Skúsme na úvod vysvetliť, v čom je rozdiel medzi kybernetickou bezpečnosťou v prostredí výrobných a priemyselných podnikov, príp. podnikov spadajúcich do tzv. sieťových odvetví, a v „štandardnom kancelárskom“ prostredí.
Útoky na priemyselné systémy majú potenciál byť mimoriadne zničujúce. Nie je to len kvôli veľmi citlivým informáciám, ktorými priemyselné organizácie disponujú, ale aj preto, že pri týchto systémoch je najvyššou prioritou neprerušovaná prevádzka a každá minúta prerušenia prevádzky či hocijaká chyba je citeľná. Navyše distribučné spoločnosti zohrávajú kľúčovú úlohu v kritickej infraštruktúre a pri dodávkach energie, plynu alebo pitnej vody si nemôžu dovoliť žiaden výpadok. To odlišuje priemyselnú kybernetickú bezpečnosť od iných oblastí – a preto je spolupráca so správnym poskytovateľom zabezpečenia taká dôležitá.
V našej spoločnosti považujeme koncept Adaptive Security Architecture (ASA) vytvorený agentúrou Gartner za najefektívnejší model na vybudovanie postupov kybernetickej bezpečnosti pre priemyselné podniky. Zahŕňa štyri typy opatrení týkajúcich sa jednotlivých štádií potenciálneho kyberbezpečnostného incidentu: prevenciu, detekciu, reakciu a predvídanie. Unikátnou vlastnosťou tohto modelu je schopnosť proaktívne reagovať na hrozbu a chrániť technický proces pred akýmkoľvek druhom incidentu. Patria sem cielené útoky, obvyklé infekcie malvérom, chyby softvéru a hardvéru, dokonca aj zlyhanie ľudského faktora.
Úroveň kybernetickej bezpečnosti spoločnosti je odvodzovaná od toho, v ktorej fáze ASA sa nachádza. Jednoduché kopírovane modelu ASA, ktoré bolo pôvodne navrhnuté pre tradičnú korporátnu kybernetickú bezpečnosť, však nepomôže účinne chrániť priemyselný podnik. Pri použití tohto rámca v reálnych podmienkach v danom podniku treba totiž vziať do úvahy špecifiká prevádzkových technológií (OT), všetky technické osobitosti zavedených procesov a ľudský faktor.
V súčasnosti sú už aj na Slovensku k dispozícii rôzne legislatívne nástroje či inštitúcie, ktoré pokrývajú oblasť kybernetickej bezpečnosti. Na ktoré z nich by sa mal zamerať priemyselný podnik?
Najdôležitejšou inštitúciou je samozrejme Národný bezpečnostný úrad (NBÚ), ktorý je relevantný pre všetky spoločnosti vo všetkých priemyselných odvetviach. Zohráva kľúčovú úlohu pri stanovovaní štandardov a stratégie kybernetickej bezpečnosti, riešení incidentov, poskytovaní certifikácií a pod. Aj keď NBÚ odvádza skvelú prácu, neznamená to, že si spoločnosti môžu oddýchnuť a stopercentne sa spoľahnúť na jeho pomoc. Je v ich záujme zabezpečiť sa a v prípade potreby si pomôcť kompetenciami NBÚ. Pokiaľ ide o štandardy kybernetickej bezpečnosti, odporúčam ISO/IEC 27001, aby sa zaistilo zabezpečenie informácií o spoločnosti a tiež používanie certifikovaných produktov a služieb podľa zákona EÚ o kybernetickej bezpečnosti.
Ako sa v súčasnosti vyvíja stav v oblasti kybernetických útokov na priemyselné podniky? Sú viac ohrozené ako v minulosti? Ktoré skutočnosti prispievajú najväčším podielom k tomuto trendu?
Zo štatistík ICS CERT našej spoločnosti vyplýva, že percento priemyselných riadiacich systémov (ICS), na ktorých boli zistené škodlivé objekty, stále narastá a v roku 2020 ich počet dosiahol celosvetovo podiel 38,55 %. Spoločnostiam v našom regióne strednej a východnej Európy sa darí o niečo lepšie s počtom napadnutých ICS v roku 2020 na úrovni 30,5 %, avšak ani tu nevidím dôvod na stratu ostražitosti. Znamená to totiž pravdepodobne len to, že priemyselné podniky v našom regióne nie sú tak často v hľadáčiku kybernetických zločincov. Najbežnejším typom kybernetického útoku na priemyselné spoločnosti, ktorý sme zistili v roku 2020, bol ransomvér. Tieto typy útokov sú čoraz sofistikovanejšie a cielenejšie. Priemyselné spoločnosti sa stávajú čoraz viac „digitálnymi“ a takisto viac investujú do inteligentných technológií, nových automatizovaných systémov či zavádzania Priemyslu 4.0. To v skutočnosti eliminuje rozdiel medzi prostredím IT a OT, ktoré sa tradične využívalo na zabránenie tomu, aby sa kybernetické hrozby vôbec dostali do blízkosti priemyselných riadiacich systémov.
