בנובמבר 2023 פרסמה CISA את ההתראה AA23-335A: קבוצת CyberAv3ngers — חזית של חיל הסייבר של ה-IRGC האיראני — מנצלת בקרי Unitronics Vision ישראלים שחשופים לאינטרנט עם סיסמת ברירת מחדל 1111, ומחליפה את ה-HMI של רשות המים בארה"ב במסך עם הודעת תעמולה. המשטרה הפדרלית, ה-NSA וה-EPA פרסמו אותה התראה במשותף — סימן לחומרת המקרה ולתפיסה שמדובר באיום מתמשך, לא בתקרית בודדת.[1][2]

אותו וקטור עצמו — בקרי PLC ישראלים שחשופים לאינטרנט, עם סיסמת ברירת מחדל או שגרת תחזוקה מרחוק — קיים בכל קו ייצור ביטחוני בארץ שמשתמש ב-OT לבקרת רובוטיקה, חיתוך CNC, בדיקות חשמל אוטומטיות, או מערכות כיבוי. הניתוח הזה מציג למה רוב סקרי הסייבר ה-360° סטנדרטיים מפספסים את העובדה, ומה צריך להיות במסגרת אכיפה לארגון ביטחוני שעובד תחת רב מגן 2.

AA23-335A
התראת CISA על Unitronics - נובמבר 2023
100+
מתקנים אומרכזיים שנפגעו ע"י CyberAv3ngers (Claroty)
62443
תקן IEC לאבטחת OT - מנדטורי בעולם, לא ברב מגן

למה OT בקו ייצור ביטחוני הוא יעד מועדף

בניגוד למערכת IT — שם פגיעה גוררת דליפת נתונים — פגיעה ב-OT גוררת תוצאה פיזית: כיבוי קו ייצור, פסילת אצוות מוצרים בגלל סטיית ערך מהפרמטר ההנדסי, או גרוע מכך — פגיעה בבטיחות עובדים. עבור תוקף מדינתי, ההשפעה הפסיכולוגית והכלכלית של עצירת קו ייצור של רכיב צבאי קריטי גדולה פי כמה ממונים מקבילים של דליפת מידע.

🔴 Aliquippa, פנסילבניה - נובמבר 2023

תחנת שאיבה של רשות המים Municipal Water Authority of Aliquippa הופסקה לאחר ש-CyberAv3ngers החליפה את מסך ה-HMI על בקר Unitronics Vision PLC בהודעה "Down with Israel". התקיפה התאפשרה בגלל חשיפה ישירה לאינטרנט בפורט 20256 (PCOM Protocol של Unitronics) עם סיסמת ברירת מחדל. CISA הוציאה את AA23-335A תוך 48 שעות. מתקנים זהים זוהו בעוד 9 מדינות אמריקאיות בתוך שבועיים.[1][3]

🟠 TRITON / TRISIS - מערכת בטיחות פטרוכימית, סעודיה 2017

המקרה הקלאסי שמלמדים בכל קורס OT security: malware ייעודי שתקף בקרי בטיחות Schneider Triconex במפעל פטרוכימי בסעודיה. המטרה לא הייתה ריגול - אלא לבטל את ה-Safety Instrumented System (SIS) שעוצר את התהליך בחריגה מסוכנת. כשל ה-malware הוא שגרם להפעלת ה-fail-safe ועצירת המתקן; בלעדיו, יכלה להתרחש פיצוץ עם נפגעים. המקרה מיוחס ל-CIA האיראני וקבוצת XENOTIME.[4]

🔴 Dragos OT Cybersecurity Year in Review 2024

בדוח השנתי של Dragos לשנת 2024: זינוק של 87% במספר התקיפות שדווחו ל-OT בהשוואה ל-2023. שלוש קבוצות חדשות שפעילות נגד יעדים מערביים (BAUXITE/CyberAv3ngers, GRAPHITE, VOLTZITE) זוהו. 80% מהפגיעויות שזוהו ב-OT אינן ניתנות לתיקון פשוט (patch) - הן דורשות שינוי ארכיטקטוני או החלפת ציוד.[5]

הפער במסגרת רב מגן 2 הקיימת

רב מגן 2, גם בגרסה המעודכנת של 2025, נכתב במקור עם דגש על IT והגנה על מידע מסווג (CUI). שלוש פערים מרכזיים נחשפים כשבוחנים אותו מול הסביבה האמיתית של קו ייצור:

🏭

הפרדת רשת IT/OT - לא מוגדרת כדרישה מינימלית

רב מגן מדבר על "סגמנטציה" כללית, אבל לא מציין שמערכות OT חייבות להיות במקטע מבודד עם DMZ ל-IT, כפי שדורש NIST SP 800-82r3 ו-Purdue Model. בפועל, בחלק מהקבלנים, רובוטי הייצור מחוברים לאותו VLAN של מחשבי המהנדסים - וזה לא מתועד כאי-ציות.

🔌

גישת תחזוקה מרחוק - "כוונה טובה" ללא ביקורת

ספק PLC או SCADA דורש גישה לתחזוקה. רב מגן דורש אישור הגישה - אבל אינו דורש לוג מלא של פעולות, אינו דורש hashing של firmware לפני ואחרי, ואינו דורש הסכם משולש שכולל את ה-cyber. תוקף ש"פגע" בספק כבר ראה את כל הקרביים.

