גבריאל מרקוס, אדריכל סייבר מוכר ואלוף הסייבר של גוגל לשנת 2022, מדבר על עולם הסייבר התעשייתי, על האתגרים המרכזיים של ארגוני ICS ו-OT, ועל הצורך במעבר מחשיבה של הגנה בלבד לחשיבה של הכלה, התאוששות והמשכיות תפעולית.
לדברי מרקוס, מערכות ICS משלבות חומרה, תוכנה וקישוריות רשת לצורך הפעלה ותמיכה של תשתיות קריטיות. מכאן גם נובע האתגר הכפול של עולם ההגנה התעשייתי: מצד אחד זיהוי וסיכול של פעילות זדונית, ומצד שני התאוששות מהירה ככל האפשר מכל תקיפה שמתרחשת — לפני שהיא יוצרת נזק רחב, משבשת את הייצור וגורמת לעלויות כבדות.
בעולם התעשייתי, האתגר האמיתי אינו רק למנוע תקיפה — אלא לחזור לפעילות במהירות, לפני שההשבתה עצמה הופכת לאירוע העסקי החמור ביותר.
מרקוס מסביר כי בעולמות התעשייה והתשתיות הקריטיות השאלה אינה רק כיצד למנוע חדירה, אלא כיצד לנהל את כל מחזור החיים של האירוע: מהאפשרות לאיום, דרך זיהויו, ועד לחזרה לשגרה לאחר התקיפה. לדבריו, בקצב ההולך וגדל של תקיפות על תשתיות קריטיות, כל ארגון צריך להיערך עם תוכנית התאוששות. זה כבר אינו עניין של "אם", אלא של "מתי".
לדבריו, בהחלט כן. נהוג לעיתים לדבר על תוכנית המשכיות עסקית רק במונחים של חומות אש, זיהוי ואיתור איומים, אך בפועל היא צריכה לכלול גם תרחישי תקיפה, פגיעה, הכלה וחזרה לפעילות. במציאות של תקיפות גוברות, ההכנה לרגע שאחרי האירוע הופכת לחשובה לא פחות מההגנה עצמה.
מרקוס מצביע על זמני השבתה כנקודת התורפה המרכזית. מבחינתו, בעולם ה-OT של היום כבר לא מדובר רק ב"הגנה" אלא ביכולת להכיל ולהתאושש. כאשר קווי ייצור מושבתים או מערכות תפעול נעצרות, הנזק אינו נמדד רק באובדן מידע אלא גם בעצירת פעילות, עיכוב אספקה ועלויות כבדות מאוד.
עד לפני מספר שנים, חברות OT רבות השתמשו, וחלקן עדיין משתמשות, בפתרונות גיבוי ידניים או חצי-אוטומטיים כמו Ghost, Acronis ו-NetApp. לדברי מרקוס, אלו יכולים להיות פתרונות טובים לגיבוי, אך הם משאירים שני אתגרים מרכזיים: התוקפים מכירים את המערכות הללו ומכוונים אליהן, ולעיתים מנתבים גם את מטעני הכופר אל מנגנוני הגיבוי עצמם; בנוסף, התאוששות מלאה לאחר תקיפת כופר באמצעות פתרונות כאלה עלולה להימשך ימים, בהתאם להיקף הפגיעה.
לכן, לדבריו, הפתרון המודרני צריך להתבסס על רכיב התאוששות מהיר, מבודד ולא מקוון, שאינו נגיש לתוקפים ויכול לאפשר חזרה מהירה מאוד לפעילות.
בארגוני OT, היעד המרכזי אינו בהכרח שחזור הקובץ האחרון — אלא צמצום זמן ההשבתה והחזרת הייצור לפעולה.
מרקוס מסביר כי בעולם ה-IT מוקד תשומת הלב הוא המידע עצמו, ולכן המאמצים מכוונים לשמירה על הנתונים ולעיתים אף לשחזור מדויק של קובץ לנקודת זמן מסוימת. בעולם ה-OT, לעומת זאת, עיקר הדגש הוא המשכיות תפעולית. לכן, השאלה תלויה באופי הארגון, ביכולתו לשאת השבתה ובנכונותו ליטול סיכון מול איומים כמו כופרה. לצד זאת, הוא מדגיש כי לא ניתן להיות "בכל מקום כל הזמן", ולכן פתרונות אוטומטיים הם הכרח ולא מותרות.
מרקוס אומר בחיוך כי "קודם כול, לא הצלחתי לפרוץ אותו". לדבריו, הפתרון של החברה מבוסס על יחידת התאוששות סייבר, תוכנת סוכן ומערכת ניטור. יחידת ההתאוששות מבוססת על טכנולוגיה מבודדת בסגנון air-gap ומיועדת לעמוד בפני תקיפות תשתית ואפליקציה. אחד היתרונות הבולטים, לדבריו, הוא היכולת לשחזר מערכות בזמן שיא ולהקטין בצורה דרמטית את העלות הפוטנציאלית של אירוע כופרה.
עוד הוא מוסיף כי שילוב של חומרה ותוכנה ייחודיות, שפותחו בסביבת מעבדה ייעודית, מקשה מאוד על ביצוע הנדסה לאחור ועל יצירת חולשות או מתקפות zero-day כנגד המוצר.
להערכתו של מרקוס, התחום ימשיך להשתנות ולהתקדם בקצב מהיר אף יותר מהיום. העולם מתקדם לעבר תקופה שבה OT יהיה רכיב מפתח בפיתוח תשתיות ובייצור, והמחשוב, הידע והיכולת להבין כיצד מתנהלת לוחמת סייבר ילכו וישתכללו.
לדבריו, מתקפות כופרה-כשירות, Ransomware as a Service, כבר הפכו לתעשייה רחבה, והן צפויות להמשיך להתפתח ולהפוך למסוכנות ומשפיעות יותר. לכן ארגונים יידרשו להיות מהירים, זריזים וגמישים יותר בתגובה, ולהתאים את עצמם לנוף איומים שמשתנה ללא הרף.