Je nejaký rozdiel medzi priemyselnou a bežnou firemnou kybernetickou bezpečnosťou?
Ja by som to nerozlišoval. IT bezpečnosť sa dá vnímať bez ohľadu na odvetvie rovnako. V konečnom dôsledku je totiž potrebné ochrániť hodnotné aktíva, dôležité informácie, dáta, procesy, teda všetko, čo môže byť zneužité, či už tým, že ich niekto zoberie, modifikuje alebo využije iným spôsobom, ako ich majiteľ predpokladá. Toto sa dá aplikovať ako v bankovom sektore, tak aj vo výrobnom podniku, kde je takisto potrebné chrániť nejaké know-how resp. napríklad konštrukciu výrobnej linky alebo nastavenia strojov a zariadení.
V priemyselnej sfére sa preto často pristupuje k ochranným opatreniam typu kontroly vstupu osôb, dočasným odobratím foto techniky, mobilov alebo prelepením foto šošoviek mobilov. Takisto sa zvykne pristupovať k úplnému fyzickému oddeleniu prostredia vo výrobných halách od zvyšku sveta. Podcenenie bezpečnosti môže v konečnom dôsledku viesť nielen k úniku informácií, ale aj k materiálnym škodám. Ako príklad by som spomenul situáciu, kedy došlo k napadnutiu jadrovej elektrárne v Iráne v roku 2010 vírusom Stuxnet. Ten bol vytvorený vyslovene pre riadiace SCADA systémy.
Prvé, čo vírus robil, bolo, že kontroloval, či sa nachádza v systéme, ktorý má na starosti riadenie centrifúg. Ak zistil, že sa nenachádza, tak bol úplne pasívny. Do vnútornej siete sa dostal pri aktualizácii firmvéru niektorého výrobného stroja z infikovaného USB kľúča. Išlo o nebezpečný vírus, pretože modifikoval výstupy z meraní, operátori v prevádzke videli teda úplne iné hodnoty, aké boli v skutočnosti. Niečo podobné sa udialo aj v Černobyle pri aktuálnych útokoch ransomwaru WannaCry resp. Petya, pretože zistili, že sa nemôžu spoľahnúť na automatizované meranie a musia merať manuálne.
Niekdajšia štatistika uvádzala, že paradoxne 80 % útokov v IT svete spôsobujú interní zamestnanci a len 20 % ohrození prichádza zvonka. Platí to ešte?
Platí. Treba však povedať, že v prípade interných zamestnancov nie vždy musí ísť o úmysel, to znamená, že z pohľadu zamestnanca nemusí byť cieľom spôsobiť škodu. Patria sem napríklad situácie, kedy zamestnanec odošle citlivé údaje mailom, prípadne dá takéto informácie na sociálne siete. V tomto prípade je potrebné riešiť situáciu nasadením technických opatrení, ktoré takémuto konaniu zabránia. Obdobná situácia je v prípade, že takéto konanie bolo úmyselné, s úmyslom spôsobiť škodu, je preto vhodné byť pripravený aj na to. Opäť je to možné riešiť prijatím vhodných technických opatrení.
S akými typmi kybernetických útokov sa dá dnes prísť do kontaktu?
V zásade sú dva základné typy útokov, vonkajšie a vnútorné. Vnútorné útoky, ako som už spomínal, majú na svedomí vnútorní zamestnanci, či už neúmyselne alebo cielene. Tie vonkajšie sa prevažne radia do viacerých kategórií, ako sú napríklad sociálne inžinierstvo, škodlivý softvér (malware), spam, vírusy a podobne, kedy útočník zvonka zneužíva ľudskú naivitu a treba otvorene povedať, že aj neznalosť interných zamestnancov. Častým prípadom je, že útočník podstrčí zavírenú správu, ktorá sa tvári ako legitímny mail. Štandardne dôjde k spusteniu škodlivého kódu, ktorý sa ozýva zvnútra inštitúcie smerom von, čo je komunikácia, ktorá sa väčšinou nepreveruje, pretože sa komunikuje povoleným legitímnym kanálom.
