביתם בישראל וכ-20 עובדים בסניף החברה בוושינגטון. לחברה יש אלפי לקוחות בארץ ובעולם, כשהסקטורים המרכזיים הם אנרגיה וחשמל, גז ונפט, מים וכימיקלים.

חברת הסייבר התעשייתי Waterfall הקימה חברת-בת באמירויות

חברת הסייבר התעשייתי Waterfall Security פתחה באיחוד האמירויות חברת-בת, Waterfall Security Solutions Middle East. לדברי ווטרפול, היא חברת הסייבר הישראלית הראשונה שפותחת מרכז פעילות באמירויות מאז הסכמי השלום. החברה החדשה החלה לפעול ממשרדים באבו דאבי, וכבר מעסיקה עובדים מקומיים וצפויה לגייס עד 15 עובדים נוספים במהלך השנה. חברת-הבת כבר מתהדרת בלקוח ראשון ומשמעותי: חברת ענק עם אתרי תשתיות קריטיות בכל המפרץ, בתחומי הנפט והגז. בתוך כך, ווטרפול הודיעה גם כי  פתחה חברת-בת בסינגפור, שתסייע להגדיל ולהרחיב את המכירות הקיימות של באזור אסיה פסיפיק.

לדברי מייסד ומנכ"ל ווטרפול, ליאור פרנקל, הפוטנציאל העסקי הוא גבוה מאוד. "באיחוד האמירויות, בדומה לישראל ולמדינות נוספות במזרח התיכון, כל התשתיות הקריטיות כגון חשמל, מים, גז וכדומה, תשתיות תחבורה, מערכות ניהול מבנים ועוד, נמצאות בסיכון של תקיפות סייבר על ידי גורמים עוינים, בין אם מדינתיים ובין אם ארגוני טרור, בנוסף לתקיפות כופר (Ransomware) ואחרות. הם מאוד מעריכים את הטכנולוגיה הישראלית בתחום, המוכיחה את עצמה בהגנה בכל העולם על תשתיות קריטיות. אני שמח, שהפניות הרבות שקיבלנו מרגע ההודעה על נירמול היחסים עם האמירויות הבשילו לכדי מהלך ממשי הפותח בפנינו נתח שוק משמעותי, של עשרות מיליוני דולרים”.

מחסום פיזיקאלי בפני הפורץ

מנכ"ל ווטרפול ליאור פרנקל

ווטרפול הוקמה ב-2008. הפתרון של החברה, המשלב חומרה ותוכנה, מספק להערכת החברה לרשתות תעשייתיות הגנה הרמטית מפני ניסיונות תקיפה מרחוק. מרכיב החומרה, המותקן בממשק שבין הרשת התפעולית (OT) לבין הרשת החיצונית (IT), כולל שני מודולים: TX, הנמצא בצד הפנימי של הרשת התעשייתית וכולל לייזר, ו-TX, הנמצא בצד החיצוני וכולל תא פוטו-אלקטרי. בין שני המודולים מחבר סיב אופטי בודד. המערך הזה מהווה מעצור פיזיקלי חד-סטרי: הלייזר מאפשר יציאה של נתונים (פוטונים) החוצה דרך הסיב האופטי, אך התא הפוטו-אלקטרי, שאינו פולט פוטונים, מונע כניסה של ביטים פנימה אל הרשת התעשייתית.

כדי לאפשר בכל זאת את שיתוף המידע מהרשת התעשייתית החוצה, ולאפשר את השימוש במערכות אנליטיקה, מרכיב התוכנה של ווטרפול מבצע באופן רציף שכפול של המידע שמופק ברשת התעשייתית הפנימית לתוך ענן נפרד. כך, כאשר המשתמש מתשאל את מערכות האנליטיקה ומבצע פעולות, הוא עושה זאת בענן המשוכפל, שדרכו לא ניתן להיכנס פנימה.

ווטרפול מעסיקה כ-100 עובדים, מרביתם בישראל וכ-20 עובדים בסניף החברה בוושינגטון. לחברה יש אלפי לקוחות בארץ ובעולם, כשהסקטורים המרכזיים הם אנרגיה וחשמל, גז ונפט, מים וכימיקלים.

