Výpadky a ztráty

Průmyslové firmy netrápí špatný stav kybernetické bezpečnosti jako takové, ale dopady na klíčové procesy, tedy zejména na výrobu. Obrovským problémem bývají výpadky výrobních linek – časově náročné je nejen odhalení příčiny, ale také následná náprava. Jakýkoli větší výpadek přitom znamená významné finanční ztráty, o ztrátě reputace u odběratelů ani nemluvě.

Dopady kybernetického útoku nemusí být patrné na první pohled. Může jít o cílenou změnu výrobních parametrů, které zvýší míru zmetkovosti. Odhalení skutečné příčiny může trvat mnoho dní a zajištění nápravy klidně i týdny. A v případě poškození některého ze zařízení kvůli špatnému procesu i mnohem déle.

Většina kybernetických útoků na průmysl je spíše otázkou náhody než konkrétního cílení. Jde o plošné útoky, které firmy zasáhnou kvůli špatné shodě okolností. Cílené útoky nicméně existují, ale obvykle se týkají více krádeží know-how a vyděračství prostřednictvím ransomwaru než ovlivnění výroby jako takové. Ovšem i takové případy existují – případně jsou jednotlivá napadená výrobní zařízení zneužita pro další nelegální aktivity vůči firmě.

Interní záležitost

Bezpečnost by měla být v rukou dané firmy bez ohledu na to, zda pro tuto oblast využije své vlastní zdroje nebo služeb třetí strany. A možná i zde je jedna z příčin, proč průmyslové firmy zaostávají například za bankovním sektorem – bankám a finančním institucím řadu bezpečnostních pravidel určuje legislativa a regulační opatření, zatímco průmyslová odvětví mají v tomto ohledu relativní volnost.

Jednotlivá výrobní zařízení připojená do síťové infrastruktury sestavují firmy, které nejsou specializované na IT, natož na kybernetickou bezpečnost. Obvykle jde o kombinaci univerzálního počítače s univerzálním operačním systémem a konkrétního výrobního zařízení, případně o specializovaná zařízení vyvinutá na míru. Mnohdy jde o celek proměnlivý v čase, dochází k přidávání nových rozhraní, zapojování nových senzorů, rozšiřování o nové funkce, propojování s dalšími zařízeními apod. A za těchto okolností bývá obtížné uvažovat o kybernetické bezpečnosti by design.

IT oddělení či externí IT správa by měla zařízení chápat jako blackboxy, o kterých nic neví. Připojí je na základě doporučených postupů, ale mají prakticky nulové možnosti, jak bezpečnost přímo na úrovni zařízení ovlivnit. Další skupinou jsou výrobní stroje, které jsou sice pod správou dané firmy, avšak z různých příčin nejsou pravidelně aktualizované, či záplatované proti novým hrozbám.

Zařízení jsou tedy často zastaralá, neaktualizovaná, či bez jakékoli skutečné správy. Není výjimkou stáří i několik desítek let, kdy ve firmě již nepracuje nikdo, kdo by věděl, jak a co případně změnit. A vzhledem k tomu, že jde o výrobní prostředek, tak bohužel stále platí pravidlo „co funguje, na to se nesahá“. Uzavřenost zařízení nemusí ale znamenat, že jsou nebezpečná či přímo škodlivá od okamžiku dodání. K nakažení může dojít až během následujících let, například i kvůli zneužití zranitelností, které již v moderních systémech vlastně nejsou.

Cesty k nápravě existují

Management průmyslových firem si důležitost kybernetické bezpečnosti zpravidla uvědomí až v okamžiku incidentu. Je zde paralela například se zálohováním – známá poučka říká, že firmy se dělí na ty, které zálohují a které budou zálohovat. Teprve s konkrétním bezpečnostním incidentem vedení firmy pochopí, jak vážné dopady může podobná událost mít.

Zásadní v průmyslových odvětvích je otázka, kdo by měl být ideovým nositelem úvah o kybernetické bezpečnosti. Z podstaty věci by mělo jít o IT oddělení – nicméně důležité je, aby za vším stál člověk s nadhledem a s přesahem do výrobních procesů. Tedy ne specialista na konkrétní technologii, ale ideálně IT manager schopný evangelizovat celou problematiku v rámci vyššího vedení i podřízených. Důvod je prostý: IT oddělení se v průmyslových firmách chápe čistě jako servisní organizace zajišťující „IT komoditu“ podobnou například elektřině či plynu.