Činnosť škodlivého kódu určujú tzv. command and control servery, na ktoré sa škodlivý kód obracia v pravidelných časových intervaloch a zisťuje, či sa na nich nachádzajú inštrukcie pre jeho činnosť. Tieto inštrukcie je možné napríklad ukryť aj do obrázkov web stránky. Väčšina škodlivých programov spadá do skupiny tzv. malwaru, čo je skratka z anglického malicious software, vo voľnom preklade niečo ako zákerný škodlivý softvér. Jeho podmnožinou sú okrem iného vírusy, ransomware a pod. Ransomware, čiže vírus, ktorý za sprístupnenie úmyselne zašifrovaných dát napadnutého zariadenia požaduje výkupné, za svoj rozmach v poslednom období vďačí najmä nástupu virtuálnej meny bitcoin, kde sa prevody medzi účtami nedajú vystopovať a nie je možné zistiť, kto je prijímateľom.
Inak, prvý ransomware sa objavil v roku 1992 a nato, aby sa dali odblokovať zašifrované údaje, bolo potrebné poslať list s potvrdením o zaplatení na nejaký PO Box niekde v Paname. Spätne potom prišiel odšifrovací kľúč. Ďalším typom útoku je tzv. DDoS (Distributed Denial of Service), kedy sa cieľ útoku zahltí toľkými požiadavkami, že nie je schopný komunikácie, čo je v prípade nejakého eshopu alebo internet bankingu vážny problém. Samotným subjektom takýto útok nielenže spôsobuje priame finančné škody, ale aj tie nepriame, pretože nedostupnosť služieb naštrbuje dôveru zákazníkov.
Znie to možno neuveriteľne, ale kybernetické útoky sa dnes už dajú objednať ako služba. Existuje tzv. Darknet, časť webu, ktorá nie je štandardne prístupná a pripojiť sa k nemu dá len pomocou špeciálnych nástrojov a programov, napr. prostredníctvom prehliadača Tor. Považuje sa za raj zločincov a umožňuje si objednať aj kybernetický útok. Spôsob objednávania je už taký prepracovaný, že dáva na výber útoky podľa triediacich kritérií, ako je napr. typ útoku, jeho sila, dĺžka trvania, termín spustenia, cieľ útoku a pod.
Kedy môže podnik riešiť kybernetickú bezpečnosť sám a kedy sa odporúča obrátiť na profesionálnych odborníkov?
Informačná bezpečnosť nie je niečo, čo sa raz nastaví a funguje, treba sa jej kontinuálne venovať. Ak je reč už len o vyhodnocovaní a monitorovaní udalostí zachytených bezpečnostnými mechanizmami, je veľa činností, ktoré je možné zautomatizovať, ako je napr. automatické posielanie notifikačného mailu alebo sms. Bezpečnostné systémy je potrebné najskôr vyladiť a potom sa tomu venovať z pohľadu monitoringu aj samotného vývoja bezpečnosti ako odvetvia, aby bolo možné pružne reagovať na stále nové a nové hrozby. Potrebné je preto urobiť bezpečnostnú analýzu podnikového prostredia, na jej základe navrhnúť adekvátne opatrenia vrátane nasadenia príslušných bezpečnostných technológií a následne neustále monitorovať, napríklad aj formou penetračných, resp. bezpečnostných testov, či plnia svoju úlohu v kontexte spomínaných trendov v oblasti bezpečnostných hrozieb. V úvodnej analytickej časti sa čiastočne vychádza z informácií z interného prostredia, čiže z radov zamestnancov. Tí najlepšie vedia posúdiť, ktoré dáta alebo aktíva sú pre podnik kriticky dôležité. Profesionáli IT bezpečnosti vedia zase vykonať syntézu získaných informácií, dať si ich do súvisu s platnými normami, bezpečnostnými štandardmi a odporúčaniami, čo sú znalosti a skúsenosti, ktoré sa len s malou pravdepodobnosťou nájdu v podnikoch v radoch bežných IT špecialistov. Osobne to vnímam ako kombináciu osôb a obsadenia. Časť informácií vedia poskytnúť interní zamestnanci a ďalšiu časť práve externá bezpečnostná firma, ktorá má v celom procese aj výhodu nestrannosti a objektivity. Odpoveď na otázku je teda, že jednoznačne odporúčam obrátiť sa aj na profesionálov zo sveta IT bezpečnosti.