מתקפת סייבר השביתה את כל הפאבים של חברת X-Fab הבלגית

בתמונה למעלה: מפעל הייצור של X-Fab בגרמניה. מקור: X-Fab

בתחילת החודש נאלצה קבלנית הייצור הבלגית X-Fab להשבית את מערכות המידע ואת קווי הייצור בכל ששת מפעליה בבלגיה, גרמניה, מלזיה וארצות הברית, לאחר שנפלה קורבן למתקפת סייבר. בשבוע שעבר, כ-7 ימים לאחר המתקפה, הודיעה החברה שהיא חידשה את הפעילות באחד ממתקני הייצור, ושהיא צפויה במהלך השבוע הקרוב לחדש את הפעילות בשאר המפעלים. "המטרה הראשונה במעלה כעת היא לחזור לפעילות ייצור מלאה, ולאחר מכן לאושש את יתר מערכות המידע", מסרה.

החברה דיווחה שהמתקפה לא הסבה נזק כספי משמעותי, אך הודתה כי מועד האספקה של חלק מההזמנות יידחה לרבעון האחרון 2020, ושהיא דוחה את מועד פרסום דו"ח הרבעון השני מיולי לסוף אוגוסט. בעקבות אירוע הסייבר, הדמימה X-Fab את פעילות החברה למשך שבועיים. במקור, המהלך תוכנן להתבצע בסוף הרבעון כחלק מצעדי חיסכון הננקטים עקב משבר הקורונה.

חברת X-Fab מתמחה בייצור רכיבים אנלוגיים בטכנולוגיות MEMS ו-CMOS בגיאומטריות של 0.13µm-1.0µm למגזרי המדיקל, התעשייה, האוטומוטיב והצריכה. קיבולת הייצור שלה היא כ-100 אלף פרוסות של 200 מילימטר בחודש. החברה מעסיקה כ-3,800 עובדים ומכירותיה בשנת 2019 הסתכמו בכ-500 מיליון דולר.

סכנה לקניין הרוחני

בדיקה שערכה החברה העלתה כי היתה זאת מתקפת כופרה מסוג maze, שבה התוקף מצפין את המידע של המותקף ודורש כופר כספי, בדרך כלל במטבעות דיגיטליים, על-מנת להסיר את ההצפנה ולאפשר למשתמש גישה מחודשת אל המידע שלו. בשיחה עם Techtime הסביר ליאור פרנקל, מייסד ומנכ"ל חברת הסייבר התעשייתי Waterfall, שמתקפת maze היא מתקפת כופר מסוכנת ביותר ומציבה איום ממשי על הקניין הרוחני של הפאב.

פרנקל: "מעצם העובדה שהם ניתקו וסגרו מיידית את כל אתרי הייצור, ניתן להבין שהנוזקה נכנסה גם לתוך רשתות הייצור שלהם (OT – Operational Network). בתקיפת maze המידע המוצפן נשלח מחוץ לארגון, אל שרתים הנמצאים בשליטת התוקפים. פירוש הדבר שהאיום כאן הוא כפול: אם לא תשלמו, לא רק שהחברה מושבתת – אלא שגם כל הקניין הרוחני והמידע שלה יופצו ברשת. כך ששיחזור המידע מגיבוי, לא מספק פתרון הולם למקרה הזה".

גם TSMC הותקפה על-ידי האקרים

תקיפת X-Fab ממחישה עוצמת סיכוני הסייבר בתעשייה. הממשק הגובר בין המערכות התפעוליות (OT) לבין מערכות המידע והרשת החיצונית (IT), כחלק מהטרנספורמציה הדיגיטלית של תחום ה-Industry 4.0, מאפשר שימוש במערכות חכמות יותר של אוטומציה, ניהול-מרחוק ואנליטיקה, אך גם חושף את הרשת הפנימית בפני מתקפות מבחוץ.

