עקב תחקיר כלכליסט על השימוש הנרחב בתוכנת הריגול פגסוס, הודיע השר לביטחון פנים כי יפעל להקים ועדת חקירה עם סמכות לחקור עדים באזהרה, "תהא בכירותם אשר תהא". המפכ"ל שבתאי קרא אף הוא להקים ועדה חיצונית, וכמוהו בר-לב הדגיש: "זה קרה בממשלות קודמות, אצלי לא יהיו מחדלים כאלה" השר לביטחון הפנים, עמר בר-לב, הודיע בצהריים (יום ב') כי החליט לקדם הקמת ועדת בדיקה ממשלתית "שתחקור לעומק", כלשונו, את פרשת הריגול המשטרתי באמצעות תוכנת פגסוס של חברת NSO, ואת הטענות ל"פגיעה בזכויות האזרחים ובפרטיותם". בר-לב פרסם את ההודעה שעות אחדות לאחר הפרסום הבוקר של ממצאים נוספים מתחקיר כלכליסט, ולפיהם היקף השימוש שעשתה המשטרה בפגסוס היה נרחב ביותר, לכאורה ללא צווים מבית משפט, ובאמצעות התוכנה נאסף מידע מודיעיני על פעילי מחאה, עיתונאים, אנשי עסקים בכירים, פוליטיקאים, יועציהם וקרוביהם. בעקבות התחקיר הזה נשמעו קריאות נרחבות להקים ועדת חקירה חיצונית, ולא להסתפק בצוות הבדיקה הפנימי שכבר הוקם במשרד המשפטים, ולקריאות הללו הצטרף מוקדם יותר הבוקר גם מפכ"ל המשטרה יעקב שבתאי. כמו שבתאי, גם בר-לב הדגיש בהודעתו כי השימוש הלא-חוקי לכאורה בכלי הריגול של NSO לא נעשה בתקופתו: "מתוך העדויות העולות, מסתמן שהכשלים, באם היו, היו תחת מפכ"לים קודמים, תחת שרים לביטחון פנים קודמים ותחת ממשלות קודמות". בר-לב הוסיף: "אני מישיר מבט אליכם, אזרחי ישראל ומתחייב לכם – ועדת הבדיקה תבדוק לעומק ולרוחב את כל הטענות. במשמרת שלי המחדלים הללו לא יקרו – המשטרה נמצאת תחת האחריות שלי ובסמכות שלי ואני אוודא שאם הייתה פגיעה בדמוקרטיה שקרתה בשנים הקודמות, אוקיע אותה ולא אתן לה לקרות". על רקע הקריאות להקים דווקא ועדת חקירה ממלכתית ולא ממשלתית, כזו עם סמכויות נרחבות יותר, הדגיש בר-לב כי יבקש משר המשפטים להביא בפני הממשלה הצעה להקים ועדה ממשלתית בראשות שופט בדימוס שיוקנו לה "הסמכויות העיקריות של ועדת חקירה ממלכתית לעניין זימון עדים, חקירתם באזהרה ותפיסת מסמכים. תהא רמת בכירותם של המזומנים באותם ימים אשר תהא – מהדרג המדיני, ממערכת המשפט, או ממשטרת ישראל". הוא הדגיש כי ועדה שכזו תעסוק בשימוש בטכנולוגיות מעקב על ידי "כלל גופי מערכת אכיפת החוק". המשך קריאה בלינק, https://www.ynet.co.il/news/article/s16hsucrt

Power Grids Under Attack Risks grow as more networks are connected and digitized. Cyberattacks are becoming as troublesome to the electrical power grid as natural disasters, and the problem is growing worse as these grids become more connected and smarter. Unlike in the past, when a power outage affected just the electricity supplied to homes and businesses, power grids are becoming core elements of smart cities, infrastructure, and safety-related services. Without power, none of this works, and sophisticated cybercriminal operations can hold large regions hostage until they pay enormous ransoms or give into other demands. The threats are global, too. As the profitability of hacking these systems grows, so does the number of attacks. The European Network of Transmission System Operators for