آزاده کیاپور – قبل از همهگیری، حملات خرابکارانه سایبری به کارخانههای تولیدی وجود نداشت. امروز وضعیت به طرز چشمگیری تغییر کرده است. طبق گزارش اخیر، حملاتی که منجر به عواقب فیزیکی در تولید فرایند، تولید چندبعدی و زیرساختهای صنعتی حیاتی شد، بیش از 150 عملیات صنعتی را در سال 2022 شامل میشود. علاوه بر این، تعداد کل حملات، نسبت به سال قبل، 2.4 برابر افزایش یافت. با این نرخ رشد، حملات سایبری ممکن است تا حدود 15000 سایت صنعتی را در پنج سال آینده تعطیل کند.
- تهدید رو به رشد برای سیستمهای OT
بر اساس گزارش اخیر موسسهWaterfall Security ، در سال 2022، افزایش 140 درصدی حملات سایبری علیه عملیات صنعتی، منجر به بیش از 150 حادثه شد.
این گزارش هشدار میدهد: «با این نرخ رشد، انتظار داریم حملات سایبری، 15000 سایت صنعتی را در سال 2027 یعنی در کمتر از پنج سال آینده تعطیل کند.»
بیشتر این حملات به شکل باجافزار، رمزگذاری سیستمهای کامپیوتری مهم و دادههای ارزشمند در سراسر شبکههای فناوری اطلاعات بود. با این حال، این حملات بر فناوری عملیاتی (OT) نیز تاثیر گذاشت. بر اساس گزارش واترفال (Waterfall)، بیشتر حملات باجافزار، تنها شبکه IT را مختل میکند، نه OT را.
گفتنی است OT دستهای از سیستمهای محاسباتی و ارتباطی برای مدیریت، نظارت و کنترل عملیات صنعتی با تمرکز روی دستگاهها و فرایندهای فیزیکی مورد استفاده آنهاست. به تعبیر دیگر، فناوری عملیاتی، داراییهای فرایند صنعتی و تجهیزات تولیدی – صنعتی را رصد و مدیریت میکند.
در این گزارش آمده است: «با این وجود، در تمام حملات باجافزاری که ردیابی میکنیم، پیامدهای فیزیکی وجود داشت؛ یا به این دلیل که عملیات فیزیکی برای عملیات دقیقه به دقیقه به سیستمهای IT فلجشده تکیه میکرد و یا به این دلیل که قربانیان باجافزار به قدرت سیستمهای امنیتی OT خود اعتماد نداشتند و بنابراین عملیات را با احتیاط فراوان تعطیل میکردند.»
- خسارت دنیای واقعی
حملاتی که بر OT تاثیر میگذارند، قادرند به عواقب مخرب در دنیای واقعی، فراتر از تاخیرهای صرف سیستم منجر شوند. گزارش واترفال، برخی از رویدادهای قابل توجه را برجسته کرده که عبارتند از:
- قطعی و خرابی در شرکتهای شناختهشده از جمله 14 کارخانه متعلق به یک برند برتر خودروسازی، 23 کارخانه لاستیک با نام تجاری معروف و قطعی در یک شرکت بزرگ مواد غذایی و شرکت انتشاراتی
- تاخیر در پرواز دهها هزار مسافر هوایی در چهار حمله جداگانه
- عملیات فیزیکی در چهار حمله به معدن و فلزات. یکی از حملات، منجر به آتشسوزی و آسیب تجهیزات مادی شد.
- خرابی در بارگیری و تخلیه کانتینرهای بار، سوخت و نفت فله برای تعدادی از بنادر دریایی در سه قاره
- حملاتی که منجر به ورشکستگی دو سازمان قربانی شد.
به گفته محققان Waterfall، گزارشهای عمومی حملات سایبری با پیامدهای فیزیکی در صنایع مورد مطالعه، از سال 2020 به طور سالانه، بیش از دو برابر شده است. با سرعت فعلی، تعداد حملات و سایتهای آسیبدیده هر 2.5 سال، با نرخ 10 برابر در حال افزایش است. اگر این روند ادامه یابد، ممکن است از سال 2022 تا 2027، تعداد حملات و سایتهای تحتتاثیر آن، 100 برابر افزایش یابد. این اعداد ممکن است برای برخی اغراقآمیز به نظر برسد. با این حال، اگر به انفجار حملات باجافزار در چند سال گذشته نگاه کنیم، شاید حتی پیشبینی Waterfall را دستکم و حداقلی بدانیم.
- بررسی انگیزههای مهاجم
در حالی که حملات باجافزار، به وضوح انگیزههای مالی را در هسته خود دارد، حملات به بخش صنعتی نیز هکرها را جذب میکند. طبق این گزارش، 17 درصد از حملات سال 2022، هیچ انگیزه قابل شناسایی نداشتند. اکثر حملات، یعنی 74 درصد توسط باجافزارها و 9 درصد باقیمانده توسط هکرها بوده است. هیچیک از حملات هکرهای 2022 شامل باجخواهی نبوده است. در مقابل، گروههای هکتیویست با برنامههای سیاسی یا ایدئولوژیک انگیزه داشتند. در هر حادثه هکتیویستی، تنها انگیزه، اختلال زیرساختها یا خدمات حیاتی است.
