Vojna sa odohráva v operačných doménach a my sa dnes dostávame do tej piatej – od pozemnej, námornej, vzdušnej, vesmírnej ku kybernetickej. Aj pre kybernetickú vojnu platí, že jej kritériom je narušenie integrity štátnych hraníc iným štátom. Keďže do kybernetického priestoru patria informačné technológie aj operačné technológie, útočníci sa sústreďujú na ten zraniteľnejší segment. A tým sú operačné technológie.
Kritická infraštruktúra
Či už ide o stavby, služby vo verejnom záujme a informačné systémy, narušenie alebo zničenie týchto prvkov kritickej infraštruktúry má závažné nepriaznivé dôsledky na hospodársku a sociálnu funkciu štátu, ochranu života, zdravia, bezpečnosti, majetku občanov aj životného prostredia. A rozsah a povinnosti pri ochrane kritickej infraštruktúry sú obrovské. Segmenty totiž zahŕňajú vodu, potraviny, zdravie, energetiku, informačné a komunikačné technológie, dopravu, verejný poriadok a vnútornú bezpečnosť, priemysel a finančný sektor. Objekty, služby a systémy sú zároveň majetkom štátu a súkromných spoločností.
O čom sa nehovorí
Bezpečnostné incidenty týkajúce sa kritickej infraštruktúry sú nočnou morou všetkých štátov aj prevádzkovateľov. Znižujú dôveryhodnosť, spôsobujú obrovské škody a poškodzujú reputáciu. Firmy strácajú postavenie na trhu, vlády dôveru. „Od začiatku storočia je kritická infraštruktúra čoraz viac závislá od systémov automatizovaného a vzdialeného riadenia. Doslova je dnes prepojená s kybernetickým priestorom. Stala sa o to zraniteľnejšou,“ vysvetľuje Ivan Makatura, predseda Asociácie kybernetickej bezpečnosti. Každý rok sa počty kybernetických útokov štatisticky zvyšujú a sú tam uvedené iba tie, ku ktorým sa obete priznajú.
Ohrozenie bez hraníc
„Geopolitické napätie, priemyselná špionáž, konkurenčný boj, krádež osobných údajov a kybernetické vyberanie výpalného sú najčastejšie motívy kybernetických útokov,“ vysvetľuje Martin Fábry audítor kybernetickej bezpečnosti. A zároveň menuje aj najčastejšie atakované kritické sektory kybernetickou vojnou. „Štatisticky je to energetika, digitálne manufaktúry, zdravotníctvo, a to hlavne v COVID-19 ére, vodárenské spoločnosti, doprava a potravinársky priemysel.“
Nové generácie škodlivého softvéru sa osobitne zameriavajú na systémy používané v kritickej infraštruktúre a cielia na automatizačné a kontrolné systémy v priemysle. Stredobodom pozornosti je preto dispečerské riadenie a zber dát (SCADA) a rozhrania medzi človekom a strojom.
Začalo sa to internetom
V dobe bez internetu systémy kritickej infraštruktúry nezávislo, samostatne, takpovediac v manuálnom režime. Digitalizácia priniesla prepojenie systémov medzi sebou a na internet a zdieľanie citlivých údajov, čo prináša aj bezpečnostné hrozby. Organizácie musia používať silný bezpečnostný rámec, a to platí pre distribučné spoločnosti, energetiku, vodárne, nemocnice, potravinárov či dopravcov a štátne inštitúcie.
Automatizácia však postavila prevádzkovateľov pred veľa náročných úloh. V krátkom čase a vo veľkom rozsahu sa musia vyrovnať s vnútorným aj vonkajším ohrozením, s legislatívou, technickým zabezpečením aj únikmi dát. Martin Fábry so skúsenosťami zo Slovenska aj zo zahraničia je však vo svojom tvrdení ešte adresnejší: „Ignorancia a ľahkovážnosť sú častými dôvodmi úspešných kybernetických útokov, za ktoré ultimátne zodpovedá vedenie firmy alebo štátnej organizácie.“
A riešenie?