בעולם הארגוני מתבטא הנזק של תקיפות סייבר בעיקר בגניבת מידע – אולם בעולם התעשייתי מתקפה עשויה להשבית כליל את פעילות המפעל – ולעיתים גם לסכן חיי אדם. "מפעלים אשר רשתות הייצור שלהם נגישות לאינטרנט, ישירות או דרך הרשת הארגונית, נמצאים תחת איום תמידי של תקיפות סייבר. אין פיירוול שלא ניתן לתקיפה, ובסביבות ייצור תעשייתיות אם הנוזקה חדרה לתוך הרשת שלך, הנזק עשוי להיות חמור".

"מפעלי ייצור רגישים יותר ממפעלים תעשייתיים"

אין זו מתקפת הסייבר הראשונה על פאב בתעשיית השבבים. באוגוסט 2018 הותקפה גם TSMC, קבלנית הייצור הגדולה בעולם, במתקפת כופרה שחדרה לתוך קווי הייצור שלה. בעקבות הפריצה נאלצה TSMC להשבית שלושה מפעלים למשך שלושה ימים. הנזק הכספי היה ניכר ונאמד, לפי החברה, בכ-180 מיליון דולר – כ-2% מהכנסות החברה באותו רבעון.

מבדיקה שערכה החברה עלה כי הפריצה נבעה מאי-עמידה בנהלי בטיחות המידע של הארגון (SOP), כאשר אחד ממנהלי קו הייצור חיבר ציוד חדש לרשת הפנימית מבלי לבצע סריקת וירוסים. מרגע שהמחשב החדש הופעל הווירוס התפשט בכל הרשת התעשייתית ואף הדביק מפעלים מרוחקים שהיו מחוברים לאותה רשת.

פרנקל מסביר כי סקטור מפעלי הייצור רגיש אף יותר מהסקטור התעשייתי הכללי. "פאבים רבים שמחוברים לרשת. אולם בגלל שמערכי הייצור במפעלי ייצור השבבים מכילים גם מידע מסחרי רגיש, החשש הוא גם משיבוש הייצור וגם מגניבת סודות מסחריים.

"לרוב החיבור נעשה 'בתום לב', מכיוון שמנהלי האבטחה מתחום ה-IT בארגונים הללו רגילים לסמוך על הפיירוולים שלהם, אך לא השכילו להפנים שהם לא מתאימים לסביבה התעשייתית". חברת ווטרפול דיווחה לא מכבר כי פתרון הסייבר שלה, הכולל חומרה ותוכנה, במכון טיפול השפכים שפד"ן.

ווטרפול פרסה תשתית סייבר במתקני השפד"ן

[בתמונה: אחד ממתקני השפד"ן]

חברת הסייבר התעשייתי ווטרפול (Waterfall Security) מראש-העין פרסה את תשתית אבטחת הסייבר שלה במתקן טיפול השפכים שפד"ן שבאזור ראשון לציון. הפתרון של ווטרפול, הכולל חומרה ותוכנה, יאפשר למנהלי האתר להמשיך ולהשתמש במערכות האנליטיקה והניהול-מרחוק מבלי לסכן את הרשת התעשייתית, המחברת את המשאבות ומערכות הטיהור השונות. באחרונה קיבלה ממשלת ישראל החלטה המאפשרת למשרד הגנת הסביבה להתנות את מתן היתר הרעלים למפעלים העוסקים בטיפול בכימיקלים מסוכנים, בהתקנת אמצעי הגנת סייבר ממשית מפני מתקפות שעשויות לפגוע בסביבה ובשלום הציבור.

השפד"ן הוא מתקן טיפול השפכים הגדול בארץ והוא אחראי על איסוף, טיפול והשבת שפכים של ערי גוש דן, ובכלל זה תל אביב, ראשון לציון, חולון, בת-ים ועוד. במקום מותקנת תוכנת האנליטיקה iGreen של חברת IOSight הישראלית, המאפשרת למנהלי המכון לנטר פרמטרים תפעוליים שונים. הפתרון של ווטרפול למעשה יבצע שכפול רציף של המידע הנאסף על ידי הפלטפורמה של IOSight אל ענן נפרד, וכך יאפשר את המשך השימוש בה מבלי לחשוף את הרשת התעשייתית למתקפות סייבר. בין ווטרפול ו-IOSight קיים שיתוף פעולה בארץ ובעולם, המאפשר למתקני תשתית לבצע את הטרנספורמציה הדיגיטלית לעולם התעשייה החכם (Indusry 4.0) תוך הקפדה על אבטחת הסייבר.

