Nároky na kybernetickú bezpečnosť v priemysle sa neustále zvyšujú

0

Špeciálny projekt

V roku 2014 sa internet vecí stal jedným z vlajkových trendov nielen v IT, ale prakticky vo všetkých odvetviach. V synergii s cloudom a možnosťami analýzy veľkého objemu údajov z prepojených zariadení má potenciál zmeniť aj smerovanie výrobných odvetví a logistiky. Do sietí IoT sa pripájajú nielen jednotlivé stroje a zariadenia, ale aj subsystémy tvorené zariadeniami komunikujúcimi navzájom, pre ktoré sa zaužívalo označenie Machine-to-Machine (M2M). Každá minca má však aj odvrátenú stranu, a tak nové možnosti automaticky predstavujú aj potenciálnu vstupnú bránu pre nové hrozby a sofistikované kybernetické útoky. Práve v roku 2014 bol zaznamenaný počítačový útok na jednu z nemeckých oceliarní. Hackerom sa pomocou falošných e-mailov podarilo ukradnúť prihlasovacie údaje, ktoré im umožnili prístup k digitálnemu velínu oceliarne, a získali tak kontrolu nad vysokou pecou, v ktorej práve prebiehal taviaci proces. Potom aktivovali procesy, ktoré zapríčinili jej fatálne poškodenie a následné obrovské škody. Stroje a zariadenia pripojené na internet bez adekvátneho zabezpečenia znamenajú nielen veľké materiálne ohrozenie, ale v niektorých prípadoch, žiaľ, aj ohrozenie zdravia či dokonca životov pracovníkov. Niektoré veľké firmy vykonali v tomto ohľade audit. Napríklad automobilka Toyota priznala, že keby im narušiteľ s neoprávneným prístupom zastavil výrobu, žiadna osoba by sa síce nezranila, no finančné škody by boli obrovské.

Sú veľké dáta aj veľkou hrozbou?

Na takúto jednoznačne položenú otázku paradoxne neexistuje úplne jednoznačná odpoveď. Terabajty údajov zhromaždené každý deň priemerne veľkou firmou síce obsahujú cenné informácie, ale tie treba najskôr sofistikovanými postupmi vyťažiť. Dobrou analógiou môže byť napríklad ukradnutý fúrik, nákladné auto alebo vagón plný rudy, v ktorej je malé promile zlata alebo platiny, ktoré v tomto stave nie sú také cenné. No keby zlodej ukradol čo i len malé množstvo finálneho produktu, v tomto prípade drahého kovu, ktoré sa vojde do vrecka, spôsobil by veľkú škodu. Keby teda narušiteľ ukradol nie terabajty „surových“ údajov, ale už z nich vyťažené informácie, ktoré sa vojdú na jednu obrazovku manažérovho iPadu, mohla by tým vzniknúť obrovská škoda.

Firmy zavádzajú nové technológie (v poslednom čase hlavne cloudové) na analýzu veľkých dát v reálnom čase, takže ochrane informácií, ktoré vzniknú ako výsledok analýz, treba venovať obzvlášť veľkú pozornosť. Veľké dáta majú často dokonca aj pozitívny vplyv na zabezpečenie. Výsledkom ich analýzy sú aj informácie umožňujúce odhaliť a zastaviť bezpečnostné incidenty vo firmách oveľa rýchlejšie, než to bolo predtým.

Kybernetický útok ako služba

V poslednom čase sa čoraz viac skloňuje pojem IT ako služba, pretože firmy poskytujú vo forme služieb platformy, softvér, prípadne rôznu vir­tuálnu infraštruktúru. A čo tak kybernetický útok ako služba? Jednotlivci aj pokútne firmy zaoberajúce sa spamom ponúkajú možnosť zablokovať konkurenciu pomocou útoku DDoS, pričom cena za hodinu masívneho útoku smerovaného do komerčného prostredia sa začína na úrovni 20 dolárov. A aký by to bol marketing, keby neponúkal množstvové zľavy? Dvadsaťštyrihodinový útok stojí od 100 dolárov.

Útokov na IT infraštruktúru v priemysle je pravdepodobne oveľa viac

Kyberzločinci využívajú stále sofistikovanejšie metódy útokov s cieľom preniknúť do infraštruktúry priemyselných spoločností. Preto je veľmi dôležité aplikovať komplexné kyberbezpečnostné pravidlá, ako aj dodržiavať stanovené predpisy.

