Článek ve formátu PDF je možné stáhnout
zde.
Na mnoho společností v nejbližší době čeká digitalizace průmyslových sítí a přijetí standardů průmyslu 4.0. Organizace stále více vnímají digitalizaci provozních sítí jako důležitý nebo velmi důležitý úkol, který je třeba začít řešit co nejdříve. Nicméně přes všechny výhody propojené infrastruktury jsou s ní spojena i rizika z hlediska kyberbezpečnosti.
Zajistit bezpečnost velkých průmyslových systémů není jednoduchý úkol. Ačkoliv se hrozby mohou do určité míry překrývat, mezi požadavky kyberbezpečnosti1) v průmyslovém prostředí a v nevýrobních podnicích jsou ohromné rozdíly.
Korporátní prostředí bank, pojišťoven nebo obchodních a investičních společností se soustředí na ochranu důvěrných údajů; u průmyslových systémů, kde se počítá každá minuta odstávky a každá chyba, je nejvyšší prioritou nepřetržitý provoz. To je aspekt, který odlišuje průmyslovou kyberbezpečnost od jiných sfér – je tím, co ji činí tak důležitou.
Podle loňského průzkumu2) se tři ze čtyř průmyslových společností domnívají, že budou čelit kyberútoku na ICS (Industrial Control System) a 77 % společností řadí kyberbezpečnost mezi hlavní priority. Přerušení obchodní činnosti a dodavatelského řetězce bylo v posledních šesti letech na prvním místě mezi riziky, která vzbuzují obavy, přičemž v roce 2018 mezi těmito riziky na druhém místě skončil kybernetický útok3). Pro firmy, které provozují průmyslové nebo kriticky důležité systémy infrastruktury, nebyla rizika nikdy větší. Celých 40 % průmyslových společností uvádí, že nejzávažnějším důsledkem kyberútoku by bylo přerušení provozu4). Průmyslová kyberbezpečnost má vliv nejen na ochranu samotné firmy a jejího dobrého jména, ale i na spoustu dalších oblastí. Co se týče ochrany průmyslových systémů před kyberútoky, je třeba zvážit konkrétní bezpečnostní ohledy (ve vztahu k zaměstnancům, okolním obyvatelům a životnímu prostředí) a sociální a makroekonomické aspekty.
Společnosti se ve svých obavách nemýlily – minulý rok počet počítačů v průmyslových řídicích systémech (ICS), na nichž byly odhaleny škodlivé objekty, vzrostl o 3,2 % v porovnání s předchozím rokem, a zasaženo tudíž bylo 47,2 % všech počítačů v ICS5).
Neexistuje žádná univerzální průmyslová kyberbezpečnost. Jde o neustálý proces, který se skládá z postupného zavádění jednotlivých opatření, přičemž by mělo být zaručeno, že nedochází k žádným přerušením. Obecné pravidlo zní – průmyslová kyberbezpečnost by měla zahrnovat jak technický segment ochrany infrastruktury, tak aktivity zaměřené na zvyšování povědomí o hrozbách a rovněž specifickou ochranu průmyslového internetu věcí (IoT), který se může stát vysoce externě propojeným.
Navzdory vzrůstajícímu povědomí o výskytu útoků vedených v kyberprostoru na průmyslové řídicí systémy se mnoho modelů zabezpečení IT i nadále řídí zastaralým názorem, že fyzická izolace systémů (pomocí tzv. air gap, tedy odpojení od internetu) a „bezpečnost skrze skrytost“ stačí. Nestačí – v éře průmyslu 4.0 je většina průmyslových sítí, jejichž význam není kritický, připojená k internetu, ať už záměrně, nebo ne. Rozsáhlý výzkum oddělení Kaspersky ICS CERT s použitím dat ze sítě Kaspersky Security Network naznačuje, že průmyslové počítače jsou pravidelně terčem útoků toho samého generického malwaru, který postihuje IT systémy obchodních společností, včetně obvyklých pachatelů, jako jsou trojské koně, viry a červy.
Další narůstající hrozbou pro ICS je ransomware. Tyto nákazy způsobují rozsáhlé škody zasahující kriticky důležité systémy, pro což jsou ICS atraktivním potenciálním cílem – jak dokazuje spousta útoků pomocí ransomwaru (především nákazy WannaCry a exPetr), které zasáhly systémy ICS/SCADA během roku 2017. V blízké budoucnosti může ransomware, který je navržen tak, aby napadal průmyslové systémy, sledovat svou vlastní agendu – místo šifrování dat se může malware pokusit narušit provoz či zablokovat přístup ke klíčovému zařízení.
Vedle obecných hrozeb se musí průmyslová bezpečnost potýkat s malwarem speciálně zaměřeným na ICS a s cílenými útoky: Stuxnet, Havex, BlackEnergy, Industrover a nedávný Triton, který je zacílený na konkrétní bezpečnostní systém SIS (Safety Instrumented System) – a seznam se neustále rozrůstá. Útoky Stuxnetu a BlackEnergy ukázaly, že stačí jeden napadený USB disk nebo jeden cílený phishingový e-mail a dobře připravení útočníci mohou překonat air gap a proniknout do izolované sítě.