Kybernetické útoky na kritickú infraštruktúru majú výrazný ekonomický dosah. V prvom rade je preto na mieste konfigurovanie riadiacich systémov napojených na internet – identifikácia bezpečnostných rizík, bezpečnostné kontroly a sťaženie podmienok pre útočníkov. Funkčným riešením môže byť nasadenie viacvrstvového bezpečnostného riešenia pre koncové body s proaktívnymi a reaktívnymi bezpečnostnými technológiami doplnené o strojové učenie.
„Takmer všetky závažné kybernetické bezpečnostné incidenty v poslednom čase boli spôsobené chybami v návrhu, kódovaní, implementácii a konfigurácii systémov alebo v nastaveniach procesov súvisiacich s automatizovaným spracovaním informácií,“ tvrdí Ivan Makatura.
Už je to na basu
Právny rámec pre cielené reštriktívne opatrenia proti kybernetickým incidentom v Európskej únii bol prijatý v máji 2019. Tento rámec umožňuje Únii a jej členským štátom reagovať na škodlivé kybernetické činnosti, odrádzať od nich a reagovať na ne. Tento nástroj Únia využila prvýkrát v júli toho roku, keď sa Rada rozhodla uložiť reštriktívne opatrenia voči šiestim osobám a trom subjektom, ktoré sú zodpovedné za pokus o kybernetický útok proti Organizácii pre zákaz chemických zbraní a útoky, z ktorých je najviac známy ten pod názvom WannaCry. Cieľom regulácie však nemá byť výhradne reštrikcia alebo sankcie, ale predovšetkým tlak na vytváranie bezpečného prostredia.
Míľniky kybernetickej vojny
Premiéra
2010, malvér Stuxnet
Útočníci zničili centrifúgy v závode na obohacovanie uránu v Iráne a nespôsobili pritom únik rádioaktívneho materiálu. Prelomový rok v energetike, vo výrobe kritických zariadení a v komunikácii. Začala sa éra kybernetických útokov na kritickú infraštruktúru, hlavne v zámorských krajinách.
Neďaleko hraníc
2015, malvér BlackEnergy
Hackeri sa úspešne infiltrovali do systému SCADA a odstavili cez distribútora elektronické siete na Ukrajine. Štvrť milióna ľudí zostalo bez elektriny uprostred zimy a to až na šesť hodín. Aktivity poukázali na fakt, že energetický priemysel a distribúcia sú vo vysokom ohrození a kybernetické útoky ovplyvňujú ekonomiku štátu.
Opakované útoky
2019, spyware DTrack
Do najväčšej jadrovej elektrárne Kudankulam v Indii prenikli hackeri. Spyware infikoval najmenej jeden počítač, napadol IT sieť, ale prevádzkovú sieť údajne nezasiahol. Existuje obava, že množstvo získaných údajov z elektrárne predali teroristom. Skupina, ktorá ja autorom útoku, sa považuje za príslušnú k oficiálnej štátnej správe ázijskej krajiny a opakovane útočí na indické výskumné a finančné centrá.
Opakovane a často
zraniteľnosť Zero-day
Ide o slabinu alebo chybu v softvéri, firmvéri alebo hardvéri, ktorá bola odhalená, ale ešte nie opravená alebo nie je na ňu vydaná záplata. Tieto zraniteľnosti využívajú aj špionážne skupiny veľkých počítačových mocností na kybernetické útoky. Rebríček najčastejších „nákupov“ zero-day zraniteľností vedú Čína, Rusko a Severná Kórea.
Zdroj: Purplesec, 2020 Cyber Security Statistics,
www.helpnetsecurity.com
Profily útočníkov v kybernetickom priestore
Ak je zdrojom kybernetického bezpečnostného incidentu človek, aktérov je možné rozdeliť do kategórií podľa miery ich odbornosti a technickej zručnosti a podľa ich kriminálneho potenciálu, čiže podľa miery zlomyseľnosti.
Komentár
Čo treba robiť, keď prestaneme nariekať
Vzdelávanie nedostatočné, eurofondy stále nevyčerpané a k tomu delikátna téma, kde komunikácia súvisí s bezpečnosťou firiem či štátu. Tak kto by si mal zobrať na zodpovednosť kybernetickú bezpečnosť Slovenska? Toto je oblasť, kde môžeme byť porazení všetci alebo zvíťaziť spolu. O tom, že je to nevyhnutnosť, už dnes nediskutuje nikto.