Pre priemyselné spoločnosti platia rôzne bezpečnostné pravidlá a štandardy, počnúc všeobecným nariadením na ochranu osobných údajov (GDPR) až po štandardy stanovené Medzinárodnou elektrotechnickou komisiou (IEC). Konať v súlade so stanovenými pravidlami a štandardmi je pre dnešné priemyselné spoločnosti nevyhnutnosť a zároveň aj hnacia sila investícií. No existuje mnoho faktorov, ktoré ovplyvňujú to, ako jednotlivé spoločnosti uplatňujú ich dodržiavanie. Prieskum spoločnosti Kaspersky ukázal, že až dve tretiny (presne 67 %) priemyselných spoločností nehlásia incidenty čiže útoky na ich IT infraštruktúru zodpovedným regulačným orgánom. Dôvodov je viacero: niektoré firmy tak neurobia preto, aby sa vyhli pokutám od regulátorov, prípadne nechcú, aby sa informácie dostali na verejnosť, čo by mohlo poškodiť ich reputáciu. Respondenti uviedli, že viac než polovica (52 %) incidentov bola v rozpore s regulačnými požiadavkami, pričom v prípade kybernetického prieniku až 63 % z nich uvádza stratu dôvery zákazníkov ako hlavnú príčinu obáv firmy.

Okrem nahlasovania incidentov vyplývajú z prieskumu aj ďalšie zistenia. Firmy berú dodržiavanie predpisov veľmi vážne, pričom iba pätina (21 %) priemyselných spoločností pripúšťa, že v súčasnosti nedodržiava povinné priemyselné nariadenia. Je dôležité, aby firmy pochopili, že regulačné požiadavky musia byť splnené, aj keď ich nahlasovanie je slabšie. Dodržiavanie predpisov je z pohľadu financovania hlavný nástroj v oblasti investičných stratégií do kybernetickej bezpečnosti pre 55 % respondentov. No toto zameranie sa na procesy by mohlo spoločnosti viesť k tomu, že nekladú až taký dôraz na kvalitu bezpečnostných riešení a nezohľadňujú skutočné hrozby – iba 28 % respondentov identifikovalo prehľad a poznatky o hrozbách ako kľúčovú hnaciu silu rozpočtu.

„Dodržiavanie priemyselných predpisov a regulácií by sa nemalo brať na ľahkú váhu. Takisto je veľmi dôležité mať na pamäti reálne prostredie hrozieb, ktoré sa dynamicky mení. Účinné kyberbezpečnostné riešenie v kombinácii s jasnými opatreniami by malo spoločnostiam pomôcť dosiahnuť potrebnú úroveň ochrany v súlade s regulačnými požiadavkami. Takéto riešenia by mali obsahovať technologicky orientované opatrenia, opatrenia týkajúce sa posúdenia zraniteľností a takisto opatrenia, ako reagovať na incidenty. V neposlednom rade by mali zahŕňať aj iniciatívy na zvýšenie povedomia o bezpečnosti pre všetkých zamestnancov, ktorí pracujú s priemyselnými automatizačnými systémami,“ upozorňuje Miroslav Kořen, generálny riaditeľ Kaspersky pre východnú Európu.

Chyby zamestnancov

Firmy pôsobiace v priemyselných odvetviach sa pripravujú na digitalizáciu priemyselných sietí a prijatie štandardov Industry 4.0. No aj napriek všetkým výhodám, ktoré navzájom poprepájaná infraštruktúra prináša, je hlavným rizikom práve kyberbezpečnosť. Až štyri z piatich spoločností preto považujú digitalizáciu operačných sietí za jednu z najdôležitejších úloh, ktorú v žiadnom prípade nemožno podceniť.

Aj napriek rastúcej miere automatizácie je to práve ľudský faktor, ktorý dokáže jednotlivé procesy v priemysle vystaviť riziku. Chyby spôsobené či už zámerným, alebo neúmyselným konaním zamestnancov tvorili v minulom roku až 52 % týchto prípadov. Narastajúca zložitosť a náročnosť fungovania priemyselných odvetví si vyžaduje zvýšenú ochranu, ako aj schopnosť poskytovať ju. A hoci je to prioritou takmer každej z firiem, reálne do nej investuje len približne 57 % z nich.