Electricity (ENTSO-E), which represents 42 European transmission system operators in 35 countries, was hacked in 2020. Other successful cyberattacks include those on the Russian power grid in 2019 and Saudi Aramco petrochemical plants in 2017. Cyber attackers’ motives primarily fall into two categories — financial gain and weapons of war. Cybercriminals attempt to extract money from vulnerable targets using different techniques, including ransomware. They demand a ransom by locking up the victims’ operations. More recently, the attackers have been threatening to expose the stolen data if their demands are not granted. Cyberwarfare is more complicated. State-sponsored cybercriminals have a mission to steal, disrupt, and more importantly, cause damage to the victims’ operations and critical infrastructure. The impact of cyberattacks potentially can be even more severe. The Significant Cyber Incidents list furnished by the Center for Strategic and International Studies notes the alarming trend of cyberattacks becoming more frequent and destructive. Power grids are particularly vulnerable, and the potential entry points of those attacks are everywhere. The networked grids provide many benefits, but they also present challenges. The more connected the power grids, the more opportunities cybercriminals gain to hack the systems. Additionally, when renewable energy sources and the existing power grid integrate, the interfaces will present additional vulnerabilities. So how prepared are we in the fight against cyberattacks on power grids? To answer that question, we need to first understand what a power grid is. Overcoming these issues requires using technology to fight cybercriminals, better and more centralized leadership, and a mindset change that recognizes the immediacy of cyber threats. That leadership is essential to developing an overall cybersecurity mindset, and it needs to happen at all levels. We are living in an interesting time, witnessing a modern grid migration in which new innovations will be integrated with existing power grids. Going forward, we are likely to see more renewable energy sources, including solar, wind, and hydroelectric, become a significant part of the modern grid. In the smart, connected grid, digitalization will become a reality over time. This in turn will propel smart city development. Challenges remain in terms of how these new technologies will be integrated into the existing aging infrastructure. But one thing remains unchanged. The power industry will be facing an onslaught of cyberattacks, and it needs to be vigilant regarding cybersecurity. But armed with funding for cybersecurity and IT equipment upgrades. רשתות חשמל תחת התקפה ■ הסיכונים גדלים ככל שיותר רשתות מחוברות ומדיגיטות. מתקפות