Nepodceňujte útoky

Čoraz viac prepojení medzi zariadeniami a technológiami navzájom, čoraz viac prepojení na vonkajší svet. To je realita dnešného moderného priemyselného podniku. S ňou však prichádzajú aj rôzne výzvy. Tie sa týkajú aj bezpečnosti údajov a ich ochrany pred zneužitím neoprávnenými osobami či zasahovaním do činnosti výrobných prevádzok. Ako sa proti tomu brániť a ako sa dá riešiť problematika toľko medializovanej kybernetickej bezpečnosti? Aj o týchto témach sme sa porozprávali s Tomášom Zaťkom, výkonným riaditeľom spoločnosti Citadelo, ktorej mottom je „Hackeri na vašej strane“.
Nepodceňujte útoky

Prečo by sa priemyselné podniky mali vôbec venovať otázkam kybernetickej bezpečnosti?

Ak sa jej priemyselné podniky nebudú venovať, tak môžu veľmi ľahko naraziť na problémy, ktoré budú viesť k nemalým finančným stratám. V horšom prípade to môže viesť až k dramatickému ohrozeniu výrobných technológií, životného prostredia či fyzického zdravia pracovníkov. Avšak vo väčšine prípadov kybernetických hrozieb ide o ekonomické problémy.

Predstava o kybernetickej bezpečnosti sa často spája s IT systémami na vrchných úrovniach podniku. Avšak dnes je situácia iná v tom, že podniky majú už často prepojené siete na úrovni IT a výrobnej prevádzky (OT). Treba teda vnímať kybernetickú bezpečnosť takto komplexne?

Samozrejme, dnes sa už nepripájajú do siete len kancelárske PC, ale aj výrobné a technologické zariadenia na úrovni prevádzky. Takže aj prístup k riešeniu kybernetickej bezpečnosti by mal tieto reálie zohľadniť.

Aký je aktuálny stav v oblasti riešenia kybernetickej bezpečnosti v priemyselných podnikoch z hľadiska noriem a legislatívy?

Doteraz sme mali vždy možnosť oprieť sa o nejaké normy či skúsenosti zo zahraničia. Je škoda, že sa o tejto téme začalo na Slovensku hovoriť vo veľkom až teraz, keď bol schválený zákon č. 69/2019 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov.

Riešenie kybernetickej bezpečnosti by pre firmy malo byť zaujímavé bez ohľadu na to, či je to dané existenciou nejakého zákona. Viaceré firmy už v predchádzajúcom období na základe existujúcich noriem, osvedčených postupov a bezpečnostných opatrení spracovali a uviedli do života programy kybernetickej bezpečnosti, preto schválenie kybernetického zákona v rámci legislatívy SR pre nich veľa zmien v zásade neprináša. Rozdiel medzi Slovenskom a zahraničím je však v tom, že veľa firiem túto problematiku doteraz pokrytú nemalo, takže zákon na ne efektívne zatlačil, aby to riešiť začali.

Pokiaľ niekto doteraz nemal skúsenosť s kybernetickými prienikmi do svojej infraštruktúry, môže sa mu riešenie tejto problematiky javiť ako niečo veľmi vzdialené. Argumentácia „nás sa to netýka“ je často prvým krokom k zabrzdeniu výdavkov do oblasti kybernetickej bezpečnosti. Je zjavné, že firmy, ktoré už s kybernetickým útokom mali skúsenosť, vedia rýchlo nájsť prostriedky na riešenie tejto problematiky. Lenže keď sa už útok uskutoční, rozpočet potrebný na riešenie problému je často podstatne vyšší v porovnaní s rozpočtom v preventívnej fáze.

Aké sú základné myšlienky, ktoré by si firmy so snahou riešiť kybernetickú bezpečnosť mali v existujúcom zákone všimnúť?

Zákon definuje, koho sa týka. Ak môj podnik spadá do pôsobnosti tohto zákona, treba si podrobne naštudovať celý zákon. Ja by som upriamil pozornosť najmä na bezpečnostné opatrenia definované v §20. Sú rozdelené do určitých kategórií z hľadiska technických prostriedkov, procesných postupov a pod.

