Velké množství firem (nejen) v českém průmyslu zatím nevěnuje dostatek pozornosti kybernetické bezpečnosti. Podceňují tak riziko a své výrobní linky i jejich řídicí systémy nechávají částečně nebo i zcela bez ochrany. Navíc vystavené do veřejného internetu. „Touto laxností tak doslova otevírají dveře kyberútočníkům, kteří mohou nad systémy získat absolutní kontrolu a způsobit značné škody,“ říká Martin Lohnert, ředitel centra kybernetické bezpečnosti Void SOC ve společnosti Soitron.
Ve vašem centru kybernetické bezpečnosti probíhá velmi zajímavý výzkum, v jehož rámci se zaměřujete na monitoring průmyslových zařízení v internetu. Jak je rozlišujete od počítačů, tabletů či jiných IT komponent?
Průmyslových zařízení je více než sto typů, jsou to různé stroje, přístroje či celé systémy, které mají jedno společné: komunikují pomocí specifických jazyků, nebo jinak řečeno různými specifickými protokoly, díky čemuž dokážeme odhalit, že to, co vidíme, není obyčejný notebook či telefon.
Naši analytici pracují pouze s veřejně dostupnými daty, při výzkumu nedochází k žádným krokům, které by naplňovaly pojem hacking. Pouze sledujeme veřejný prostor a čekáme, zda tam na tuto specifickou komunikaci narazíme. A bohužel ji nacházíme nepříjemně často. Aktuálně jsme v ČR odhalili více než 1 600 průmyslových systémů, které jsou dostupné z internetu bez jakéhokoliv zabezpečení. Navíc tyto systémy o sobě sdělují hodně informací, takže lze například určit, kde se nacházejí. Vytvořili jsme proto mapu všech těchto odhalených řídicích systémů a zjistili jsme, že vůbec nejde o lokální problém. Takto nezabezpečená zařízení jsou rozprostřena po celém českém území. Třeba jen v Praze jsme jich objevili přes 170.
Dokážete rozpoznat, na jaká nezabezpečená zařízení či systémy se díváte?
Víme, že některé tyto řídicí systémy slouží k ovládání osvětlení či klimatizace v budovách, ale některé řídí výrobu, jiné ovládají parkoviště. Jiné zase mohou řídit operace v mrazírnách či skladech, takže nemusí jít přímo jen o výrobní linky. Dokud se ale nepodíváme přímo do něj, tak jejich přesnou úlohu neznáme.
Každopádně důvodem, proč jsou řídicí systémy i stroje samotné přístupné po síti, může být například fakt, že odesílají nějaké informace, přičemž příjemcem může být jak management firmy nebo vedoucí výroby, tak i výrobce zařízení kvůli vzdálenému servisu. Nebo může jít o výměnu informací mezi stroji samotnými. Tyto důvody jsou samozřejmě legitimní, ale je potřeba, aby byly systémy i komunikace zabezpečené.
Kromě toho, že jsou tyto systémy a zařízení volně dostupné každému takzvaně z obýváku, jsou zranitelné ještě jinak?
Mnohé systémy a zařízení používají klidně i 15 let staré verze softwaru či firmwaru, což je z bezpečnostního pohledu vlastně naprosto neuvěřitelné. V českém, ale i slovenském (Soitron působí i na Slovensku) průmyslu je toto opravdu celkem běžný obrázek. Některé systémy mají například natolik důležitou funkci, že ovládají i celou výrobní linku, je proto složité je odstavit kvůli řešení na první pohled nedůležité aktualizace. Nebo vše zdánlivě funguje, jak má, a tak do toho raději nikdo nechce sahat. Jenže pokud je systém zastaralý, je extrémně zranitelný. A to nejen kvůli svým vlastním bezpečnostním chybám, ale také z důvodu jejich oprav. S každou aktualizací totiž výrobce informuje o tom, že daný software či firmware měl problém, který se podařilo odstranit. Útočník tak má kvůli nedostatečnému či nulovému zabezpečení otevřený vstup do systému, a ještě přímo na stránkách výrobce najde informace o tom, kde konkrétně se chyby nacházejí. Dostane tak dokonalou mapu s přesně vyznačenými body, a ví přesně, kudy má jít, aby byl úspěšný.
Jenže firmy si riziko vůbec neuvědomují, často argumentují tím, že nejsou ničím zajímavé proto, aby jim někdo v kyberprostoru ublížil. Jaká je vlastně pravděpodobnost, že se stanou obětí útoku?
To, zda máte takto dostupný systém z internetu, se dá opravdu zjistit velmi snadno a z informace se stane velké lákadlo. Útočník přitom vůbec nemusí být profesionál, který jedná v zájmu organizované skupiny, nebo dokonce jiného státu. Může jít o obyčejného studenta střední školy, který si chce hrát a zkoušet, co už dokáže.
Navíc v internetu existuje hodně různých škodlivých softwarů, které automaticky vyhledávají tyto otevřené dveře, a jsou naprogramované tak, aby je určitým způsobem zneužily, pokud je najdou. Takže když má firma řídicí systém otevřený a přístupný bez jakéhokoliv zabezpečení, je podle mě jen otázkou času, kdy jej takový software najde a zaútočí.
Máte pravdu v tom, že zejména menší firmy si riziko cíleného útoku třeba z důvodu nekalé konkurence téměř nepřipouštějí, a s náhodnými útoky nepočítají už vůbec. Navíc, pokud třeba řídicí systém ovládá jen rampu na parkovišti, nepovažuje jej nikdo za podstatný a hodný ochrany. Přitom však může fungovat jako přestupní stanice, bývá totiž často součástí interní sítě. Pokud se tedy někdo z internetu dostane do tohoto systému, má zároveň přístup do podnikové vnitřní sítě a může se šířit na další, daleko důležitější systémy. A co víc, pokud útočník vidí, že systém není vůči internetu nijak zabezpečený, může si udělat celkem dobrou představu o tom, jak jsou na tom s bezpečností právě i další součásti infrastruktury.
Podle statistik, které máme k dispozici, je průměrná doba, než se ve firmě odhalí průnik do systému, neuvěřitelných 214 dnů. Po celou tu dobu si tak útočník může dělat v síti doslova, co chce.
Překvapuje mě, že si tato rizika lidé v IT oddělení ve firmách neuvědomují, případně nezjednají ihned nápravu. Jak je to možné?
Problém je v tom, že péče o průmyslové systémy není součástí kompetencí běžného IT oddělení. Tito specialisté se starají o servery, připojení na internet, přístupy zaměstnanců do aplikací, které potřebují k práci a podobně, ale svět průmyslu bývá často oddělený. Nemyslím tím, že by šlo o jinou síť, ale to, že dodavatel firmě nainstaluje novou výrobní linku, přičemž její správu a údržbu nedostane na starosti IT oddělení, ale většinou si oblast servisu nechává dodavatel. Čili linka se nainstaluje, a pokud funguje, jak má, aktualizace a bezpečnost nikdo neřeší. Tedy pokud není dodavatel v tomto ohledu spolehlivý, vznikají tyto bezpečnostní chyby.
(Celý článek naleznete v aktuálním vydání Technického týdeníku.)