Vynikajúca súčasná pozícia Slovenska v medzinárodných rebríčkoch nie je zárukou kybernetickej bezpečnosti dnes a zajtra. Namiesto horekovania nad slabým bezpečnostným povedomím si skúsme uvedomiť, z čoho ono stále prízvukované povedomie vlastne pozostáva. Konferencie sa robia od rána do večera a reálny stav v niektorých odvetviach nám uniká.
Tak napríklad som podnikateľ
s malou firmou, ktorá používa cloudový kancelársky balík, a chcem vedieť, ako ho používať bezpečne. Čítam správy, a tak chcem vedieť, kde sú riziká a ako reagovať pri podozrení. Hľadám na webe. No skúste nájsť na jednom mieste tieto informácie od štátnej autority, aby to nebol komerčný zámer. Bingo, nenájdete nič!
A dalo by sa pokračovať v nespočetnom množstve takýchto príkladov. Napríklad zrozumiteľne vysvetliť lekárom, prečo je dôležitá ochrana dát pacientov a aké opatrenia majú urobiť. Odporúčam pozrieť si webovú stránku National Cyber Security Centre
v Spojenom kráľovstve. Prečo tieto informácie nenájdete nikde
u nás? Pravdepodobne je tých príčin viac. Vyplývajú z prístupu, akým s obrovským nasadením, ale málo atraktívne chceme u nás zvýšiť úroveň kybernetickej bezpečnosti.
Kybernetická bezpečnosť sa vyznačuje na Slovensku nejasnými zodpovednosťami, celoplošnou super reguláciou a jej vynucovanie by malo byť dosiahnuté certifikovanými pandúrmi. Čas ukazuje, že čím väčší tlak, tým väčší odpor, a tadiaľ cesta nepovedie, aspoň nie k vyššej úrovni kybernetickej bezpečnosti. Povedie však k nekonečnému pretláčaniu sa medzi jednotlivcami, skupinkami a vplyvmi a bude bez reálneho výsledku. Pripravuje nás to
o zdroje a najmä o čas.
Kybernetická bezpečnosť je fenomén, ktorý zahŕňa takmer všetkých hráčov od občana cez privátny sektor, školstvo, verejnú správu, silové zložky a rezorty. Všetci musia byť zapojení do jej rozvoja, rozumieť cieľu a prispieť vedomosťami a kompetenciou.
Nie je možné, aby si niektorý hráč vo futbalovom tíme nárokoval, že iba on môže dávať góly aj napriek tomu, že je defenzívny záložník. Môžeme si domyslieť, ako dopadne takto rozhádané mužstvo v náročnej lige. Vo futbalovom tíme má každý svoje miesto a úlohy, ktoré si plní s cieľom vyhrávať zápasy. Skúsme najprv niečo dať a potom aj vyžadovať, preferujme partnerstvo pred podriadenosťou. V tomto duchu by sa mala niesť aj naša národná stratégia kybernetickej bezpečnosti, lebo inak prehráme všetky zápasy v lige.
Richard Kiškováč, konzultant pre kybernetickú bezpečnosť
Trend, ktorý si zaslúži pozornosť
ANKETA
V médiách sa často a opakovane prízvukuje, že firmy a organizácie čelia čoraz častejšie narastajúcim kybernetickým hrozbám. Mnoho z nich sa však stavia do defenzívy a premeškajú tak jedinečnú príležitosť získať konkurenčnú výhodu tým, že ako súčasť svojej stratégie akceptujú vylepšenú kybernetickú bezpečnosť a súkromie.
Pandémia spôsobila rozsiahle prerušenie implementácií kybernetickej bezpečnosti a očakáva sa, že to bude mať výrazný vplyv na stratégie, investície a budúce priority. Ak sa však pozeráme na súčasný stav ako na stav „nula“, vzniká množstvo príležitostí a možností, ako prehodnotiť stav a zbaviť sa zastaralých postupov a falošných očakávaní. Aj pre kybernetickú bezpečnosť platí – teraz alebo nikdy.
Prečítajte si, kam smerovať akčné rozhodnutia a ako vidia budúcnosť slovenskí lídri.