Ak už napríklad podnik riešil otázku kybernetickej bezpečnosti podľa normy ISO/IEC 270002, príp. inej normy ohľadom priemyselnej kybernetickej bezpečnosti, veľa vecí má vyriešených. Zákon pokrýva aj témy, ako sú vzťahy s dodávateľmi, čo je mimoriadne dôležité, pretože útoky často prichádzajú práve cez tieto tretie strany. Ak je táto implementačná časť kybernetickej bezpečnosti v podniku už vyriešená, ďalšia oblasť, ktorú zákon pokrýva, je uvedená v §29 a týka sa auditu kybernetickej bezpečnosti. Ten je najlepšie zrealizovať prostredníctvom nezávislého subjektu s danou kompetenciou, ktorý posúdi, v akom stave sa celé riešenie bezpečnosti nachádza. Zákon ďalej upravuje povinnú súčinnosť so štátom. Ak je môj podnik prevádzkovateľom základnej služby alebo poskytovateľom digitálnej služby, podnik je povinný hlásiť incidenty štátnej jednotke na riešenie kybernetických incidentov. Pre stranu štátu zákon definuje postavenie, úlohy a povinnosti jednotlivých štátnych inštitúcií.

Je rozdiel medzi vedením a intenzitou kybernetických hrozieb na úrovni podnikových IT a technológií nachádzajúcich sa na úrovni výrobnej prevádzky (OT)?

Rozdiely tam určite sú. Odborníci na rôznych úrovniach podniku vnímajú hrozby rôzne, na základe tých priorít, ktoré majú v rámci svojho pracovného zaradenia. Z technologického hľadiska sa IT a OT k sebe čoraz viac približujú a sú čoraz viac prepojené. Kým pred dvadsiatimi rokmi svet počítačov a počítačových sietí a svet výrobných prevádzok a tam nasadených technológií bol dosť rozdielny, dnes sa aj v OT používajú čoraz viac tie isté technológie a protokoly ako v IT. Táto skutočnosť zjednodušuje útočníkom prienik do infraštruktúry podniku, nakoľko menšia modifikácia nástrojov a postupov na prienik z oblasti IT bude účinná aj v OT.

Z pohľadu spôsobu zabezpečenia IT a OT je to však výrazne odlišné. Ak mojím primárnym cieľom v rámci bezpečnosti IT je, aby nedošlo k úniku údajov, tak v rámci OT je kľúčovou metrikou dostupnosť systémov a zariadení. Toto celé ovplyvňuje spôsob nasadzovania a testovania systémov zabezpečenia. Penetračné testy, čiže simulované hackerské útoky v rámci OT, sú výrazne komplikovanejšie ako vo svete IT. Pokiaľ ide o útok, kde je snahou odhaliť slabiny niekedy vedúce až k výpadku IT, tak v OT to v živej prevádzke nie je možné. V takomto prípade treba využiť nejaké klony reálnej technológie.

Byť či nebyť pripojený do internetu na úrovni výrobnej prevádzky – to je otázka!

Otázka vyzerá jednoducho, ale odpoveď až taká jednoduchá nie je. Veľmi ľahko by sa dalo povedať, že samozrejme, na úrovni prevádzky je najlepšie nebyť pripojený do internetu. Potom nás nikto nehackne. Ako potom chceme využiť všetky prínosy spojené s pripojením do globálnej siete?

Pripojenie na internet má väčšinou nejaké dobré biznis dôvody. Určite si však treba dávať pozor na to, čo a akým spôsobom pripojíme, v akom režime či s akými obmedzeniami. Veľmi často sa ukazujú nepríjemné prípady, keď bol nejaký systém, resp. jeho pripojenie na internet navrhnutý zdanlivo neškodným spôsobom, napr. že cez internet budem iba jedným smerom načítavať nejaké hodnoty (klasická telemetria). Často sa však ukážu programové chyby, resp. chyby spôsobené rozdielom v tom, ako sme to riešenie plánovali realizovať a ako sme ho potom skutočne zrealizovali. Tieto chyby môžu vyústiť do toho, že viem z daného systému nielen čítať údaje, ale zrazu mám ako neautorizovaná osoba aj možnosť niečo meniť či riadiť v danej prevádzke. Každý, kto sa snaží odpovedať na uvedenú otázku, by sa mal veľmi dobre zamyslieť a nepodceniť to.