Vedle malwaru a cílených útoků čelí průmyslové organizace dalším hrozbám a rizikům, které cílí na osoby, procesy a technologická zařízení – a podceňování těchto rizik může mít závažné následky.
Problém lidského faktoru v kyberbezpečnosti je součástí širšího, komplikovanějšího kontextu. Narůstající složitost průmyslových infrastruktur vyžaduje pokročilejší ochranu a dovednosti. Naproti tomu společnosti trápí nedostatek odborníků, kteří by zvládali nové hrozby, a potýkají se s nízkým povědomím mezi zaměstnanci.
„Každý zaměstnanec – od obchodního oddělení po výrobu – hraje v kyberbezpečnosti svou roli, a proto jsou školení a zvyšování povědomí nesmírně důležité. Zpráva společnosti Kaspersky Stav kybernetické bezpečnosti v průmyslu 2019 a související výzkum ukázaly, že lidský faktor často ohrožuje průmyslové procesy: chyby zaměstnanců nebo neúmyslné činy stály za 52 % incidentů s negativním dopadem na provozní zařízení a sítě průmyslového řídicího systému (OT, ICS) v minulém roce,“ uvádí Miroslav Kořen, generální ředitel firmy Kaspersky pro východní Evropu. Dodává: „I když jsme zaznamenali trend, že se společnosti snaží zlepšit ochranu průmyslových sítí, jsem pevně přesvědčen, že jí lze dosáhnout jen tehdy, když budou řešit rizika spojená s nedostatkem kvalifikovaného personálu a s chybami zaměstnanců. Použití komplexního několikavrstvového přístupu, který kombinuje technickou ochranu s pravidelným školením specialistů na IT bezpečnost a správců průmyslových sítí, zaručí ochranu sítě před hrozbami a aktuálnost dovedností.“
Podle průzkumu společnosti Kaspersky se kyberbezpečnost OT a ICS stává hlavní prioritou průmyslových společností, což potvrdila většina (87 %) respondentů. Aby ale dosáhli potřebné úrovně ochrany, musí investovat do speciálních opatření a mít ve svých řadách vysoce kvalifikované odborníky, kteří zajistí jejich efektivní fungování. Ačkoliv to uvedly jako prioritu, jen něco více než polovina (57 %) společností vyhradila na průmyslovou kyberbezpečnost prostředky z rozpočtu.
Vedle rozpočtových omezení zde zůstává i problém s odborností personálu. Společnosti nejen že čelí nedostatku odborníků na kyberbezpečnost s příslušnými dovednostmi potřebnými k řízení ochrany průmyslových sítí, ale mají i obavy, že správci jejich sítí OT a ICS si nejsou dostatečně vědomi chování, které může způsobit narušení kyberbezpečnosti. Tyto problémy představují dvě z hlavních obav, které se vztahují k řízení kyberbezpečnosti, a do značné míry vysvětlují, proč chyby zaměstnanců způsobují polovinu incidentů týkajících se systémů ICS – jako jsou např. napadení malwarem nebo cílené útoky.
Ke snížení kybernetických rizik hrozících průmyslovým systémům doporučují bezpečnostní odborníci z Kaspersky tato opatření:
- vyhodnoťte bezpečnost s cílem identifikovat a odstranit bezpečnostní mezery,
- vyžádejte si externí informace: informace od renomovaných dodavatelů pomáhají organizacím předvídat budoucí útoky na průmyslovou infrastrukturu společnosti,
- pravidelně školte svůj personál,
- poskytněte ochranu uvnitř a vně vnější hranice – náležitá bezpečnostní strategie musí věnovat značné zdroje na odhalení útoku a reakci na něj, tj. na zablokování útoku předtím, než se dostane ke kriticky důležitým objektům,
- zvažte pokročilé metody ochrany: scénář výchozího odmítnutí (Default Deny) pro systémy SCADA, pravidelné prověrky integrity u kontrolorů a specializovaný monitoring sítě – díky tomu zvýšíte celkovou bezpečnost společnosti a snížíte šance na úspěšné narušení, a to i přesto, že nebude možné opravit či odstranit některá zranitelná místa.
(Kaspersky)
1) Kyberbezpečnost, kybernetická bezpečnost: zažitý termín používaný pro zabezpečení informací v prostředcích výpočetní techniky a při komunikaci mezi nimi
2) Kaspersky: Stav průmyslové bezpečnosti 2018
3) Allianz Risk Barometer 2018
4) PwC: The Global State of Information Security, 2018
5) https://ics-cert.kaspersky.com/reports/2019/03/27/threat-landscape-for-industrial-automation-systems-h2-2018/
Obr. 1. U průmyslových systémů představuje nejvyšší prioritu nepřetržitý provoz – to je aspekt, který odlišuje průmyslovou kyberbezpečnost od jiných sfér
Obr. 2. Vedle obecných hrozeb se musí průmyslová bezpečnost potýkat s malwarem speciálně zaměřeným na ICS a s cílenými útoky: Stuxnet, Havex, BlackEnergy, Industrover a nedávný Triton, který je zacílený na konkrétní bezpečnostní systém SIS