סייבר הופכות מטרידות לרשת החשמל כמו אסונות טבע, והבעיה הולכת ומחמירה ככל שהרשתות הללו נעשות מחוברות וחכמות יותר. שלא כמו בעבר, כאשר הפסקת חשמל השפיעה רק על החשמל שסופק לבתים ולעסקים, כיום רשתות החשמל הופכות למרכיבי ליבה של ערים חכמות, תשתיות ושירותים הקשורים לבטיחות. ראוי להדגיש שמבצעים מתוחכמים של פושעי סייבר יכולים להחזיק אזורים גדולים כבני ערובה עד שהם משלמים כופר עצום או ייכנעו לדרישות אחרות. יתר על כן, האיומים הם גלובליים. ככל שהרווחיות של פריצת מערכות אלו גדלה, כך גדל מספר ההתקפות. הרשת האירופית של מפעילי מערכות תמסורת לחשמל (ENTSO-E), המייצגת 42 מפעילי מערכות תמסורת אירופאיות ב-35 מדינות, נפרצה בשנת 2020. מתקפות סייבר מוצלחות נוספות כוללות את אלו על רשת החשמל הרוסית ב-2019 ומפעלי פטרוכימיה של ארמקו הסעודית ב-2017. המניעים של תוקפי הסייבר מתחלקים בעיקר לשתי קטגוריות - רווח כספי, וכלי נשק. פושעי סייבר מנסים לחלץ כסף ממטרות פגיעות באמצעות טכניקות שונות, כולל תוכנות כופר. הם דורשים כופר על ידי נעילת פעולות הקורבנות. לאחרונה, התוקפים איימו לחשוף את הנתונים הגנובים אם דרישותיהם לא ייענו. אכן, לוחמת סייבר מסובכת יותר, לפושעי הסייבר בחסות המדינה יש משימה; לגנוב, לשבש, וחשוב מכך, לגרום נזק לפעילות הקורבנות ולתשתית קריטית. בנוסף לאמור לעיל, ההשפעה של התקפות סייבר עשויה להיות חמורה אף יותר. רשימת תקריות הסייבר המשמעותיות שסיפק המרכז למחקרים אסטרטגיים ובינלאומיים מציינת את המגמה המדאיגה של התקפות סייבר שהופכות תכופות והרסניות יותר. רשתות החשמל פגיעות במיוחד, ונקודות הכניסה הפוטנציאליות של התקפות אלו נמצאות בכל מקום. הרשתות המרושתות מספקות יתרונות רבים, אך הן גם מציבות אתגרים. ככל שרשתות החשמל מחוברות יותר, כך פושעי סייבר זוכים להזדמנויות רבות יותר לפרוץ למערכות. בנוסף, כאשר מקורות אנרגיה מתחדשים ורשת החשמל הקיימת משתלבים, הממשקים יציגו נקודות תורפה נוספות. אז עד כמה אנחנו מוכנים למאבק נגד מתקפות סייבר על רשתות החשמל? כדי לענות על השאלה הזו, עלינו להבין תחילה מהי רשת חשמל. אין ספק שהתגברות על נושאים אלו דורשת שימוש בטכנולוגיה כדי להילחם בפושעי סייבר, מנהיגות טובה וריכוזית יותר ושינוי חשיבה שמכיר במיידיות של איומי סייבר. ולפיכך, מנהיגות זו חיונית לפיתוח חשיבה כוללת של אבטחת סייבר, והיא צריכה לקרות בכל הרמות. בהתאם לאמור לעיל, אנו חיים בתקופה מעניינת, עדים להגירת רשתות מודרנית שבה חידושים חדשים ישולבו עם רשתות החשמל הקיימות. בהמשך, אנו צפויים לראות יותר מקורות אנרגיה מתחדשים, כולל שמש, רוח והידרואלקטריה, הופכים לחלק משמעותי מהרשת המודרנית. ברשת החכמה והמקושרת, הדיגיטליזציה תהפוך למציאות עם הזמן. זה בתורו יניע פיתוח עיר חכמה. לסיכום, נותרו אתגרים במונחים של האופן שבו הטכנולוגיות החדשות הללו ישולבו בתשתית המזדקנת הקיימת. אבל דבר אחד נשאר ללא שינוי. תעשיית החשמל תעמוד בפני הסתערות של מתקפות סייבר, והיא צריכה להיות ערנית לגבי אבטחת סייבר. אולם, חמוש במימון לשדרוגי אבטחת סייבר וציוד IT.

https://m.ynet.co.il/articles/hjowy1yj5

https://www.themarker.com/career/.premium-1.10596616?utm_source=App_Share&utm_medium=iOS_Native

