פוליסה - נובמבר 2019

79 / 2019 אלמנטר - נובמבר קטגוריות תורפות סביבת פעילות מנהלה בקרת זרימת נתונים מינימלית (למשל שימוש מינימלי ברשימות בקרת גישה, וירטואליות). LAN רשתות פרטיות וירטואליות או רשתות רשתות תקשורת הגדרות תצורה עבור התקני רשת אינן מגובות. רשתות תקשורת לא נשמרים. OS עדכוני אבטחה של מערכת ייצור/תפעול שימוש בתצורות ברירת מחדל של מערכת הפעלה, המאפשרות המאפשרת שימוש בשירותים לא מאובטחים ומיותרים. ייצור/תפעול סיסמאות שמורות באופן גלוי ובסמוך לעמדות קריטיות. ייצור/תפעול לא קיים שימוש בסיסמאות הפעלה ויציאה משומר מסך. ייצור/תפעול תעבורת סיסמאות אינה מוצפנת רשתות תקשורת + ייצור/תפעול קיים שיתוף סיסמאות גישה בין משתמשים רשתות תקשורת + ייצור/תפעול דרישות ליצירת סיסמאות ללא התניית אורך חיים ומורכבות ייצור/תפעול . administrator בקרות מינימליות לגישה כ- רשתות תקשורת + ייצור/תפעול . administrator קיימים משתמשים בעלי הרשאות גישת ייצור/תפעול קטגוריות תורפות סביבת פעילות מדיניות אין מדיניות אבטחה יעודית מתועדת. ICS / PCS ל- פגיעות עיקרית זו מייצרת ריבוי של פגיעויות פרוצדורליות וטכניות. אדמיניסטרציה נוהלים לעיתים אין תוכנית אבטחה יעודית ומתועדת. ICS / PCS ל- אדמיניסטרציה מדריכי יישום אבטחה לציוד ומערכות לעיתים לא קיימים. אדמיניסטרציה לא קיימים מנגנונים מנהליים לאכיפת אבטחה במחזור החיים של המערכת. אדמיניסטרציה הכשרה לא קיימת הכשרה פורמאלית לנושא אבטחה ולא קיים תיעוד נהלי אבטחה רשמיים. אדמיניסטרציה ניהול תצורה לרוב, לא קיים ניהול תצורה רשמי ולא קיים תיעוד רשמי של נהלים. על כן אין דרישות רשמיות, ואין גישה עקבית לניהול תצורה. אדמיניסטרציה חומרה/ציוד . SCADA התקשרות בחיוג מתאפשרת בתחנות עבודה ברשת ייצור/תפעול ניטור והתחברות יומני המערכת לא נאספים ולא נבדקים. ייצור/תפעול תיעוד פעילות חומות אש ונתבים לא נאספים ולא נבדקים. ייצור/תפעול . ICS / PCS אין ניטור אבטחה ברשת ייצור/תפעול אבטחת קישור נתיבי ניטור ובקרה קריטיים אינם מוגדרים, ויוצרים קושי בקיום תוכניות יתירות. ייצור/תפעול דרך קישורים לא מאובטחים אינם מוגנים באמצעות הצפנה. ICS / PCS חיבורי ייצור/תפעול גישה מרחוק אימות לגישה מרחוק אינו תקני או שאינו קיים. ייצור/תפעול משתמשת בסיסמאות משותפות ובחשבונות משותפים. ICS / PCS גישה מרחוק לרשת ייצור/תפעול תקשורת אלחוטית ללא אימות חזק והגנת ICS / PCS אלחוטית המשמשת ברשת LAN טכנולוגיית נתונים בין לקוחות ונקודות גישה. ייצור/תפעול הגנה מפני תוכנות זדוניות תוכנות אנטי וירוס לא מותקנות, לא בשימוש או לא מעודכנות ייצור/תפעול אבטחה היקפית לא הוגדרה אבטחה היקפית עבור המערכת לא הוגדרו נקודות גישה שנדרש לאבטח. רשתות תקשורת חומות אש אינן קיימות או מוגדרות בצורה לא מתאימה בממשקים לרשתות .) ICS / PCS חיצוניות (שאינן רשתות תקשורת . ICS / PCS משמשות לתעבורה שלא לצרכי ICS / PCS רשתות רשתות תקשורת ניכר מנקודות התורפה נמצאות בשליטת העובדים, כפועל יוצא של קיום ויישום מדיניות האבטחה ועצם קיומן גורם להליכים ניהוליים לקויים ולפגיעויות ביישום המערכת. כל נקודת תורפה היא בעיה משמעותית בהתחשב בתוצאות פוטנציאליות של פעולה לא נכונה של מערכות בקרה בתשתיות חיוניות. בהתאם למבנה פוליסות סייבר כפי שקיים כיום, נזקי רכוש אינם מבוטחים במסגרתן. על אף שפוליסות רכוש ופוליסות כל הסיכונים מבטחות נזקי רכוש ללא החרגה של סיכון סייבר כגורם הנזק, במהותן פוליסות אלו לא יועדו לתת מענה ביטוחי לסיכונים הנובעים ממתקפות סייבר בכלל ולסיכונים למערכות תעשייתיות בפרט. ככלשגדל השילובשל אמצעיםטכנולוגייםחדישיםעםאמצעי בקרה, ניהול ותפעול של מערכות ייצור ותשתיות חיוניות רחבות היקף, תוך אינטגרציה הולכת וגוברת עם נותני שירות, ספקים, מערכי תמיכה וניהול תעבורת מידע, כך פוחתת מידת השליטה ועצם ראיית כלל הגורמים המקושרים. לחברות תעשייתיות ומפעילי תשתיות לאומיות קיים צורך בניסוח פוליסות ביטוח סיכוני סייבר אשר מתייחסות לתרחישי סיכון עדכניים, ביניהם נזקים ) ומנגד, לאור ריבוי סיכוני הסייבר Cyber Physical loss סייבר-פיזיים ( המתפתחים ואי ודאות לגבי סוג והיקף הנזקים ופערים בכיסוי הביטוחי הקיים, על מנהלי הסיכון להתייחס לסיכוני הסייבר כפי שמתייחסים לכל סיכון תפעולי וליישם מנגנון ניהול סיכונים תאגידי.