Co je připojeno, musí být chráněno
aneb Jak se zbavit nedostatků v zabezpečení průmyslových technologií
Incidenty v oblasti kybernetické bezpečnosti nám neustále dokazují, jak lze zneužít slabá místa v informačních a průmyslových technologiích nebo v jejich propojeních a jak významný dopad mohou mít na výrobu. Útok na jednu část vaší organizace se může jako požár rychle rozšířit i do dalších oblastí.
Průzkum institutu SANS z roku 2019 týkající se výrobních technologií a průmyslových řídicích systémů odhalil hlavní tři kategorie hrozeb v podnicích:
- Zařízení a „věci“ (které se nemohou samy chránit) připojené do sítě
- Vnitřní hrozby (náhodné)
- Vnější hrozby (dodavatelský řetězec nebo partnerství)
Proč jsou průmyslové společnosti na mušce?
Průmyslové společnosti se často potýkají se zastaralou nezáplatovanou infrastrukturou a nedostatkem odborného personálu, který by jim pomohl řídit kybernetická rizika. Útočníci vědí, že tato prostředí mají mnoho slabin a že útok může mít pro napadenou společnost závažné následky.
„Dle mého odhadu je otázkou velmi blízké doby, kdy se začnou rychle rozšiřovat organizované útoky na průmyslové řídicí a informační systémy,“ uvedl Jan Gřunděl ze společnosti Rockwell Automation. „Budou se vyskytovat útoky, které budou cílit na poškození konkrétní společnosti, či určité části technologie. Narozdíl od IT, kde útok způsobí „pouze“ zastavení práce společnosti, ztrátu nebo odcizení dat; útok na průmyslovou infrastrukturu (OT) může ve svém důsledku zapříčinit fyzické poškození strojů a zařízení i újmu na zdraví.“, dodal Gřunděl.
Otázkou je, proč mají společnosti s řešením tohoto problému potíže?
Většina prostředí průmyslové automatizace je nedostatečně spravována. Pokud nevíte, co je v daném prostředí připojeno, nemůžete to zabezpečit. Týmy zabývající se informačními a provozními technologiemi spolu musí začít spolupracovat a vyplnit tyto mezery společně s odborníky v oboru.
„Technologická infrastruktura se často ve firmách rozrůstala bez koncepce, evidence a bez bezpečnostní strategie. Jednotlivé součásti (často zastaralé a nezáplatované) byly v sítích okamžitě viditelné a dostupné komukoli. To mohlo mít i jisté výhody, například při nutnosti okamžitého zásahu a úpravy. Bezpečnostní rizika byla však bezprecedentní, a to jak z hlediska snadného útoku, tak z hlediska nemožnosti kontroly a řízení přístupů a změn. S bezpočtem podobně nebezpečných a zranitelných systémů se stále setkáváme,“ řekl Gřunděl.
Prosazují vaše týmy různé priority týkající se zabezpečení? Potýkáte se s nedostatky v bezpečnostní strategii? Nejsou role v oblasti zabezpečení jasně definované? Pracují vaši zaměstnanci kvůli koronaviru vzdáleně, a ještě více tak ohrožují vaši infrastrukturu neznámými zařízeními a nezabezpečeným připojením?
Co je připojeno, musí být chráněno
Prvořadým zájmem by mělo být zavedení prvků bezpečnostní ochrany v rámci celého výrobního ekosystému, od jednotlivých komponent až po celou stopu závodu, včetně propojení na vlastní podnik, dodavatelský řetězec a třetí strany.
Problémem je, že mnoho lidí vnímá zabezpečení jako pojištění. Doufáte, že se nic špatného nepřihodí, ale uzavřete pojištění, aby vás to nepoložilo, kdyby se přece jen něco událo. Jak se ale pojistit proti poškození dobrého jména společnosti v důsledku útoku softwaru požadujícího výkupné?
Stejně jako v případě pojištění žádáte o peníze, abyste minimalizovali důsledky události, ke které doufáte, že nikdy nedojde. A proto může být těžké toto řešení prosadit. Zabezpečení nic nevyrábí. Zabezpečení nezvyšuje rychlost nebo účinnost.
„Avšak, kromě minimalizace bezpečnostních rizik nám správně navržená a implementovaná infrastruktura může také snížit výpadky a poskytnout potřebnou datovou propustnost a škálovatelnost. To se ve svém důsledku může pozitivně projevit na ziskovosti celého podniku,“ upřesnil Gřunděl.
Priorita digitální transformace
Kybernetická bezpečnost je pro digitalizaci podniku klíčová. Zatímco využíváte výhod digitálního světa, je třeba zároveň řídit související digitální rizika všech prvků po celou dobu jejich životního cyklu.
Cílem je vytvořit bezproblémový digitální prostor pro data – od veškerého dění přes samotnou výrobu produktu, přes výzkum a vývoj až k samotné výrobě, dodávce a provozu produktu v praxi. Jde o celý dodavatelský řetězec.
Odhalte své nedostatky
Digitalizace vyžaduje integrovaný tok dat a schopnost identifikovat nedostatky – a jak tyto nedostatky a úložiště mohou přispět k výskytu kybernetických hrozeb. Za chyby se tvrdě platí. Abyste se jim vyhnuli, je nutné investovat do lidí, strojního vybavení, znalostí a odborné přípravy:
- Lidé: investice do odborníků, zvyšování povědomí vedoucí ke změně postoje všech zaměstnanců – kybernetická bezpečnost je odpovědností všech.
- Strojní vybavení: například podrobné strategie pro síťové struktury, zásady vzdáleného přístupu, správa životního cyklu aktiv a mnoho dalšího.
- Znalosti: povědomí o rizicích, ohrožení slabých míst a útočnících, představa o tom, jak útoky probíhají a jaké druhy útoků mohou nastat.
- Odborná příprava: například simulace kybernetických incidentů, které nabízejí prostor pro realizaci výše uvedeného v adrenalinem nabitém scénáři.
Komplexní přístup
Plně propojený podnik vyžaduje komplexní přístup k průmyslovému zabezpečení.
Tento přístup zahrnuje zásady a postupy týkající se lidí, procesů a s technologiemi souvisejících rizik. Složitý propojený systém s sebou přináší jisté nástrahy. Zásadní je zde porozumět možným rizikům a začít budovat adaptivní kybernetickou strategii v rámci svých řídicích systémů průmyslové automatizace.
V případě průmyslových aktiv je nutné uplatnit hloubkové zabezpečení, které bude bojovat proti vnitřním i vnějším bezpečnostním hrozbám. Architektura hloubkového zabezpečení vychází z myšlenky, že přemoci lze kteroukoli část ochrany. Tento přístup využívá fyzické, elektronické a procesní vrstvy ochrany a uplatňuje vhodné řídicí prvky, které se zaměřují na různé druhy rizik.
„Komplexní problematika kybernetické bezpečnosti často přerůstá „In-House“ schopnosti a možnosti výrobních společností. Realizace a řízení celého souboru nutných aktivit a opatření vlastními zdroji je nákladná. Firmy se na nás stále častěji obracejí pro řešení konkrétních jednotlivých úkolů, ale také i s žádostmi na návrh, implementaci a management celé své OT infrastruktury. Zákazníci se potřebují věnovat jen aktivitám, kterými vytvářejí svůj zisk. Zejména problematiku kybernetické bezpečnosti a OT infrastruktury stále častěji svěřují nám právě proto, aby se mohli soustředit jen na své expertní dovednosti,“ uzavřel Jan Gřunděl z Rockwell Automation.
 |
Gert Thoonen Autor článku je Business Development Specialist společnosti Rockwell Automation. |
