Velké množství firem (nejen) v českém průmyslu zatím nevěnuje dostatek pozornosti kybernetické bezpečnosti. Podceňují tak riziko a své výrobní linky i jejich řídicí systémy nechávají částečně nebo i zcela bez ochrany. Navíc vystavené do veřejného internetu. „Touto laxností tak doslova otevírají dveře kyberútočníkům, kteří mohou nad systémy získat absolutní kontrolu a způsobit značné škody,“ říká Martin Lohnert, ředitel centra kybernetické bezpečnosti Void SOC ve společnosti Soitron.
Ve vašem centru kybernetické bezpečnosti probíhá velmi zajímavý výzkum, v jehož rámci se zaměřujete na monitoring průmyslových zařízení v internetu. Jak je rozlišujete od počítačů, tabletů či jiných IT komponent? Průmyslových zařízení je více než sto typů, jsou to různé stroje, přístroje či celé systémy, které mají jedno společné: komunikují pomocí specifických jazyků, nebo jinak řečeno různými specifickými protokoly, díky čemuž dokážeme odhalit, že to, co vidíme, není obyčejný notebook či telefon. Naši analytici pracují pouze s veřejně dostupnými daty, při výzkumu nedochází k žádným krokům, které by naplňovaly pojem hacking. Pouze sledujeme veřejný prostor a čekáme, zda tam na tuto specifickou komunikaci narazíme. A bohužel ji nacházíme nepříjemně často. Aktuálně jsme v ČR odhalili více než 1 600 průmyslových systémů, které jsou dostupné z internetu bez jakéhokoliv zabezpečení. Navíc tyto systémy o sobě sdělují hodně informací, takže lze například určit, kde se nacházejí. Vytvořili jsme proto mapu všech těchto odhalených řídicích systémů a zjistili jsme, že vůbec nejde o lokální problém. Takto nezabezpečená zařízení jsou rozprostřena po celém českém území. Třeba jen v Praze jsme jich objevili přes 170.
Dokážete rozpoznat, na jaká nezabezpečená zařízení či systémy se díváte? Víme, že některé tyto řídicí systémy slouží k ovládání osvětlení či klimatizace v budovách, ale některé řídí výrobu, jiné ovládají parkoviště. Jiné zase mohou řídit operace v mrazírnách či skladech, takže nemusí jít přímo jen o výrobní linky. Dokud se ale nepodíváme přímo do něj, tak jejich přesnou úlohu neznáme. Každopádně důvodem, proč jsou řídicí systémy i stroje samotné přístupné po síti, může být například fakt, že odesílají nějaké informace, přičemž příjemcem může být jak management firmy nebo vedoucí výroby, tak i výrobce zařízení kvůli vzdálenému servisu. Nebo může jít o výměnu informací mezi stroji samotnými. Tyto důvody jsou samozřejmě legitimní, ale je potřeba, aby byly systémy i komunikace zabezpečené.
Kromě toho, že jsou tyto systémy a zařízení volně dostupné každému takzvaně z obýváku, jsou zranitelné ještě jinak? Mnohé systémy a zařízení používají klidně i 15 let staré verze softwaru či firmwaru, což je z bezpečnostního pohledu vlastně naprosto neuvěřitelné. V českém, ale i slovenském (Soitron působí i na Slovensku) průmyslu je toto opravdu celkem běžný obrázek. Některé systémy mají například natolik důležitou funkci, že ovládají i celou výrobní linku, je proto složité je odstavit kvůli řešení na první pohled nedůležité aktualizace. Nebo vše zdánlivě funguje, jak má, a tak do toho raději nikdo nechce sahat. Jenže pokud je systém zastaralý, je extrémně zranitelný. A to nejen kvůli svým vlastním bezpečnostním chybám, ale také z důvodu jejich oprav. S každou aktualizací totiž výrobce informuje o tom, že daný software či firmware měl problém, který se podařilo odstranit. Útočník tak má kvůli nedostatečnému či nulovému zabezpečení otevřený vstup do systému, a ještě přímo na stránkách výrobce najde informace o tom, kde konkrétně se chyby nacházejí. Dostane tak dokonalou mapu s přesně vyznačenými body, a ví přesně, kudy má jít, aby byl úspěšný.