Ivan Makaturagenerálny riaditeľ Kompetenčného a certifikačného centra kybernetickej bezpečnosti
Zvýšenú pozornosť venujem budúcemu auditu umelej inteligencie, aj keď tá s kybernetickou bezpečnosťou zdanlivo nesúvisí. Audit kybernetickej bezpečnosti je totiž posudzovanie bezpečnostných vlastností objektu voči formálnym definíciám. Statické pravidlá nebude možné uplatniť na posudzovanie umelej inteligencie, pretože tá sa učí a prispôsobuje okolnostiam. Otvára sa tým veľa technických, procesných aj etických otázok súvisiacich s auditom. Bude potrebné dohodnúť a normalizovať spoločné metodiky pre testovanie a audit kognitívnych systémov.
Rastislav Janota
riaditeľ Národného centra kybernetickej bezpečnosti SK-CERT
Umelá inteligencia bude hrať čoraz väčšiu rolu – nielen na strane útočníkov, ale aj na strane obrancov. Pri jej použití sú útočné aktivity efektívnejšie a obrana náročnejšia. Stupňujúce sa politické a ekonomické rozpory medzi Západom a Východom vyvolávajú zvýšené kybernetické riziká. Štátmi sponzorované aktivity a špionáž sú čoraz častejšie. Zároveň sa neustále otvárajú pomyselné nožnice medzi požiadavkami na vzdelaných ľudí v oblasti kybernetickej bezpečnosti a ich dostupnosťou.
Jaroslav Oster
predseda Správnej rady preventista.sk
Jedným z nespochybniteľných trendov, ktoré sú zreteľné už teraz a dá sa očakávať len ich nárast, sú útoky postavené na princípoch sociálnej manipulácie. V krátkom čase je očávateľný dynamický vzostup tém počnúc fake news cez šírenie hoax správ až po cielený phishing na rôznych platformách (e-mailové správy, SMS, herné platformy, sociálne siete a ďalšie). Tento vzostup rizík prirodzene vytvorí tlak aj na požiadavky preventívneho pôsobenia na používateľov informačných systémov na všetkých úrovniach spoločnosti.
Tomáš Hettych
viceprezident ISACA Slovakia, Asociácia Auditu a Kontroly Informačných Systémov
Z môjho pohľadu audítora a konzultanta je jednou z najviac podceňovaných oblastí kybernetickej bezpečnosti analýza aktív, hrozieb a rizík. Bez týchto analýz a hlavne ich záverov je problematické vyhodnotiť pripravenosť organizácií na legislatívne a praktické požiadavky kybernetickej bezpečnosti, skôr to pripomína veštenie z krištáľovej gule. Analýza aktív, hrozieb a rizík nám pomôže pri identifikácií kritických aktív a procesov a zároveň určuje prioritu implementácie navrhovaných opatrení. Výsledky analýz sú často dosť prekvapivé aj pre samotných vlastníkov procesov.
Martin Oczvirk
riaditeľ odboru informačnej bezpečnosti a certifikácie Úradu na ochranu osobných údajov
Z aktuálneho, ako aj strategického pohľadu je to jednoznačne umelá inteligencia. Jej rola sa zvyšuje v kybernetickej obrane aj v kybernetických útokoch. Systémy umelej inteligencie budú čoraz komplexnejšie, dôležitejšie, ale aj dostupnejšie a bude jednoduchšie ich nasadiť. Ak bude umelá inteligencia skutočne autonómna, dokáže sa učiť omnoho efektívnejšie a rýchlejšie. A tieto vlastnosti nebudú prinášať iba úžitok a dobro, ale využijú ich aj rôzne zločinecké a teroristické skupiny na páchanie obrovských škôd.
Lukáš Neduchal
podpredseda Správnej rady Asociácie kybernetickej bezpečnosti
Vyberám jeden z trendov, ktorý bude v budúcnosti čoraz významnejším. Neustále sa zvyšujú nároky na znalosti pracovníkov IT bezpečnosti, a to nielen vzhľadom na tempo vývoja technológií, ale aj na množstvo zraniteľností a hrozieb. A čo viac, nedostatok tých špecialistov je čoraz väčší. Tieto faktory budú podporovať globálny trend automatizácie štandardných činností, prediktívneho správania systémov a zapájanie umelej inteligencie už aj s využívaním algoritmov deep learning a umelých neurónových sietí. A to – bohužiaľ – aj na strane finančne zaistených a motivovaných útočníkov.