بیشتر رویدادهای هکتیویستی همراه با درگیری مداوم بین ایران و اسرائیل یا درگیری روسیه و اوکراین بوده است. از مجموع شش حمله هکتیویستی، چهار حادثه باعث اختلال در عملیات حملونقل (راهآهن، حملونقل عمومی و خدمات تاکسی) شد و یک مورد نیز یک کارخانه فولاد را هدف قرار داد که منجر به آتشسوزی و آسیبرسانی به تجهیزات شد. آخرین حمله هکری، ایستگاههای شارژ خودروهای برقی متعلق به یک شرکت برق را هدف قرار داد.
در سال 2022، تعداد 42 حمله باجافزار شناساییشده منجر به عواقب فیزیکی در تولید چندبعدی، صنایع فرایندی و زیرساختهای حیاتی صنعتی شد. تعداد کل حملات با تاثیر فیزیکی در سال 2022، تقریبا با کل حملات (47 مورد)، در تمام سالهای مطالعه قبلی (2010-2021) برابر است. از حملات باجافزار شناختهشده در سال 2022، حدود 40 درصد این حملات به گروههای باجافزار شناختهشده، از جمله BlackCat، Conti، Lockbit، Hive، Black Basta، Black Byte، RansomEXX و LV نسبت داده شد.
- حملات پیچیده، رایجتر است
روند دیگری که در این گزارش، برجسته شده، افزایش پیچیدگی حملات علیه بخش صنعتی است. در گذشته، تنها بازیگران تحت حمایت دولت، بهTTP های پیشرفته دسترسی داشتند. اکنون قابلیتهای پیشرفته، بیش از هر زمان دیگر در اختیار گروههای سایبری قرار گرفته است. در این گزارش سند استراتژی امنیت ملی سایبری ایالات متحده نقل شده است:
زمانی تنها برای تعداد کمی از کشورهای دارای منابع خوب، ابزار لازم در دسترس بود اما ابزارها و خدمات هک توهینآمیز، از جمله نرمافزارهای جاسوسی تجاری خارجی، اکنون به طور گسترده در دسترس هستند. این ابزارها و خدمات، به کشورهایی که قبلا توانایی آسیبرسانی به منافع ایالات متحده در فضای سایبری را نداشتند و امکان تهدید فزاینده از سوی سندیکاهای جنایتکار سازمانیافته را نداشتند، قدرت میبخشد.
- همپوشانی IT/OT
طبق این گزارش،TSA دستورالعملهای جدیدی ارائه کرده که به صراحت، به وابستگیهای متقابل IT/OT میپردازد. در پاسخ به حملهColonial Pipeline ، به نظر میرسد امنیت سایبری TSA، در واکنش به آن، دستورهایی را برای صنایع دیگر هدایت میکند.
بنا به اعلام Waterfall، دستورالعملهای TSA با تعریف اهمیت شبکه و سیستم، با درنظ.ر گرفتن بدترین عواقب آسیب سایبری شروع میشود. سپس اقدامات امنیتی خاص در مرز باریک بین IT/OT موردنیاز است.
بدترین سناریوهای سازش در شبکههای OT، معمولا فیزیکی هستند (مانند خرابی تولید، آسیب تجهیزات یا بدتر). بدترین نتایج در شبکههای IT، معمولا مرتبط با کسبوکار است (مانند هزینه های پاکسازی، سرقت دادههای اختصاصی و دعاوی حقوقی مربوط به PII.) رابطه بین IT ، OT و TSA به اقدامات امنیتی بسیار خاص نیاز دارد. طبق گزارش waterfall، این اقدامات خاص عبارتند از:
- شبکههای OT باید با «ظرفیت لازم» به کار خود ادامه دهند؛ حتی وقتی شبکههای فناوری اطلاعات در معرض خطرند.
- مالکان و اپراتورها باید وابستگیهای OT به خدمات فناوری اطلاعات را حذف کنند. اگر نمیتوانند، باید وابستگیهای باقی مانده و اقدامات جبرانی را به TSAOn مستند کنند.
- مالکان و اپراتورها باید تمام روابط اعتماد دامنه OT به IT را حذف کنند و اگر نمیتوانند، باید سیاستهایی را برای مدیریت خطرات ناشی از این اعتمادهای خطرناک ایجاد کنند.
- شبکههای OT باید طوری طراحی شوند که بتوان آنها را از شبکههای فناوری اطلاعات، در طی مراحل واکنش به حادثه جدا کرد.
و در نهایت اینکه تعداد حملات سایبری به زیرساختهای تولیدی و حیاتی، به طور تصاعدی در حال افزایش است. از توسعه استراتژی OT و ارزیابی آسیبپذیری گرفته تا ساخت و بهینهسازی یک OT SOC، زمانی برای تلف کردن وجود ندارد. باید درباره ضرورت امنیت OT، بیشتر بیاموزید. به راستی استراتژی شما چیست؟