Národný bezpečnostný úrad Slovenskej republiky firmy s mesačnou pravidelnosťou varuje: Zvýšte kybernetickú bezpečnosť! Cieľom viac ako 70 percent zo všetkých kybernetických útokov sú malé a stredné podniky. Presne tie, čo väčšinovo najpoctivejšie plnia požiadavky zákazníkov. V čom spočíva ich zraniteľnosť a čo s tým?
V prvom rade: zraniteľnosť akejkoľvek spoločnosti spočíva v podcenení ich významu pre kybernetických zločincov. V druhom rade: tu sa naozaj oplatí zainvestovať do účinnej ochrany a spoľahnúť sa na špecialistov. Výsledkom je: investícia = zisk. Ochránim sa, som chránený, a v prípade likvidačného útoku ochránim svoju dlhoročnú prácu aj zamestnancov.
Takto zodpovedne a podnikateľsky ukážkovo sa správa aj TUBAPACK, a.s., najväčší výrobca hliníkových a laminátových túb v regióne Strednej Európy, poskytujúci produkty a služby zákazníkom kozmetického, chemického, potravinárskeho a farmaceutického priemyslu. Gratulujeme! Predstavitelia spoločnosti si uvedomujú význam a dôležitosť postupného zvyšovania IT bezpečnosti, jej preventívnych opatrení, a z pohľadu kybernetickej odolnosti vopred ošetrujú zraniteľnosti. O ich správnych rozhodnutiach sme sa zhovárali s Petrom Trubenom, IT Administrátorom v spoločnosti TUBAPACK, a.s.
Zodpovednosť a zraniteľnosť sa javia ako opozitá, vo Vašom prípade ale idú ruka v ruke. Ako cesta ku kybernetickej zodpovednosti vašej firmy eliminulúcej zraniteľnosť začala?
Analýzou a testami zraniteľnosti. Čiže dôkladným overením stavu našej kybernetickej odolnosti. Krok po kroku? Úvodná analýza zmapovala stav a testy zraniteľnosti identifikovali niekoľko zraniteľností. Po získaní výsledkov z analýzy sme si prešli jednotlivé body, vysvetlili nedostatky a bezpečnostné riziká, a skonzultovali odporúčania na nápravu súčasného stavu. Súbežne sme spustili Proof of Concept bezpečnostného monitoringu na technológii Security Onion. Výsledky z monitoringu, zo zbierania logov a ich vyhodnotenie doplnili výstupy analýzy a testov zraniteľnosti.
Bezpečnostný monitoring by mal byť súčasťou riadenia kybernetickej a informačnej bezpečnosti v každej organizácií, bez ohľadu na jej veľkosť a legislatívne povinnosti. Pri absencii takéhoto systému má organizácia nulovú alebo významne zníženú tzv. visibilitu, čiže prehľad nad bezpečnosťou vlastnej infraštruktúry.
Dostali sme tak sumárny výstup k stavu bezpečnostnej odolnosti našej infraštruktúry a na jeho základe mohli postupne odstraňovať a sanovať miesta prieniku možných útokov: vymenili sme firewall, upgradovali ESET licencie, a pristúpili sme aj k nevyhnutným nastaveniam a segmentácii siete.
Už prvými prijatými opatreniami sme zvýšili úroveň bezpečnosti našej spoločnosti o niekoľko desiatok percent. Zlepšenie štandardov pre biznis kontinuitu a zamedzenie narušenia dôvernosti, integrity a dostupnosti údajov, je výsledkom.
Prvou fázou skúmania bezpečnosti infraštruktúry je monitoring. Aké to je pre úspešnú firmu poznať prvé výsledky?
Dobré, vieme kam ísť. S konzultantom na bezpečnosť z GAMO sme viedli od prvej chvíle rozhovory o možnom spôsobe pokrytia ďalšej úrovne bezpečnosti. A výsledkom bola ponuka nasadenia Proof of Concept bezpečnostného riešenia Security Onion, ktorú sme uvítali.
Analýza – centralizovaný zber dát a monitoring, prebiehala v reálnej prevádzke a na vopred dohodnutej časti infraštruktúry. Mesačné nasadenie nástroja bezpečnostného monitoringu nám umožnilo získať prehľad o celkovom dátovom toku, o počte logov a zdrojoch dát, ktorým je naša podniková sieť vystavená. Pilotná fáza poslúžila na odhalenie špecifík nášho prostredia aj niekoľkých prípadov potenciálne nebezpečnej aktivity v rámci našej siete. Mohli sme sa ‚na vlastné oči‘ presvedčiť o funkčnosti bezpečnostného monitoringu a získali sme parametre pre rozhodnutie a správny výber produkčného hardvérového riešenia do budúcnosti. To dnes môžeme škálovať podľa reálnych výsledkov práve z PoC.