Kde sú slabiny priemyselných riadiacich systémov z hľadiska kybernetickej bezpečnosti?

Na túto otázku opäť nemožno odpovedať jednoducho už aj z toho dôvodu, že slabín priemyselných riadiacich systémov je viacero. Spomeniem len pár príkladov z našej praxe, ktoré však zďaleka nepokrývajú celú paletu.

Počas tohtoročného Medzinárodného strojárskeho veľtrhu v Nitre sme prezentovali ukážku toho, ako sa dá zaútočiť na kompletne vzdušne oddelený systém bez fyzického pripojenia k internetu. Ukázali sme sériu krokov, pomocou ktorých sa dá doručiť útočný kód priamo do prevádzky oddelenej od zvyšku sveta. Prípad asi najznámejšieho priemyselného kybernetického útoku Stuxnet je tomu podobný. Iný typ útokov má pôvod v tom, že na zariadenia, ktoré sú morálne zastarané, sa niekto snaží pripojiť nové elektronické prvky, ktoré majú možnosť pripojenia na internet.

V rámci našej činnosti sme robili testovanie istého radu priemyselného riadiaceho systému, ktorý pracuje úplne bezproblémovo. Avšak v rámci novšej verzie tohto systému výrobca pridal možnosť prístupu aj cez internet. Z našej analýzy vyplynulo, že pre samotného výrobcu zariadenia bolo ťažké na hardvér, ktorý má bez zásadnejších zmien už okolo dvadsať rokov, implementovať určité moderné technológie, aby sa prostredníctvom tohto riadiaceho systému dalo robiť vzdialené a navyše bezpečné riadenie. Na uvedený hardvér neexistovali dostatočne moderné softvérové knižnice, a tak bol výrobca nútený použiť staršie. Staré kusy softvéru obsahovali chyby, ktoré sú v novších systémoch dávno ošetrené. Na otestovanie sme v rámci našich penetračných testov museli siahnuť po hackerských metódach spred dvadsiatich rokov, ktoré sa už dnes takmer nepoužívajú.

Často tiež vidíme, že zákazníci majú optimistické predstavy o tom, ako sú ich jednotlivé podsiete oddelené, ale veľké množstvo existujúcich výnimiek je v realite od tej predstavy oddelenia sietí veľmi ďaleko.

Znamená to, že v prvom rade by si mali ujasniť problematiku kybernetickej bezpečnosti svojich priemyselných riadiacich systémov ich výrobcovia?

Áno aj, pretože to je len jedna časť príbehu. Môže sa samozrejme stať, že samotný výrobca nemá otázku bezpečnosti úplne doriešenú, druhá vec je, ako tento riadiaci systém alebo nejaký komponent integrujem do zvyšku technológie, a do tretice je dôležité aj to, ako sa o tento komponent priebežne starám. Dodávateľ mi môže dodať z hľadiska bezpečnosti dobrý komponent, ale následne ho môžem integrovať takým spôsobom, že otvorím cestu na hackerský útok. Problém môže byť napríklad v tom, že ponechám na zariadení prednastavené heslá od výroby.

Ďalší problém je, že často sa požaduje segregácia sietí a tá, ako sme mali možnosť vidieť v reálnej praxi, sa deje často len na úrovni sietí VLAN, ktoré boli aj tak pozapájané do jedného fyzického zariadenia. Videli sme prípad, keď sa zálohy konfigurácie sieťového zariadenia ukladali na zálohovací server. Nám sa podarilo preniknúť útokom na tento server, z ktorého sme sa následne vedeli dostať na sieťové zariadenie a urobiť si nové prepojenia do jednotlivých sietí VLAN. Častou chybou je, že spoločnosti buď nemajú nasadený monitoring útokov a prienikov, alebo ak ho aj majú nasadený, nikto na oznamy a upozornenia z neho nereaguje.

Dá sa vôbec pri firme, ktorá nemá nasadený monitoring bezpečnosti, zistiť príčina, resp. slabé miesto, kadiaľ útočníci prenikli?

