Written by Digitalizace průmyslu přináší nová rizika z pohledu kybernetické bezpečnosti. Ať už tato ohrožení pocházejí ze strany konkurence, zločineckých organizací nebo dokonce států, těžce na toto stále propojenější odvětví doléhají a vyžadují reakce na více úrovních.
Z rodiny průmyslového malwaru zmíním nejnovější svého druhu – „Triton“, který je známý také jako „Trisis“ nebo „HatMan“. V historii průmyslových kybernetických útoků zanechává významnou stopu. Na konci roku 2017 byl tento impozantní útok proveden na Blízkém východě proti průmyslovému závodu, jehož identita nebyla zveřejněna. I když se zdá, že tento kybernetický útok selhal, dokázal způsobit zásadní narušení provozu.
Od té doby kybernetické útoky proti průmyslovým infrastrukturám pokračují po celém světě a jejich oficiální číslo se díky veřejným oznámením zvyšuje. Jen v průběhu prosince roku 2018 byly identifikovány dva hlavní útoky: první byla varianta malwaru Shamoon, která infikovala IT systém italského benzínového giganta Saipem; a druhý způsobil zpoždění distribuce několika velkých amerických novin, např. Los Angeles Times (třetím útokem, který v roce 2018 dopadl i na plynárenské a energetické společnosti na českém a slovenském trhu, byla operace Sharp Shooter, pozn. překl.).
Nejčerstvější incident je z března 2019, kdy jednoho z největších evropských výrobců hliníku Norsk Hydro zasáhl velký kybernetický útok, který byl dosud připisován ransomwaru LockerGoga.
Letos nic nenasvědčuje tomu, že by se rizika snižovala. Naopak. V době, kdy nastupující průmysl 4.0 a s ním rozvoj průmyslového internetu věcí (IIoT), digitalizace továren a technologie umělé inteligence stále více propojují průmyslové sítě (OT) s IT sítěmi (a podnikovými informační systémy), se podniková infrastruktura vystavuje stále většímu počtu hrozeb.
Řetěz kybernetického zabezpečení je silný právě tak jako jeho nejslabší článek.
Na rozšiřování vektorů útoku na průmysl se podílejí také nárůst mezistrojové (machine-to-machine) komunikace, která nevyžaduje žádný lidský zásah, nebo rozvoj digitálních dvojčat (digitálních replik zařízení nebo systému). Za zmínku stojí, že řetěz kybernetického zabezpečení je silný právě tak jako jeho nejslabší článek. Rostoucí počet vstupních bodů proto vyžaduje vyšší ochranu propojení mezi těmito různými sítěmi. Účinná ochrana citlivých průmyslových prostředí se tak stává strategickou výzvou.
Jak čelit hlavním zdrojům útoků proti průmyslu v roce 2019
Hlavní zdroje útoků proti průmyslovému sektoru lze rozdělit do tří skupin:
- Vlastní zúčastněné strany (stakeholdeři) v rámci průmyslové špionáže,
- Kybernetičtí zločinci stojící za masovými útoky (např. WannaCry),
- Nepřátelské státy prostřednictvím kybernetické války.
První zmínění se snaží získat konkurenční výhodu, druzí chtějí vydělat peníze a třetí oslabit zemi, ve které se průmyslový podnik nachází.
Při konfrontaci s vlastními konkurenty mají průmyslové podniky přinejmenším možnost hrát podle stejných pravidel. To proto, že útočník obvykle velmi dobře zná vybavení, které používají jeho konkurenti (protože jej používá sám), a má proto informace nezbytné pro útok.
Běžný kybernetický zločinec tyto informace nemá, a proto se nezaměřuje na konkrétní cíl, ale na nejpoužívanější zařízení, která obsahují bezpečnostní chybu (např.: Windows XP, IP kamery, směrovače atd.).
Vzestup průmyslového IoT a digitálně propojeného vybavení v průmyslu 4.0 navíc láká k nákupu nejnovějších a nejmodernějších zařízení. Na druhou stranu to nemusí znamenat, že jsou současně nejlépe kyberneticky zabezpečená.
Co se týče hrozeb ze strany nepřátelských států, je pro průmyslové podniky ochrana nejobtížnější. Čelit útočníkovi, který má jak finanční, tak personální prostředky, které jsou obecně vyšší než prostředky jeho cíle, je komplikované. Zejména v případech, kdy jsou bezpečnostní a kyberbezpečnostní týmy podniku zvyklé klasifikovat a řídit rizika v závislosti na jejich pravděpodobnosti spuštění incidentu.
Zavádění příslušných postupů
Jakmile jsou identifikovány potenciální zainteresované strany (stakeholdeři) kybernetických útoků, jejich motivace a aktivity, průmyslový podnik musí dodržovat několik základních pravidel a:
- přiznat si, že se to nestává pouze jiným firmám, ale může i jemu,
- uvědomit si, že každý systém je slabý a že tato slabost se časem zhoršuje,
- sestavit mapu všech svých zařízení a způsobů komunikace mezi nimi,
- školit všechny zaměstnance bez výjimky a informovat je o všech různých typech kybernetických útoků, aby na ně dokázali upozornit,
- identifikovat kritické oblasti a potenciální scénáře útoků,
- zavést postupy reakce na identifikované útoky,
- zajistit dodržování různých předpisů (Zákon o kybernetické bezpečnosti atd.), nebo v případě, že se na podnik předpisy přímo nevztahují, se s nimi seznámit a použít je jako vodítko pro zavedení osvědčených postupů.
A konečně, to nejlepší, co můžete udělat, je vytvořit kyberbezpečnostní tým, který bude obsahovat jak odborníky na provozní, tak kybernetickou bezpečnost. Firma tím propojí znalosti z provozu se znalostmi o možnostech zneužití a souvisejících rizicích.
Chcete se o problematice ochrany provozu a IT dozvědět více?
Přijďte na konferenci IT/OT bezpečnost, 28. 5. 2019 v Praze. Obsah je určen pro provozní ředitele a manažery, CIO, CISO a správce IT a bezpečnosti.
Autor: Robert Wakim, Offer Manager Industry, Stormshield
Překlad a úprava: Jan Mazal, VPGC
Zdroj: Stormshield – What Cyber Challenges does Industry Face in 2019