To, že musíme chrániť IT systémy, je už relatívne dobre zaužívaný štandard. Pri zvyšujúcej sa digitalizácii a prepájaní IT systémov a výrobných procesov ale môžu kybernetické hrozby striehnuť i tam, kde by ich predtým málokto čakal. A málokto je na ne pripravený.
Aby bol podnik flexibilnejší a efektívnejší a mohol rýchlejšie reagovať na požiadavky zákazníkov, dochádza k väčšej integrácii rôznych systémov, k omnoho širšiemu a rýchlejšiemu zdieľaniu dát a informácií a čím ďalej tým väčšiemu prepojeniu svetov informačných technológií (IT) a prevádzkových technológií (Operation Technology, OT). Tie zahŕňajú napríklad riadiace systémy v priemyselnom prostredí, v doprave, v rozvodných sieťach elektriny a plynu, ale i pri rôznych nemocničných prístrojoch a podobných zariadeniach. Kedysi boli tieto systémy pomerne striktne oddelené a technicky spolu často ani nemohli a nevedeli komunikovať – IT a OT využívali iné technológie, iné protokoly a keď sa niečo stalo v IT systéme, tak sa to vo výrobe fakticky ani nijako prejaviť nemohlo. Tieto technické rozdiely vyplývajú aj z inej životnosti technológií – kým v IT dochádza k úplnej obnove často už po niekoľkých rokoch, pri výrobných technológiách a ich riadení nie sú veľkou výnimkou systémy staré i desiatky rokov.
V súčasnosti ale dochádza k zbližovaniu IT a OT sveta. Výrobné technológie postupne preberajú IT štandardy a takmer každý výrobný stroj či zariadenie má v súčasnosti „svoju IP adresu“. K tomu sa samozrejme pridáva snaha využívať informácie a deliť sa o ne nielen v rámci (snáď) zabezpečenej vnútornej siete podniku, ale aj medzi jednotlivými závodmi s využitím verejnej internetovej siete i zdieľanie informácií do systémov, ktoré bežia „niekde“ v cloude.
Správne prepájanie IT a OT by sa malo stať štandardom
Vyššie prepojenie samozrejme prináša nielen výhody, ale aj omnoho širšie možnosti napadnutia a riziká, ktoré si musíme uvedomovať. K prepájaniu by malo dôjsť správnou a bezpečnou cestou, a to predovšetkým vďaka správne pripravenej a dodržiavanej bezpečnostnej politike a aktívne riadenej bezpečnosti. Nenadarmo sa hovorí, že najslabším článkom každého zabezpečenia je vždy používateľ – i väčšina zmienených kybernetických útokov nevyužívala slabiny technického zabezpečenia, nepoužívala žiadne pokročilé techniky, ale zaútočila relatívne jednoduchým spôsobom na používateľa.
Vždy je nutné vedieť ČO, PREČO, AKO a s KÝM zdieľať a podľa toho definovať technické prostriedky zabezpečenia, ale aj – alebo skôr predovšetkým – definovať a dôsledne vyžadovať príslušné pravidlá a bezpečnostnú politiku.
Existuje ochrana?
Prvou zásadou je samozrejme príslušná bezpečnostná politika, ktorá musí obsiahnuť celý systém – teda nielen IT , ale i výrobné technológie a zariadenia. Veľmi často to môže znamenať i nutnú zmenu organizácie vo firme, respektíve zmeny právomocí jednotlivých ľudí a oddelení. Už nie je naďalej možné, aby „IT oddelenie“ – typicky v gescii finančného riaditeľa – zodpovedalo len za IT systémy a kancelársku techniku a iné oddelenia – typicky pod výrobným riaditeľom – zodpovedali za automatizáciu a IT bezpečnosť vo výrobe. Je nutné, aby existoval jeden bezpečnostný systém, respektíve jednotná bezpečnostná politika cez celé IT i OT prostredie, vrátane jednotnej právomoci.