Ktoré zariadenia v rámci priemyselných podnikov sú najčastejším terčom útokov?
Posledných šesť mesiacov roku 2020 sa nieslo v znamení zvýšenia percentuálneho podielu útokov na niekoľko priemyselných odvetví vrátane automatizácie budov, automobilovej výroby, energetiky, ropy a zemného plynu, aj keď najväčší nárast (7,8 percentuálneho bodu) nastal v sektore ICS. Nie je prekvapením, že ICS sa stávajú čoraz častejším cieľom, pretože majú priame a nepriame pripojenie k rôznym systémom na úrovni prevádzky aj celého podniku, z ktorých niektoré môžu dokonca patriť iným priemyselným podnikom. Aj keď má systém na úrovni operátorských počítačov viac prístupových práv a menej obmedzení (ako je napríklad kontrola aplikácií či zariadení) ako priemerný počítač s ICS, disponuje širšou útočnou plochou.
Techniky útokov na priemyselné riadiace a informačné systémy sú rôzne. Na čom sú založené? Čo je indikátorom toho, že systém alebo zariadenie boli napadnuté?
Vo všeobecnosti čelia priemyselné riadiace systémy dvom hlavným útočným vektorom. Kyberzločinci môžu získať prístup k priemyselnej infraštruktúre cez hraničné externé siete (napr. podnikovú sieť s ERP, ktorá si v súvislosti s prediktívnou údržbou vymieňa údaje s priemyselnými sieťami) alebo sa môžu pokúsiť preniknúť priamo do domény ICS využitím nepozornosti zamestnancov alebo podplatenia niekoho vnútri podniku. Pracovník napríklad môže priniesť infikovanú USB jednotku alebo osobné zariadenie do izolovanej siete.
Je dôležité uvedomiť si, že v dnešnej dobe existuje len veľmi málo skutočne izolovaných sietí, dokonca aj v rámci kritických infraštruktúr. Priemyselné siete „vďačia“ za svoju zvýšenú konektivitu nesprávnym konfiguráciám a nízkemu povedomiu zamestnancov – zamestnanci môžu aj nevedome prepojiť takúto izolovanú sieť. Podľa našich skúseností a výskumov je 90 % prípadov kyberbezpečnostných incidentov spôsobených chybou človeka, pričom najčastejšou z nich je podľahnutie phishingovému útoku. Svoju úlohu zohráva aj modernizácia infraštruktúry – priemyselný internet vecí predpokladá externú dostupnosť priemyselných sietí až na úrovni zariadení v teréne.
Čo by malo stáť na začiatku procesu budovania účinnej ochrany pred kybernetickým útokom v rámci priemyselného podniku?
Správne opatrenia pre ICS v oblasti kyberbezpečnosti pre priemyselný podnik by sa mali vždy začínať ochranou priemyselných koncových bodov, aby sa zabránilo náhodným infekciám a sťažilo sa prípadné plánované narušenie. Ďalším krokom by malo byť monitorovanie OT siete a detekcia anomálií, aby bolo možné identifikovať škodlivé aktivity na úrovni programovateľných logických automatov (PLC). Nakoľko akákoľvek reťaz je len taká silná, ako jeho najslabšia časť, alebo v tomto prípade najzraniteľnejší článok, je tiež nevyhnutné pripraviť školiace programy pre zamestnancov zamerané na znižovanie týchto incidentov a minimalizovať ľudské chyby. Na záver je dôležité mať k dispozícii špecializované odborné služby, či už zabezpečené interne, alebo ako riadené služby, na preskúmanie infraštruktúry, vykonávanie odborných analýz alebo na zmiernenie dosahu prípadného incidentu.
Predstavuje vybudovanie účinnej ochrany významnejšie zásahy do existujúcej IT infraštruktúry priemyselného podniku? Čo všetko z hľadiska SW/HW komponentov tvorí ochranný „štít“ proti kybernetickým útokom?
