Prieskum inštitútu SANS z roku 2019 týkajúci sa výrobných technológií a priemyselných riadiacich systémov odhalil tri hlavné kategórie hrozieb v podnikoch:
- zariadenia a „veci“ (ktoré sa nemôžu chrániť samy) pripojené do siete,
- vnútorné hrozby (náhodné),
- vonkajšie hrozby (dodávateľský reťazec alebo partnerstvo).
Prečo sú priemyselné spoločnosti na muške
Priemyselné spoločnosti sa často stretávajú so zastaranou nezaplátanou infraštruktúrou a nedostatkom odborného personálu, ktorý by im pomohol riadiť kybernetické riziká. Útočníci vedia, že tieto prostredia majú mnoho slabín a že útok môže mať pre napadnutú spoločnosť závažné následky.
„Podľa môjho odhadu je otázkou veľmi krátkeho času, keď sa začnú rýchlo rozširovať organizované útoky na priemyselné riadiace a informačné systémy,“ uviedol Jan Gřunděl, Account Manager v spoločnosti Rockwell Automation. „Budú sa vyskytovať útoky, ktoré budú cieliť na poškodenie konkrétnej spoločnosti či na určité časti technológie. Na rozdiel od IT, kde útok spôsobí ‚len‘ zastavenie prác spoločnosti, stratu alebo odcudzenie údajov, útok na priemyselnú infraštruktúru (OT) môže v konečnom dôsledku zapríčiniť fyzické poškodenie strojov a zariadení aj ujmu na zdraví,“ dodal J. Gřunděl. Otázkou je, prečo majú spoločnosti s riešením tohto problému ťažkosti.
Väčšina prostredí priemyselnej automatizácie je nedostatočne spravovaná. Ak neviete, čo je v danom prostredí pripojené, nemôžete to zabezpečiť. Tímy zaoberajúce sa informačnými a prevádzkovými technológiami musia spolu začať spolupracovať a vyplniť tieto medzery spoločne s odborníkmi v odbore.
„Technologická infraštruktúra sa často vo firmách rozrastala bez konceptu, evidencie a bezpečnostnej stratégie. Jednotlivé súčasti (často zastarané) boli v sieťach okamžite viditeľné a dostupné komukoľvek. To mohlo mať aj isté výhody, napríklad pri nutnosti okamžitého zásahu a úpravy. Bezpečnostné riziká boli však bezprecedentné, a to z hľadiska ľahkého útoku aj z hľadiska nemožnosti kontroly a riadenia prístupov a zmien. S nespočetnými podobne nebezpečnými a zraniteľnými systémami sa stretávame stále,“ povedal J. Gřunděl.
Presadzujú vaše tímy rôzne priority týkajúce sa zabezpečenia? Stretávate sa s nedostatkami v bezpečnostnej stratégii? Nie sú úlohy v oblasti zabezpečenia jasne definované? Pracujú vaši zamestnanci kvôli koronavírusu mimo pracoviska a ešte viac tak ohrozujú vašu infraštruktúru neznámymi zariadeniami a nezabezpečeným pripojením?
Čo je pripojené, musí byť chránené
Prvoradým záujmom by malo byť zavedenie prvkov bezpečnostnej ochrany v rámci celého výrobného ekosystému, od jednotlivých komponentov až po celú stopu závodu vrátane prepojenia na vlastný podnik, dodávateľský reťazec a tretie strany. Problémom je, že mnoho ľudí vníma zabezpečenie ako poistenie. Dúfate, že sa nič zlé neprihodí, ale uzavriete poistenie, aby vás to nepoložilo, keby sa predsa len niečo udialo. Ako sa však poistiť proti poškodeniu dobrého mena spoločnosti v dôsledku útoku softvéru požadujúceho výkupné? Rovnako ako v prípade poistenia žiadate o peniaze, aby ste minimalizovali následky udalosti, pri ktorých dúfate, že k nim nikdy nedôjde. A preto môže byť ťažké toto riešenie presadiť. Zabezpečenie nič nevyrába, navyše nezvyšuje rýchlosť alebo účinnosť.