PoC je niekedy zbytočným strašiakom, neobávali ste sa napríklad výpadku infraštruktúry?
Určite nie. Stačilo, že sme poskytli základnú súčinnosť poskytovateľovi pri inštalácii fyzického servera do racku v serverovni a pri pripojení do siete a vybraných segmentov. Potom prebehlo nastavanie monitorovacieho rozhrania na serveri a vybraných sieťových prvkoch, a tiež nastavenie logovania na externý sever. Poskytovateľ nás ubezpečil, že celý proces nepredstavuje žiadne zvýšené riziko pre našu infraštruktúru, že ani v prípade úplného výpadku systému nemôže dôjsť k ohrozeniu bezpečnosti prevádzky infraštruktúry alebo informačných systémov, a tak aj bolo. A k tomu strašiaku: boli sme ubezpečení, že v prípade výpadku by sme stratili len dočasne visibilitu prostredia, čiže by išlo o návrat do stavu pred spustením systému. Nebolo nad čím váhať.
Security Onion je vlastne taká sonda dovnútra spoločnosti, čo ste zistili z jej pilotného nasadenia?
Report sumarizoval zistenia o stave siete a zraniteľných aktívach, predstavujúcich potenciálnu cestu k útoku alebo problémov so sieťou. Dostali sme napríklad upozornenie na klienta v lokálnej sieti, ktorý používa nevhodné stránky pre dospelých – pričom, isteže, mohlo sa jednať aj o malvér, ktorý odosiela takéto DNS dotazy – a odporučenie vďaka Security Onion bolo: Rýchlo skontrolujte zariadenia a zablokujte aktivitu. Tak sme aj urobili.
Súčasťou balíka štartovacích bezpečnostných služieb sú práve aj testy zraniteľnosti. Ocenili ste ten benefit?
Samozrejme. Jeho úlohou je vyhľadať počítačové a sieťové systémy a zariadenia s existujúcimi technickými zraniteľnosťami a dopadom na stabilitu a bezpečnosť informačných systémov a dát. Prvý test zraniteľnosti u nás bol vykonaný s cieľom identifikovať riziká a detekovať slabé miesta. Následne po aplikovaní nápravných opatrení bude vykonaný aj kontrolný test, ten nás ešte čaká. A z vykonaných testov zraniteľnosti vyplynulo, že veľké množstvo zistených zraniteľností je možné odstrániť úplne jednoducho – pravidelným aktualizovaním systémov.
V priemere 1 hodina a 42 minút stačia na to, aby sa útočník po ‚hacknutí‘ jedného zo zariadení spoločnosti dostal do zvyšku firemnej siete. Zaujímavosťou pritom je, že používateľ či celá napadnutá firma ani netušia, že majú v systéme narušiteľa. Výnimkou vôbec nie je to, že útočník sa v systéme len tajne ‚prechádza‘ a oficiálne nič nespraví. A po celé nasledujúce týždne či mesiace si napadnutá spoločnosť vôbec nemusí všimnúť, že je hacknutá. Zdroj: štúdia Microsoft Digital Defense Report 2023
Ochrana pred kybernetickými hrozbami je kľúčová pre každú organizáciu. Podľa štatistík, ktoré uvádza Microsoft, je až 95% úspešných útokov spôsobených ľudským faktorom. Stretli ste sa s týmto tvrdením?
Áno. A rýchlo sme pochopili, že nasadenie bezpečnostného riešenia bude neúčinné a nesplní svoj účel, ak naši zamestnanci nebudú o tejto problematike informovaní. Preto sme sa zamerali na zvýšenie povedomia zamestnancov v oblasti kybernetickej bezpečnosti školeniami s prihliadnutím na rôzne pracovné pozície.
Splnili školenia účel a celofiremnú zodpovednosť?
Mali sme ich vo viacerých cykloch. Vzdelávanie pre bežných užívateľov IT z radu zamestnancov bolo zamerané na osvojenie si pojmov a základných pravidiel kybernetickej bezpečnosti a postupov na predchádzanie vzniku incidentov. V ich prípade sme sa sústredili hlavne na oblasť bezpečnostných rizík, spojených s ochranou firemného know-how a citlivých údajov, a zároveň na prezentáciu reálnych príkladov z oblasti kybernetickej kriminality. Naším cieľom bolo, aby si zamestnanci osvojili pravidlá bezpečného správania sa v kybernetickom priestore, dokázali rozpoznať prvky phishingových kampaní, dodržiavali zásady ochrany identity (heslá, MFA, e-mail, sociálne siete a podobne).