Andrej Žucha
generálny riaditeľ Alison Slovakia
Kvantové technológie. Majú až fascinujúci vplyv na budúcnosť kybernetickej bezpečnosti a trestuhodne im chýba publicita a záujem politických lídrov. Využitie kvantových počítačov umožní dešifrovať nepredstaviteľné kvantum informácií a zmení silové polarizácie v politickom a následne hospodárskom usporiadaní sveta. Kvantová bezpečnosť nie je len technokratická otázka kryptovania, ale otázka budúceho usporiadania sveta.
Peter Dostál
generálny riaditeľ a predseda Predstavenstva Aliter Technologies, a. s.
V poslednom období sme aj z dôvodu pandémie COVID-19 zaznamenali častejšie prechody firiem so svojimi IT infraštruktúrami do cloudu. Zvyšujúca sa dôvera vo verejný, súkromný a hybridný dátový cloud pripravuje cestu pre nové výzvy. Cloudové bezpečnostné hrozby dávajú priestor prísnejším bezpečnostným protokolom a funkciám testovania bezpečnosti. Poskytovatelia a prevádzkovatelia cloudových riešení budú musieť čeliť tejto výzve a prinášať nové, kvalitnejšie riešenia a ešte viac a lepšie spolupracovať s poskytovateľmi bezpečnostných riešení.
Roman Čupka
hlavný konzultant Flowmon pre strednú a východnú Európu
Ľudské zdroje a s tým spojená automatizácia. Momentálne len v Európe chýba zhruba 300-tisíc špecialistov na kybernetickú bezpečnosť. Je to dvakrát viac ako vlani a tento rok sa nedostatok ešte prehĺbi. Ak má byť prevencia, detekcia a reakcia na kybernetické hrozby v súlade s legislatívnymi a biznis požiadavkami, je automatizácia nevyhnutná. Na druhej strane to neznamená, že na ľuďoch prestáva záležať. Práve naopak, človek naďalej zostáva tým najslabším článkom reťazca. Preto treba popri automatizácii dbať na kvalitné a plošné vzdelávanie, a to ako bezpečnostných špecialistov, tak aj bežných používateľov.
Andrej Aleksiev
riaditeľ pobočky Check Point Software Technologies na Slovensku
Najrozšírenejším malvérom dnešnej doby je jednoznačne cryptomining, ktorý predstavuje 17 percent všetkých útokov. Aktuálne známymi sú napríklad Emotet a XMRig, a to ešte nie je to najhoršie. Cryptomining síce využíva výkon vášho zariadenia na vlastné obohacovanie, avšak nie je taký deštrukčný ako DOUBLE EXTORSION ransomware typu Maze. Tento ransomware je síce menej rozšírený, ale dáta najprv zakryptuje a následne ich dekryptované publikuje na internete.
Igor Urban
regionálny manažér Forcepoint pre východnú Európu
Je nepochybné, že technológie nás menia, a tak jednoznačným trendom je prechod z tzv. ukazovateľov kompromitácie na indikátor používateľského správania sa. Samozrejme, to ide ruka v ruke s postupným prechodom organizácií do cloudu. Očakávame väčší nárast BYOD – využívania vlastných zariadení na prácu, nástup 5G a vzostup práce a vzdelávania na diaľku. Toto sú celosvetové trendy, aj keď Slovensko či celá východná Európa v tejto oblasti ešte zaostávajú. A stále platí, že monitorovanie správania používateľov v kyberpriestore je a bude kľúčové, akokoľvek strašidelne to vyznieva.
Marek Král
generálny riaditeľ SecTec
Téma kybernetickej bezpečnosti je veľmi komplexná a som rád, že sa jej ako celku dostáva viac pozornosti. Bezpečnosť sa chvalabohu, za posledné krátke obdobie dostala natoľko do povedomia, že už nie je len luxusom, ale súčasťou rozpočtov a stratégií nielen firiem rôznych veľkostí a zameraní, ale aj štátov. Keďže kybernetické hrozby sú stále sofistikovanejšie a ich počet narastá, vytvára sa tak čoraz väčší tlak na bezpečnostné tímy a dobre vieme, že už dnes máme nedostatok bezpečnostných špecialistov. Preto sa treba zamerať na moderné next generation technológie, automatizáciu, AI alebo machine learning a špecializované SOC služby.