Jenže firmy si riziko vůbec neuvědomují, často argumentují tím, že nejsou ničím zajímavé proto, aby jim někdo v kyberprostoru ublížil. Jaká je vlastně pravděpodobnost, že se stanou obětí útoku? To, zda máte takto dostupný systém z internetu, se dá opravdu zjistit velmi snadno a z informace se stane velké lákadlo. Útočník přitom vůbec nemusí být profesionál, který jedná v zájmu organizované skupiny, nebo dokonce jiného státu. Může jít o obyčejného studenta střední školy, který si chce hrát a zkoušet, co už dokáže. Navíc v internetu existuje hodně různých škodlivých softwarů, které automaticky vyhledávají tyto otevřené dveře, a jsou naprogramované tak, aby je určitým způsobem zneužily, pokud je najdou. Takže když má firma řídicí systém otevřený a přístupný bez jakéhokoliv zabezpečení, je podle mě jen otázkou času, kdy jej takový software najde a zaútočí. Máte pravdu v tom, že zejména menší firmy si riziko cíleného útoku třeba z důvodu nekalé konkurence téměř nepřipouštějí, a s náhodnými útoky nepočítají už vůbec. Navíc, pokud třeba řídicí systém ovládá jen rampu na parkovišti, nepovažuje jej nikdo za podstatný a hodný ochrany. Přitom však může fungovat jako přestupní stanice, bývá totiž často součástí interní sítě. Pokud se tedy někdo z internetu dostane do tohoto systému, má zároveň přístup do podnikové vnitřní sítě a může se šířit na další, daleko důležitější systémy. A co víc, pokud útočník vidí, že systém není vůči internetu nijak zabezpečený, může si udělat celkem dobrou představu o tom, jak jsou na tom s bezpečností právě i další součásti infrastruktury. Podle statistik, které máme k dispozici, je průměrná doba, než se ve firmě odhalí průnik do systému, neuvěřitelných 214 dnů. Po celou tu dobu si tak útočník může dělat v síti doslova, co chce.
Překvapuje mě, že si tato rizika lidé v IT oddělení ve firmách neuvědomují, případně nezjednají ihned nápravu. Jak je to možné? Problém je v tom, že péče o průmyslové systémy není součástí kompetencí běžného IT oddělení. Tito specialisté se starají o servery, připojení na internet, přístupy zaměstnanců do aplikací, které potřebují k práci a podobně, ale svět průmyslu bývá často oddělený. Nemyslím tím, že by šlo o jinou síť, ale to, že dodavatel firmě nainstaluje novou výrobní linku, přičemž její správu a údržbu nedostane na starosti IT oddělení, ale většinou si oblast servisu nechává dodavatel. Čili linka se nainstaluje, a pokud funguje, jak má, aktualizace a bezpečnost nikdo neřeší. Tedy pokud není dodavatel v tomto ohledu spolehlivý, vznikají tyto bezpečnostní chyby. Navíc nesmíme zapomenout na to, že investice většího rozsahu se soutěží, a hlavním kritériem bývá téměř vždy cena. Dodavatel, aby zakázku získal, cenu nezvykle poníží, jenže pak musí při plnění dělat kompromisy. Solidní bezpečnostní řešení a pravidelný servis samozřejmě stojí peníze a tím, jak firmy s riziky nepočítají, nechtějí do kyberbezpečnosti investovat. Je to takový začarovaný kruh. Přitom prevence by je jednoznačně v součtu vyšla levněji než nenadálý incident a jeho řešení.
Jsou výsledky vašeho výzkumu doménou jen menších firem, nebo takové minely dělají i velké průmyslové podniky? Větší riziko laxního přístupu ke kyberbezpečnosti je jednoznačně u malých firem, které nemají tolik prostředků, aby si mohly platit specialisty. Navíc u nich bývá častěji problém s tím, že nepovažují tyto hrozby za podstatné, nemají o riziku povědomí. U nadnárodních koncernů a velkých podniků je to jinak. Tam už si management riziko uvědomuje dobře a snaží se svou infrastrukturu i data ochránit. Jenže platí, že čím větší firma, tím složitější prostředí, které je pak náročnější uhlídat. Navíc tam častěji dochází ke zmatkům a třeba také k tomu, že se na něco zapomene. Mají velké množství linek, strojů i systémů, proto je přehlédnutí nějakého rizika vlastně velmi snadné.
