מאחורי המתקפה עמדה קבוצת תקיפה איראנית בשם CyberAv3ngers , שלקחה אחריות על המתקפה בפומבי וציינה כי בוצעה על רקע הלחימה בעזה. התוקפים השתמשו בין היתר במתקפה מסוג Defacement (השחתת מערכות Web) והציגו את ההודעה הכתובה במסכי הבקרים: You have been hacked Down with Israel.

המתקפה זכתה להד תקשורתי גדול וגם לביקורת גדולה מצד גורמים שונים על כך שלא בוצעה הערכת סיכונים מקצועית ויעילה לחברות תשתיות המים על ידי הגופים האמונים על כך, שכנראה היתה יכולה למנוע את הגישה של התוקפים למערכות התפעוליות. אותם גופים מיהרו לציין כי תכנית אסטרטגית בנושא תושלם עד תחילת שנת 2025.

מניתוח המתקפה ניכר כי היא התאפשרה בגלל שהבקרים הוגדרו עם סיסמת ברירת המחדל ואלו לא שונו לאחר ההתקנה. בכך הם נותרו חשופים מאוד ברשת. התוקפים שילבו טכניקות סריקה לזיהוי רכיבים רגישים המחוברים לרשת, ניסיונות ניחוש סיסמאות (Brute Force), ניסיונות גישה באמצעות פרוטוקולים ופורטים ברירת מחדל PCOM/TCP וניסיונות גישה בשימוש בסיסמאות ברירת מחדל.

יצוין כי בעקבות המתקפה התגלו חולשות נוספות ברכיבי הבקרה, והיצרן הישראלי הפיץ עדכוני גרסה ללא חולשות אלו.
ראוי להדגיש בנקודה זו וסביב המתקפה המדוברת, כי חברות אחראיות חפצות רוגע ושלווה בכל הקשור למניעת וצמצום נזקי מתקפות סייבר חייבות לנקוט במספר פעולות חשובות ואף הכרחיות בעידן הטכנולוגי של היום כדי לחזק את מערך האבטחה שלהם. ביניהן:

•  יישום אימות רב-שלבי (MFA) לגישה לרשת הטכנולוגיה התפעולית (OT) בכל מקום שניתן.
•  במקרה שנדרשת גישה מרחוק: יישום חומת אש ו/או רשת פרטית וירטואלית (VPN) לפני בקר התקשורת (PLC) כדי לשלוט בגישה לרשת. VPN לחילופין אימות רב-שלבי לגישה מרחוק, גם אם בקר התקשורת אינו תומך באימות רב-שלבי.
• יצירת גיבויים חזקים של הלוגיקה והקונפיגורציות של בקרי ה-PLC לטובת שחזור מהיר במקרה הצורך. בנוסף יש להכיר את תהליכי האיפוס למצב יצרן ופריסת הגיבויים כהכנה למקרה של מתקפת סייבר.
• עדכון שוטף של רכיבי הבקרה לגרסאות המתקדמות ביותר אשר כוללות תיקונים לחולשות אבטחה שאותרו.
• וידוא עם ספקי צד שלישי שהם מיישמים את אמצעי ההגנה המומלצים לעיל כדי להפחית את החשיפה של המכשירים וכל הציוד המותקן. זאת כדי למנוע מתקפה מסוג שרשרת אספקה בכל מי שמשתמש במוצריהם.

במטריקס OT אנו מבינים את הדרישות הייחודיות והמורכבות של רשתות תפעולית, ומציעים במסגרת זאת שירותים המתמקדים ביישום פתרונות אבטחת מידע, שמתאימים במיוחד לסביבות תפעוליות ולצרכים הייחודיים בהן.

כדי למנוע מתקפות מהסוג שתואר לעיל ומתקפות סייבר נוספות השלב הראשון הוא בדרך כלל סקר הערכת סיכונים מקצועי ומקיף של המערכות והסביבות הטכנולוגיות התפעוליות. במסגרת זאת ניתן לשלב פתרונות זיהוי מתקפות ברשת ה-OT (Operational Technology) המאפשרים לקבל תמונת מצב של הרכיבים ברשת, רמת האבטחה שלהם והמלצות לשיפור. שלב נוסף הוא יישום פתרונות גישה מאובטחת מרחוק, המותאמים לרשתות מסוג זה ומאפשרות לבצע הפרדה וגישה מוגבלת מבוססת עקרונות ZTNA, לבצע הקלטה של פעילות המשתמש, להגביל אותה בזמן, ולהגן על סיסמאות גישה. בנוסף ניתן ליישם פתרונות להגנה על סיסמאות גישה לבקרים המאפשרים לנהל את הסיסמאות במקום מאובטח ולשלוט על הגישה לממשקי הניהול לבקרים, פתרונות המאפשרים העברת מידע מרשת ה OT בצורה מאובטחת, שאינה מסכנת את הסביבה ופתרונות שרידות תפעולית המאפשרים לשחזר רכיבי OT במהירות ובכך לקיים רציפות תפעולית.

כל אלו פתרונות שכבר משרתים בהצלחה חברות וארגונים רבים כחלק מחיזוק מערך האבטחה של המערכות התפעוליות שלהם.