„Avšak okrem minimalizácie bezpečnostných rizík môže správne navrhnutá a implementovaná infraštruktúra tiež znížiť výpadky a poskytnúť potrebnú dátovú priepustnosť a škálovateľnosť. To sa môže nakoniec pozitívne prejaviť na ziskovosti celého podniku,“ spresnil J. Gřunděl.
Priorita digitálnej transformácie
Kybernetická bezpečnosť je pre digitalizáciu podniku kľúčová. Kým využívate výhody digitálneho sveta, treba zároveň riadiť súvisiace digitálne riziká všetkých prvkov po celý ich životný cyklus. Cieľom je vytvoriť bezproblémový digitálny priestor na údaje – od všetkého diania cez samotnú výrobu produktu, výskum a vývoj až po samotnú výrobu, dodávku a prevádzku produktu v praxi. Ide o celý dodávateľský reťazec.
Odhaľte svoje nedostatky
Digitalizácia vyžaduje integrovaný tok údajov a schopnosť identifikovať nedostatky – a ako tieto nedostatky a úložisko môžu prispieť k výskytu kybernetických hrozieb. Za chyby sa tvrdo platí. Aby ste sa im vyhli, treba investovať do ľudí, strojného vybavenia, znalostí a odbornej prípravy.
- Ľudia: investície do odborníkov, zvyšovanie povedomia smerujúce k zmene postoja všetkých zamestnancov – kybernetická bezpečnosť je zodpovednosťou všetkých.
- Strojné vybavenie: napríklad podrobné stratégie pre sieťové štruktúry, zásady vzdialeného prístupu či správa životného cyklu majetku.
- Znalosti: povedomie o rizikách, ohrozeniach slabých miest a útočníkoch, predstava o tom, ako útoky prebiehajú a aké druhy útokov môžu nastať.
- Odborná príprava: napríklad simulácie kybernetických incidentov, ktoré ponúkajú priestor na realizáciu uvedeného pomocou scenára nabitého adrenalínom.
Komplexný prístup
Plne prepojený podnik vyžaduje komplexný prístup k priemyselnému zabezpečeniu. Tento prístup zahŕňa zásady a postupy týkajúce sa ľudí, procesov a s technológiami súvisiacich rizík. Zložitý prepojený systém prináša isté nástrahy. Zásadné je teda porozumieť možným rizikám a začať budovať adaptívnu kybernetickú stratégiu v rámci svojich riadiacich systémov priemyselnej automatizácie.
V prípade priemyselných aktív treba uplatniť hĺbkové zabezpečenie, ktoré bude bojovať proti vnútorným aj vonkajším bezpečnostným hrozbám. Architektúra hĺbkového zabezpečenia vychádza z myšlienky, že premôcť možno ktorúkoľvek časť ochrany. Tento prístup využíva fyzické, elektronické a procesné vrstvy ochrany a uplatňuje príslušné riadiace prvky, ktoré sa zameriavajú na rôzne druhy rizík.
„Komplexná problematika kybernetickej bezpečnosti často prerastá In-House schopnosti a možnosti výrobných spoločností. Realizácia a riadenie celého súboru potrebných aktivít a opatrení vlastnými zdrojmi je nákladná. Firmy sa na nás častejšie obracajú, ako riešiť konkrétne úlohy, ale aj so žiadosťami o návrh, implementáciu a manažment celej OT infraštruktúry. Zákazníci sa potrebujú venovať len aktivitám, ktorými vytvárajú zisk. Najmä problematiku kybernetickej bezpečnosti a OT infraštruktúry čoraz častejšie zverujú práve nám, aby sa mohli sústrediť len na svoje expertné zručnosti,“ uzavrel J. Gřunděl.
Gert Thoonen
Business Development Specialist
spoločnosti Rockwell Automation
Jan Gřunděl
Account Manager
spoločnosti Rockwell Automation