📊

NIST 800-82r3 ו-IEC 62443 - לא מופיעים כתקני ייחוס

שני התקנים הבינלאומיים המובילים לאבטחת OT (NIST 800-82r3 משנת 2023, IEC 62443-3-2/4-1/4-2) לא נדרשים מפורשות בסקרי רב מגן. ארגון שעובר רב מגן ועוד לא יישם IEC 62443 הוא ארגון תואם - אבל לא מוגן.[6][7]

⚠️

Safety vs Security - אי-בהירות סמכותית

בקרי בטיחות (SIS) הם בגזרת מהנדס בטיחות / EHS, לא בגזרת CISO. כשבקר Triconex נדרש update אבטחה, מי החליט - האם תהליך ההפסקה החודשית מספיק, או שצריך outage מיוחד? ברוב הקבלנים בארץ אין נוהל חוצה-יחידות.

מסגרת הגנה לקו ייצור ביטחוני - 5 שכבות

הגנה אמיתית על OT דורשת ארכיטקטורה — לא בקרים נקודתיים. הקפיצה האפקטיבית הראשונה היא הפרדת רשת לפי Purdue Reference Model, שמגדיר 6 רמות (0=physical, 5=enterprise). העיקרון: ככל שיורדים ברמה, פחות תעבורה, פחות פרוטוקולים, פחות גישה אנושית.

01
סגמנטציה לפי Purdue Model + DMZ ייעודי ל-OT
VLAN נפרד לבקרים (Level 1-2), DMZ עם data diode חד-כיווני ליציאת telemetry ל-IT (Level 3-4), חסימת תעבורה דו-כיוונית מ-Internet ל-PLC על firewall בקצה.
02
Asset inventory מלא לכל בקר, גרסת firmware, ופרוטוקול
CMDB ייעודי ל-OT: יצרן, דגם, גרסה, פורטים פתוחים, ספק תחזוקה אחראי, last patch date. בלי inventory אין הגנה - כל סקירת Shodan חיצונית כבר יודעת יותר מכם.
03
שינוי סיסמאות ברירת מחדל + MFA לכל גישה מרחוק
סיסמת 1111 על Unitronics, "admin/admin" על Schneider, ערך ברירת מחדל ב-Siemens S7 - הסר ידנית. תחזוקה מרחוק רק דרך jump host מאומת עם MFA, מוקלטת מקצה לקצה.
04
ניטור פסיבי של תעבורת OT (passive monitoring)
SPAN port מ-VLAN ה-OT למערכת ייעודית (Dragos, Claroty, Nozomi, או open-source כמו Suricata עם רולים ICS). זיהוי משינוי baseline - לא חתימה - הוא העיקרון. כל פקודת write לבקר שלא בחלון תחזוקה = אירוע.
05
תרגול שכבת SIS - הפרדה מ-BPCS ובדיקת התאוששות
בקרי בטיחות (SIS) במקטע פיזי נפרד מ-Basic Process Control. תרגול שנתי שמסמלץ אירוע - האם הקו עוצר בזמן? האם logs מספיקים לחקירה? בלי תרגול, ההגנה תיאורטית.

איך לאכוף את זה במסגרת סקר 360°

סקר 360° סטנדרטי בארץ בוחן IT - תחנות עבודה, שרתים, רשת ארגונית. מעטים סוקרים את OT בעומק. בקבלן שעוסק בייצור פיזי, זה כמו לבדוק את הגדר מבלי להיכנס למחסן. מסגרת מעשית להרחבת סקר 360°:

השורה התחתונה

קווי ייצור ביטחוניים בישראל פועלים בסביבת איום שבה מדינות בעלות אינטרס - איראן, באמצעות CyberAv3ngers/BAUXITE - תוקפות בפועל, לא בתיאוריה. וקטור התקיפה אינו זירו-דיי מתוחכם, אלא Unitronics PLC עם סיסמת ברירת מחדל וגישה ישירה לאינטרנט. עלות התיקון: שינוי סיסמה, חסימת פורט, סגמנטציה. עלות אי-תיקון: עצירת קו ייצור, פסילת אצוות, או פגיעה פיזית.

רב מגן 2, כפי שהוא כתוב היום, אינו מכסה את ה-OT. הפער הזה הוא אחריות הקבלן - לא רגולציה שתשלים אותו עוד שנתיים. סקר 360° שלא בוחן את ה-OT הוא סקר חלקי, לא סקר מלא. KPLNS מקדמת מסגרת הרחבה של סקרי 360° לכלול NIST 800-82r3 ו-IEC 62443 כתקני ייחוס - לא להמתין לעדכון רב מגן 3.

מקורות

  1. CISA — Alert AA23-335A: IRGC-Affiliated Cyber Actors Exploit PLCs in Multiple Sectors, Including U.S. Water and Wastewater Systems Facilities (November 2023)
  2. CISA ICS Advisory ICSA-23-348-15 — Unitronics Vision Series PLCs and HMIs
  3. Claroty Team82 — CyberAv3ngers: Iranian Government Actors Targeting Unitronics PLCs
  4. Dragos — XENOTIME Threat Group Profile (TRITON/TRISIS attribution)
  5. Dragos OT Cybersecurity Year in Review 2024
  6. NIST SP 800-82 Rev. 3 — Guide to Operational Technology (OT) Security (September 2023)
  7. ISA/IEC 62443 — Industrial Automation and Control Systems Security Series
  8. CISA — Strengthening Cybersecurity in Water and Wastewater Systems
  9. מערך הסייבר הלאומי — מתודולוגיית הגנת סייבר לארגון