V priemyselnom segmente a infraštruktúre je kľúčové, aby organizácia počas kybernetického útoku neohrozila životné prostredie a ľudí.
Kybernetické incidenty, tak ako ich poznáme, vstupujú do omnoho významnejších súvislostí. Zoberme si príklad – neoprávnená zmena údajov napríklad v účtovníctve je náročný incident, ale dá sa prekonať. Neoprávnená zmena údajov v priemyselných systémoch, a špeciálne v bezpečnostných systémoch, však môže mať likvidačné následky. Hovoríme totiž o zdravotníctve, chemickom priemysle, vodárenstve a všetkých dodávateľoch energie.
Prečo som tam išiel?
Nová vyhláška o bezpečnostných opatreniach ku kyberzákonu zvyšuje nároky na priemyselnú bezpečnosť. Úlohou je chrániť dve prostredia, ktoré sa správajú odlišne. Bezpečnosť IT prostredia sa už „dostala pod kožu“ nielen profesionálom, ale aj manažmentu.
Priemyselná bezpečnosť, ktorej úlohou je chrániť prostredie aj ľudí, sa stretáva s novými hrozbami a rizikami. Napríklad IoT zariadenia prinášajú riziká a hrozby typické pre IT. Všetky tieto fakty kontinuálne zvyšujú nároky na počet odborníkov a ich vzdelanie.
Bezpečnosť predbieha skriptá, a preto je výmena skúseností nevyhnutná a dokonca aj veľmi vzácna. Na špecializovanom školení v Singapure som stretol profesionálov, ktorí riešia incidenty s rokmi praxe, a preto boli pre mňa prínosom najmä ich skúsenosti z praxe.
Čítanie s porozumením
Novou úlohou pre tradičnú priemyselnú bezpečnosť je čítanie threat intelligence, teda bezpečnostných reportov. Presnejšie povedané, nejde len o čítanie reportov, ale o schopnosť extrahovať konkrétne indikátory a aplikovať ich na vlastné prostredie. V reporte nájdu hrozby relevantné pre ich prostredie, informácie o skúsenostiach kyberzločincov, vzorce útočného správania a správy o kybernetických incidentoch v segmente. Pre čitateľa je report návodom, kam upriamiť pozornosť a zdroje v bezpečnosti.
Základom ochrany systémov a následne aj reakcie na incident je vedieť, čo chránime, koľko toho je a aké ochranné opatrenia už máme. Ak sa čudujete nad takými samozrejmými otázkami, verte, že vychádzajú z praxe.
Kľúčovým momentom je pochopenie viditeľnosti. Mnohé organizácie v skutočnosti nevedia, aké zariadenia majú pripojené v sieti. PLC jednotky, HMI rozhrania či rôzne IoT zariadenia fungujú roky bez zmeny, mimo pozornosti IT oddelenia.
Detekcia útokov
V priemyselných systémoch je komunikácia stabilná a predvídateľná, čo znamená, že akákoľvek odchýlka môže signalizovať problém.
Analýza historických útokov, ako bol Stuxnet či TRISIS, ukázala, že útočníci sofistikovane manipulujú výrobnú prevádzku. Zákernosť týchto útokov spočíva v tom, že riadiace systémy nedokážu tieto odchýlky zobraziť v reálnom procese. Napríklad pri útoku Stuxnet sa kontinuálne jemne zvyšovali otáčky centrifúg až do ich zničenia.
Tradičné bezpečnostné nástroje tu nestačia a monitoring musí byť prispôsobený špecifikám priemyselných systémov. Ďalším rozmerom takéhoto typu útoku je spoločenský kontext, čím sa dostávame k naliehavosti tejto témy pre súčasnosť.
V praxi znamená detekcia útoku schopnosť rozpoznať nezvyčajné správanie, identifikovať kompromitované zariadenie a analyzovať správanie malvéru. Následne po zastavení útoku treba pripraviť detekčné pravidlá, ktoré dokážu zachytiť podobný útok v budúcnosti.
V praktickom cvičení sme pracovali s reálnym riadiacim systémom a zistil som, aké náročné je identifikovať všetky aktíva a ich vzájomnú komunikáciu. A aj napriek tomu platí, že neexistuje iba jedno správne riešenie. Každá firma, organizácia a segment majú svoje špecifiká.
Vytiahnuť kábel?
Najväčší rozdiel však nastáva pri incident response. V tradičnom IT je kybernetický incident často riešený odpojením systému. V prostredí riadiacich systémov to však môže znamenať zastavenie výroby, výpadok elektriny pre obyvateľov a organizácie alebo ohrozenie pacienta.
Treba rozhodovať, či je bezpečné pokračovať v prevádzke alebo systém odstaviť. Nie je to čisto technické rozhodnutie, ale kombinácia analýzy dát, pochopenia prostredia a zodpovednosti voči prevádzke.
Takže stojíme pred otázkou: vypnúť alebo nevypnúť? V prípade kybernetického incidentu je to manažérske rozhodnutie založené na dátach. A definitívne rozhoduje riaditeľ prevádzky, nie riaditeľ bezpečnosti.
Zhodné, ale nie rovnaké
Špecifikom priemyselnej bezpečnosti je napríklad prístup k riešeniu malvéru. V prípade IT zavírený počítač obnovím zo zálohy okamžite. Ak však ide o priemyselné prostredie, často musíme čakať na plánovanú údržbu a kompromitovaný komponent držať v izolácii a neustále ho monitorovať.
Bezpečnosť priemyselných systémov nie je len o splnení štandardov alebo audite. Je to schopnosť vidieť vlastné prostredie, rozumieť jeho fungovaniu a reagovať na incident bez toho, aby bola ohrozená samotná prevádzka. V kontexte dnešných hrozieb, ktoré cielia na kritickú infraštruktúru, ide o schopnosť, ktorá presahuje IT a stáva sa otázkou riadenia organizácie.