https://13tv.co.il/item/news/domestic/crime-and-justice/glasses-credit-scam-902862723/?utm_source=share&utm_medium=WP&utm_campaign=news_m

https://www.themarker.com/news/.premium-1.10602866

אבטחת מידע - מערכת בקרה תעשייתית ATT&CK ICS ■ אסטרטגיות הערכות סיכונים והפחתת סיכונים הן פעילויות שגרתיות בסביבת הייצור, אך ככל שמספר וסוג התקפות הסייבר גדלים בכל התעשיות, והקישוריות ממשיכות לגדול בין טכנולוגיית מידע (IT) לטכנולוגיה תפעולית (OT), יש צורך לנקוט בגישה מעשית, גישה ממוקדת לניהול סיכוני אבטחת סייבר של מערכות ייצור חכם ומערכות האינטרנט של הדברים התעשייתי (IIoT). מערכת בקרה תעשייתית (ICS), באמצעות הטקטיקה, הטכניקות והידע הנפוץ (ATT&CK) מובן אפוא, שהיריבות מציגות את המידע במטריצות המסודרות לפי שלבי תקיפה, כלומר, מהגישה הראשונית למערכת ועד לגניבת הנתונים או בקרת מכונה. ה- ATT&CK למעשה בסיס ידע של התנהגויות יריב. מפאת זאת קשה ליריב לשנות דברים, ולכן, צריכים ללכת בנעלי יריבינו על מנת להתגונן מפניהם. כי אם גם, הטקטיקות, הטכניקות והנהלים (TTPs) מתארים דפוסי פעילויות הקשורים למקור איום ספציפי או לקבוצה של גורמי איום. על ידי שימוש במסגרת ATT&CK בתהליך הערכת סיכונים, ארגונים יכולים לזהות סיכונים שיריבים משתמשים בהם ולשייך אותם ל-TTPs. כך אמור לזהות את השינויים הספציפיים שניתן לבצע במערכות ובסביבת הרשת כדי לשבש את ההתקפות הללו ולהפחית משמעותית את רמת הסיכון של סביבת ה-OT. נוסף לכך, במטריצת ICS ATT&CK, טקטיקות משבשות וממפות מול טכניקות הפחתה כדי לתת ליצרנים פעולות מעשיות כדי לסייע במניעת כל סוג של איום. בנוסף, ניתן גם מידע על קבוצות יריבים. מומחים צריכים לדעת כיצד להשתמש במסגרת ATT&CK כדי ליצור מפת דרכים המעניקה עדיפות לצמצום הסיכונים הגדולים ביותר למערכות הייצור החכמות ו-IIoT של הארגון. זאת ועוד, הודות למרכז מו"פ אבטחת סייבר במימון פדרלי של תאגיד MITER בארה"ב, העוזר לספק לתשתית העסקית, ארכיטקטורות ופתרונות אבטחת סייבר יעילים ומעשיים. מטריצת ICS ATT&CK היא בסיס ידע של פעולות יריב המתמקד ביריבים שמטרתם לשבש מערכות בקרה תעשייתיות (ICSs). בסיס ידע זה בקוד פתוח ומידע נגיש בלינק https://attack.mitre.org/ ■ יישום ATT&CK לניהול סיכונים יישום ICS ATT&CK לניהול סיכונים כרוך בזיהוי סיכוני אבטחת סייבר, קביעת ההשפעה הפוטנציאלית והסבירות להתרחשות סיכונים, ולאחר מכן קביעת הדרך הטובה ביותר להתמודד עם כל סיכון במשאבים הזמינים. הערכת המידע עוזרת ליצרנים לפרוס את אסטרטגיית בקרת הסיכונים והפחתת הסיכונים היעילה והמשתלמת ביותר באופן ממוקד כדי להפחית תחילה את סיכוני אבטחת הסייבר הסבירים ביותר או בעלי ההשפעה הגבוהה ביותר. למשל, מספר שיטות עבודה מומלצות עבור: • איתור איומים. • הערכות והנדסה. • מודיעין איומים. • אמולציית יריב. למשל, אחד השימושים הטובים של מסגרת ATT&CK הוא להשתמש בה כדי להבין עד כמה ההגנות שלך עמידות לכל התנהגות התקפה. ובנוסף, מספקת גם מידע חשוב היכן אתה צריך למקד את המשאבים שלך. לציין כי במודל של שרשרת kill, מסגרת ATT&CK מתאימה היטב וניתנת לשימוש בהתאמה, וכן, לאתר את האיומים, ולפעול לפי מידע. ראוי להדגיש שבמתודולוגיית הערכת סיכונים טיפוסית, נדרשת