Kyberbezpečnosť v OT je atribútom kvality, hovorí expert Martin Fábry.
S rozmachom digitalizácie, nástupom IIoT a prepájaním IT a OT systémov je kybernetická bezpečnosť priemyselných technológií doménou súčasnosti. Každodenne sú na stole nové zraniteľnosti vyžadujúce špecifické bezpečnostné opatrenia a vznikajúce riešenia. V rozhovore s Martinom Fábrym hovoríme o rizikách, prioritách a reálnych incidentoch v priemysle.
Kybernetická bezpečnosť Operational Technology (OT) sa zaoberá ochranou systémov prevádzkových technológií, ktoré sú často súčasťou kritickej infraštruktúry. Na rozdiel od IT systémov spravujúcich predovšetkým biznis procesy a dáta riadia OT tzv. mission-critical operácie, ktorých výpadok môže mať okamžité a vážne následky pre fungovanie spoločnosti, kritickej infraštruktúry a priemyslu.
Podľa experta na OT bezpečnosť Martina Fábryho, priemyselné riadiace systémy (ICS) kedysi fungovali ako uzavreté, analógové riešenia, ktoré boli prakticky ‚neheknuteľné‘. Ich vývoj smerom k digitalizácii však priniesol zásadný zlom. Všetko, čo dnes obsahuje procesor a sieťové pripojenie sa môže stať potenciálnym cieľom útoku. Príchod IIoT a inteligentných senzorov navyše rozšíril plochu útoku natoľko, že ochrana ICS systémov sa stala výzvou.
Skúsme na úvod definovať, ktoré zariadenia v OT infraštruktúre najčastejšie slúžia ako vstupná brána pre kybernetické útoky.
Najviac sa útočí na exponované vzdialené pripojenia RDP/VNC, ktoré sú buď zle zabezpečené zo strany IT, alebo v horšom prípade vystrčené do internetu. Ďalej sú cieľom programovateľné logické automaty, tzv. PLC (Programmable Logic Controllers), prípadne RTU (Remote Terminal Units), ktoré predstavujú kľúčové komponenty priemyselného riadenia. Ďalším rizikovým bodom je neaktualizovaná inžinierska stanica – zariadenie, z ktorého sa PLC programuje. Ak sa útočník zmocní tejto stanice, môže manipulovať s riadiacou logikou systému a napríklad úplne odstaviť výrobu. Inžinierske stanice vo výrobe veľakrát bežia na operačnom systéme Windows a sú častým terčom ransomvérových útokov, ktorých cieľom je ich zneprístupniť alebo zašifrovať. Rizikovým faktorom bývajú neaktuálne systémy, chýbajúce bezpečnostné záplaty či absencia antivírusovej ochrany.
Aké sú najčastejšie typy kybernetických útokov, ktorým priemyselné riadiace systémy v súčasnosti čelia?
Rozlišujeme tri hlavné vektory. Najčastejšie ide o ransomvérové útoky z IT do OT – najmä kvôli tomu, že mnohí prevádzkovatelia majú riadiace systémy pripojené na internet. Útočníci sa dostanú dovnútra cez zraniteľné komunikačné kanály alebo exponované porty. Riadiace systémy sú veľakrát neaktualizované a ‚viditeľné‘ z online priestoru, takže sú ľahko zraniteľné. Ďalšou častou hrozbou sú nezaškolení používatelia, ktorí do prevádzky prinesú vlastné USB kľúče a tie pripájajú do siete. Podobne rizikoví sú aj dodávatelia. Tí prichádzajú s vlastnými notebookmi kvôli údržbe či integrácii, no často ide o nezabezpečené zariadenia, ktoré môžu do systému zavliecť škodlivý kód.
Zabezpečenie ICS je výrazne zložitejšie než zabezpečenie bežného IT prostredia. Prečo je to tak?
Pretože ICS má úplne iné priority než IT.
V priemyselných systémoch je na prvom mieste dostupnosť, potom integrita, spoľahlivosť, až nakoniec dôvernosť. V IT je to presne naopak. V OT prostredí je kľúčové, aby systém bežal nepretržite a stabilne, pretože ak zlyhá, môže to mať vážne následky. Nielen ekonomické, ale aj na zdravie ľudí. Vo výrobe sa často pracuje s nebezpečnými chemikáliami, robotmi, v prostredí s vysokým rizikom výbuchu, ako napríklad v ropnej rafinérii. Nie je to ako spravovať kancelársku sieť, ide o bezpečnosť aj životy.
Pozrime sa na OT aj z opačnej strany. Aké sú základné piliere ochrany ICS systémov a na čom by mala bezpečnostná stratégia v OT prostredí stáť?
Základom sú vždy tri piliere: ľudia, procesy a technológie. Ak manažment nedisponuje informáciami o rizikách, žije v predstave, že všetko funguje. Veľakrát nemá vo výrobe nikoho, kto by mu hrozby reálne hlásil. Tým pádom sa ani neprijímajú potrebné opatrenia. Z druhej strany už ale prichádza tlak z legislatívy – novelizovaný zákon o kybernetickej bezpečnosti s transponovanou smernicou NIS2 núti štatutárov konať. Či sa im to páči alebo nie, aj malé a stredné podniky budú musieť riešiť kybernetickú bezpečnosť, pretože budú podliehať pravidelným auditom.
Existuje nejaký overený postup, ktorý odporúčate klientom pri budovaní bezpečnostnej stratégie?
