Novinky

ONDREJ KOVÁČ: „Je potrebné spojiť dva svety – IT bezpečnosť so svetom priemyselných riešení.“

Kybernetické útoky zacielené na priemyselné zariadenia neustále zostávajú závažnou hrozbou, ktorá môže negatívne ovplyvniť výrobný proces, spôsobiť ekonomické straty krajiny či v najhorších prípadoch aj straty na životoch. Akým výzvam musia aktuálne čeliť podniky, aké kroky sú potrebné na ochranu pred fatálnymi následkami? Vyspovedali sme Ondreja Kováča, manažéra oddelenia IT bezpečnosti v spoločnosti Alison Slovakia.
 

Ako je na tom Slovensko, čo sa týka počtu kybernetických útokov na priemyselné odvetvie? Má to stúpajúcu alebo klesajúcu tendenciu?

 

V podstate nie je problém, či počet útokov klesá alebo stúpa, ale to, že oproti IT zóne je OT zóna (Operation Technologies) pozadu 15 až 20 rokov. S praktikami, ktoré sa aplikujú v IT zóne, sa v OT zóne iba začína, aj to len posledné 2-3 roky. Keď porovnávame obdobia štatisticky, tak zaznamenávame síce mierne klesajúcu krivku, ale to nevypovedá vôbec o úrovni zabezpečenia. To, že chránime aktíva na 90 % alebo 95 %, nemusí byť dostatočné. Pre organizáciu je „smrteľná“ nedostatočne zmapovaná „šedá“ zóna, ktorá tvorí 5 % až 15 %.

Čo sa týka Slovenska, neexistuje (alebo aspoň ja o tom neviem) centralizovaný reporting pre priemysel, kde by mohli organizácie proaktívne reportovať. Navyše, zo skúseností vieme, že závažné incidenty sa skôr „premlčia“. Súvisí to s celkovým nastavením mentality vrcholového manažmentu spoločností.

 

Slovensko je okrem elektrickej energie odkázané na dovoz kľúčových energetických surovín, ako sú ropa a zemný plyn. Cez Slovensko zároveň vedú dôležité plynárenské a ropné tranzitné koridory, ktoré sú najmä v prípade plynu určujúce pre energetickú bezpečnosť veľkej časti Európy. Ako sa kyberútoky môžu dotknúť celkovej ekonomiky štátov?

 

Výrazne, ale nesmieme sa sústrediť iba na ekonomický dosah. Síce existuje iniciatíva zo strany štátu, ale v prostredí je zapojených veľmi veľa organizácií a súkromných firiem, či už v oblasti energetiky, dodávateľov priemyselných riešení, výrobcov softvérových a hardvérových riešení. Ide o to, že výpadok nejakej služby alebo dodávky týchto služieb nemusí mať priamo len ekonomický rozmer. V rámci kybernetickej vojny sa treba zamerať na to, či ide o útok, kde hlavnou motiváciou je ekonomický profit, alebo o naozaj deštrukčnú činnosť, ktorá sa dá klasifikovať ako „cyberwarfare“, teda využívanie kybernetických útokov ako nástrojov reálnej deštrukcie.

 

Dosah, ktorý vidíme, je „našťastie“ len v ekonomickom meradle. Zatiaľ nebol publikovaný signifikantný výpadok v priestore Slovenska, ktorý by paralyzoval dodávky služieb na niekoľko dní. Avšak vidíme, že útoky na priemyselné infraštruktúry sú realitou. V okolitých krajinách ako Ukrajina, Dánsko, Rusko alebo vzdialenejších ako USA sú útoky vo väčšej miere a dejú sa stupňovito. Výsledkom úspešných útokov je infiltrácia útočníkov s cieľom priemyselnej špionáže alebo prerušenie dodávky služby na niekoľko hodín, dní, dokonca až týždňov.

 

Vedeli by ste vymenovať nejaké najvážnejšie prípady kyberútokov na priemysel a prípady, s ktorými sa tento sektor stretáva najviac?

 

V európskom rozmere spadá jeden z najväčších útokov do typu ransomvér Petya alebo Not Petya, ktorý bol definovaný ako globálny ransomvér. Reálne boli dotknuté súkromné podniky alebo podniky patriace pod vládu ako banky, letiská, energetické spoločnosti a farmaceutické spoločnosti. Tieto útoky reportovala Veľká Británia, Rusko, Dánsko, USA či Ukrajina.

 

Následne bol vyrobený ďalší variant tohto ransomvéru Golden Eye. Taktiež bol zacielený na infraštruktúru, i keď nie nevyhnutne ICS infraštruktúru, ale v podstate sa útočníci cez IT zónu snažili dostať oveľa ďalej do ICS (Industrial Control Systems). Zameriavali sa na HR oddelenia využívajúc skutočnosť, že zamestnanci HR musia často otvárať e-maily a prílohy z neznámych zdrojov. Požadovali, aby obeť zaplatila výkupné 1, 3 bitcoinov.