בכל פיירוול יש פרצה

ווטרפול הוקמה עוד ב-2007, כשתחום הסייבר התעשייתי כמעט ולא היה קיים. בשיחה עם Techtime סיפר מייסד ומנכ"ל החברה, ליאור פרנקל, כי הקים את ווטרפול לאור ניסיונו בחברה הקודמת שהקים, Gita Technologies, שעסקה בסייבר התקפי. לדבריו, הקלות שבה הצליחו בחברה לחדור למתקנים תעשייתיים גרמה לו להבין את מימדי הבעיה. "לא היתה פעם אחת שבה לא הצלחנו לבצע את הפריצה. זה הציק לי וגרם לי להבין את החולשה הגדולה של המתקנים הללו."

מייסד החברה ליאור פרנקל

לשיטתו של פרנקל, נקודת התורפה של העולם התעשייתי נעוצה בהסתמכות על פתרונות תוכנה, כדוגמת פיירוול (firewall), שאמורים לסנן חדירה פנימה של משתמשים לא מורשים. "בכל תוכנה יש באגים וחולשות. פיירוול, ומערכות הגילוי למיניהן, לא יכולות למנוע אבסולוטית ניסיונות תקיפה. אם בעולם הארגוני, הסיכון הוא בגניבת מידע, בעולם התעשייתי חדירת סייבר עלולה להשבית כליל את המתקן ולעיתים גם לסכן חיים, ולכן יש צורך בפתרון מקיף יותר. בווטרפול, פיתחנו טכנולוגיה חלופית שמאפשרת לשתף מידע החוצה מהרשת התעשייתית אבל לא מאפשרת למידע להיכנס פנימה. זהו פתרון הרמטי"

מחסום פיזיקאלי בפני הפורץ

הפיתרון של ווטרפול, המשלב חומרה ותוכנה, מספק להערכת החברה לרשתות תעשייתיות הגנה הרמטית מפני ניסיונות תקיפה מרחוק. מרכיב החומרה, המותקן בממשק שבין הרשת התפעולית (OT) לבין הרשת החיצונית (IT), כולל שני מודולים: TX, הנמצא בצד הפנימי של הרשת התעשייתית וכולל לייזר, ו-TX, הנמצא בצד החיצוני וכולל תא פוטו-אלקטרי. בין שני המודולים מחבר סיב אופטי בודד. המערך הזה מהווה מעצור פיזיקלי חד-סטרי: הלייזר מאפשר יציאה של נתונים (פוטונים) החוצה דרך הסיב האופטי, אך התא הפוטו-אלקטרי, שאינו פולט פוטונים, מונע כניסה של ביטים פנימה אל הרשת התעשייתית. "החומרה מייצרת מצב שאין שום דרך, פיזיקאלית, להכניס דברים פנימה."

כדי לאפשר בכל זאת את שיתוף המידע מהרשת התעשייתית החוצה, ולאפשר את השימוש במערכות אנליטיקה, מרכיב התוכנה של ווטרפול מבצע באופן רציף שכפול של המידע שמופק ברשת התעשייתית הפנימית לתוך ענן נפרד. כך, כאשר המשתמש מתשאל את מערכות האנליטיקה ומבצע פעולות, הוא עושה זאת בענן המשוכפל, שדרכו לא ניתן להיכנס פנימה. "יש לנו לקוחות שכל כך סומכים על המערכת שלנו, שמלבדה הם לא מתקינים שום פתרון תוכנה אחר."

ווטרפול מעסיקה כ-100 עובדים, מרביתם בישראל וכ-20 עובדים בסניף החברה בוושינגטון. לדברי פרנקל, לחברה יש אלפי לקוחות בארץ ובעולם, כשהסקטורים המרכזיים הם אנרגיה וחשמל, גז ונפט, מים וכימיקליים. החברה גם מתכננת להקים סניף נוסף בסינגפור ולכוון לעולם הבניינים החכמים.