Vzdelávanie pre tímlídrov a IT špecialistov bolo rozšírené už aj o implementáciu bezpečnostných opatrení, o monitoring, vyhodnocovanie a riadenie bezpečnostných incidentov. Ocenili sme prístup, keď poskytovateľ školenia priblížil problematiku a aplikoval riziká kybernetickej bezpečnosti na súkromný život zamestnancov. Webové stránky aj sociálne siete sú totiž plné nebezpečného obsahu.
Denne naše pracovné e-mailové schránky zaplaví množstvo informácií. Útočné phishingové kampane nejdú mimo nás, nevynímajú hranice Slovenska, napadajú aj naše firmy a e-mailové účty. Dokonca: práve na Slovensku si útočiace skupiny často trénujú svoje taktiky, učia sa a zdokonaľujú. Preto je dôležité, aby sme boli informovaní, a vedeli, ako sa v online svete chrániť. Základom je byť pripravený na všetky možné scenáre a vedieť ako sa brániť proti rôznym druhom útokov. Úplným základom je napríklad naučiť sa rozpoznávať podvodné e-maily a webstránky, zabezpečiť prístupové kontá a súbory, a byť opatrný pri otváraní neznámych príloh.
Kliknutie na zdanlivo výhodnú ponuku môže spustiť škodlivý softvér, ktorý sa následne šíri ďalej aj na príbuzné zariadenia. Je to naozaj tak – ľudia sú podvodníkmi klamaní a prichádzajú o svoje peniaze. V e-mailovej schránke si na pravidelnej báze nachádzajú podvodné správy o predvolaniach na súd alebo políciu, falošné informácie o doručení zásielok, o neočakávaných finančných ziskoch alebo naliehavých žiadostiach o podporu.
Preto školenie splnilo účel dvojnásobne – v zodpovednosti vo firemnom správaní sa v IT priestore, ale aj súkromne pre našich zamestnancov. Navyše, ak poukážete na útočné kampane a vystríhate ich pred škodlivým obsahom, ktorý by ich mohol pripraviť o vlastné peniaze, súkromie aj identitu, dokážu byť potom ostražitejší a dodržiavať pravidlá aj vo firemnom prostredí.
Počúvať zodpovedného manažéra o nastaveniach spoločnosti je obohacujúce nielen pre zamestnanca. Aké sú vaše ďalšie plány k rozvoju?
Spoločnosť TUBAPACK, a.s., investuje do rozvoja IT infraštruktúry dlhodobo podľa potrieb spoločnosti. V blízkej dobe chceme naďalej držať krok s narastajúcimi nárokmi: či už legislatívy ohľadom kybernetickej bezpečnosti, alebo s vývojom v IT technológiách pre efektívnejšie spracovanie výroby. Máme preto rozpracovaných niekoľko riešení.
Samozrejmosťou je modernizácia výpočtovej techniky, ktorá sa v posledných rokoch stáva akosi rýchlejšie zastaralou (rýchlosť vývoja v oblasti IT sa stupňuje a dáva nám tým nové možnosti, ktoré môžeme uplatniť pri výrobe hliníkových, či laminátových túb). Dokončili sme cieľ zvirtualizovať dosluhujúce servery a zlepšiť zálohovanie dát. Veď dáta spoločnosti sú tou najcennejšou komoditou. Do budúcna uvažujeme využiť niektoré z cloudových riešení pre uchovávanie firemných dát mimo spoločnosti ako aj možnosť komunikovať s našimi zákazníkmi pomocou vlastných bezpečnostných úložísk s výmenou dát a grafických predlôh.
Momentálne musíme pre nedostačujúce priestorové kapacity rozšíriť spoločnosť o ďalšie výrobné priestory, do ktorých je nutné zapracovať IT infraštruktúru (zabezpečiť automatizáciu vstupov, monitorovanie kamerovým systémom, prepojenie na existujúce sieťové a bezdrôtové prvky). Minulý rok sme spustili do prevádzky linku na výrobu hliníkových túb s poradovým číslom 10 a momentálne pracujeme na dokončení a spojazdnení linky s číslom 11. Zámerom je pokryť dopyt po hliníkových tubách na trhu a rozšíriť našu ponuku výroby o nové priemery a veľkosti túb.
V neposlednom rade sa snažíme o automatizáciu výroby. Dokončujeme automatizáciu balenia túb a nepretržite implementujeme do výroby nové prvky (tablety, PDA čítačky na QR kód, prenosné tlačiarne s bluetooth pripojením, kamerové systémy na kontrolu kvality túb priamo na výrobných linkách) vedúce k zefektívneniu výroby.
