Kyberútok, ktorý zastaví výrobu, spôsobí miliónové škody. Ako mu včas zabrániť?

Jiří Bavor, odborník spoločnosti Atos

O tom, že kybernetické útoky už dávno nie sú neobvyklou udalosťou, ktorá sa stane maximálne v iránskom jadrovom programe, sa v poslednom čase presvedčilo aj viacero firiem v našom regióne. Každý z nás si pamätá široko medializované prípady napadnutia nemocníc, napríklad v Nitre, alebo odstávku ťažby uhlia v OKD v Českej republike. Sú však i ďalšie prípady, o ktorých sa nehovorí. Len v ostatných rokoch spôsobili kybernetické útoky v našom regióne škody za desiatky miliónov eur. Je pred nimi vaša firma v bezpečí?

To, že musíme chrániť IT systémy, je už relatívne dobre zaužívaný štandard. Pri zvyšujúcej sa digitalizácii a prepájaní IT systémov a výrobných procesov ale môžu kybernetické hrozby striehnuť i tam, kde by ich predtým málokto čakal. A málokto je na ne pripravený.

Aby bol podnik flexibilnejší a efektívnejší a mohol rýchlejšie reagovať na požiadavky zákazníkov, dochádza k väčšej integrácii rôznych systémov, k omnoho širšiemu a rýchlejšiemu zdieľaniu dát a informácií a čím ďalej tým väčšiemu prepojeniu svetov informačných technológií (IT) a prevádzkových technológií (Operation Technology, OT). Tie zahŕňajú napríklad riadiace systémy v priemyselnom prostredí, v doprave, v rozvodných sieťach elektriny a plynu, ale i pri rôznych nemocničných prístrojoch a podobných zariadeniach. Kedysi boli tieto systémy pomerne striktne oddelené a technicky spolu často ani nemohli a nevedeli komunikovať – IT a OT využívali iné technológie, iné protokoly a keď sa niečo stalo v IT systéme, tak sa to vo výrobe fakticky ani nijako prejaviť nemohlo. Tieto technické rozdiely vyplývajú aj z inej životnosti technológií – kým v IT dochádza k úplnej obnove často už po niekoľkých rokoch, pri výrobných technológiách a ich riadení nie sú veľkou výnimkou systémy staré i desiatky rokov.

V súčasnosti ale dochádza k zbližovaniu IT a OT sveta. Výrobné technológie postupne preberajú IT štandardy a takmer každý výrobný stroj či zariadenie má v súčasnosti „svoju IP adresu“. K tomu sa samozrejme pridáva snaha využívať informácie a deliť sa o ne nielen v rámci (snáď) zabezpečenej vnútornej siete podniku, ale aj medzi jednotlivými závodmi s využitím verejnej internetovej siete i zdieľanie informácií do systémov, ktoré bežia „niekde“ v cloude.

Správne prepájanie IT a OT by sa malo stať štandardom

Vyššie prepojenie samozrejme prináša nielen výhody, ale aj omnoho širšie možnosti napadnutia a riziká, ktoré si musíme uvedomovať. K prepájaniu by malo dôjsť správnou a bezpečnou cestou, a to predovšetkým vďaka správne pripravenej a dodržiavanej bezpečnostnej politike a aktívne riadenej bezpečnosti. Nenadarmo sa hovorí, že najslabším článkom každého zabezpečenia je vždy používateľ – i väčšina zmienených kybernetických útokov nevyužívala slabiny technického zabezpečenia, nepoužívala žiadne pokročilé techniky, ale zaútočila relatívne jednoduchým spôsobom na používateľa.

Vždy je nutné vedieť ČO, PREČO, AKO a s KÝM zdieľať a podľa toho definovať technické prostriedky zabezpečenia, ale aj – alebo skôr predovšetkým – definovať a dôsledne vyžadovať príslušné pravidlá a bezpečnostnú politiku.

Existuje ochrana?

Prvou zásadou je samozrejme príslušná bezpečnostná politika, ktorá musí obsiahnuť celý systém – teda nielen IT , ale i výrobné technológie a zariadenia. Veľmi často to môže znamenať i nutnú zmenu organizácie vo firme, respektíve zmeny právomocí jednotlivých ľudí a oddelení. Už nie je naďalej možné, aby „IT oddelenie“ – typicky v gescii finančného riaditeľa – zodpovedalo len za IT systémy a kancelársku techniku a iné oddelenia – typicky pod výrobným riaditeľom – zodpovedali za automatizáciu a IT bezpečnosť vo výrobe. Je nutné, aby existoval jeden bezpečnostný systém, respektíve jednotná bezpečnostná politika cez celé IT i OT prostredie, vrátane jednotnej právomoci.