Může útočník po proniknutí do takto nezabezpečeného řídicího systému měnit nastavení výrobních parametrů nebo třeba ovlivňovat chod linky jako takové? Samozřejmě že může. Pokud se do systému dostane, stává se adminem a může využít všechny funkce, které mu software nabízí. Při našem pozorování jsme narazili nejen na chladírny, v jejichž systému bylo možné měnit teplotu mrazáků, ale také na řízení vodních i solárních elektráren. U druhých jmenovaných se na chvilku zastavím. Objevili jsme zhruba 20 takových systémů, kde evidentně selhal dodavatel. Systémy dokonce zobrazovaly varování, že není nastavené žádné heslo, informoval o tom, že se bez něj může dovnitř dostat kdokoliv, a pokud chtěl jít uživatel dále, musel odsouhlasit, že tyto informace bere na vědomí. Znamená to, že ten, kdo systém zaváděl, si s tímto zkrátka vůbec nelámal hlavu, varování odsouhlasil a dál se o věc nestaral a nestará. A ani management elektrárny, ani IT oddělení vůbec nemusejí tušit, že mají v provozu systém s takovou bezpečnostní chybou. Narazili jsme také na poměrně velký český pivovar, který měl takto dostupný řídicí systém svých linek. Kdokoliv se tedy mohl podívat, jak konkrétně vypadá výroba, měl ji jako na dlani a v pohybu. To ale nebylo všechno, v systému byla i dvě tlačítka, jedno pro nouzové a druhé pro standardní vypnutí celé linky. Myší na dálku tak bylo možné provoz kompletně zastavit, aniž by někoho napadlo, že za tím není technický problém, ale kybernetický útok.
Snažili jste se s těmito firmami nějak spojit a informovat je o tom, že mají své řídicí systémy takto ohrožené? Pokud jsme schopní vypátrat konkrétní subjekt, tak je kontaktujeme, a tyto informace jim samozřejmě předáváme. Je ale zajímavé, že naše snaha o kontakt zmíněného pivovaru nebyla úspěšná. Urgovali jsme je několikrát a neměli jsme odezvu. Za čas jsme zjistili, že modernizovali výrobu, implementovali dokonce nový systém a k našemu překvapení jej opět zcela nezabezpečený vystavili světu. A samozřejmě nechybělo ani tlačítko pro nouzové zastavení linky. Systém měl také k dispozici mnoho různých funkcí a voleb, kterými se dalo měnit množství výrobních parametrů. Pokud by se k takovému systému dostal útočník a začal si s nastavením hrát, mohlo by to mít dalekosáhlé důsledky nejen ekonomického charakteru, ale v potravinářství by mohlo dojít i k ohrožení veřejného zdraví.
Pomohlo by, kdyby firmy do svých standardních IT oddělení hledaly specialisty, kteří rozumějí světu průmyslového IT? Bylo by to skvělé. Jenže realita je taková, že i běžných IT specialistů je na trhu zoufale málo a těch, kteří jsou v rámci IT ještě experti na kyberbezpečnost, je už opravdu jako šafránu. Jde totiž o multioborovou disciplínu vyžadující znalosti i zkušenosti z oblasti počítačových sítí, operačních systémů, aplikací i programování. Takový člověk musí mít analytické myšlení, zároveň však také kreativitu. A najít mezi takovými odborníky člověka, který se navíc orientuje ve SCADA systémech, zná průmyslové standardy typu IEC 62443, protokoly Modbus i OPC, je prakticky nemožné. Proto si myslím, že než se zaseknout u toho, že takoví lidé nejsou, a rezignovat, je lepší si experty vychovat z vlastních zdrojů. Vytipovat si konkrétní lidi a těm nabídnout veškeré dostupné formy vzdělávání tak, aby se z nich časem stali opravdu IT specialisté pro průmyslová řešení. Případně je ještě variantou spolupracovat s někým, kdo takové odborníky má.
Jak vlastně bezpečnostní otázky řešit, pokud si bude chtít podnik pomoci sám? Dokáže útokům zabránit? Určitě dokáže riziko minimalizovat, ale vedení musí mít povědomí o tom, že riziko kyberútoku existuje, a také mít vůli se situací zabývat. Pokud k tomu nebude otevřené, IT oddělení nic nezmůže. Jestliže se ale firma rozhodne, že se do oblasti bezpečnosti pustí pořádně, je třeba si nejprve udělat důkladný interní audit, který odhalí stav věcí, dále pracovat se zaměstnanci, vzdělávat je v zásadách bezpečnosti při práci s počítačem, proškolit si i lidi z IT oddělení a pak si vybrat jednu bezpečnostní strategii či ideálně směřovat k certifikaci podle mezinárodních standardů. Pomůže ale, i když není cílem samotný akt certifikace a pracuje se jen podle certifikační metodiky. Ani to však neznamená, že si lze po zavedení opatření oddechnout. Kyberbezpečností je třeba se zabývat neustále. Firma by měla průběžně monitorovat, co se v podniku děje. Jedině tak se vyhne tomu, aby se jí v infrastruktuře útočník skrýval dlouhé měsíce bez povšimnutí. /Kristina Kadlas Blümelová/