Máme skúsenosť z auditu vo firme, kde prišlo k hackerskému útoku. Vzhľadom na to, že firma nemala nasadený monitoring prienikov svojich systémov, bolo veľmi ťažké identifikovať, kadiaľ útok prebehol. Logové záznamy, ktoré by mohli niečo napovedať, sa premazávali na týždennej báze. Zákazník si útok, resp. jeho dôsledky všimol podstatne neskôr. Sami sme následne identifikovali štyri možné cesty, kadiaľ mohol byť útok vedený, ale s istotou sme nevedeli posúdiť, ktorá to v skutočnosti bola. Ďalší zákazník síce mal nainštalovaný systém monitorovania, ktorý im aj včas hlásil prebiehajúci útok, ale nikto na to nereagoval. A prečo? Lebo zodpovednosť vo firme bola nastavená tak, že človek, ktorý mal vo svojej kompetencii na to reagovať, mal okrem toho na starosti mnoho iných vecí, ktoré ho zamestnávali natoľko, že na reagovanie na prebiehajúci útok nezvýšil čas.

Ďalšou chybou je, keď zákazník optimisticky nasadí rozsiahlu paletu obranných mechanizmov a systémov a nenechá si to overiť penetračnými testami. Je jednoduché vymyslieť systém, ktorý ja sám neprekonám, ale ani v reálnej prevádzke sa nechránime sami pred sebou, ale hrozbami zvonku. Ak má zákazník nainštalovaný systém riadenia prevádzkovej bezpečnosti (Security Operation Center) a má na to aj vyčlenených ľudí, je dobré raz za čas spraviť test celého systému a zistiť, či bezpečnostné prvky aj monitoring naozaj spoľahlivo fungujú.

Aké sú najčastejšie slabé miesta priemyselných podnikov, ktoré hackeri zvyknú zneužiť na svoje útoky?

Odpoveď na túto otázku sa mení v čase. Iná by bola pred piatimi rokmi, iná dnes a iná bude pravdepodobne o päť rokov. V súčasnosti sú také dve hlavné cesty, kadiaľ sa útočníci dostávajú ku kritickým zariadeniam a technológiám v priemyselných podnikoch. Sú to už spomínané tretie strany zaradené v rámci dodávateľských reťazcov alebo cez interných zamestnancov.

V druhom prípade môže vzniknúť dojem zo strany vedenia spoločnosti, že si chovajú „hady na prsiach“, ale to tak vôbec nemusí byť. Často sú totiž interní zamestnanci, ktorí sa stanú vstupnou bránou do podniku, sami zneužití bez toho, aby o tom vedeli. Jednou z tých starých, ale stále fungujúcich metód, sú phishingové emaily. Inak slovo phishing je odvodené od slova fishing a v prenesenom význame znamená tiež chytanie obete na návnadu. Zamestnanec dostane e-mail od falošného odosielateľa, v ktorom je priložený nejaký dokument, čo môže byť špeciálne upravený Word alebo PDF. Po jeho otvorení sa vykoná nejaký program, ktorý využije nechránený prehliadač PDF dokumentov, v ktorom ešte nebola nainštalovaná najnovšia záplata. Tým sa vytvorí vstupná brána do zvyšku siete a následne má útočník pomerne dosť veľa času na aktiváciu svojej činnosti. Keď je útok dokonaný, často sa pri spätnej analýze celého incidentu zistí, že prienik sa udial niekedy mesiac pred samotným zaregistrovaním záškodnej činnosti. Útočník za ten čas postupne prechádzal rôznymi stupňami ochrany, až sa dostal k svojmu cieľu.

A čo aktualizácie softvérových aplikácií? Sú riešením ochrany pred nežiaducimi prienikmi?

V každom softvéri a hardvéri boli, sú aj budú chyby. Dôležité je, aby boli pravidelne odhaľované a riešené. Jedným z riešení je pravidelné nasadzovanie vydávaných aktualizácií. To sa však ľahko povie, ťažšie urobí. Každý správca v nejakej väčšej firme, napr. aj v priemyselnom výrobnom podniku, vie, že ak bude bez rozmyslu nasadzovať všetky dostupné aktualizácie a záplaty na všetkých zariadeniach, bude mať síce čisté svedomie, že urobil všetko na zaistenie aktuálnosti a bezpečnosti používaných aplikácií, ale záplaty môžu mať zároveň vplyv na správanie zvyšku daného systému. To znamená, že môj systém nebude mať bezpečnostnú chybu, ale prestane vykonávať tú činnosť, ktorú má.