 

Ďalší nepríjemný útok, ktorý spadá do rodiny malvér, bol TRITON alebo TRISIS. Zrealizovaný bol v roku 2017 a je stále aktívny. Ten bol už naozaj zacielený na ICS infraštruktúru a snažil sa napadnúť kontrolné a riadiace systémy. Útočník ovládol riadiaci systém na kontrolu teploty v určitom prostredí, zatváranie/otváranie systémov, čo už naozaj hraničilo s ohrozením ľudských životov v prevádzke a civilného obyvateľstva.

 

Je to veľmi podobný útok ako Stuxnet, ktorý bol zameraný na iránske elektrárne. V rámci týchto útokov nejde veľmi o inovátorské veci ako skôr o využívanie starších zraniteľností a vektorov, ktoré sú stále funkčné a platné. Pri 70 % úspešnosti ide o vnútorné chyby konkrétnych ľudí alebo dodávateľov, ktorí sa starajú o ICS infraštruktúru.

 

Aby sme to zhrnuli, v čom sú teda najväčšie slabiny? Sú to nedostatočné technológie alebo ľudia?

 V rámci slabín, ako som spomínal, hovoríme o 20-ročnom rozdiele medzi IT a OT. Mnohé prvky v ICS infraštruktúre sú zastarané, softvér je nepodporovaný. Rozdiel je aj v prioritizácii. Typické IT má v rámci klasifikácie IT security prostredia triádu CIA, a to Confidentiality (dôvernosť), Integrity (integritu) a Availibility (dostupnosť). Oproti tomu má OT ďalší pridaný rozmer, ktorý zdôrazňujeme, a to Safety (bezpečnosť), Availibility, Integrity a Confidentiality. Životný cyklus v ICS zóne je 15 až 20 rokov. Väčšina priemyselných dodávateľov svoje systémy u zákazníka prevádzkuje ako „black box“, čiže ani samotný zákazník často nemá prehľad, čo sa v ktorej časti deje.

 

Stretli sme sa v praxi so SCADA systémami, kde inštalovaný antivírus nebol roky aktualizovaný. Systémy bežia na nepodporovaných operačných systémoch, kde množstvo kritických zraniteľností rátame na desiatky. Dokonca niektoré z týchto systémov vykazovali infiltráciu škodlivého kódu potenciálneho útočníka. Ako extrémny príklad môžem spomenúť situáciu, keď kontrolný systém kritického systému bol dostupný z internetu. Prihlasovacie heslá boli ponechané v základnej konfigurácii (admin/admin).

 Vyššie spomenuté príklady ilustrujú súčasný stav. Z nášho pohľadu je to hlavne o ľuďoch, dodržiavaní už definovaných procesov a až potom o technológiách, ktoré im pomáhajú zvládať boj s kybernetickými hrozbami.

 

 Prednedávnom vstúpil do platnosti zákon o kybernetickej bezpečnosti. Sú priemyselné spoločnosti pripravené na jeho požiadavky?

 

 Tak ako napríklad GDPR alebo iné smernice, všetko sa rieši na poslednú chvíľu. Nejaké povedomie tu je, dokonca podniky majú relatívne slušne vypracované bezpečnostné smernice a plány, ale praktické dodržiavanie je nedostatočné a súvisí s nízkou pripravenosťou samotných zamestnancov, ktorí sa o OT/ICS infraštruktúru starajú. Mnohokrát ide až o hrubú nevedomosť.

 

Vidíme, že sa realizujú kroky k celkovému zlepšeniu a podniky majú tendenciu tlačiť výrobcov, aby kritériá ZKB bol aplikované, či už je to zvýšenie viditeľnosti, faktické možnosti defenzívnych technológií či vybudovanie priemyselných SOC – Security operačných centier. Myslím si však, že termín, kedy má byť všetko hotové, nebude pre niektoré organizácie možné dodržať. Mnohé závisí aj od finančných možností organizácií. Aj keď si obstarajú technológiu, tak integrovať všetky komponenty a reálne získať užitočné výsledky nebude možné aj pre nedostatočnú pripravenosť ľudských zdrojov. Tu vidím schodnú cestu formou „Out Tasking-u“ s externými expertnými firmami.

 

Automatizácia je silný a efektívny nástroj, dokonca využitie umelej inteligencie v rámci spracovania dát, simulácie útokov a rýchlej akcie na incidenty narušenia. Nie všetko sa však dá efektívne automatizovať. Vždy si to bude vyžadovať intervenciu ľudského faktoru.

