בתמונה למעלה: מפעל הייצור של X-Fab בגרמניה. מקור: X-Fab
בתחילת החודש נאלצה קבלנית הייצור הבלגית X-Fab להשבית את מערכות המידע ואת קווי הייצור בכל ששת מפעליה בבלגיה, גרמניה, מלזיה וארצות הברית, לאחר שנפלה קורבן למתקפת סייבר. בשבוע שעבר, כ-7 ימים לאחר המתקפה, הודיעה החברה שהיא חידשה את הפעילות באחד ממתקני הייצור, ושהיא צפויה במהלך השבוע הקרוב לחדש את הפעילות בשאר המפעלים. "המטרה הראשונה במעלה כעת היא לחזור לפעילות ייצור מלאה, ולאחר מכן לאושש את יתר מערכות המידע", מסרה.
החברה דיווחה שהמתקפה לא הסבה נזק כספי משמעותי, אך הודתה כי מועד האספקה של חלק מההזמנות יידחה לרבעון האחרון 2020, ושהיא דוחה את מועד פרסום דו"ח הרבעון השני מיולי לסוף אוגוסט. בעקבות אירוע הסייבר, הדמימה X-Fab את פעילות החברה למשך שבועיים. במקור, המהלך תוכנן להתבצע בסוף הרבעון כחלק מצעדי חיסכון הננקטים עקב משבר הקורונה.
חברת X-Fab מתמחה בייצור רכיבים אנלוגיים בטכנולוגיות MEMS ו-CMOS בגיאומטריות של 0.13µm-1.0µm למגזרי המדיקל, התעשייה, האוטומוטיב והצריכה. קיבולת הייצור שלה היא כ-100 אלף פרוסות של 200 מילימטר בחודש. החברה מעסיקה כ-3,800 עובדים ומכירותיה בשנת 2019 הסתכמו בכ-500 מיליון דולר.
סכנה לקניין הרוחני
בדיקה שערכה החברה העלתה כי היתה זאת מתקפת כופרה מסוג maze, שבה התוקף מצפין את המידע של המותקף ודורש כופר כספי, בדרך כלל במטבעות דיגיטליים, על-מנת להסיר את ההצפנה ולאפשר למשתמש גישה מחודשת אל המידע שלו. בשיחה עם Techtime הסביר ליאור פרנקל, מייסד ומנכ"ל חברת הסייבר התעשייתי Waterfall, שמתקפת maze היא מתקפת כופר מסוכנת ביותר ומציבה איום ממשי על הקניין הרוחני של הפאב.
פרנקל: "מעצם העובדה שהם ניתקו וסגרו מיידית את כל אתרי הייצור, ניתן להבין שהנוזקה נכנסה גם לתוך רשתות הייצור שלהם (OT – Operational Network). בתקיפת maze המידע המוצפן נשלח מחוץ לארגון, אל שרתים הנמצאים בשליטת התוקפים. פירוש הדבר שהאיום כאן הוא כפול: אם לא תשלמו, לא רק שהחברה מושבתת – אלא שגם כל הקניין הרוחני והמידע שלה יופצו ברשת. כך ששיחזור המידע מגיבוי, לא מספק פתרון הולם למקרה הזה".
גם TSMC הותקפה על-ידי האקרים
תקיפת X-Fab ממחישה עוצמת סיכוני הסייבר בתעשייה. הממשק הגובר בין המערכות התפעוליות (OT) לבין מערכות המידע והרשת החיצונית (IT), כחלק מהטרנספורמציה הדיגיטלית של תחום ה-Industry 4.0, מאפשר שימוש במערכות חכמות יותר של אוטומציה, ניהול-מרחוק ואנליטיקה, אך גם חושף את הרשת הפנימית בפני מתקפות מבחוץ.
בעולם הארגוני מתבטא הנזק של תקיפות סייבר בעיקר בגניבת מידע – אולם בעולם התעשייתי מתקפה עשויה להשבית כליל את פעילות המפעל – ולעיתים גם לסכן חיי אדם. "מפעלים אשר רשתות הייצור שלהם נגישות לאינטרנט, ישירות או דרך הרשת הארגונית, נמצאים תחת איום תמידי של תקיפות סייבר. אין פיירוול שלא ניתן לתקיפה, ובסביבות ייצור תעשייתיות אם הנוזקה חדרה לתוך הרשת שלך, הנזק עשוי להיות חמור".
"מפעלי ייצור רגישים יותר ממפעלים תעשייתיים"
אין זו מתקפת הסייבר הראשונה על פאב בתעשיית השבבים. באוגוסט 2018 הותקפה גם TSMC, קבלנית הייצור הגדולה בעולם, במתקפת כופרה שחדרה לתוך קווי הייצור שלה. בעקבות הפריצה נאלצה TSMC להשבית שלושה מפעלים למשך שלושה ימים. הנזק הכספי היה ניכר ונאמד, לפי החברה, בכ-180 מיליון דולר – כ-2% מהכנסות החברה באותו רבעון.
מבדיקה שערכה החברה עלה כי הפריצה נבעה מאי-עמידה בנהלי בטיחות המידע של הארגון (SOP), כאשר אחד ממנהלי קו הייצור חיבר ציוד חדש לרשת הפנימית מבלי לבצע סריקת וירוסים. מרגע שהמחשב החדש הופעל הווירוס התפשט בכל הרשת התעשייתית ואף הדביק מפעלים מרוחקים שהיו מחוברים לאותה רשת.
פרנקל מסביר כי סקטור מפעלי הייצור רגיש אף יותר מהסקטור התעשייתי הכללי. "פאבים רבים שמחוברים לרשת. אולם בגלל שמערכי הייצור במפעלי ייצור השבבים מכילים גם מידע מסחרי רגיש, החשש הוא גם משיבוש הייצור וגם מגניבת סודות מסחריים.
"לרוב החיבור נעשה 'בתום לב', מכיוון שמנהלי האבטחה מתחום ה-IT בארגונים הללו רגילים לסמוך על הפיירוולים שלהם, אך לא השכילו להפנים שהם לא מתאימים לסביבה התעשייתית". חברת ווטרפול דיווחה לא מכבר כי פתרון הסייבר שלה, הכולל חומרה ותוכנה, במכון טיפול השפכים שפד"ן.