My sa napr. veľmi často stretávame s takou patovou situáciou, keď má riadiaci systém nachádzajúci sa v prevádzke nainštalované ovládače k nejakému špecifickému zariadeniu a beží tam operačný systém Windows XP. Ten je už roky nepodporovaný a existuje na ňom celý rad zraniteľností, ktoré sa dajú zneužiť na prienik do daného systému. Všetci to vedia, napriek tomu sa stále používa práve kvôli tomu, že ovládače na špecifický hardvér pre novšie verzie Windows neexistujú. Riešiť takéto situácie nie je ľahké, ale uzavrieť to výrokom „veď aj tak sa s tým nedá nič robiť“ je nesprávne. Dá sa to, ale samotné riešenie nebude možné naformulovať do dvoch viet a nebude určite triviálne.

Ako by teda mali vyzerať postupy a riešenia v oblasti funkčnej ochrany priemyselných podnikov/prevádzok proti kybernetickým útokom na úrovni HW/SW/ľudia? Kto by mal s touto témou v rámci podniku prísť?

V prvom kroku je veľmi dôležité, aby podnik na túto tému delegoval ľudí, pre ktorých bude kybernetická bezpečnosť prioritou. Bez ohľadu na to, kto to bude iniciovať, je dôležitá podpora zo strany najvyššieho vedenia. Kľúčové je, aby nevznikal boj medzi majiteľmi firmy, jej najvyšším vedením a pracovníkmi, ktorí sa majú o kybernetickú bezpečnosť starať. Ak vedenie spoločnosti nebude vnímať hrozbu kybernetického útoku ako problém, tak sa to možno podarí splniť formálne, papierovo, ale nie reálne.

Rozdiel medzi tým, ako sa má kybernetická bezpečnosť riešiť, a tým, ako sa to dá predstierať, je veľmi veľký. Úloha budovať kybernetickú bezpečnosť a starať sa o ňu by nemala byť zverená pracovníkom, ktorí majú v podniku aj rôzne ďalšie úlohy a môžu byť v konflikte záujmov. V mnohých prípadoch je bezpečnosť v silnom protiklade s jednoduchosťou používania. Obmedzenia, ktoré súvisia s riešením kybernetickej bezpečnosti, musia byť využívané len do takej miery, aby bežným pracovníkom nezväzovali ruky.

Na druhej strane to, že každý má právo prístupu do všetkých sietí a k všetkým systémom, môže znamenať jednoduchosť práce, ale z hľadiska bezpečnosti to nie je v poriadku. No a dôležité je uvedomiť si, že celý proces kybernetickej bezpečnosti sa točí v takom uzavretom kruhu, ktorý zahŕňa prevenciu, detekciu a reakciu.

Prevencia ju súbor opatrení na to, aby incident nenastal, resp. aby sme minimalizovali možnosť vzniku incidentu. Do tejto oblasti spadajú organizačné postupy a nastavenia prístupových matíc, SW/HW prostriedky, firewally a pod. Keď sa už napriek týmto opatreniam stane, že útočník nájde slabé miesto a prelomí našu obranu, je dôležité čo najskôr ho odhaliť. Na to slúži detekcia a rôzne systémy bezpečnostného monitoringu. V prípade objavenia sa indikátora útoku informujú o tejto skutočnosti operátora operačného centra bezpečnosti.

Súčasťou detekcie môžu byť rôzne pokročilé metódy, napr. honeypot („hrniec medu“), čo je vyčlenená časť systému vyzerajúca pre útočníka veľmi lákavo. Ak sa dostane práve na toto miesto, akoby som ho dostal do pasce a mám čas zareagovať na jeho ďalšie aktivity tak, aby som minimalizoval jeho záškodnú činnosť.

