הפרדת רשתות תקשורת

Network Segregation

נקסוס פתרונות מחשוב מתמחה בפרוייקטים של הפרדת רשתות תקשורת - ומאפשרת גישה מאובטחת למשאבי הרשת התעשייתית מתוך הרשת הארגונית ואף מהאינטרנט, כל זאת ללא סיכונים של זליגת מידע, פעילות זדונית או מתקפות סייבר


מיזוג של רשת התקשורת המפעלית עם רשת רצפת הייצור נשמע די טבעי ומתקבל על הדעת. אכן, יכולת העברת הנתונים מרשת אחת לשניה מגדילה את ביצועי העובדים והופכת משימות שוטפות, כגון איסוף הנתונים לצורך ניהול ייצור, לפשוטות ומהירות בהרבה. יתרה מכך, אפילו ברמה האדמיניסטרטיבית, שילוב של הרשתות יכול להוזיל עלויות לטווח הרחוק - תחשבו על יכולות הניהול המרכזי, יכולות תמיכה מרחוק, נגישות גדולה יותר למידע אלה רק חלק מהיתרונות הטמונים בחיבור בין הרשתות.

אמנם, שילוב הרשתות מערב סיכונים גדולים מאוד, אשר לא תמיד עובדי המפעל וההנהלה מודעים אליו. הגישה לאינטרנט, אשר בדרך כלל קיימת ברשת הארגונית, מגדילה את הסיכונים של מתקפות סייבר וחדירות למערכת המפעלית. הדבר אף יותר בעייתי, כאשר "מקריבים" את אבטחת הרשת המפעלית לצורך תחזוקה קלה. לדוגמה, רוב התקני הרשת התעשייתיים, כגון בקרים תעשייתיים והתקנים אחרים בעלי חיבור ethernet, מספקים דרך קלה לניהול, בדרך כלל באמצעות פרוטוקולי תקשורת נפוצים, כגון Telnet, HTTP, SNMP וכו'; ולא לעיתים רחוקות הגישה להתקנים אלה אפילו לא מוגנת על-ידי סיסמא, או שהסיסמאות פשוטות להחריד. יתרה מכך, מידע רגיש, כגון מסמכים המתארים את תהליך הייצור, נוסחאות ומידע נוסף, אשר צריכים להיות מוגנים מפני שינוי או גניבה על ידי גורם זדוני, לעיתים קרובות חשוף לעיני כל ולא מוגן אפילו ברמה הבסיסית.

יש להודות, שאבטחת המידע אינה ואיננה צריכה להיות הצד החזק של מהנדסי המפעל, שכן כל אחד צריך להיות אחראי על תחום העיסוק שלו. לכן, יש לנקוט בשיטה שונה לחלוטין לצורך אבטחת המידע - במקום "לחבר" בין הרשתות בצורה לא מבוקרת, יש "להפריד" אותן. כלומר, קיים צורך לתחום את רשת הייצור מהרשת המנהלתית באמצעות מערכת סינון כלשהי, אשר תפקידה לאפשר העברה של סוגי מידע מסויימים בכיוון מסויים, תוך כדי בדיקה מקיפה על פי מדיניות מוגדרת מראש, המגדירה את סוגי המידע, את המקורות ואת היעדים המורשים למידע זה.

הגישה הכללית לפרוייקט חדש של הפרדת רשתות בדרך כלל הגדירה מספר שלבים, כאשר עבור כל שלב קיים צורך לבחון את הסיכונים הקיימים ואת הדרכים האפשריות לנהל את הסיכונים הללו, על מנת לבחור בדרך היישום האופטימלית לאותו השלב, שתשלב בין רמת האבטחה הרצויה מצד אחד, ומגבלות תקציב מהצד השני

מדיניות אבטחת מידע

השלב הראשון בכל פרוייקט של אבטחת מידע הוא בעצם ההגדרה של מדיניות האבטחה הרצויה. על הנהלת הארגון, יחד עם מחלקת ה-IT, לקבוע את המדיניות הרצויה, את גודל המשאבים העומדים לידי הארגון לצורך ההטמעה של המדיניות ואת רמת האכיפה של המדיניות (לדוגמה, המדיניות יכולה לאסור כניסת עובדים לאתר ה-Facebook, אך לא בהכרח הארגון יאכוף את האיסור)

להלן האלמנטים העיקריים הדורשים התייחסות והגדרה מדוייקת

  • תפקידי משתמשים. בכל ארגון קיימת רמה זו או אחרת של היררכיה ארגונית, כאשר מידת הנגישות למידע של עובדים בכירים יותר בדרך כלל שונה באופן מהותי מהעובדים הזוטרים
  • תחומי אחריות. בדרך כלל, תחומי האחריות של העובדים די חופפים למבנה הארגוני. למשל, מפעל כלשהו יהיה מחולק למספר מחלקות או בתי מלאכה. למעט המידע הנגיש באופן רחב לכלל העובדים, בדרך כלל לעובד במחלקה מסויימת אין צורך, או שקיים צורך מועט, לגשת למידע השייך למחלקה אחרת.
  • מדיניות  האבטחה לכשעצמה. בדרך כלל, הכוונה לביצוע השיוך בין כל עובד, לבין תפקיד המשתמש הרלוונטי עבורו, ולבין תחום האחריות אליו הוא משתייך
  • חשוב מאוד להגדיר בצורה מפורטת, עבור כל תפקיד משתמש, את רמת הגישה למידע ואת הפעילויות המורשות לאותו התפקיד. אכן כך, חשוב לציין לאיזה תפקיד, למשל, קיימת גישה לקריאת נתונים של מערכת בקרת תהליכים, ולאיזה תפקיד תהיה האפשרות להזין פרמטרים למערכת, ולמי לא תהיה גישה כלל.
  • אמצעי ביקורת. אחד הגורמים החשובים ביישום מערכת אבטחת מידע הוא ה-audit, דהיינו היכולת לנטר את פעילות המשתמשים לצורך התייחסות עתידית