Ďalšou zásadou je školenie a znalosť všetkých používateľov, a to vrátane zamestnancov vo výrobe, ktorí taktiež veľmi často obsluhujú pokročilé IT zariadenia – či už je to riadiaci automat alebo riadiaci systém technológie, napríklad CNC stroj – i ten má často port a pripojenie do siete. Reálny prípad u jedného z veľkých „1st tier“ dodávateľov do automobilovej výroby vznikol tak, že obsluha CNC stroja obišla zabezpečenú sieť, stiahla si novú verziu programu na svoj „súkromný“ USB kľúč a ten pripojila do nezabezpečeného portu na stroji. Výsledkom bolo zavírenie celej siete podniku, odstávka výroby na niekoľko dní a škody za státisíce eur.
Až ďalšou úrovňou je technické zabezpečenie, ktoré musí taktiež obsiahnuť celý systém. Aby sme mohli niečo chrániť, musíme v prvom rade vedieť, čo vlastne máme – potrebujeme dôslednú znalosť topológie siete a dôkladnú inventúru všetkých pripojených IT i OT zariadení. Neznámy alebo zabudnutý prvok môže byť neskôr zdrojom veľkých problémov.
Samozrejmosťou je ochrana v reálnom čase a prioritizácia identifikovaných zraniteľností a hrozieb, aby sa príslušní pracovníci sústredili na to podstatné. Nastaviteľné pravidlá a politiky zaistia, že riešenie automaticky vykonáva potrebné úkony v súlade s internými smernicami podniku. Pošle napríklad alarm na definované miesta alebo zablokuje komunikáciu z infikovaného zariadenia či pri identifikácii nového komponentu pošle záznam do databázy s inventárom aktív, v spolupráci s firewallmi zablokuje prístup do siete, pri odhalení zraniteľnosti dá zariadenie do karantény alebo vynúti inštaláciu bezpečnostnej záplaty. Zároveň je dôležité si uvedomiť, že v OT sieti nie sú len naše zariadenia, ale z času na čas sa v nej ocitne napríklad i notebook alebo iné zariadenie externého dodávateľa alebo servisného technika.
Pokročilé bezpečnostné systémy dokážu okrem integrácie OT a IT zahrnúť i svet IoT, čiže rôzne kamery, klimatizačné jednotky alebo dokonca súčasti výrobnej technológie, ktoré sleduje a udržiava ich dodávateľ. To je dôležité, pretože pri nesprávnej konfigurácii sa také vzdialene ovládané zariadenia môžu stať trójskym koňom. Vhodné bezpečnostné riešenia umožnia toto všetko sledovať a chrániť z jedného miesta.
Samostatnou kapitolou potom je riziko straty alebo odcudzenia dát zo systémov vývoja a správy výrobnej dokumentácie – takzvané PLM systémy, kde sa často nachádza dokumentácia za desiatky rokov vývoja v hodnote stoviek miliónov eur.
IT a OT je jeden systém, ktorý treba prepájať správne a bezpečne
Aby firmy boli rýchlejšie, efektívnejšie a flexibilnejšie, musia a budú svoje systémy stále viac a viac prepájať. Ale pozor! Nesprávne prepojenie IT a OT sveta môže mať katastrofálne následky. Útoky v nemocniciach by nemuseli spôsobiť len výpadok informačného systému a finančné straty, ale i reálne odpojenie pacienta od prístrojov s tými najhoršími dôsledkami; vo výrobe potom nielen odstávku a miliónové škody, ale i priamy vznik fyzických škôd. O dôsledkoch napadnutia systémov rozvodov vody, elektriny a plynu existujú katastrofické filmy – a je na čase uvedomiť si, že to nemusí byť len fikcia.
Preto je dôležité, aby bol celý systém zabezpečený odborníkom, ktorý rozumie problému komplexne. Spoločnosť ATOS je odborník, ktorý má expertízu v oboch smeroch, skúsenosti z rozsiahlych IT systémov i z priemyslu a kooperujúce IT i OT tímy, ktoré si uvedomujú komplexnosť systému; vie pomôcť firmám nielen v definícii správnej bezpečnostnej politiky, ale aj v implementácii takého riešenia a zvládne zastrešiť všetky body správneho a bezpečného prepojenia.
V konečnom dôsledku musíme pri zavádzaní bezpečnosti myslieť predovšetkým na to, že bezpečnosť nie je stav, ale neustály proces, kde je najväčším rizikom samotný používateľ.
Jiří Bavor
Špecialista na digitalizáciu priemyslu spoločnosti Atos