Prevádzkové technológie tvoria nervovú sústavu priemyslu a kritickej infraštruktúry. V ostatnej dekáde komunikujú s manažérskymi systémami a zberajú dáta z vonkajšieho prostredia. Operational Technologies – OT sú tak čoraz viac vystavené nástrahám online sveta.
OT bezpečákov sú stovky, vyznajú sa v jadrových reaktoroch, vo vodných turbínach, v montážnych linkách aj celých priemyselných komplexoch. Na pracovnom trhu sú vzácni a majú desiatky rokov praxe. Pravdou však je, že ich prudko prepadla digitalizácia a internet vecí. Dokonca rýchlejšie, ako boli schopní absorbovať v množstve povinností.
Jedným klikom
V ostatných rokoch sa prevádzkové technológie dostávajú z izolácie. Stojí za tým postupná digitalizácia aj snaha o zefektívnenie ich manažovania. Mnohé priemyselné riadiace systémy sú pritom zároveň zastarané a niektoré neboli aktualizované aj celé roky.
A tak aj pani účtovníčka v rafinérii, ktoré klikne na phishingový mail, môže „dať dole“ celú sieť čerpacích staníc na kontinente. Nie hneď. Útočníci si počkajú. Čas na odhalenie malvéru v infraštrukúre môže byť rádovo desiatky až stovky dní.
Všetko naraz
Aktuálne je najväčšou hrozbou pre OT svet ransomvér, ktorý pácha škody na dennom poriadku. Ale, ako upozorňuje bezpečnostný konzultant a architekt Martin Fábry, v tých uvedomelejších organizáciách sú hrozby zároveň najlepším drajverom implementácie preventívnych opatrení.
Neuvedomelé organizácie, ktorých je podľa Fábryho skúseností majorita, sa môžu chystať na počítanie finančných a reputačných škôd, lebo skôr či neskôr ich ransomvér dostane. Ďalším extrémom sú firmy, ktoré sú po útoku a naďalej ignorujú opatrenia a hrozby z toho vyplývajúce. Ransomvérové gangy tieto spoločnosti milujú a rady sa k nim vracajú. K pesimistickým predpovediam prispieva aj rastúca geopolitická tenzia medzi Východom a Západom.
Následky uvidíme
Certifikovaný etický hacker Ľubomír Kopáček definuje minulý rok ako „kybernetickú apokalypsu“. Jeden príklad za všetky – živelný home office. Nepripravené firmy poslali domov nepripravených zamestnancov a ani OT operátori sietí, žiaľ, neboli výnimkou. Alebo dodávateľský reťazec – môžete mať najlepšie zabezpečené siete a systémy, stačí jediný dodávateľ s výnimkou a celý koncept bezpečnosti sa vám zrúti. Špeciálnu pozornosť si preto zaslúži manažment tretích strán, kde je často nepostačujúca kyberhygiena pri prevádzke a údržbe alebo v projektovom riadení.
Najslabšie stránky
Profesionáli sa vzácne zhodujú, že najväčším problémom kybernetickej bezpečnosti, či hovoríme o prevádzkových alebo informačných technológiách, je a bude človek. Útok na technické zariadenia bez predchádzajúcej interakcie s človekom je strata času a komplikácia. Najefektívnejšie je útočiť na cieľový systém zneužitím zamestnanca s notorickým nedostatkom povedomia, znalostí a skúseností. Osobitnou kapitolou je chýbajúci a účinný OT monitoring kybernetických hrozieb, nedostatočná segmentácia siete, strata kontroly nad prenositeľnými médiami a nedostatok kvalifikovaného personálu na prevádzku týchto technológii.
Výstražné svetlo
Dlhé roky bola synonymom bezpečnosti energetika, avšak aj to už je podľa Ľubomíra Kopáčka do značnej miery minulosťou. Prispeli k tomu prestupy medzi IT a OT sieťami, rôzne „inteligentné“ technológie, neschopnosť detekcie incidentov, nulová vizibilita aj nedostatok odborníkov.
Mimoriadnu pozornosť si na Slovensku aj vo svete zaslúžia zdravotníctvo, výroba a distribúcia vody a tepla, doprava, inteligentné mestá a výroba.
Július Peterec z Mondi SCP mu sekunduje technickými faktami: „Prioritou je zavedenie monitoringu prevádzky v OT sieťach. Po integrácii s IT monitoringom by tento centrálny systém mal poskytnúť nepretržitú viditeľnosť do siete.“ Ako infraštruktúrny odborník však kladie dôraz aj na pravidelné vzdelávanie OT špecialistov v prevádzkach a ich povedomie v kyberbezpečnosti.
Známe bolesti
Peter Škorvánek, vedúci sekcie infraštruktúry a špecialista na IT bezpečnosť v spoločnosti KIA Slovakia, ide k podstate problému: „Povedomie odborníkov z prostredia prevádzkových technológií o IT bezpečnosti je veľmi nízke a nerozumejú jej potrebe.“
Všetci oslovení špecialisti sa zhodujú v tom, že kultúrne rozdiely medzi IT a OT ľudmi sú stále citeľné, čo v mnohých prípadoch limituje ochotu spolupracovať. Martin Fábry na to používa metaforu: „V lepších rodinách riešia obranu do hĺbky IT a OT spolu, a to preventívnou formou, zatiaľ čo v horších rodinách sa bavia až po útoku a navzájom sa obviňujú, čia to bola chyba.“
Učebnice nestíhajú
Neustále zmeny v kybernetickom prostredí ovplyvňujú zameranie školení, témy tréningov či konferencií aj spôsob a formu vzdelávania. Špecializovaná platforma Qubit Academy preto organizuje výročné prestížne podujatie aj intenzívne workshopy pre malé skupiny. „V oboch prípadoch sa kladie dôraz na efektívne riešenie problematiky a aktívnu diskusiu,“ prízvukuje Katarína Gamboš.
Špecifiká OT segmentu, ktorými sú technologické procesy a nevyhnutná dostupnosť, vplývajú aj na pravidelné vzdelávanie ľudí. Musí byť nielen kontinuálne, špecificky zacielené, ale aj zamerané na efektívne a promptné reakcie pri bezpečnostných incidentoch.
Okrem toho, žiadny profesionál na bezpečnosť nevznikne iba absorbovaním teoretických vedomostí. OT bezpečáci by mali čo najviac trénovať na simulátoroch a zažiť „bojové hry“ na reálnych OT zariadeniach, čo je luxusná a drahá záležitosť.
Musíme to riešiť
Potrebný počet odborníkov na OT bezpečnosť nie je a nebude, určite nie v dohľadnom čase. „Nie je to slovenský fenomén, my sme sa iba zobudili päť rokov po zvyšku sveta,“ hovorí Ľubomír Kopáček. Pomôže nám iba kombinácia systematického a zmysluplného vzdelávania, certifikácií, výmena skúseností a vedomostí v bezpečnostných komunitách a najmä prax, veľmi veľa praxe.
Ako dobrý príklad uvádza Július Peterec susedné Česko. Kvalitný systém vzdelávania s priamym prepojením na súkromný sektor tam umožnil vznik množstvu startupov, ktoré dosiahli v kyberbezpečnosti svetové renomé.
Ruka v ruke s tým však musí ísť celé nastavenie školstva a materiálové vybavenie, aby už od začiatku dokázalo pritiahnuť deti k technickým predmetom. Ale to je už iný ťažký a dlhý príbeh.
Elitné autorské informácie čítajte v špeciálnom projekte HN Kybernetická bezpečnosť .