Pri úspešnom kyberútoku na banku ide zvyčajne „len“ o peniaze. A, samozrejme, ešte o osobné údaje. V prípade kyberútoku na prevádzkové technológie môže ísť o život. Hovoríme o elektrárňach, vodárňach, tepelnom hospodárstve, ale aj o nemocniciach či laboratóriách.
Ak by kyberútok ochromil slovenský automobilový priemysel, straty by išli do astronomických súm. Stačí však aj predstava útoku na malú fabriku v „hladovej“ doline či rodinnú firmu piplanú dve desiatky rokov.
Dlhy z minulosti
Prevádzkové technológie kedysi neriešili kyberbezpečnosť, hovorí Marián Klačo, vedúci oddelenia bezpečnosti informácií Volkswagen Slovakia, a hneď to vysvetľuje. „Vo výrobe išlo predovšetkým o dostupnosť a nie o dôvernosť alebo integritu ich súčastí. Ale aj to je už prekonaný fenomén.“
Digitalizácia, potreba online monitoringu výrobných procesov, prediktívna údržba a príchod cloudových služieb spojili svety IT a OT bezpečnosti. Zároveň však hrozby, ktoré boli v minulosti doménou IT prostredia, sa usídlili aj v prevádzkových technológiách.
Už sa to nedá zastaviť
Útočníci sa dnes sústreďujú na spôsobenie fyzickej škody, ktorá je priamym dôsledkom poškodenia výrobného procesu. A majú stále veľa príležitostí.
Každým rokom sa nasadzuje množstvo IoT zariadení, ktorým chýbajú bezpečnostné prvky alebo ich nikdy ani nemali. To prinesie viac a viac útokov typu DDoS.
Skúsený OT bezpečák David Dvořák zo spoločnosti auditori.it identifikuje priemyselné prostredia ako veľmi zraniteľné proti útokom z dodávateľských reťazcov, napríklad cez ekonomické či komunikačné softvéry.
Manažér informačnej bezpečnosti zo Stredoslovenskej distribučnej Tibor Paulen už vidí dôsledky aj na Slovensku: „Manažéri v priemyselných odvetviach si začali na konkrétnych situáciách uvedomovať, že automatizácia a digitalizácia ich technologických procesov neprináša len výhody, ale aj riziká.“
Prekvapenie roka
Ak pošlete otázku k bezpečnosti prevádzkových technológií slovenským profesionálom v priemysle, polovica z nich sa „zašije“ alebo ospravedlní. Alebo neexistujú. To, že chýbajú profesionáli v kyberbezpečnosti so špecializáciou na OT bezpečnosť, je zúfalo naliehavý fakt.
Tohto roku sa však konalo prekvapenie – respondenti uvádzajú, že OT bezpečnosť sa dostáva čoraz viac do hľadáčika v regulácii a čoraz viac šéfov spoločností s priemyselným prostredím považuje kyberbezpečnosť za dôležitú. Ako však vzápätí dodáva David Dvořák, ešte stále to ani zďaleka neprekročilo kritickú masu.
Limitované nadšenie
Názory kolegov potvrdzuje aj Roman Čupka, hlavný konzultant Progress Software. „Pozorujem investície do základných pilierov zabezpečenia OT prostredia.“ Dochádza k segmentácii a monitoringu priemyselných sietí a snahu vidieť aj v zabezpečení koncových zariadení.
Sú to však len parciálne kroky a nereflektujú celkové potreby zabezpečenia tohto prostredia. Špecifickým príkladom sú nemocnice, teplárne či vodárne, ktoré by si zaslúžili väčšiu pozornosť. Mnohé organizácie trpia technickým dlhom, a ak nevedia využiť investície z plánu obnovy či eurofondy, je to až smutné.
