Článek ve formátu PDF je možné stáhnout
zde.
Těžko se lze bránit proti hrozbám, které si neumíme představit, a právě neznalost možností a prostředků kybernetických útoků jsou největší slabinou světů informačních systémů, průmyslové provozní techniky i internetu věcí, které spolu existují ve stále užší vazbě. První díl článku uvádí statistiky kybernetických útoků, druhý se bude zabývat příklady konkrétních útoků a obranou proti nim.
Kybernetická bezpečnost je téma, které začíná být často zmiňováno i v širší veřejnosti – než jen v kruzích informatiků. A je to jedině dobře, neboť technikou, na niž lze útočit, jsme doslova obklopeni. To se týká jak našeho osobního, tak i pracovního života a oba tyto světy se navzájem ovlivňují. Špatné zvyky, jako je používání jednoho hesla pro všechno, psaní hesel na papírky nalepené na monitoru, přeskakování aktualizací a všeobecné podceňování bezpečnosti se slovy „to se nám přece stát nemůže“, jsou noční můrou každého bezpečnostního experta.
Statistiky kybernetických útoků
Kdo se začne o téma zabezpečení dat a komunikací trochu zajímat, narazí na velmi znepokojivé statistiky. Denně vzniká přes 7 000 nových virů, přičemž aktualizace databáze klasického antivirového programu se počítá ve dnech až týdnech. Přes 80 % úspěšných kybernetických útoků na firmy začíná tím, že zaměstnanec klikne na něco, na co neměl. Jen za rok 2018 unikla osobní data několika miliard lidí. Mezi těmi největšími úniky lze jmenovat indickou vládní databázi Aadhar, která obsahovala identifikační a biometrické údaje více než jedné miliardy lidí. Dále je možné uvést únik dat hostů ze sítě hotelů Marriott (přes 500 milionů záznamů). Databáze obsahovala telefonní čísla, e-maily, čísla pasů a kreditních karet. Na třetím místě podle rozsahu lze jmenovat únik z marketingové společnosti Exactis s 340 miliony uniklých záznamů. A to je pouhá špička ledovce, co se úniků dat týče. Máte-li nepříjemnou konkurenční firmu, můžete jí značně ztížit podnikání jednoduchým útokem DDoS (Distributed Denial of Service), který lze pořídit už za jednotky dolarů. Snad nejhorší statistikou je ale průměrná škoda, kterou zaplatí společnost, jež se stala obětí útoku, a to přibližně 1,67 milionu dolarů. Tato a další čísla ukazují, jak kritickým problémem se kybernetická bezpečnost stala.
Kybernetická bezpečnost v prostředí IoT
Přestože by se mohlo zdát, že je řeč pouze o problémech informačních systémů, kybernetická bezpečnost, resp. zabezpečení dat a komunikací, zasahuje mnohem dále. Kolik z nás má doma chytré vytápění, detektory kouře, kamery, inteligentní domácí spotřebiče či automatické vysavače? To vše spadá pod souhrnný název IoT – Internet of Things. Z hlediska bezpečnosti jde spíše o Internet of Threats, internet hrozeb. Hrozbami jsou překotně vydávané produkty komunikující prostřednictvím internetu, ale bez zabezpečovacích vrstev a šifrování komunikace, bez přístupových hesel a bez aktualizací firmwaru, který by chyby napravoval. Přitom se svět internetu věcí prudce rozrůstá a podle předpokladů se do roku 2021 počet zařízení zdvojnásobí. To s sebou nese i téměř geometrický nárůst přenášených, a tudíž zranitelných dat a informací, neboť se předpokládá, že zařízení IoT budou mezi sebou neustále komunikovat, aby dosáhla co největší efektivity.
Zabezpečení pro průmysl 4.0
Tento trend propojování komunikací a otevřenosti do internetu je možné pozorovat i v dalších oblastech lidské činnosti. Právě v tom totiž spočívá hlavní myšlenka průmyslu 4.0: propojené výrobní linky, u kterých stačí zmáčknout potvrzovací tlačítko a začne se vyrábět jiný produkt bez nutnosti dalších zásahů a nastavování pod dohledem umělé inteligence.
Nejde však o více či méně vzdálenou budoucnost. Už dnešní stav kybernetické bezpečnosti v prostředí průmyslu je na kritické úrovni. Tam, kde se svět informačních systémů alespoň částečně snažil udržet krok s novými hrozbami, svět provozní techniky (OT), zdánlivě chráněný svou izolací od internetu, zaspal.
To se ovšem v posledních několika letech mění. Stále více se projevují slabiny zanedbané bezpečnosti, hlavně vlivem objevu malwaru, který cílí na provozní průmyslovou techniku. Systémy sběru dat a dispečerského dohledu (SCADA) a další řídicí systémy jsou pro ulehčení práce inženýrů či subdodavatelů často snadno dohledatelné a přístupné s využitím internetu. Mnohdy nelze ani detekovat, a tudíž ani rozlišit, zda jde o provozní poruchu, či škodlivý záměr. Chybí management výrobních zařízení, a proto si nikdo nevšimne, že v síti přibylo zařízení, které se tváří jako PLC a začalo komunikovat s okolím. Stále více se propojují prostředí OT a IT, oddělené pouze jednoduchými firewally, komunikačními bránami a proxy servery, z čehož pramení další rizika. Neexistuje možnost detekovat malware, který cílí na zařízení OT, a proto může nezaznamenán projít skrze prostředí IT, neboť svůj úkol má vykonat až později.
Těžko se lze bránit proti hrozbám, které si neumíme představit, a právě neznalost možností a prostředků kybernetických útoků jsou největší slabinou světů IT, OT i IoT, které spolu existují ve stále užší vazbě.
V příštím čísle budou uvedeny konkrétní útoky na kritickou infrastrukturu v průmyslu a komentována řešení a prevence.
(Byla použita statistická data z výročních zpráv společností CheckPoint, Kaspersky Labs a Radware.)
Robert Kominka, QNA, s. r. o., Michal Tušic, Corpus Solutions a. s.