Dostatočná úroveň ochrany a efektívne výsledky sú dosiahnuteľné jedine vtedy, ak spoločnosti zainvestujú do špecializovaných opatrení a vysokokvalifikovaných odborníkov. No aj napriek tomu, že si firmy uvedomujú dôležitosť bezpečnosti prevádzkových technológií a priemyselných riadiacich systémov, len polovica z nich do kybernetickej bezpečnosti aj skutočne investuje.

Je to, samozrejme, otázka tak rozpočtu, ako aj kvalifikovaných odborníkov. Jednak sa firmy stretávajú s ich nedostatkom, súčasne si však operátori sietí OT/ICS nie sú úplne vedomí dôsledkov narušenia kyberbezpečnosti. Teda aj to je dôvod, prečo sú to práve pochybenia zamestnancov, ktoré spôsobujú polovicu všetkých incidentov ICS, ako sú napr. infekcie malvérom či iné závažnejšie cielené útoky. Problém je aj ­kumulovanie rolí. Takmer v polovici spoločností (45 %) sú zamestnanci zodpovedajúci za IT bezpečnosť zodpovední aj za siete OT/ICS, pričom tieto úlohy kombinujú so svojou ďalšou inou, rovnako zásadnou pracovnou náplňou. A to predstavuje bezpečnostné riziko. Hoci sa prevádzkové a podnikové siete stále viac spájajú, odborníci na oboch stranách môžu mať odlišné prístupy (37 %) a ciele (18 %) v otázkach kybernetickej bezpečnosti, čo môže spôsobovať konflikty v riešeniach.

Riešením je uplatnenie komplexného viacvrstevného prístupu, ktorý kombinuje technickú ochranu s pravidelným školením odborníkov v oblasti IT bezpečnosti a prevádzkovateľov sietí. Takéto opatrenia zabezpečia, že siete zostanú pred útokmi chránené a súčasne sa bude zlepšovať aj povedomie zamestnancov. Spoločnosť Kaspersky má špecializované portfólio riešení a služieb venujúce sa výzvam, ktorým čelia priemyselné spoločnosti. Aplikácia Kaspersky Industrial CyberSecurity kombinuje ochranu koncových priemyselných bodov a sietí pri riešení hrozieb na úrovni siete a operátora v prostredí ICS s pokročilými službami na zisťovanie hrozieb a následnou reakciou na jednotlivé prípady.

Pravidlá na zdieľanie údajov s partnermi

Mnohé pojmy a s nimi spojené opatrenia sa v dnešnom globálnom svete stali archaickými. Typický príklad je vymedzenie sídla firmy, pretože ich IT systémy sú napojené na rozsiahle ekosystémy dodávateľov, nehovoriac o internete. Neodmysliteľnou súčasťou takmer všetkých priemyselných odvetví sú dodávateľsko-odberateľské vzťahy. Ich súčasťou je aj zdieľanie informácií a využívanie spoločných aplikácií a databáz, takže aj subdodávatelia a obchodní partneri môžu byť pre firmy bezpečnostným rizikom. Preto treba mať nastavené pravidlá na narábanie s dátami.

Podľa výsledkov prieskumu spoločnosti Kaspersky má 79 % podnikov zavedené špe­ciálne pravidlá, ktoré vysvetľujú partnerom a dodávateľom, ako pracovať so zdieľanými zdrojmi a dátami, pričom je tu zahrnutá aj informácia o možných pokutách, ktoré môžu byť v prípade incidentov aplikované. Ich obavy sú opodstatnené, z prieskumu totiž vyplýva, že škody spôsobené rôznymi incidentmi dosahujú odhadom v priemere hodnotu 2,57 milióna dolárov, pričom únik údajov patrí medzi tri najnákladnejšie problémy, ktorým podniky čelia.