Ktoré technológie odporúčate? Ktorí výrobcovia patria medzi lídrov?

Určite neochránite všetko, resp. potrebujete ochrániť naozaj to funkčné jadro, či už je to výrobná alebo technologická zóna. Nejde o aktívnu intervenciu, ako je to typické v IT zóne, ale skôr o technológie na neinvazívny monitoring, analýzu protokolov, sledovanie integrity PLC (Programmable Logic Controller) systémov.

 

Na vyšších riadiacich a kontrolných vrstvách môžeme hovoriť o ofenzívnych technológiách, ako je ochrana pred škodlivým kódom, IDPS/HIPS systémy, Next Generation firewally. Tu okrem kontinuálneho monitoringu integrujeme bezpečnostné sieťové technológie, ako aj bezpečnostných agentov s viacmodulovou ochranou s kapacitou preventívnej ochrany proti neznámym útokom. Na každej úrovni je dôležitý dôkladný manažment aktív a aktívne kontinuálne vyhľadávanie zraniteľností. Všetky získané dáta musíme integrovať do jednotného rozhrania, ktoré nám poskytne tzv. „Actionable Intelligence“ podklady pre operátora na kvalifikované rozhodnutie, ak nie v reálnom čase, tak aspoň veľmi blízko reálnemu času.

 

Hovoríme o výrobcovi pre ICS bezpečnosť ako je Nozomi Networks, ktorá má technológiu Guardian, ktorá dokonca sleduje celú prevádzku v rámci kontrolných a procesných sietí a analyzuje ju na všetkých úrovniach vrstiev OSI. Využíva techniky umelej inteligencie a strojového učenia na vytvorenie podrobných profilov správania pre každé zariadenie podľa stavu, aby sa rýchlo zistili kritické hodnoty.

 

Ďalej môžeme hovoriť o výrobcoch riešení, ktorí sú typicky z IT sveta, napr. Fortinet alebo Trend Micro, ktorý ponúka riešenie Deep Discovery na monitoring a odhaľovanie neznámych a cielených útokov. Patrí sem aj Deep Security, ktorý spadá pod HIPS riešenia a umožňuje pasívny monitoring, ako aj aktívnu ochranu s preventívnymi prvkami proti neznámym hrozbám. ***

 

Problém je, že mnohé ICS systémy sú offline-ové. To znamená, že technický pracovník musí získať fyzický prístup k zariadeniu na potrebný servisný zásah. Existuje potenciálne riziko, že dôjde k infiltrácii škodlivého obsahu alebo zámerne upraveného kódu. Tu sa pridáva ďalšia úroveň bezpečnosti – fyzická a objektová bezpečnosť.

 

Na vytvorenie efektívneho zabezpečenia je potrebné spojiť dva svety. IT bezpečnosť s OT priemyselným svetom a využiť synergiu už aplikovaných a overených postupov z IT sféry.

 

V čom vidíte najväčšie výzvy do budúcna?

 Podniky by mali veľmi rýchlo a veľmi zodpovedne pristúpiť k ochrane týchto systémov a nerobiť kompromisy. Priemyselný sektor je druhý najviac zacieľovaný podľa správy IBM X-Force z 2019. Na rozdiel od IT sveta možné dosahy tu nie sú „iba ekonomické“, ale ide o ohrozenie životného prostredia, civilného obyvateľstva a strategickej bezpečnosti štátu. K tomuto problému sa musí pristupovať s prináležiacou zodpovednosťou a vážnosťou. Nestačí robiť projekty, aby sme formálne splnili požiadavky noriem. Je potrebné sa uistiť, že technológie, ktoré máme alebo chceme obstarať, reálne spĺňajú stanovené kritériá a sú pre organizáciu prínosom.

 

I keď sa nepodarí adresovať úplne všetky domény, treba si osvojiť stratégiu konštantného zlepšovania. Keď každý deň o percento zlepšíme svoju činnosť, tak na konci roka môžeme dosiahnuť zlepšenie o 365 %.

 

Záverom môžem konštatovať, že ľudský faktor je ten najslabší, preto investícia do technológií je iba počiatočné zlepšenie. Je nevyhnutné kontinuálne vzdelávanie špecialistov, simulácia scenárov útokov a reakcie, ako sa zachovať. Pri stanovení úspešnej obrannej stratégie treba pochopiť potenciálne dosiahnuteľné ciele útočníka. Jednoducho povedané, na svoju infraštruktúru treba pozerať očami útočníka.

 

Veracomp Vás má rád

A preto si nenechajte ujsť vychytávky,
ktoré pre vás pripravujeme každý mesiac.

Ďalšie články

RSS

Naši partneri o nás