Ukrajina, december 2015. Približne dvestotridsaťtísíc domácností zostalo bez elektrickej energie. Nešlo pritom o prírodný živel, ale o prvý známy kybernetický útok na elektráreň. Hackerom sa podarilo úplne ochromiť informačný systém distribučných spoločností v krajine. Dokážete si predstaviť, že niečo také nemusí byť až takým veľkým sci-fi scenárom ani u nás?
Slovensko sa totiž v hodnotení Eurostatu z roku 2017 nachádza až na posledných priečkach spomedzi štátov Európskej únie v pripravenosti voči kybernetickým útokom, čo znamená, že patríme medzi najzraniteľnejšie krajiny.
Podľa európskych štatistík, viac ako dve tretiny organizácií nemá odhad finančného dopadu kybernetického útoku. Zároveň, menej ako štvrtina firiem má vypracovaný reakčný plán proti možným kybernetickým hrozbám.
Útočníci už dávno nemajú na muške len rôzne firmy a dáta, ale vedia sofistikovanými spôsobmi vytvárať chaos aj vo verejnom živote. Častokrát nezabezpečené či dokonca deravé systémy jednotlivých spoločností sú svojím spôsobom časovanou bombou a môžu spôsobiť obrovské problémy.
V kyberpriestore, ako je napríklad spomínaná energetika, sa navyše veľa vecí, čo sa týka bezpečnosti alebo nápravných opatrení, robí inak, ako to bežne v IT poznáme. Systémy sa nemôžu len tak reštartovať ako počítač hocikedy, keď sa zavíri systém.
Aj toto bol jeden z prípadov, na ktoré upozorňovala konferencia Kybernetická bezpečnosť, ktorú organizoval Cluster Kybernetickej bezpečnosti Slovenskej republiky. Ústrednou témou konferencie bol fakt, že od 1. apríla 2018 vošiel do platnosti nový kybernetický zákon, ktorý hovorí o prebratí zodpovednosti firiem za svoj digitálny chod a bezpečnosť.
Po novom majú firmy povinnosť vyčleniť dostatočné prostriedky na kybernetickú bezpečnosť. Podstatou nového zákona je, aby boli spoločnosti pripravené a mali vypracovanú stratégiu pre prípad kybernetického útoku.
Takýto útok totiž môže viesť nie len k strate dát firmy, ale aj k úplnému ochromeniu výroby podniku. Prípadne, dokonca k verejnému ohrozeniu.
Zákon číslo 69/2018 Z.z. o kybernetickej bezpečnosti
Nový kybernetický zákon sa týka v zásade firiem, ktoré majú nad 50 zamestnancov, poskytujú digitálne služby a produkty a majú ročný obrat nad 10 miliónov eur.
“Do dvoch rokov od začiatku účinnosti zákona majú firmy povinnosť vypracovať organizačné štruktúry na zabezpečenie riadenia kybernetickej bezpečnosti spolu s technológiami, ktoré spĺňajú predpísané štandardy.
Firmy majú vedieť identifikovať bezpečnostné hrozby, ako aj incidenty v takmer reálnom čase a byť schopné predchádzať ďalším hrozbám,” vysvetľuje bezpečnostný analytik Bohuš Levčík zo spoločnosti ABB.
Spoločnosti by si tak mali jasne definovať presné úlohy riadenia v prípade kyber útoku. Súčasťou toho je presne určená stratégia a reakčný plán na útok. Firma má tiež povinnosť odstrániť a zamedziť ďalšiemu výskytu hackerského útoku.
“Hlavné riziká v organizáciách spočívajú v súčasnosti najmä v spoliehaní sa na technológie bez organizačnej štruktúry kybernetickej bezpečnosti. Práve tá zabezpečuje ochranu a prevenciu pred čím ďalej tým viac sofistikovanejšími útokmi kybernetickej špionáže získaním dôveryhodných informácií, neoprávneným prístupom, alebo nedostupnosťou služieb, ktoré sú ťažšie rozpoznateľné a môžu ovplyvniť celú prevádzku,” vysvetľuje ďalej Levčík.