To vo veľkej miere závisí od samotnej organizácie, stavu jej infraštruktúry a potrieb, ako aj od odvetvia, v ktorom pôsobí. V našej spoločnosti pevne veríme, že prístup k priemyselnej kybernetickej bezpečnosti by mal byť iba holistický – od predpovedania potenciálnych vektorov útokov cez špecializované priemyselné technológie na prevenciu a detekciu až po proaktívnu reakciu na kybernetický incident. To je najvyššia záruka nepretržitého a bezpečného fungovania, čo je aj ultimátnym cieľom, o ktorý sa snaží každá organizácia.
Aké dôsledky môže mať kybernetický útok v prostredí priemyselného podniku?
Na jednej strane môže ísť o stratu cenných údajov, no najhorším scenárom je narušenie priemyselných procesov. V závislosti od citlivosti priemyselného podniku môže takýto incident viesť k strate peňazí, napr. vo forme odstávky technológie, alebo dokonca k fyzickým škodám v reálnom svete. Z najznámejších útokov môžem spomenúť napríklad hackerský útok na oceliarne v Nemecku v roku 2014, ktorý narušil riadenie vysokej pece, na Ukrajine zas v rokoch 2015 a 2016 spôsobili útoky na rozvodný systém výpadky elektriny, ktoré sa dotkli tisícok spotrebiteľov. Netreba opomenúť ani nedávny útok na Colonial Pipeline, ktorý paralyzoval dodávky pohonných látok v USA.
Ako by mal priemyselný podnik postupovať, ak zistí, že v jeho sieťach a zariadeniach sa objavili neočakávané zmeny, situácie, príp. že ich údaje či citlivé informácie boli zneužité a hackeri požadujú zaplatiť „výkupné“?
Ak je požadované výkupné, dôrazne odporúčame jeho nevyplatenie. Najpádnejším dôvodom takéhoto odporúčania je skutočnosť, že neexistuje žiadna záruka, že prístup k súborom bude po zaplatení obnovený. Musíte mať na pamäti, že máte do činenia so zločincami. Preto je lepšie osloviť špecializovaných poskytovateľov bezpečnostných služieb, ktorí môžu okamžite poslať svojich odborníkov a podniknúť potrebné kroky priamo na mieste.
Avšak kyberbezpečnostný trh trpí nedostatkom vysoko kvalifikovaných odborníkov. A tento nedostatok je ešte väčší v priemyselnej sfére, kde musí byť bezpečnostný expert zdatný nielen v oblasti informačnej bezpečnosti, ale aj v priemyselných riadiacich systémoch. To je pravdepodobne dôvod, prečo mnoho organizácií nemá kapacity na zvládnutie takýchto situácií samostatne – totiž aby podnik zvládol alebo vyšetril incident vo vlastnej réžii, to vyžaduje veľa prostriedkov a úsilia.
Ďalším spôsobom, ako získať pomoc s digitálnou forenznou analýzou a reakciou na incidenty, je zapojenie tímu špecialistov na kybernetické incidenty (CERT). No nájsť špecialistu aj na ICS je ešte náročnejšie. Tu by som rád zdôraznil jednu vec – použitie špecializovaného nástroja na sledovanie priemyselnej bezpečnosti v každom prípade dokáže uľahčiť forenznú analýzu. Vo väčšine prípadov protokoly používané v rámci systémov ICS/SCADA nestačia na identifikáciu vektora útoku a na jeho dôkladné prešetrenie.
Nie je nič výnimočné, že svoj podiel na kybernetickom ohrození podniku majú aj jeho interní zamestnanci. Ako by teda mala vyzerať správne nastavená bezpečnostná politika pre túto kategóriu?
Správne nastavené pravidlá a procesy sú určite základným krokom, ale často nie sú dostatočne účinné pri zvyšovaní povedomia o postupoch priemyselnej kyberbezpečnosti medzi všetkými zamestnancami. Na základe našich skúseností najefektívnejším spôsobom, ako prostredníctvom vzdelávania zvýšiť povedomie a prevenciu, sú školenia zahŕňajúce aj prvky hry. Simulované cvičenia a školenia zamerané na zvyšovanie povedomia o kyberbezpečnosti sú mimoriadne dôležité pre všetkých zamestnancov zodpovedných za prevádzku automatizovaných systémov.
Ako ovplyvnila pandémia správanie podnikov a ich prístup k otázke kybernetickej bezpečnosti?
