Ako sú na tom slovenské firmy?
Počas leta sme vo Void SOC robili výskum, ktorý mal za cieľ zistiť, ako sú na tom priemyselné riadiace systémy - ICS (industrial control systems) na Slovensku. Naši odborníci na kybernetickú bezpečnosť použili jednoduchý nástroj, ktorý zobrazuje informácie o zariadeniach pripojených do internetu. V nich sme hľadali špecifické znaky komunikácie používané práve ICS. Takto sa nám podarilo nájsť až 509 riadiacich systémov, ktoré komunikovali s internetom a vykazovali znaky slabého zabezpečenia pred možným hackerským útokom.
V praxi to znamená, že aj bez akéhokoľvek „prieniku“ do systému (čiže žiadne hacknutie danej firmy, uhádnutie prístupového hesla a pod.) videli naši bezpečnostní analytici možnosť ako jednoducho čítať dáta z týchto 509 systémov. Niektoré dokonca publikovali dáta priamo v užívateľsky príjemnom (grafickom) rozhraní – bez prihlasovania, overovania či akéhokoľvek zabezpečenia. Na obrazovke sa im objavil napríklad riadiaci systém monitoringu emisií priemyselnej firmy (hlásiaci prekročenie stanovených limitov), ovládanie chladiarenských skladov, či napríklad výzva na zadanie užívateľského mena a hesla pre ovládací systém fotovoltaickej elektrárne.
Ukazka verejne dostupneho ICS v mraziarnach Zdroj: Void SOC
Verejne dostupny ICS cisticky odpadovych vod
Verejne dostupny ICS fotovoltaickej elektrarne
Problémom je, že rovnako ľahko sa k týmto ICS dostane aj neetický hacker alebo program (malware), ktorý plne automatizovane prehľadáva globálny internet s cieľom nájsť práve takto nezabezpečené systémy. Dôsledky si asi každý vie predstaviť. Zastavenie výroby hackerom je možno ešte tá lepšia alternatíva.
Podľa našich diskusií s priemyselnými firmami môže byť oveľa väčšou katastrofou drobný, cielený a nepozorovaný zásah. Predstavte si že vám niekto nebadane upraví parametre vami vyrábaného produktu vo výrobnej linke – napríklad zmení želané rozmery výrobku mimo tolerancie a vypne hlásenia, ktoré vás majú na chybu upozorniť. A vy spokojne dni, týždne, a možno aj mesiace vyrábate zlý komponent. V priemere totiž trvá až 214 dní, kým sa hackerský prienik do firemných systémov zistí. A za ten čas môže útočník (či škodlivý softvér) spôsobiť ekonomické, ale aj reputačné škody, z ktorých sa firma nemusí zotaviť nikdy..
Veď máme antivírus...
Veľa firiem sa pri otázke o kybernetickej bezpečnosti cíti bezpečne, pretože má nasadené základné ochranné prvky ako antivírus či firewall. Takýto pocit bezpečia je ale falošný. Dobrý antivírus čiastočne ochráni váš počítač, ale nestačí na obranu pred pokročilými útokmi. A váš priemyselný riadiaci systém a ďalšie zariadenie v sieti neochráni vôbec.
A ako sa správne chrániť?
V prvom rade musí byť téma kybernetickej bezpečnosti rovnakou témou na porade vedenia, ako je zavádzanie Industry 4.0 do výrobného procesu. Dôsledná implementácia Industry 4.0 by znamenala aj zavedenie bezpečnostných opatrení, ktoré tvoria jeden z jeho pilierov. Spoločnosti si musia začať vnímať reálne riziko kybernetických útokov a uvedomiť si, že selektívne nakúpenie hardvérových alebo softvérových riešení problém nevyrieši. Je nutné sa mu venovať komplexne a kontinuálne. Nie je to len o tom, ako sa správajú vaši zamestnanci, alebo či máte inštalované bezpečnostné prvky. Je to o tom, aby tieto prvky správne fungovali, ale napríklad aj o tom, aby vám subdodávateľ starajúci sa o údržbu zariadení vo výrobnej linke, alebo kancelárskych zariadení, nechtiac nepriniesol vírus, alebo iný škodlivý softvér na USB kľúči.
Druhým krokom je určite monitorovať a aktívne reagovať na možné hrozby. Nestačí to pridať do zodpovedností vášmu preťaženému IT pracovníkovi, ktorý už tak rieši všetko od nákupu a správy počítačov až po opravy na prevádzke. Výrobcovia totiž publikujú zraniteľnosti, ktoré ich produkty (aj tie bezpečnostné) majú. Ak vaše preťažené IT oddelenie nestíha držať krok s aktualizáciami a novými trendami, nedržia krok ani s hackermi. Útočníci nepočkajú, kým ráno prídete do práce, potrebujete riziká sledovať a reagovať na ne 24 hodín denne. V opačnom prípade môžete aj vy ráno prísť do vypnutej fabriky.
P.S. Firmy, ktoré sa nám podarilo identifikovať sme kontaktovali a upozornili na možné bezpečnostné riziká.