Čtyři základní kroky k bezpečnosti

Předpokladem pro odpovídající zabezpečení je kvalitní základ – tedy spolehlivá infrastruktura. Ta by měla být v ideálním případě složená z technologií jedné či několika málo značek. V rámci infrastruktury by neměly chybět ani pokročilé monitorovací nástroje, a to jak jednotlivých stavebních prvků, tak i síťové komunikace. Pokročilý monitoring umožní odhalit různé anomálie, které mohou být předzvěstí či počátkem bezpečnostního incidentu. Infrastrukturu lze z pohledu bezpečnosti chápat jako podvozek automobilu – pokud bude nespolehlivý, bezpečnost auta příliš nezvýší žádné další sebelepší konstrukční prvky.

Druhou úrovní je logická segmentace jednotlivých zařízení do skupin, například prostřednictvím virtuálních sítí a adresace – v jednom segmentu by měly být související aplikace apod. Logické oddělení výrobních částí infrastruktury (tzv. OT sítě) je nezbytností. Prostupy mezi jednotlivými segmenty je důležité maximálně omezit, ideálně využitím firewallu, a ponechat povolené pouze nezbytné služby. Zabezpečení sítě však nepřichází s nasazením firewallové technologie, ale až s definicí a nasazením komunikačních pravidel síťového provozu. Tahle část je mnohdy tou nejsložitější a časově nejnáročnější aktivitou.

Řízení vzdáleného přístupu do výrobních strojů je třetí dílem do skládačky OT. Klienti by měli být dostupní pouze z vyhrazeného prvku, kterým může být například virtuální stanice nebo terminal server. Tohle rozhraní je místem, kde můžeme nasadit spoustu bezpečnostních metrik – řízení přístupu, monitorování provozu, či uživatelských aktivit.

Na samém vrcholu by pak měly stát technologie pro vyhodnocování toho, co se v rámci výrobního prostředí z pohledu IT děje. Patří sem především SIEM nástroje pro korelaci událostí a behaviorální analýzy. Ideálně v kombinaci s technologiemi pro automatizaci reakcí – například při zjištění problému včasné odpojení kritických výrobních zařízení se zachováním možnosti produkce apod. Nezapomínejme, že právě včasná, správná detekce a co nejrychlejší reakce je tím pomyslným jazýčkem na vahách, zda dojde ke skutečnému problému.

Samy, nebo s partnerem?

Jednou z klíčových otázek je, zda chtějí průmyslové firmy řešit kybernetickou bezpečnost svými vlastními silami, či třetí stranou. Obecně lze v případě průmyslových odvětví považovat za výhodnější outsourcing bezpečnosti, a to právě s ohledem na fakt, že IT je v těchto firmách chápáno jako servisní organizace s často omezenými rozpočty. Využívání služeb třetích stran umožňuje lepší plánování nákladů a odpadají obtíže spojené s nutností dostatečného know-how. To ale neznamená, že by se na zabezpečení neměla firma podílet, právě naopak – pouze její lidé jsou totiž nositelem nezbytných znalostí o výrobních procesech a celém (nejen IT) prostředí podniku.

Služby třetích stran lze využívat i částečně, například v podobě zdrojů informací – ať již jde o konzultační služby k bezpečnostní strategii či jednotlivým incidentům, nebo o pravidelně vydávané bezpečnostní reporty. Obdobně lze, podobně jako u ukládání dat do datových center či cloudů, využívat bezpečnost jako službu.

2021 Global Threat Intelligence Report

Kybernetická bezpečnost v prostředí průmyslových firem byla, je a bude nezbytná. Dnes jsme v období, kdy tyto firmy začínají skutečnou potřebu bezpečnosti chápat nejen na příkladech od konkurence, ale někdy i svých vlastních. Následující roky ukážou, zda se ztráta za ostatními odvětvími bude smazávat, nebo zůstane spíše konstantní. Osobně mám za to, že by se mělo podařit stavy rychle srovnat. A to by bylo bezesporu dobře.

Lukáš Svozil Autor článku je Business Development Manager pro oblast bezpečnosti IT ve společnosti NTT Czech Republic. Bezpečnosti v průmyslu se věnuje již 7 let, kdy působil v roli Network & Cybersecurity architekta pro významnou globální automotive společnost. Má zkušenosti s návrhem a implementací síťových a bezpečnostních technologií do výrobních podniků a datacenter.