V praxi odporúčame zamerať sa na päť kritických opatrení. Prvým je bezpečný prístup do IT a OT prostredia, teda kontrolované pripojenie a eliminácia priamych vstupov z internetu do riadiaceho systému. Druhým pilierom je bezpečná architektúra: segmentácia siete, firewall medzi IT a OT, nasadené IDS/IPS systémy. Tretím je monitoring – bez neho neviete, čo sa deje. OT svet si vyžaduje špecializované nástroje na detekciu hrozieb.
Štvrtým pilierom sú ľudia. Vo výrobe často chýbajú odborníci na bezpečnosť, a ak aj sú, firmy ich nechcú platiť. Kybernetická bezpečnosť sa ešte stále berie ako náklad, nie ako súčasť kvality. A piatym bodom je mať pripravený incident response plán a biznis kontinuity plán, teda vedomosť čo robiť keď dôjde k útoku a koho kontaktovať. Dobré je mať externého partnera, ktorý pomôže obnoviť prevádzku. Dnes už platí, že kybernetická bezpečnosť je jeden z atribútov kvality výroby, bez nej vám všetky stroje a ľudia nestačia.
Čo v prípade, ak som konateľ firmy a rozhodujem sa pre externého dodávateľa kybernetickej bezpečnosti. Podľa čoho rozlíšim, že ide o spoľahlivého partnera?
Určite je potrebné spraviť dôkladný background check. Pýtať si referencie, ideálne z OT projektov posledných piatich rokov. Overiť si, s akými technológiami pracuje, akých má vendorov, a, hlavne, či má certifikovaný personál. Malo by byť samozrejmosťou, že vie doložiť odborné certifikáty svojich ľudí. Na Slovensku sa často rozhoduje podľa ceny, no tu je dôležité pozerať sa na kvalitu, reputáciu a reálne skúsenosti.
Zažili ste situácie, keď zavedenie bezpečnostných opatrení pomohlo útok odvrátiť alebo aspoň výrazne zmierniť jeho dopady?
V skutočnosti to v praxi funguje presne opačne. Firmy začnú riešiť opatrenia na minimalizovanie dopadov incidentu, až keď k nemu dôjde. Väčšinou až potom, keď útočník žiada výkupné 100 000 eur v bitcoinoch, si štatutár uvedomí, že mohol radšej vložiť prostriedky do opatrení a ľudí.
Na druhej strane sú aj firmy, ktoré investujú do bezpečnosti preventívne a majú kybernetickú hygienu v OT pod kontrolou. Vďaka monitorovacím nástrojom dokážu napríklad identifikovať infikovaný notebook dodávateľa a izolovať ho skôr, než spôsobí problém. Incident sa síce začne, ale vďaka pripravenosti sa nešíri ďalej.
Cloud a AI prenikajú aj do sveta OT. Čo to znamená pre firmy a bezpečnosť?
V OT svete sa čoraz viac objavuje prepojenie výrobných systémov s cloudom – kvôli analytike, AI spracovaniu dát, prediktívnej údržbe a podobne. Je to trend, ktorý bude rásť. Podobne ako kedysi banky váhali s prechodom do cloudu, ktorý sa dnes stal štandardom, teraz to čaká aj priemysel a OT systémy, ktoré budú čoraz častejšie integrované s cloudovým prostredím.
Práve preto je mimoriadne dôležité, aby sa tieto zmeny odrazili aj v oblasti kybernetickej bezpečnosti. Prepojenia do cloudu musia byť realizované s maximálnym dôrazom na zabezpečenie, aby nedošlo k ohrozeniu citlivých výrobných systémov.
Špecialisti na OT bezpečnosť sú stále vzácnejší. Myslíte si, že by mohla do budúcnosti pri ich zaškoľovaní zohrať významnejšiu rolu umelá inteligencia?
Určite áno. V oblasti OT bezpečnosti však vidím väčší prínos AI najmä pri detekcii hrozieb – ako súčasť intrusion detection systémov. Nečakajme však, že AI nahradí odborníka, ktorý navrhuje zabezpečenie celej prevádzky. Singularita je v OT ešte ďaleko, minimálne najbližších 10 rokov.
Kde vidíte hlavné príčiny nedostatku manažérov kybernetickej bezpečnosti, je to o nízkom záujme mladých ľudí, poddimenzovanom vzdelávaní, alebo o slabých pracovných podmienkach a platoch?
Mnohí sú prepracovaní, finančne podhodnotení, často menia zamestnania a idú za lepšími ponukami. Na trhu ich je málo a mnohé firmy si ich ani nemôžu dovoliť. Čísla, ktoré sa uvádzajú, že Slovensku chýbajú tisíce manažérov kybernetickej bezpečnosti, sú však mimo reality. Na pracovných portáloch ich hľadá možno jedna, dve firmy. Reálne riešenie je outsourcing – jeden takýto manažér pre viacero firiem, inak sa to kapacitne nedá zvládnuť. A problémom je aj vzdelávanie. Na technické odbory sa hlási málo študentov, dve tretiny štúdium ani nedokončí. Ak štát nezačne systematicky podporovať technické vzdelanie a univerzity, tak zostaneme bez odborníkov.
Keď porovnáme so Slovenskom ČVUT alebo Masarykovu univerzitu v Brne, pozrieme sa, aké kapacity odtiaľ vychádzajú a koľko startupov v Čechách je, vidíme, že u nás budeme mať v budúcnosti problém. Zopakujem: Kým štát nebude investovať do vzdelávania a nepodchytí študentov na univerzitách, situácia bude alarmujúca.