אומדן של הסתברות הסיכון. למרבה הצער, אין דרך פשוטה ומדויקת באופן עקבי למדידת הסתברות (סבירות להתרחשות סיכון). במקום להסתמך על מודלים מתמטיים משוכללים או ליפול על גישה משוערת, ICS ATT&CK היא גישה מעשית יותר. כמה היבטים של זה כוללים הסתכלות על נתונים מקומיים, הרלוונטיים לסביבה הספציפית. הערכת סיכונים עוסקת יותר בתעדוף מאשר בהסתברות, ולפיכך, חשוב להעריך וקטורי התקפה מקומיים. יתר על כן, חשוב גם להשתמש בעובדות ובנתונים הניתנים למדידה החלים על התצורה והנכסים של המתקן כדי להעריך את ההשפעה העסקית במקום לנחש או להכליל. עם זאת, כדי שהערכת סיכונים תהיה יעילה, חשוב שיצרנים יהיו בעלי הבנה מלאה של הנכסים המעורבים במערכות הבקרה התעשייתיות שלהם ובטופולוגיית הרשת באזורי ייצור. יש לקחת בחשבון ציוד מדור קודם, תיקוני אבטחה שהוחלו או חסרים, וקישוריות למערכות עסקיות עם יותר חשיפה לאיומים בעת הערכת סיכון אבטחת סייבר. ■ גישות מעשיות למניעת התקפות סייבר מקרי השימוש במודל ICS ATT&CK מניחים שתתרחש הפרה; לפיכך נדרש תכנון וביצוע תחזוקה מונעת כדי לחזק את הרשת ההיקפית והפנימית של הארגון כדי למתן מתקפה. כלומר, תחזוקה יזומה היא תמיד פחות יקרה מאשר תגובה לאחר מעשה, ללא ספק כאשר הזמן הוא חיוני וייתכן שתידרש פעולה נוספת כדי לבטל את הנזק שעלול להיגרם כתוצאה מפריצה. בדרך כלל, הערכת סיכונים מורכבת משלושה שלבים. • שלב 1 - איסוף מידע על סביבת מערכות בעלי מערכות צריכים להעריך את נכסי הייצור החכם ומערכת ה-IIoT וכן את סביבת ה-ICS כולה, כולל קישורים לרשתות מחוץ לייצור; תוכנה/קושחה המותקנת בכל תחנת עבודה, בקר או ציוד אחר; והרשאות משתמש, תוך התחשבות בגורמים אחרים כגון תוכניות התרחבות ארגוניות או שדרוגי ציוד. • שלב 2 - יצירת עץ התקפה של מערכת IIoT באמצעות מסגרת ICS ATT&CK הגדר את הסיכונים עבור כל ציוד - זיהוי ותעדוף טכניקות הפחתה מתאימות. דוגמה לכך היא ארכיטקטורת רשת לא מאובטחת וללא מדיניות אבטחה בין אזור ה-IT/OT וללא אזור מפורז תעשייתי (IDMZ). לאחר ניתוח הרשת, עץ התקפה אחד עשוי להיות USB זדוני המחובר לרשת הארגונית. בהתבסס על טופולוגיית הרשת השטוחה, ה-USB מתקין תוכנות זדוניות מתוך כוונה לקבל גישה מרחוק לתחנת עבודה הנדסית (EWS). לאחר השגת גישה מרחוק ל-EWS, היריב יכול להשתמש בתוכנת מערכת ביצוע הייצור (MES) שכבר מותקנת כדי לפגוע בתהליך של המתקן או לתקוף את מערכת ה-ERP של העסק. • שלב 3 – יצירת תכנית בהתבסס על הממצאים של שלבים 1 ו-2, מתרגלי אבטחת סייבר של ICS, יכולים לחשב סיכון נכסים ולזהות את פערי אבטחת הסייבר. באמצעות מידע זה, הם יכולים ליצור מפת דרכים המתעדפות את הסיכונים הללו תוך מודלים חזותיים של הפחתת סיכונים. ■ מימוש התייעלות פעמים רבות, לבעלי מערכות יש הזדמנות ליישם שיפורי אבטחה בשילוב עם פעילויות אחרות הדורשות השבתה מתוכננת של המערכת. זה ממזער את ההשפעה על הייצור וכמובן עדיף על כיבוי לא מתוכנן שנגרם כתוצאה ממתקפת סייבר. על ידי שילוב שיפורי אבטחה במקביל לשינויים בתכנון המערכת, ניתן לאמת את היבטי האבטחה של המערכת יחד עם שאר המערכת. בעלי מערכות יכולים גם לעזור להבטיח שכל ההרחבות ואו השיפורים של המערכת מתוכננות מתוך מחשבה על מניעת התקפות סייבר באמצעות הגדרת