Po vyhodnotení situácie a zistení, či bola príčina v technike alebo v ľuďoch, u mňa vo firme alebo útok prišiel cez môjho dodávateľa, prichádza tretia fáza – reakcia. V tej treba adekvátne upraviť opatrenia na prevenciu a detekciu.

Je výrobný podnik schopný zvládnuť analýzu, návrh riešenia a celý životný cyklus kybernetickej bezpečnosti sám, alebo je vhodné na riešenie tejto témy prizvať skúsených a nezávislých odborníkov z danej oblasti?

Sám takúto problematiku môže zvládnuť len naozaj veľký podnik, ktorý, ako som už spomínal, by musel mať na to vyčlenených pracovníkov. Téma kybernetickej bezpečnosti je v dnešnej dobe veľmi silná a získať expertov, ktorí vedia pokryť všetky potrebné špecializácie je náročná úloha. Pred dvadsiatimi rokmi vedeli odborníci pokryť veľa tém naraz. Neskôr sa začali špecializovať na konkrétne podoblasti a postupne sú tie špecializácie čoraz užšie. Vybudovanie komplexného riešenia kybernetickej bezpečnosti s internými pracovníkmi nie je pre väčšinu firiem asi veľmi reálna záležitosť. Je oveľa efektívnejšie vybrať si na to skupinu dodávateľov, z ktorých každý je odborník v tej svojej úzkej špecializácii. Dôležité je, aby tam bol jeden koordinátor na integráciu celého riešenia a nezliepalo sa to z izolovaných kúskov.

Čím sa začína proces vytvárania účinného systému na riešenie kybernetickej bezpečnosti?

Na začiatku treba spraviť analýzu GAP, ktorá vytvorí obraz o skutočnom, aktuálnom stave v danej oblasti v podniku a na základe ktorej sa dajú zadefinovať ciele, ku ktorým sa chceme dostať. Ak podnik spadá do už spomínaného zákona o kybernetickej bezpečnosti, minimálne požiadavky sú stanovené práve týmto legislatívnym rámcom. Ak firma pod tento zákon nespadá, možno si zvoliť nejakú osvedčenú normu, resp. riadiť sa najlepšími skúsenosťami z riešenia kybernetickej bezpečnosti v tom sektore, kde podnik pôsobí.

Treba si však dať pozor na samotný návrh riešenia, nakoľko možno nasadiť celé spektrum bezpečnostných HW/SW mechanizmov takým spôsobom, že to bude pre daný podnik nezmyselné a budú to vyhodené prostriedky. Podnik nefunguje preto, aby primárne riešil kybernetickú bezpečnosť, ale preto, čo je základom jeho podnikania. Preto je pri tvorbe koncepcie kybernetickej bezpečnosti vhodné zapojiť do diskusie aj ľudí, ktorí rozumejú biznis modelu a ekonomike danej firmy.

Vyžaduje si projekt kybernetickej bezpečnosti odstávku systémov, alebo ho možno implementovať bez nejakých zásadnejších prerušení činnosti podniku?

Môže sa to líšiť v závislosti od stavu, v akom sa firma nachádza. Ak je firma v stave, že posledných dvadsať rokov nikto problematiku bezpečnosti alebo vôbec inovácií IT infraštruktúry neriešil, tak si to môže vyžiadať aj nejaké prerušenia. Okrem toho treba vnímať aj to, že zavádzaním takýchto riešení budú interní zamestnanci prechádzať určitou zmenou, s ktorou sa budú musieť vyrovnať. Preto je dôležité zo strany vedenia správne tieto veci odkomunikovať, aby zamestnanci pochopili význam a zmysel zmeny aj pre nich samých.

Sofistikovanosť a zvyšujúci sa počet kybernetických útokov je znamením, že túto tému by nemal prehliadať nikto – počnúc bežnými občanmi až po veľké korporácie. Aké sú teda trendy a perspektívy v oblasti priemyselnej kybernetickej bezpečnosti aj v súvislosti s nástupom technológií, ako je priemyselný internet vecí, cloud a pod.?