Slovensko bojuje s problémom, že rôzne projekty, ktoré sa robili v IT a OT technologických častiach neprebehli “úplne štandardne”. “Pri implementácii našich riadiacich systémov sme si napríklad všimli, že dodávky niektorých starších komponentov v existujúcom riešení neprebehli podľa bezpečnostných štandardov.
Po 15-20 rokoch je tak v priestore množstvo technológií, ktoré sú staršie, prípadne pomiešané dvadsaťročné systémy s novými,” komentuje situáciu Levčík. Problém spočíva v tom, že v priemysle tak neexistujú moderné nástroje a procesy na odhaľovanie útokov. Väčšinou sa niečo zistí, až keď je problém.
“Prostredie analyzujeme a upozorňujeme, že je čo doháňať. Alarmujúce je poznanie, že Slovensko sa stáva ideálnym hracím poľom pre útoky. Hackeri si totiž zvyknú cvičiť útoky tam, kde vedia, že neboli dlhodobo investované prostriedky do ochrany.”
Slovensko, dokonca aj Česko a Rakúsko, patria medzi krajiny, kde neboli investované dostatočné prostriedky do ochrany. Aj preto sa aj naša krajina stáva ideálnym cielom hackerov.
Zaužívané štandardy tiež nie sú dokonalým riešením. Problémom je, že akonáhle všetko štandardizujeme, štandardy sa stávajú verejne dostupné. Útočník si tak môže presne naštudovať, ako sú systémy vytvorené a chránené.
Existuje napríklad stránka SCADA hacker, kde si aj 15-ročný študent naštuduje v priebehu dvoch dní konkrétny systém dodávateľa (dodávateľov riadiacich systémov nie je veľa) a uskutoční útok.
“Takáto príprava môže byť dlhodobá aj krátkodobá. Mali sme skúsenosť, že útok sa pripravoval jeden rok a žiadne softvéry alebo ľudia si nič podozrivé nevšimli; klasicky fungovali. Nie je to ako vírus, ktorý prebehne k vám na počítač a začnú sa diať veci. Práveže nič. Keď sa už niečo začne diať, tak je zvyčajne neskoro.”
“Naše riešenia nie sú len o technike, ale aj o konzultácii, príprave rôznych bezpečnostných projektov. Snažili sme sa v priebehu siedmich rokov inšpirovať americkým štandardom NERCI, ktorý je veľmi detailný. Aktuálne vieme aplikovať bezpečnostné procesy a analýzy v celej šírke portfólia toho, čo kybernetický zákon prikazuje,” hovorí Levčík.
“Všeobecne platí, že na zavádzanie bezpečnostných opatrení bolo už včera neskoro. U konkrétneho zákazníka zvykne projekt trvať aj 2-3 roky. A to hovoríme len o implementácii základných opatrení.
Približne rok sa zvykne dokumentovať a ďalšie 2 roky sa rieši implementácia konkrétnych bezpečnostných opatrení. Problémom je aj to, že v tomto odvetví je len veľmi málo odborníkov. Riešenia kybernetickej bezpečnosti v priemysle pritom vyžadujú odborníka nie len na IT ale aj na špecifické priemyselné prvky.”
Čo teda môžu firmy v rámci prevencie upraviť?
V prvom rade, základom kybernetickej bezpečnosti sú správne vyškolení zamestnanci. Tí musia byť v strehu pred rôznymi nástrahami v podobe obyčajných emailov, podozrivých linkov či príloh, ktoré môžu poskytnúť útočníkovi prístup do firemného systému.
Nestalo by sa tak po prvý raz, že pomocou klasického phishingu či farmingu sa podnik dostane do problémov. Následky môžu byť rôzne. Či už je to ochromenie celej firemnej siete, alebo aj zastavenie výroby v prípadne fabrík. Tie sú totiž v dnešnej dobe tiež z veľkých častí plne automatizované. Stroje totiž už zvyčajne nepracujú jednotlivo, ale sú centrálne riadené prostredníctvom softvérov online, z cloudov.