Základné nedostatky však ešte stále vidí Roman Čupka v kyberbezpečnostnom povedomí. „Ak nebudeme upozorňovať OT špecialistov a inžinierov na prijatie možných rizík spojených s touto problematikou, nepomôže ani legislatívny tlak.“
Všetci o nej hovoria
Toľko akcentovanou legislatívou je nová smernica o bezpečnosti sietí a informačných systémov NIS2. Ako upozorňuje riaditeľ Národného centra kybernetickej bezpečnosti SK-CERT Rastislav Janota, rozšíri sa počet regulovaných subjektov aj v oblasti výrobných podnikov z rôznych sektorov.
Odhadom tak pribudnú budúci rok na Slovensku stovky až tisícky nových povinných osôb, na ktoré sa budú vzťahovať existujúce aj nové povinnosti v zmysle zákona o kyberbezpečnosti.
Ide napríklad o výskum, výrobu zdravotníckych pomôcok a liekov, ale aj o výrobu, spracovanie a distribúciu potravín, výrobu počítačov, elektrických zariadení vozidiel či iných dopravných zariadení. Niektorí z nich už teraz argumentujú nedostatkom finančných prostriedkov a kvalifikovanej pracovnej sily.
Niečo do vlastných radov
Potrebných kyberbezpečnostných a OT bezpečnostných profesionálov tu nenájdeme ani do času, kým bude novelizovaný zákon o kyberbezpečnosti. Výrobné podniky sa budú musieť posunúť v nastavení. IT a OT profesionáli musia viac spolupracovať a komunikovať na všetkých úrovniach.
„Už aj samotné zadelenie manažéra kyberbezpečnosti do štruktúry vedenia spoločnosti hovorí o prioritách vedenia, ktoré treba rešpektovať,“ delí sa o skúsenosti Jana Puškáčová, manažérka útvaru Informačná bezpečnosť MOL IT & Digital GBS Slovensko. Bez podpory a angažovanosti top manažmentu, vlastníkov aktív a procesov, ako aj prevádzkovateľov systémov vychádzajú aj tie najlepšie odporúčania nazmar.
Úlohou bezpečnostného manažéra je a bude zvládanie bezpečnostných rizík. V kontexte pridanej hodnoty pre biznis však musí túto pridanú hodnotu zrozumiteľne komunikovať.
Povedzme si pravdu
Životný cyklus IT technológií sú dva-tri roky, v prípade prevádzkových technológií dve až tri desiatky rokov. V minulosti fungovali tieto prostredia viac-menej oddelene a občas si ťažko rozumejú.
Technológie a ľudské zdroje s vyšším počtom odpracovaných rokov často nie sú schopné a ochotné absorbovať najmodernejšie bezpečnostné riešenia a postupy. Implementácia je aj o potrebe dôverného poznania prostredia, v dôsledku čoho bezpečnostné projekty pre prevádzkové technológie môžu trvať dlhšie a vyžadovať si prípravu prostredia ovplyvňujúceho samotné technológie.
Záverom a prakticky
Ak by mal Marián Klačo vytvoriť pre kolegov zoznam technologických opatrení, okrem spomínanej segmentácie OT sietí by tam malo byť vypínanie nepotrebných aplikácií či služieb, odstránenie prednastavených hesiel, riadenie zraniteľností a patchovanie. Netreba však zabúdať, že základným opatrením zostáva riadenie aktív.
Okrem špecializovaných nástrojov pripomína kyberbezpečnostný profesionál Jozef Bálint z Alison Slovakia zabezpečenie súladu s priemyselnými štandardmi. V základom bezpečnostnom režime by podniky mali dbať na pravidelnú automatizovanú inventúru zariadení a ich zraniteľností, o nepretržitý monitoring sietí, detekciu hrozieb a anomálií v reálnom čase.
Aktuálnou výzvou je zabezpečenie viditeľnosti do vzájomne prepojených IT a OT sietí, automatizácia manuálnych procesov, správa zraniteľností, forenzná analýza a schopnosť reakcie na incident vrátane včasného varovania. Lebo ľahšie to už nebude.