Ako sa odporúča postupovať, keď chce firma riešiť svoju kybernetickú bezpečnosť?
V prvom kroku je potrebné si ujasniť, čo podnik potrebuje riešiť. V ďalšom sa stanovuje klasifikácia závažnosti ochrany informácií resp. podnikových aktív. Na základe tohto sa potom nastaví plán analýzy rizík, teda čo všetko a do akej hĺbky sa bude analyzovať. Následne sa definuje, aké vstupné informácie sú pre analýzu rizík potrebné, napr. vstupy interných zamestnancov, dokumentácia, interné smernice, mapovanie procesov a pod. Potom sa uskutočňuje analýza jednotlivých určených častí s tým, že sa zohľadňuje inštitúcia ako celok. Výsledkom je definícia rizík s priradenými stupňami kritickosti resp. závažnosti a odporúčaniami, ako ich ošetriť. Podnik dostáva zoznam úkonov, krokov, dokumentácie, postupov a technológií, ktoré potrebuje zaviesť, aby riziká znížil.
V tejto fáze je na rozhodnutí podniku, či chce uvedené odporúčania aj realizovať. Ak ich realizuje, tak musí zabezpečiť kontinuálny dohľad nad tým, či sa všetky odporúčania dodržiavajú tak, ako bolo v zmysle výstupnej analýzy zadefinované. Z používateľského hľadiska je tiež vhodné, aby bolo v podniku jasne definované, najlepšie v interných smerniciach, ktoré činnosti sú povolené a ktoré nie. Na túto časť sa v rámci bezpečnosti vo firmách zabúda. Nejde totiž len o aplikáciu technických opatrení, ale aj firemných noriem, smerníc a nariadení, čiže tú tzv. papierovú časť. Pre ilustráciu, naša spoločnosť ako poskytovateľ služieb IT bezpečnosti má napríklad tím ľudí na analýzu technického prostredia a osobitný tím na analýzu papierovej časti.
Ktoré technické prostriedky z oblasti informačnej bezpečnosti sa zvyknú nasadzovať v praxi?
Spektrum hardvérových a softvérových prostriedkov je široké. Notoricky známy firewall slúži na filtrovanie prichádzajúcej a odchádzajúcej komunikácie, čiže rozhoduje o tom, čo s tou komunikáciou urobí na základe dopredu stanovených pravidiel. Môže byť čisto softvérový, ale aj hardvérovo-softvérový. Prichádzajúce maily, po úvodnej kontrole firewallom na úrovni komunikačných protokolov, najskôr prechádzajú práčkou (tzv. messaging gateway), ktorá zisťuje prítomnosť prípadného vírusu alebo spamu. Ak je mail bezpečný, práčka posiela mail na nižší mailový server. Podobne to je s VPN kanálmi. Žiadosť o VPN spojenie sa najprv preposiela na VPN koncentrátor, ktorý žiadosť spracováva (autentifikácia používateľov a pod.), firewall komunikáciu kontroluje na úrovni povolených protokolov a portov.