Jana Puškáčová
manažérka útvaru Informačná bezpečnosť MOL IT & Digital Slovensko
Automatizácia a digitalizácia síce uvoľňujú pre trh pracovnú silu, tá však nedisponuje potrebnými predpokladmi, znalosťami askúsenosťami na to, aby potlačila trend pretrvávajúceho nedostatku kvalitných a kvalifikovaných odborníkov v oblasti kybernetickej bezpečnosti.
Richard Kiškováč
Security Consultant Digital Systems, a. s.
O trendoch v kybernetickej bezpečnosti je možné hovoriť v dvoch rovinách – o útokoch a o ochrane pred nimi. Pri kybernetických útokoch môžeme očakávať čoraz vyššiu sofistikovanosť a profit. Pri ochrane vidím ako jasný trend postupný prechod k bezpečnostnému modelu, ktorý sa nazýva Zero Trust. Je založený na data-centrickom prístupe, v kombinácii s využitím umelej inteligencie na identifikáciu hrozieb v reálnom čase a podporený efektívnym zvyšovaním bezpečnostného povedomia.
Tomáš Zaťko
CEO Citadelo, etický hacker
Bug bounty programy, ako napríklad slovenské HackTrophy. Ide o model testovania bezpečnosti, keď organizácia dovolí etickým hackerom neustále hľadať diery v systémoch. Ak nejakú dieru nájdu, nahlásia ju a dostanú odmenu. V budúcnosti budú takéto programy nevyhnutnou súčasťou bezpečnosti. Bez nich bude obrana systémov neudržateľná. Tlak množstva hackerov kriminálnikov z celého sveta je obrovský. Obrancov je spravidla menej. V takejto asymetrii obrancovia nemôžu vyhrať. Bug bounty programy tú nerovnosť pomáhajú zlepšiť v prospech obrancov.
Pavol Adamec
výkonný riaditeľ oddelenia Riadenie rizík KPMG Slovensko
Za zásadný trend považujem zameranie útočníkov viac na používateľa a ľudské slabiny ako na najnovšie a najvyspelejšie technológie. Tento trend je tu výrazne prítomný už niekoľko rokov. Čím viac technológií sa používa a rastie počet používateľov, tým je väčší rozdiel medzi možnosťami technológií a schopnosťou ľudí pochopiť ich možnosti a obmedzenia. Je jednoduchšie urobiť jeden systém bezpečným ako naučiť tisíce jeho používateľov správať sa bezpečne. Priestor na strednodobú zmenu tohto trendu vidím v znižovaní komplexnosti systémov a súčasnom zvyšovaní ich bezpečnosti.
Marián Trizuliak
architekt kybernetickej bezpečnosti, Západoslovenská distribučná, a. s.
Fenomén Internet of Things (IoT) sa postupne dostáva do bežného života. Veci riadime na diaľku a veci riadia nás. Bohužiaľ, bezpečnosť v tejto oblasti je v plienkach. Použitie komponentov viacerých výrobcov, komplikovaná údržba, nezáujem výrobcu udržiavať softvér aktuálny – toto všetko nahráva útočníkom a navyše, ani zneužitie zraniteľností im nikto nekomplikuje. Vo svete je už zdokumentovaných viacero kybernetických útokov spôsobených zneužitím IoT zariadení a ich nedostatočným zabezpečením. A dôsledky takýchto útokov na bežný život môžu byť katastrofické.
Ján Adamovský
Chief Security Officer Slovenská sporiteľňa
V kybernetickej bezpečnosti dlhodobo platí veľká nerovnováha medzi útočníkom a obrancom. Obranca musí ochrániť všetky svoje systémy, pričom útočníkovi stačí nájsť jednu malú chybičku a už je vnútri v sieti. Za veľmi zaujímavý považujem trend „deception“, čiže klamlivých technológií, kde spoločnosť rozmiestni do svojej siete rôzne falošné návnady a vhodným spôsobom sa na ne snaží útočníkov nalákať. Získava tak výhodu skoršieho zistenia útoku a možnosti reakcie pred tým, než je príliš neskoro.
(Natívna informácia)