Začnem trochu žartom. To písmenko „s“ v skratke IoT znamená „security“. Len škoda, že to „s“ tam nie je smile. Čo sa týka priemyselného internetu vecí, tam sa aspoň v nejakej deklaratívnej rovine o bezpečnosti hovorí. Novšie generácie zariadení majú bezpečnostné nástroje vyriešené lepšie, čiže aj tu ten posun vidno. Trend je nasmerovaný dobre, existujú normy, ktoré sa venujú tejto problematike, existujú technologické riešenia, ktoré sú veľmi kvalitné z hľadiska prevencie aj detekcie. Z hľadiska útokov sa trendy dajú rozdeliť, povedzme, na dve kategórie. Prvou sú štátom sponzorované útoky realizované ofenzívnymi vojenskými kybernetickými zložkami, keď sú použité nástroje a techniky vysoko profesionálne.

Druhou kategóriou sú komerčné kriminálne aktivity. Uvediem opäť reálny príklad z prostredia EÚ. Firma A vyrábala súčiastky, ktoré dodávala ďalšej firme B a tá ich montovala do svojich finálnych výrobkov. V istom momente vyrobila firma A veľkú sériu súčiastok, ktoré boli dosť kvalitné na to, aby prešli ich internou kontrolou kvality, avšak kontrola kvality u odberateľa zrazu zistila nižšiu kvalitu ako v predchádzajúcom období a nepustila ich na ďalšiu montáž. Po analýze príčin firma A konštatovala, že ich riadiace systémy boli kompromitované cieleným útokom takým spôsobom, že interne v danej chvíli nebolo možné zistiť zníženú kvalitu. Po objavení sa problémov s dodávateľom pristúpila firma B na odber daného typu súčiastky od iného dodávateľa, nakoľko si nemohla dovoliť prerušiť svoju výrobu. To je konkrétny príklad ekonomickej sabotáže.

Ďalším nepríjemným útokom objavujúcim sa už aj v priemyselnom prostredí je nasadenie ransomvéru, ktorý dokáže zablokovať údaje umiestnené na disku, pričom ich spätné získanie je podmienené zaplatením „výkupného“. Objavujú sa infekcie, ktoré obchádzajú domácich používateľov a vyberajú si práve priemyselné podniky.

Je cloud potenciálnou bránou na prienik do priemyselného podniku, ktorý ho využíva?

Cloud je príležitosť aj hrozba. Často prevláda názor, že keď mám údaje v cloude, nemám ich pod kontrolou. Preto firmy často volia riešenie, že ukladajú všetky údaje na svoje interné systémy. No potom je tu otázka, či si dokážem ja sám lepšie zabezpečiť ochranu údajov ako poskytovateľ cloudu. Lebo treba povedať, že tí najznámejší poskytovatelia cloudu, ako Amazon, Microsoft či Google, zamestnávajú tých najlepších odborníkov a čelia denne množstvu rôznych hrozieb, ktoré sú schopní úspešne riešiť. Preto je v mnohých prípadoch oveľa ťažšie úspešne preniknúť do cloudu ako do interného riešenia nejakého podniku. Druhý pohľad je, že ak dôjde k nejakému výpadku na strane poskytovateľa cloudu, podnik s tým nič nedokáže urobiť. Preto sú odôvodnené prípady, keď je pre podnik výhodnejšie mať všetky údaje na svojej infraštruktúre. No to, ktoré riešenie je pre podnik lepšie, je niekedy ťažké identifikovať.

Možno sa dopátrať k útočníkom v prípade priemyselnej sabotáže?

Je to možné, ale je to veľmi náročné. Prípadov úspešného vypátrania a navyše aj dokázania viny je veľmi málo. Pomer uskutočnených útokov a tých úspešne vypátraných sa počíta rádovo v niekoľkých málo percentách. Niekto, kto do bezpečnosti neinvestuje, sa oveľa ľahšie stane terčom úspešného útoku, ako ten, kto to systematicky rieši. Zaplátanie možných ciest sťažuje a predražuje celý útok, čo môže nabúrať biznis plán, kvôli ktorému to útočník robí. Ak je totiž zisk z útoku nižší ako prostriedky vynaložené na útok, máme bezpečnosť nastavenú správne. A naopak – pre podnik musí byť bezpečnosť menej nákladná ako potenciálne straty. A to je cieľ.