Samotná technológia nie je schopná vyriešiť všetky problémy. Spoločnosti roky čelia neschopnosti budovať podnikové bezpečnostné systémy, konkrétne najímaním nových talentov – a to začalo mať priamy vplyv na škody spôsobené skutočnými narušeniami kyberbezpečnosti. V dôsledku pandémie mnoho spoločností zmenilo spôsob fungovania – podľa prieskumu, ktorý sme realizovali minulý rok vo viac ako 330 priemyselných spoločnostiach a organizáciách po celom svete, až 30 % respondentov potvrdilo, že prešlo na model vzdialenej pracovnej sily. Kyberbezpečnostné procesy sa dostali pod tlak a prechádzali skutočným záťažovým testom.
14 % organizácií v prieskume uviedlo, že museli prepracovať svoje kyberbezpečnostné koncepty a len 7 % uviedlo, že ich stratégia kybernetickej bezpečnosti bola počas pandémie dostatočná. Zvýšenie počtu zamestnancov pracujúcich vzdialene zvýšilo počet pokusov o OT skenovanie siete počas pandémie. Výsledkom toho bolo, že spoločnosti uznali potrebu posilniť postupy kybernetickej bezpečnosti počas výnimočných situácií.
Je otázka kybernetickej bezpečnosti nákladnou záležitosťou pre podnik? Ako sa dajú náklady na vybudovanie účinnej ochrany optimalizovať?
Vzhľadom na to, že v roku 2020 dosiahli priemerné náklady za narušenie bezpečnosti podniku približne 0,9 milióna eur, sú investície do kybernetickej bezpečnosti vždy výrazne nižšie ako možná strata, ktorú by mohol úspešný kybernetický útok spôsobiť. A netreba zabúdať, že okrem finančných nákladov dochádza aj k poškodeniu reputácie a dôvery. Náklady na kybernetickú bezpečnosť tvoria vždy tri zložky: kapitálové (Capex), prevádzkové (Opex) a osobné (Personal).
Takže napríklad investície do hardvéru a softvéru zároveň vyžadujú aj investície do ľudí potrebných na ich prevádzku a starajúcich sa o bezpečnosť. Po dôkladnom vyhodnotení súčasného stavu kybernetickej bezpečnosti spolu s analýzou potrieb a požiadaviek existuje priestor na optimalizáciu nákladov. Navrhujem využiť tzv. Paretov princíp, čiže zamerať sa na najvyššie priority a zabezpečiť aspoň najdôležitejšie časti podniku.
Aké prínosy pre koncového používateľa predstavuje spolupráca medzi výrobcami priemyselných automatizačných, riadiacich a IT systémov s tvorcami riešení z oblasti kybernetickej bezpečnosti?
Je zrejmé, že ide o nepretržitú a spoľahlivú dostupnosť či dodávku príslušného produktu alebo služby, ako aj o istotu, že sa ich údaje zdieľané s výrobcom nedostanú do zlých rúk. To je obzvlášť dôležité pre dodávateľov tretích strán a všetky takto prepojené subjekty. Okrem toho sa v priemysle dosiahlo veľa inovácií v oblasti automatizácie, internetu vecí, rozšírenej reality a ďalších technologických trendov. Tieto nové technológie neotvárajú iba nové obzory, predstavujú tiež nové vektory potenciálnych kybernetických útokov. Preto je dôležité, aby všetky strany úzko spolupracovali na zabezpečení toho, že každú inováciu bude možné používať bezpečne.
O tom, že kybernetickú bezpečnosť by nemal podceňovať žiadny podnik z akejkoľvek oblasti priemyslu, snáď netreba nikoho presviedčať. Aký by bol váš záverečný odkaz k tejto téme?
Ako som už spomenul, čoraz väčší prechod priemyselných spoločností aj do digitálneho priestoru vytvára tlak na ich ochranu pred kybernetickými útokmi. Som veľmi rád, že tento veľmi dôležitý proces je sprevádzaný zvýšeným povedomím o potrebe zabezpečiť tieto prevádzkové procesy aj pred kybernetickými hrozbami. Aby ste to mohli urobiť čo najlepšie a najefektívnejšie, je veľmi dôležité zvoliť si spoľahlivého a renomovaného partnera v oblasti kyberbezpečnosti s vhodnými produktmi, znalosťami, skúsenosťami a podporou. Naša spoločnosť ponúka klientom svojich 24 rokov skúseností v oblasti kybernetickej bezpečnosti, aby mohli bezpečne využívať výhody digitalizácie a technologického pokroku.
Ďakujeme za rozhovor.