הערכת סיכונים

השלב השני הינו הערכת הסיכונים. בשלב זה, עלינו לשקול דרכים אפשריות שונות של פריצה אל תוך המערכת, ועבור כל דרך יש לבצע אנליזה של האספקטים הבאים:

  1. זיהוי, אפיון והערכה של איומים. בדרך כלל מדובר על איומים כגון תוכנה זדונית, התקפה זדונית מבחוץ או מתוך הרשת, גניבת מידע, וכו'.
  2. זיהוי והערכה של עמידת הרשת בפני האיומים הנ"ל. האם קיימות ברשת מערכות שהגישה אליהן פתוחה? מהי תרבות הארגון תחום אבטחת המידע? האם הרשת סגורה מפני התחברות מרחוק אן לא
  3. קביעת הסיכון (כלומר, הסבירות הצפויה לכך שהאיום יתממש, ואת התוצאות של מימוש האיום במקרה הגרוע ביותר). לדוגמא, מה הסיכוי שדמות זדונית תחדור לשטח המפעל ותקבל גישה לנקודת רשת של הרשת המפעלית? ואם סיכוי זה יתממש, מה הנזק שעלולה דמות זו להסב למפעל במקרה הגרוע ביותר?
  4. מציאת דרכים למזער את הסיכונים. אילו אמצעים ניתן לנקוט על מנת להקטין את רמת הפגיעות של הרשת? אילו צעדים ניתן לנקוט על מנת להגן על מערכות, שלא ניתן לאבטח בדרך אחרת?
  5. ביצוע תעדוף. שלא כמו כסף, זמן ומשאבים אחרים, לרמת אבטחת מידע אין גבול. לכן עלינו לקבוע את סדר העדיפויות בו נתחיל להטמיע את מדיניות אבטחת המידע שלנו. באופו מובן, נתחיל מהסיכונים הגבוהים ביותר

זיהוי המקטעים הפגיעים ברשת הינו מנגנון מצויין לצורך זיהוי של פגמים או "חורים" בעיצוב המערכת הכולל, וכמובן כלי עזר למציאת נקודות כשל אפשריות במערכת.

לאחר מיפוי והכנת רשימה של הציוד הדרוש, תכנון מערכות השליטה והבקרה ברצפת הייצור ותשתית תקשורת, יש להכין תרשים פרטני, המתאר את כלל התשתית הנדרשת, בהתאם לתכנון המערכת הרצוי.

רשת האינטרנט נחשבת כרשת הגדולה ביותר, והכי פחות מאובטחת. אפשור גישה מהאינטרנט לרשת הפנימית, מצד אחד, ממנף יכולות ניהול מרוחק (למשל, מהנדס תהליך יכול לשלוט על התהליך מבלי לצאת מהבית). אך הסיכון של פריצת אבטחה במקרה של גישה מהאינטרנט גובר במאות אחוזים, ולכן לא מומלץ לאפשר גישה כלשהי מהאינטרנט למערכות קריטיות. יתרה מזה, אפילו אם הגישה מבחוץ נחוצה (כולל בתקשורת מוצפנת), יש להקטין עד למינימום את כמות המערכות אליהן קיימת הגישה, ולא לאפשר גישה באופן גורף.

תכנון הרשת

יש לתכנן את הרשת בצורה פשוטה עד כמה שאפשר. מספר נקודות הקשר בין סגמנטים שונים של הרשת צריך להיות מינימאלי. בדרך כלל, יש לאפשר רק 1-2 נקודות קשר בין הרשתות השונות, אשר נתחמות על ידי מערכת חומת אש (firewall, ציוד רשת המאפשר שליטה וביקורת על תעבורה בין רשתות שונות) או מערכת שער חד-כיווני (uni-directional gateway, ציוד חומרה המאפשר העברת נתונים בכיוון אחד בלבד, כולל הפרדה פיזית בכיוון ההפוך)

כפי שנתן לראות, חלק נכבד מהעבודה יש לבצע עוד לפני ביצוע רכש ציוד.

אנו בנקסוס פתרונות מחשוב נסייע לך לאורך כל הדרך, החל מאיסוף מידע ואפיון ראשוני ועד להטמעה מלאה, הדרכה ותמיכה טכנית שוטפת.

מאמרים נוספים בנושא

פיירוול אאוט, WaterFall אין

ישנם מקרים, בהם גם מערכת הפיירוול האמינה ביותר לא מספקת את ההגנה הרצויה, כמו למשל במקרה של רשת תקשורת המחברת את...