Ďalšou zásadou je školenie a znalosť všetkých používateľov, a to vrátane zamestnancov vo výrobe, ktorí taktiež veľmi často obsluhujú pokročilé IT zariadenia – či už je to riadiaci automat alebo riadiaci systém technológie, napríklad CNC stroj – i ten má často port a pripojenie do siete. Reálny prípad u jedného z veľkých „1st tier“ dodávateľov do automobilovej výroby vznikol tak, že obsluha CNC stroja obišla zabezpečenú sieť, stiahla si novú verziu programu na svoj „súkromný“ USB kľúč a ten pripojila do nezabezpečeného portu na stroji. Výsledkom bolo zavírenie celej siete podniku, odstávka výroby na niekoľko dní a škody za státisíce eur.

Až ďalšou úrovňou je technické zabezpečenie, ktoré musí taktiež obsiahnuť celý systém. Aby sme mohli niečo chrániť, musíme v prvom rade vedieť, čo vlastne máme – potrebujeme dôslednú znalosť topológie siete a dôkladnú inventúru všetkých pripojených IT i OT zariadení. Neznámy alebo zabudnutý prvok môže byť neskôr zdrojom veľkých problémov.

Samozrejmosťou je ochrana v reálnom čase a prioritizácia identifikovaných zraniteľností a hrozieb, aby sa príslušní pracovníci sústredili na to podstatné. Nastaviteľné pravidlá a politiky zaistia, že riešenie automaticky vykonáva potrebné úkony v súlade s internými smernicami podniku. Pošle napríklad alarm na definované miesta alebo zablokuje komunikáciu z infikovaného zariadenia či pri identifikácii nového komponentu pošle záznam do databázy s inventárom aktív, v spolupráci s firewallmi zablokuje prístup do siete, pri odhalení zraniteľnosti dá zariadenie do karantény alebo vynúti inštaláciu bezpečnostnej záplaty. Zároveň je dôležité si uvedomiť, že v OT sieti nie sú len naše zariadenia, ale z času na čas sa v nej ocitne napríklad i notebook alebo iné zariadenie externého dodávateľa alebo servisného technika.

Pokročilé bezpečnostné systémy dokážu okrem integrácie OT a IT zahrnúť i svet IoT, čiže rôzne kamery, klimatizačné jednotky alebo dokonca súčasti výrobnej technológie, ktoré sleduje a udržiava ich dodávateľ. To je dôležité, pretože pri nesprávnej konfigurácii sa také vzdialene ovládané zariadenia môžu stať trójskym koňom. Vhodné bezpečnostné riešenia umožnia toto všetko sledovať a chrániť z jedného miesta.

Samostatnou kapitolou potom je riziko straty alebo odcudzenia dát zo systémov vývoja a správy výrobnej dokumentácie – takzvané PLM systémy, kde sa často nachádza dokumentácia za desiatky rokov vývoja v hodnote stoviek miliónov eur.

IT a OT je jeden systém, ktorý treba prepájať správne a bezpečne

Aby firmy boli rýchlejšie, efektívnejšie a flexibilnejšie, musia a budú svoje systémy stále viac a viac prepájať. Ale pozor! Nesprávne prepojenie IT a OT sveta môže mať katastrofálne následky. Útoky v nemocniciach by nemuseli spôsobiť len výpadok informačného systému a finančné straty, ale i reálne odpojenie pacienta od prístrojov s tými najhoršími dôsledkami; vo výrobe potom nielen odstávku a miliónové škody, ale i priamy vznik fyzických škôd. O dôsledkoch napadnutia systémov rozvodov vody, elektriny a plynu existujú katastrofické filmy – a je na čase uvedomiť si, že to nemusí byť len fikcia.

Preto je dôležité, aby bol celý systém zabezpečený odborníkom, ktorý rozumie problému komplexne. Spoločnosť ATOS je odborník, ktorý má expertízu v oboch smeroch, skúsenosti z rozsiahlych IT systémov i z priemyslu a kooperujúce IT i OT tímy, ktoré si uvedomujú komplexnosť systému; vie pomôcť firmám nielen v definícii správnej bezpečnostnej politiky, ale aj v implementácii takého riešenia a zvládne zastrešiť všetky body správneho a bezpečného prepojenia.

V konečnom dôsledku musíme pri zavádzaní bezpečnosti myslieť predovšetkým na to, že bezpečnosť nie je stav, ale neustály proces, kde je najväčším rizikom samotný používateľ.

 

Publikované na: www.atpjournal.sk