[בתמונה: צוות החברה במשרדיה בישראל. מקור: עמוד הלינקדאין של החברה]
חברת הסייבר ווטרפול סקיוריטי (Waterfall Security) השיקה מוצר אבטחה חדש, שנועד לתת מענה לאחד מאתגרי האבטחה הגדולים ביותר בעולם התעשייתי: כיצד לאפשר גישה בטוחה מרחוק לרשת תפעולית כלשהי (OT). גישה כזו מרחוק נדרשת, למשל, במקרים שבהם יש צורך לתפעל או לתקן מערכת תפעולית כלשהי המצויה באתר מרוחק.
מוצר הדגל של ווטרפול, Unidirectional Gateway, מתבסס על רכיב חומרה שמייצר חיץ "פיזי" חד-כיווני בין הרשת התפעולית (OT) לרשת המידע החיצונית (IT). פתרון זה מספק, להערכת החברה, אבטחה הרמטית מפני חדירה לרשת, תוך כדי שהוא מאפשר למשתמש לקבל דיווח של נתונים מהמערכת התפעולית, כמו למשל במערכות אנליטיקה, טלמטריה וחיזוי עסקי (BI).
התעשייה רוצה "גישה מרחוק"
ווטרפול עובדת מול חברות תעשייתיות ממגזרים שונים כמו תשתיות קריטיות, גז ונפט, אנרגיה מתחדשת וכדומה. לדברי מייסד ומנכ"ל החברה, ליאור פרנקל, בשיחה עם Techtime, ככל שרמת האוטומציה בתעשיות שונות הולכת ומשתכללת כך גם יש צורך גובר בפתרונות של תפעול מרחוק של אתרים. "השוק משתכלל והמערכות התעשייתיות עברו מודרניזציה. כיום ניתן להפעיל מערכות מרחוק, ובתעשייה מחפשים פתרונות שיאפשרו לממש באופן בטוח את היכולת הזו. זה יכול לחסוך בצורה ניכרת בעלויות תפעוליות וכוח אדם. במקרים רבים, זה לא אפשרי לשלוח אנשים לכל אתר ואתר, כמו למשל תחנת תמסורת באמצע צינור גז במדבר".
הפלטפורמות הקיימות של גישה מרחוק מתבססות למעשה על שרת וירטואלי בענן (VPN) שמתווך בין שני המחשבים. ואולם, בפלטפורמות הללו, נוצר למעשה תקשורת ישירה עם הרשת התפעולית, תקשורת שפותחת אותה לסכנות של העולם החיצוני, וזאת תוך שימוש בשכבת הגנה מבוססת-תוכנה כמו "חומת אש".
פרנקל: "זו חלופה עם רמת סיכון בלתי סבירה, כי היא מחייבת אותך לפתוח את הרשת התפעולית לעולם החיצוני, ויש בכך סיכונים רבים. כמו כן, הפרוטוקולים של פלטפורמות הגישה מרחוק הם מאוד מורכבים, ועל כן מספקים כר פורה לניצול של האקרים. גם המחשב שממנו אתה מנהל את התקשורת עם השרת המרוחק חשוף לסכנות כמו השתלטות או גניבת זהות. עם זאת, בהיעדר חלופות, אנשים בעולם התעשייתי נאלצים לעיתים לקחת את הסיכון הזה".
תקשורת ישירה מדומה
הפתרון החדש של ווטרפול, שזכה לשם HERA (Hardware Enforced Remote Access), מנסה לשמר את היכולת לתפעל מרחוק, באופן אינטראקטיבי, את מערכת הבקרה התעשייתית – וזאת מבלי שתתקיים בפועל תקשורת ישירה בין מחשב המשתמש לרשת התעשייתית.
כיצד הדבר אפשרי? נתחיל בצד המשתמש: במחשב שלו מותקן מסוף (client) של ווטרפול, שבו הוא מקליד את הפעולות שהוא רוצה לבצע במחשב התעשייתי המרוחק. תפקידו של המסוף הוא להעביר הלאה, באופן נקי ומוצפן, אך ורק את הקשות המקלדת ותנועות העכבר של המשתמש. ההצפנה של פעולות אלה מתבצעת באמצעות רכיב ה-TPM המותקן במחשב המשתמש. זהו רכיב חומרה המצוי במרבית מחשבי הפרימיום בשוק, הוא מותקן על גבי לוח-האם ותפקידו הוא לשמור את מפתחות ההצפנה הייחודיים של המחשב. המסוף של ווטרפול עושה שימוש במפתחות ההצפנה הללו כדי להצפין את התקשורת.
בשונה מפלטפורמות הגישה-מרחוק, פעולותיו של המשתמש עוברות הלאה אל המחשב המרוחק על גבי פרוטוקול מינימלי ופשוט, שלמעשה אוצר אך ורק את הקשות המקלדת ותנועות העכבר. כך למעשה שום פיסת קוד זדונית לא יכולה לעבור ממחשב המשתמש למחשב המרוחק – מאחר שלתוקף אין שום "קוד עודף" שהוא יכול לנצל ולהעביר לרשת ה-OT.
גם במחשב של הרשת התעשייתית המרוחקת יש אמצעי אבטחה, בדמות רכיב חומרה, HERA Gateway, שמפלטר את אריזות המידע הנכנסות ויודע, על סמך מפתחות ההצפנה של ה-TPM, שמדובר במשתמש מורשה ושרק הפקודות הבסיסיות ביותר נכנסות פנימה. לאחר שעברו את תהליך הבדיקה, הפקודות המבוקשות מבוצעות במחשב התעשייתי.
בנוסף לעובדה שהתקשורת מוגבלת ללחיצות עכבר ומקלדת, מוצפנת ומאושרת, ישנה הפרדה מבוססת חומרה בין התקשורת הנכנסת לתקשורת היוצאת (התקשורת היוצאת היא למעשה "צילומי מסך") מרשת ה-OT – כל כיוון תקשורת מתקיים על גבי שער הפרדה חד-כיווני נפרד, שמאפשר למידע לזרום רק בכיוון אחד.
פרנקל: באופן הזה, למרות שלא באמת נוצר ממשק ישיר בין שני המחשבים, למשתמש יש חוויה אינטראקטיבית של גישה-מרחוק. הוא מבצע פעולות ומקבל גם חיוויים מהרשת התעשייתית בזמן אמת. בתצורה הזו, כל ניסיון פריצה מחייב משאבים ורמת תחכום שלמעשה הופכים את המשימה לכמעט בלתי אפשרית".
ווטרפול, שהוקמה ב-2008, מעסיקה כ-150 עובדים, מרביתם בישראל וכ-20 עובדים בסניף החברה בוושינגטון. לחברה יש אלפי לקוחות בארץ ובעולם, כשהסקטורים המרכזיים הם אנרגיה וחשמל, גז ונפט, מים וכימיקלים.