V spoločnostiach sa pri nasadení bezpečnostných technológií často zabúda na mobilné koncové zariadenia ako sú mobily a tablety, ktoré mnohokrát obsahujú citlivé firemné dáta. Existuje tzv. mobile device management, softvér na centrálnu správu mobilných zariadení, ktorý na každom mobilnom zariadení vytvorí tzv. sandbox, čo je osobitná, vyčlenená a oddelená časť operačného systému, v ktorej sa simuluje funkcionalita samotného zariadenia. Je to podobné virtualizačným softvérom ako napr. VMware. V mobilnom zariadení sa tak nachádza izolovaný priestor s kontrolovaným vstupom, kam sa šifrovaným spôsobom presmerovávajú citlivé firemné dáta. Dáta sa sprístupňujú len po autorizovaní spôsobom typu heslo, PIN kód, odtlačok prsta a pod. Mobilné zariadenie je vlastne rozdelené na firemnú a súkromnú časť, pričom pri aktivácii sandboxu sa prepína do špeciálneho režimu ako keby s uzavretým ekosystémom.
S výhodu sa to dá nasadiť tam, kde chcú zamestnanci využívať v podnikových priestoroch radšej súkromný mobil ako firemný. Administrátori tak v podniku získavajú kontrolu nad tým, čo sa im pripája do siete. Sieťový prístup k cenným údajom na serveroch sa zvykne zabezpečovať osobitným prístupovým bodom, ktorý je monitorovaný a riadi celú prístupovú komunikáciu. Na kontrolu komunikácie na celej sieti a monitoring komunikačných anomálií oproti bežnej prevádzke sa používa špecifický nástroj, ktorý je v praxi veľmi často opomínaný, pretože firmy sa zameriavajú najmä na zabezpečenie koncových bodov a perimetra.
Aké útoky budú trendom blízkej budúcnosti?
Do praxe sa čoraz viac dostáva fenomén internet vecí (IoT), presadzuje sa trend všetko pripájať na internet – televízory, chladničky, pračky, priemyselné kamery a pod. Každé zariadenie, nachádzajúce sa v internete vecí, má nejaký operačný systém, ktorý má svoje zraniteľnosti a tie sa dajú zneužiť. Objavilo sa už niekoľko prípadov útokov spôsobených práve priemyselnými kamerami. Ten prebehol tak, že útočník najprv modifikoval softvér priemyselnej kamery škodlivým kódom, ktorý potom spôsobil DDoS útok na konkrétnu IP adresu. Kamera pritom navonok fungovala úplne normálne bez náznaku nejakej zmeny a v pozadí bez vedomia používateľov vykonávala DDoS útok.
Vzhľadom na prognózy, keď sa do roku 2020 predpokladá niekoľko desiatok miliárd zariadení zahrnutých do internetu vecí, to predstavuje obrovskú útočnú silu a tým pádom vážne riziko. Preto je tak trochu zarážajúce, že z hľadiska IT bezpečnosti je trend internetu vecí ešte stále akosi na okraji záujmu. Ani pri bezpečnostných auditoch sa takmer nikdy neposudzuje IT bezpečnosť televízorov alebo spotrebičov pripojených na internet. Bezpečnosť zatiaľ netrápi ani samotných výrobcov týchto zariadení. Predpokladám, že prípady zneužitia zariadení v internete vecí v najbližších rokoch rapídne vzrastú.
Nie je riešením stanoviť výrobcom povinnosť zakomponovať do zariadení internetu vecí aj mechanizmy kybernetickej bezpečnosti?
To by bolo len čiastočné a dočasné riešenie, pretože sú zraniteľnosti, o ktorých nevie v čase vydania zariadenia na trh ani samotný výrobca. V IT svete sa im hovorí Zero day zraniteľnosti, čo sú hrozby, ktoré nie sú verejne publikované a popísané, nie sú pre ne dostupné bezpečnostné záplaty a protiopatrenia, ale už sú napríklad k dispozícii na Darknete exploity umožňujúce ich zneužitie. Predávajú sa často aj za desiatky resp. stovky tisíc dolárov v závislosti od toho, pre aké cieľové systémy sú určené a do akej miery sa dajú zneužiť.
Ďakujeme za rozhovor.