Jedna z hlavných výhod implementácie pravidiel pre spoluprácu s tretími stranami je to, že definuje oblasti zodpovednosti pre obe zúčastnené strany. Vďaka tomuto nastaveniu sa zvyšuje pravdepodobnosť, že podnik dostane kompenzáciu od dodávateľa, ak sa on stane vstupným bodom pre útok. Potvrdili to aj výsledky prieskumu, podľa ktorých 71 % firiem, ktoré tieto pravidlá mali nastavené, dostalo po incidente u dodávateľa, s ktorým zdieľali informácie, adekvátnu finančnú kompenzáciu. Na porovnanie, pokiaľ išlo o podniky bez akejkoľvek regulácie vzťahov, dostalo kompenzáciu len 22 % z nich. Zavedenie takýchto pravidiel zvyšuje pravdepodobnosť kompenzácie aj v segmente menších firiem, kde ju získalo 68 % firiem so zavedenými pravidlami oproti 28 percentám firiem, ktoré ich so svojimi subdodávateľmi zavedené nemali.

Z prieskumu však nemožno zistiť, či má zavedenie pravidiel zameraných na únik údajov vplyv aj na zníženie počtu útokov cez dodávateľský reťazec. Takmer štvrtina (24 %) firiem, ktoré zaviedli osobitné IT pravidlá pre tretie strany, sa stala obeťou narušenia dát z dôvodu kybernetického útoku na subdodávateľa alebo obchodného partnera, pričom z firiem bez takýchto pravidiel, ktoré boli napadnuté cez dodávateľa, potvrdilo narušenie dát iba 9 %. Tento zdanlivý paradox vysvetlil Miroslav Kořen: „Z výsledkov prieskumu vyplýva, že firmy so zavedenými osobitnými pravidlami pre spoluprácu s tretími stranami čelia útokom cez dodávateľský reťazec častejšie. No v tomto prípade je skôr logické, že podnik so širšou dodávateľskou sieťou bude tejto oblasti venovať zvýšenú pozornosť, čo podnik vedie aj k implementácii konkrétnych opatrení. A takisto veľká sieť subdodávateľov len zvyšuje pravdepodobnosť možného narušenia alebo úniku dát. Okrem toho môžu podniky so zavedenými pravidlami pre spoluprácu s tretími stranami presnejšie určiť príčiny konkrétneho narušenia či úniku.“

Na ochranu pred útokmi prichádzajúcimi cez dodávateľský reťazec ponúka spoločnosť Kaspersky riešenie Kaspersky Anti Targeted Attack, ktoré dokáže už v ranom štádiu odhaliť aj pokročilé útoky, ktoré mohli obísť nasadené bezpečnostné riešenie spoločnosti, vrátane útokov prichádzajúcich cez dodávateľský reťazec. Takisto odporúča informovať tretie strany o vašich požiadavkách, ktoré by mali dodržiavať, vrátane dodržiavania politík a bezpečnostných postupov a pravidelne aktualizovať zoznam všetkých partnerov a dodávateľov, ako aj údaje, ku ktorým môžu mať prístup. Treba zabezpečiť, aby partnerské firmy mali prístup iba k tým zdrojom, ktoré potrebujú. Dôležité je skontrolovať, či firmám, ktoré už nespolupracujú s vašou spoločnosťou, bol znemožnený prístup k vašim údajom a nástrojom a ich používanie.

Analytici odporúčajú masívne investície do kybernetickej bezpečnosti

S rastúcou intenzitou organizovaných aktivít kyberútočníkov interné bezpečnostné tímy zápasia so schopnosťou reagovať na rýchlosť a závažnosť hrozieb. Hoci sa na kybernetické zabezpečenie vynakladajú stále vyššie sumy, riaditelia IT (CIO) a riaditelia pre zabezpečenie IT (CISO) sú stále nútení zápasiť s výberom, udržiavaním a vzdelávaním bezpečnostných IT technikov. Renomované analytické spoločnosti sa zhodujú v tom, že firmy a organizácie by v závislosti od rizikových faktorov v danom odvetví, požadovanej úrovne zabezpečenia či regulačných požiadaviek mali investovať 4 až 7 % IT rozpočtu na bezpečnosť. Prax ukazuje, že 5 % až 20 % z celkového rozpočtu IT projektu by malo byť vyhradených na testovanie bezpečnosti a zníženie rizika v závislosti od veľkosti a zložitosti projektu a takisto citlivosti spracúvaných údajov.

 

Ľuboslav Lacko

Všetky autorove články
bezpečnosť utok Kaspersky

Pridať komentár