Provozní technologie: kybernetické útoky

S kybernetickými útoky na provozní technologie se budeme bohužel setkávat stále častěji.

Příčina rostoucího počtu těchto útoků je celkem prostá, spočívá především v připojení těchto systémů do stávající podnikové sítě a zpřístupnění rozhraní těchto systémů přes internet.

A jelikož každá mince má dvě strany, tak i zde platí, že na jedné straně připojením těchto systémů do internetu získáme možnost snadné vzdálené správy včetně okamžité reakce na vzniklou událost, tak na straně druhé tyto systémy vystavujeme riziku kybernetického útoku, protože stejně jako jakékoliv jiné systémy i ony mohou obsahovat zranitelnosti, a také je obsahují.

A zatímco klasické IT se s kybernetickými útoky potýká již mnoho let, tak pro OT je to něco zcela nového. Odhlédneme-li od útoků, kdy došlo k pozměnění firmware anebo kdy došlo k faktickému průniku do objektu a fyzickému přístupu k OT, tak se jejich správci s klasickými kybernetickými útoky na OT zatím nesetkali.

Zde je třeba zdůraznit, že správu OT zpravidla vykonává zcela jiný tým, než ten, který spravuje IT anebo tomu tak alespoň donedávna ve většině podniků bylo. Propojením těchto dvou systémů je více než nutná úzká spolupráce mezi oběma těmito týmy, protože jedině tak je možné vybudovat dostatečně odolný systém a případné kybernetické útoky pak úspěšně zvládnout.

A vzhledem k tomu, k čemu všemu se OT používají, je nasnadě, že hlavní důraz je zde nutné klást především na dostupnost těchto systémů a integritu dat, které přímo ovlivňují správnou funkčnost a spolehlivost OT, a jinde tolik propagovaná důvěrnost zde bude ustupovat tak trochu do pozadí. A vězte, že kromě CIA modelu existuje třeba Parkerian Hexad model, který přesně s tímto počítá, což mimochodem vyvolává otázku, zda by neměl být více využíván.

Z pohledu bezpečnosti je nezbytné zajistit, aby nedošlo ke kompromitaci systému, ze kterého probíhá správa OT a rovněž aby nebyly napadány koncová zařízení a čidla, případně pak i síť, přes kterou probíhá vlastní správa a kontrola.

A to zavedením vhodných bezpečnostních opatření organizační a technické povahy a vyhodnocováním situace v kyberprostoru. Určitě by měl být proveden hardening koncových zařízení, důsledná segmentace sítě, zavedena dvoufaktorová autentizace, striktně řízen přístup, zvládány zranitelnosti.

Ideálně by pak měl probíhat i nějaký ten monitoring. Je třeba si uvědomit, že mnohá koncová průmyslová zařízení se mohou nacházet i ve značných vzdálenostech od sebe a zcela mimo chráněný perimetr organizace a tudíž mohou být fyzicky napadena. Z tohoto důvodu je naprosto nezbytné periodicky kontrolovat jejich dostupnost a vyhodnocovat, zda nedošlo ke změně.

V neposlední řadě by pak mělo být zahájeno i odpovídají soustavné bezpečnostní školení zaměstnanců, kteří stále představují onen nejslabší článek celého systému. Ovšem nemělo by se skončit jen u školení, ale mělo by docházet i k testování a vyhodnocování úspěšnosti těchto školení.

V každém případě byste měli provést analýzu rizik a v případě, že s analýzami rizik nemáte dostatek zkušeností, můžete využít možnosti asistované analýzy rizik. A poté byste měli provést i příslušné bezpečnostní testy, které by měly odhalit příslušné zranitelnosti. A vždy se něco najde.

Je nutné si uvědomit, že v okamžiku, kdy kontrolu nad OT převezme útočník, tak jsou ohroženy nejen životy a zdraví velkého počtu osob, ale i fungování ostatních ekonomických subjektů v důsledku změny provozních parametrů těchto systémů. Je nasnadě, že musí být proto rozhodnuto, v jakém bezpečnostním režimu se bude samotný systém provozovat.

Vzhledem k tomu, že některé podniky provozující OT zároveň provozují i KII, tak je nutné počítat i s tím, že kromě plošných útoků mohou být tyto OT předmětem cílených útoků ze strany organizovaných a rovněž i státem sponzorovaných skupin.

Cílem těchto útoků není zpravidla získání informací, nýbrž fyzické zničení OT a průmyslových systémů, často realizované pouhým zasláním několika naprosto regulérních příkazů, které nejsou detekovány, neboť příslušná pravidla zatím nikdo nenapsal.

Kromě toho může být samotným cílem i pouhé získání kontroly nad danou OT a zajištění persistence. Pak mohou v zásadě nastat dvě situace. V okamžiku, kdy útočník OT kompromituje, tak pak může danou organizaci vydírat tím, že pokud mu nezaplatí, tak její systém shodí anebo zničí.

Anebo pokud se jednalo o státem sponzorovanou skupinu, tak nemusí dělat vůbec nic, avšak svůj přístup k OT si může ponechat čistě za účelem získání převahy pro případ vedení hybridní války, kdy pak může danou OT zničit a tím podstatně ochromit hospodářství dané země.

Byť výše nastíněný scénář zní nejspíš celkem hrozivě, netřeba hned propadat panice, protože kompletní ovládnutí tak složitého systému, jakým jsou OT, nebývá až na výjimky tak triviální záležitostí, jak bývá mnohdy prezentováno některými médii.

Pokud útočník není přímo součástí dodavatelského řetězce anebo samotným zaměstnancem, tak dle aktuální úrovně bezpečnosti v dané organizaci může být různě obtížné přístup k OT získat a takový útok pak probíhá i po dobu několika měsíců a měl by být tudíž detekovatelný i se stávajícími bezpečnostními řešeními.

Pro citování tohoto článku ve své vlastní práci můžete použít následující odkaz:
ČERMÁK, Miroslav, 2020. Provozní technologie: kybernetické útoky. Online. Clever and Smart. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/provozni-technologie-kyberneticke-utoky/. [citováno 07.12.2024].

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky:


K článku “Provozní technologie: kybernetické útoky” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: