Doteraz ste mali IoT zariadenia. Dnes sú to potenciálne ciele útoku
Kybernetické incidenty tak ako ich poznáme, vstupujú do omnoho významnejších súvislosti. Zoberme si príklad – taká neoprávnená zmena údajov napríklad v účtovníctve je náročný incident, ale dá sa prekonať. Ale neoprávnená zmena údajov v priemyselných systémoch a špeciálne v bezpečnostných systémoch môže mať likvidačné následky. Hovoríme totiž o zdravotníctve, chemickom priemysle, vodárenstve a všetkých dodávateľoch energie.
Priemyselná bezpečnosť
Nová vyhláška o bezpečnostných opatreniach ku kyberzákonu zvyšuje nároky na priemyselnú bezpečnosť. Úlohou je chrániť dve prosredia, ktoré sa správajú odlišne. Bezpečnosť IT prostredia sa už “dostala pod kožu” nielen profesionálom, ale aj manažmentu.
Priemyselná bezpečnosť, ktorej úlohou je chrániť prostredie aj ľudí sa stretáva s novými hrozbami a rizikami. Napríklad IoT zariadenia prinášajú riziká a hrozby typické pre ítečko. Všetky tieto fakty kontinuálne zvyšujú nároky na počet odborníkov a ich vzdelanie.
Bezpečnosť predbieha skriptá a preto je výmena skúseností nevyhnutná a dokonca aj veľmi vzácna. Na špecializované školení v Singapure som tretol som profesionálov, ktorí riešia incidenty s rokmi praxe a preto bola pre mňa prínosom najmä skúsenosti z praxe.
Čítanie s porozumením
Novou úlohou pre tradičnú priemyselnú bezpečnosť je čítanie threat intelligence, čiže reportov bezpečnosti. Presne povedané, nielen čítať reporty, ako schopnosť extrahovať konkrétne indikátory a aplikovať ich na vlastné prostredie. V reporte nájdu hrozby relevantné pre ich prostedie, informácie o kyberzločineckých skúsenostiach, vzorce útočného správania a správy o kyberincidentoch v segmente. Pre čitateľa je report návodom, kam upriamiť pozornosť a zdroje v bezpečnosti.
Základom ochrany systémov a následne aj reakcie na incident je vedieť, čo chránime, koľko toho je a ako ochranné opatrenie už máme. Ak sa čudujete nad takými samozrejmými otázkami, verte, že vychádzajú z praxe.
Kľúčovým momentom je pochopenie viditeľnosti. Mnohé organizácie v skutočnosti nevedia, aké zariadenia majú pripojené v sieti. PLC jednotky, HMI rozhrania či rôzne IoT zariadenia fungujú roky bez zmeny, mimo pozornosti IT oddelenia.
Detekcia útokov
V priemyselných systémoch je komunikácia stabilná a predvídateľná, čo znamená, že akákoľvek odchýlka môže signalizovať problém.
Analýza historických útokov, ako bol Stuxnet či TRISIS, ukázala, že útočníci sofistikovane manipulujú výrobnú predvádzku. Zákernosť útoku v tom, že riadiace systémy nedokážu zobraziť tieto odchýlky v reálnom procese. Napríklad v Stuxnete kontinuálne jemne zvyšovali otáčky centrifúg, až k ich zničeniu.
Takže tradičné bezpečnostné nástroje tu nestačia a monitoring musí byť prispôsobený špecifikám priemyselných systémov. Ďalším rozmerom takého typu útoku je spoločenský kontext útoku, čím sa dostávame k naliehovosti téme pre súčasnosť.
V praxi znamená detekcia útoku vedieť nezvyčajné správanie, identifikovať kompromitované zariadenie a analyzovať správanie malvéru. Následne po zastavení útoku treba pripraviť detekčné pravidlá, ktoré dokážu zachytiť podobný útok v budúcnosti.
V praktickom cvičení sme pracovali s reálnym riadiacim systémom a zistil, aké náročné je identifikovať všetky aktíva a ich vzájomnú komunikáciu. A aj napriek tomu platí, že neexistuje iba jedno správne riešenie. Každý firma, organizácia a segment majú svoje špecifiká.
Vytiahnuť kábel?
Najväčší rozdile však nastáva pri incidente response. V tradičnom IT je kybernetický incident často riešený odpojením systému. V prostredí riadiacich systémov to však môže znamenať zastavenie výroby, výpadok elektriny pre obyvateľov a organizácie alebo ohrozenie pacienta.
Treba rozhodovať, či je bezpečné pokračovať v prevádzke alebo systém odstaviť. Nie je to čisto technické rozhodnutie, je to kombinácia analýzy dát, pochopenia prostredia a zodpovednosti voči prevádzke.
Takže stojíme pred otázkou: Vypnúť alebo nevypnúť? V prípade kybernetického incidentu je to manažérske rozhodnutie založené na dátach. A definitívne rozhoduje rozhoduje riaditeľ prevádzky, nie riaditeľ bezpečnosti.
Zhodné, ale nie rovnaké
Špecifikom priemyselnej bezpečnosti je napríklad prístup k riešeniu malvéru. V prípade IT zavírený počítač obnovím zo zálohy a hneď. Ak však ide o priemyselnú bezpečnosť, často musíme čakať na plánovanú údržbu a kompromitovaný komponent “držíme v izolácii” a neustále ho monitorujeme.
Bezpečnosť priemyselných systémov nie je len o splnení štandardov alebo audite. Je to schopnosť vidieť vlastné prostredie, rozumieť jeho fungovaniu a reagovať na incident bez toho, aby bola ohrozená samotná prevádzka. V kontexte dnešných hrozieb, ktoré cielia na kritickú infraštruktúru, ide o schopnosť, ktorá presahuje IT a stáva sa otázkou riadenia organizácie.
Marián Illovský
partner pre auditné služby Cyllium