דרישות אבטחה בארגון. ■ שיקולים ברמת הארגון רוב פרצות האבטחה הן תוצאות של פריצות או התקפות זדוניות בצד הארגוני. בעבר, מערכות וציוד ייצור ברשת היו נפרדים משאר הארגון ומהעולם החיצון, ורק תקשרו זה עם זה. אבל עם הופעתן של מערכות ייצור חכמות ו-IIoT כגון MES, תאומים דיגיטליים והטמעות כלליות של יעילות ציוד, ישנה קישוריות רבה יותר בין הרשת הארגונית לרשת הייצור. למרות שזה משפר את היעילות ומאפשר תכנון טוב יותר, אך זה גם מאפשר הזדמנויות לפריצות, תוכנות זדוניות והתקפות דיוג מוצלחות, ומאפשר לתוכנות זדוניות להתפשט לרצפת הייצור עם תוצאות שעלולות להיות קטסטרופליות. מרכיב קריטי לניהול קישוריות זו הוא אזור מפורז תעשייתי כדי לשלוט בקפידה על התעבורה ברשתות. באימוץ מהיר של ה-IIoT יש גם פוטנציאל לאפשר חדירה, מכיוון שיותר ויותר מכשירים מחוברים לרשת, ולרוב עם יישום לא עקבי, וללא אמצעי אבטחה מספקים. ככל שה-IIoT מאומץ יותר ויותר, הוא יגדיל את הפגיעות של רשת מערכת הבקרה אם לא יינקטו בקפדנות נוהלי אבטחה חזקים. גם כלים ומערכות מבוססי ענן מהווים סיכונים חדשים מגדילי סיכון מצד תוקף. כלומר, על מבצע הערכת סיכונים ותוכנית הפחתה למערכת במודל ATT&CK, עבור ייצור חכם והפרות מערכת IIoT, המשפיעות הן על סביבת ה-IT והן על סביבת ה-OT, יש לסווג את נכסי המערכת על סמך קריטיות, ולא רק מנקודת מבט של תהליך ייצור, בנוסף על כך, גם בהתייחסות על השפעות סביבתיות, בטיחותיות ורגולטוריות פוטנציאליות בשל סיכון פרצת אבטחה. מודל ה-ICS ATT&CK אינו סטנדרטי אלא מספק מסגרת של פעילויות ידועות שנוסו על ידי מומחי אבטחת סייבר בארה"ב. הוא מגדיר כיצד יריבים תקפו בהצלחה מערכות ICS, כגון ייצור חכם ומערכות IIoT ומספק את שלבי ההפחתה שיש לנקוט עבור כל סוג של התקפה ידועה. לאחר מכן, בעלי מערכות יכולים להתאים את ההפחתות לסטנדרטים החלים על כל אזור להפחתה תואמת התעשייה. גישות עשויות להיות מונחות על ידי הקפדה על ISA-99 ו-IEC 62433. ■ מה צפוי בהמשך להגנה על מערכות IIoT? MITER ATT&CK בארה"ב מספקת גישה להבנת סיכונים ולתעדף את בקרות האבטחה כדי להגן על ייצור חכם ומערכות IIoT. במסגרת TTPs שניתן להחיל על מערכות IIoT, כגון גישה ראשונית דרך התקנים נגישים לאינטרנט, באמצעות API וניצול שירותים מרוחקים. עם זאת, ייצור חכם ומערכות IIoT עדיין מציבות אתגרים ייחודיים בהשוואה לאבטחת ICS מסורתית. מטעם זה, מומחים וגופי תקן בארה"ב בוחנים דרכים לספק הנחיות ליישום תקני אבטחת סייבר על מערכות אלו. לדוגמה, ISA99 הודיעה לאחרונה על תוכניות ראשוניות להוספת תקנים לסדרת IEC 62443 המוקדשת ל-IIoT. וכן, בעתיד אנו עשויים לראות תשובה מונעת קונצנזוס לשאלה כיצד ליישם תקני אבטחת סייבר על מערכות אלו. כשם שאם מטריצה היברידית מספקת ערך במעקב אחר מסלולי התקפה ואמצעי הפחתה יעילים, היא יכולה להפוך לגישה מועדפת ליישום ATT&CK על מערכות ייצור חכמות ו-IIoT. מאמר בעברית: אלון חן רשימת מקורות: ]Jacob Chapman[ https://gca.isa.org/blog/cybersecurity-using-ics-attck-strategies [Mitre] https://attack.mitre.org/techniques/enterprise [Chris Prall] https://blogs.vmware.com/security/2019/03/how-to-mature-your-threat-hunting-program-with-the-att-framework.html