Riziko tak nespočíva len v podobe “nabúrania” do obchodného systému, ale napríklad aj v úplnom zastavení výroby. Ako dôsledok to môže pre podniky predstavovať citeľné straty.
Odporúčané kroky v rámci bezpečnosti od ABB
Hodnotenie a monitorovanie bezpečnosti:
Zásady neustáleho vyhodnocovania a monitorovania systémového softvéru, hardvéru a komunikačných sietí sú nevyhnutné na to, aby bol systém neustále zabezpečený.
V rámci dohliadania na stav kyber bezpečnosti systému ABB zbiera dáta na porovnávanie s najlepšími postupmi a štandardmi. Zisťuje tak slabiny v obrane vášho systému. Upozorňuje na oblasti, ktoré si vyžadujú zlepšiť ochranu.
Ochrana perimetrov:
Neustála ostražitosť voči útokom a porušeniam. Firewally môžu ochrániť obvod siete a dobré navrhnutie bezpečnostnej politiky oddelí sieť na rozličné kontrolované zóny, ktoré sú chránené vnútornými bránami firewallu. Zabezpečí sa tak, že napadnutý server neohrozí celú sieť.
Bezpečnostné aktualizácie:
Nie je to len antivírusový softvér, čo potrebuje aktualizáciu. Moderné operačné systémy a zabudovaný softvér často potrebujú „záplaty“, aby sa ochránili pred stále novšími hrozbami.
Efektívna správa bezpečnostných aktualizácií je základom akýchkoľvek bezpečnostných zásad. Často však býva zanedbávaná.
Postupy a zásady:
Vzdelávame a podporujeme užívateľov systému. Kybernetická bezpečnosť je neustále výzvou, a to na celosvetovom poli. Nejestvuje žiadne jednotné riešenie, ktoré by udržiavalo čoraz prepojenejšie systémy.
ABB teda spolupracuje so zákazníkmi, aby pochopili proces a postup, zásady skupinovej bezpečnosti a nastavenia počítačov na vytvorenie hĺbkovej ochrany, v ktorej jednotlivé vrstvy zabezpečenia odhaľujú a zisťujú hrozby – teda kde, či a ako môžu vznikať.
Ochrana pred škodlivým softvérom (malvérom):
Vyvíjanie ochrany pred sofistikovanými hrozbami - automatizačné nástroje spoločnosti ABB môžu byť vybavené štandardnými riešeniami na ochranu pred škodlivým softvérom a prienikmi. Reč je napríklad o antivírusovej ochrane.
Záloha a obnovenie:
Ak sa stane najhoršie a nastane kyber útok, alebo zaúraduje prírodná katastrofa, potom zjednoduší vec obnova systému zo zálohy. Záložné riešenia ABB pre takéto prípady zabezpečia integritu a dostupnosť najdôležitejších dát. Bez ohľadu na to, čo sa stane s originálom.
Anketová otázka:
Chystáte sa na zmeny v legislatíve?
ZSE: "Povinnosti, ktoré nám stanovuje zákon, v plnej miere plníme. Vzhľadom na citlivosť témy, bližšie informácie nebudeme zverejňovať."
ŽSR: "Vedenie ŽSR venuje náležitú pozornosť aj problematike kybernetickej bezpečnosti. Za týmto účelom bola na ŽSR v roku 2018 vypracovaná nová Bezpečnostná koncepcia ŽSR, ktorá v súlade s požiadavkami novej legislatívy (GDPR, Kybernetický zákon, Opatrenia RÚ...) a bezpečnostných štandardov (normy radu ISO 27000) navrhuje Bezpečnostnú stratégiu informačnej a kybernetickej bezpečnosti v ŽSR. V súčasnosti prebieha implementácia opatrení navrhovaných v bezpečnostnej koncepcii ŽSR."
Slovak Telekom: „Vykonávacie predpisy k zákonu sa objavili až v tomto roku, čiže sme vo fáze analýzy a postupnej implementácie požiadaviek, nakoľko prechodné obdobie končí v apríli 2020.“
VÚB banka: "V rámci našich povinností vyplývajúcich zo zákona plníme všetko, čo sa od nás v tomto očakáva."
Článok je natívnou informáciou