17.5.2021 18:53 | Bezpečnosť
Top

Expert na IT bezpečnosť: Úspešný útok na kritickú infraštruktúru na Slovensku sa nedá vylúčiť, treba intenzívne konať. Hackeri sa na štátoch ako náš trénujú

Zdroj: Pexels

Odborník upozorňuje na zanedbanú bezpečnosť v priemysle a vlažný prístup politických predstaviteľov. Varuje, že hackeri si pred útokom prostredie dobre zmapujú a idú na istotu.

Živé.sk sa rozprávalo s bezpečnostným expertom Martinom Fábrym, ktorý sa venuje konzultáciám v oblasti prevádzkovania kritickej infraštruktúry mnoho rokov. Jej narušenie by malo negatívny dopad na zaistenie základných potrieb obyvateľstva – zahŕňa dodávky energií, poskytovanie zdravotníckych služieb, telekomunikácie či bankovníctvo.

Zisťovali sme, v ktorých sektoroch ekonomiky na Slovensku je kybernetická bezpečnosť najviac zanedbaná a v čom sú nedostatky tunajšej legislatívy.

Preberali sme aj aktuálnu top tému vo svete kyberbezpečnosti – napadnutie americkej spoločnosti Colonial Pipeline hackermi, čo malo za následok prerušenie prevádzky ropovodu a vyhlásenie núdzového stavu.

Problémy sa nevyhli ani Európe, kde írske zdravotníctvo muselo po „sofistikovanom ransomvérovom útoku“ odstaviť informačné systémy. Uvedené udalosti opäť potvrdili reálnosť kybernetických hrozieb, ktoré môžu mať ďalekosiahle dôsledky nielen na jednotlivé subjekty, ale aj každodenné aktivity obyvateľstva i ľudské životy.

V rozhovore sa dočítate:

  • prečo si odborník nemyslí, že úspešný útok na ropovod v Spojených niečo zásadné zmení vo vnímaní kybernetickej bezpečnosti a tá sa bude podľa neho „bude ďalej lepiť ako lastovičie hniezdo“.
  • Čo stačí kybernetickým zločincom na to, aby odstavili celý hlavný biznis firmy, hoci sa nenabúrajú priamo do riadenia výrobného procesu.
  • K akým podobným útokom už v minulosti došlo a či boli reakcie dostatočné.
  • Ako hodnotí stav bezpečnosti kritickej infraštruktúry na Slovensku.
  • Aké opatrenia musí spraviť prevádzkovateľ kritickej infraštruktúry pre minimalizovanie rizika a keď chce prípadné incidenty odhaliť a vyšetrovať.
  • Prečo je chybou myslieť si, že na malý štát ako Slovensko sa hackeri nepozerajú.
  • Kde má Slovensko nedostatky, na ktoré by v prípade útoku narazilo.

Útoky sa pred úderom simulujú

Prekvapil vás úspešný útok na Colonial Pipeline?

Americké kritické infraštruktúry sú už dlhodobo napádané APT skupinami cudzích vlád, takže takýto útok skôr či neskôr nastane. Otázka bola, kedy zlyhajú bezpečnostné opatrenia.

Akým spôsobom útok prebehol?

Podľa prvotných informácií zasiahol IT systémy ransomvér, ktorý ich zašifroval a tým vyradil z prevádzky. Colonial Pipeline sa priznali, že zaplatili útočníkom z východnej Európy výkupné skoro 5 miliónov dolárov v kryptomenách za poskytnutie dešifrovacieho nástroja. Ten bol však tak pomalý, že i tak museli použiť stávajúce zálohy systémov.

OT sieť (prevádzkové siete, ktoré obsahujú riadiace systémy pre priemysel, v tomto prípade riadia a monitorujú prepravu ropy, a sú napojené na kritické logistické procesy – pozn. red.) nebola údajne zasiahnutá.

Je ťažké povedať, čo bolo vektorom útoku v IT a aké bezpečnostné opatrenie zlyhalo. Detaily možno budú zverejnené neskôr. Častým vektorom je však phishing.

V akom stave býva zabezpečenie OT siete podobných firiem?

Robil som audity a kybernetické posudky OT sietí prepravcov ropy. Môžem povedať, že sú v mnohých organizáciách zanedbané.

Štatutári pristupujú ku kyberbezpečnosti laxne, či už na Slovensku alebo v rámci celosvetových firiem. Chýbajú hlavne experti v obore a bezpečnostný monitoring v OT sieti.

Prečo keď priemyselná časť nebola zasiahnutá, došlo k výpadku dodávok?

Problémom je, že OT svet je naviazaný a prepojený s IT svetom. Takže ak niekto napadne logistický systém a jeho procesy, pre veľa firiem to znamená, že má problém tým, že automaticky musia odstaviť aj výrobnú časť, to znamená OT.

Toto môže byť aj prípad Colonial Pipeline. Inak povedané, keď neviete, koľko ropy od vás odoberá a koľko sa má prepraviť, musíte proces zastaviť. Nedá sa to robiť cez pero a papier. Sú to digitálne systémy a útoky sú často koordinované. Útočníci ovládajú, ako procesy danej spoločnosti fungujú, takže nemusia ísť hlboko do OT siete.

„Útočníci ovládajú, ako procesy danej spoločnosti fungujú, takže nemusia ísť hlboko do OT siete.“

Stalo sa niečo podobné už aj inde vo svete?

Pred dvomi rokmi spôsobil ransomvér LockerGoga veľkej hlinikárni v Nórsku stratu 80 miliónov eur. Zašifroval IT počítače a musel sa zastaviť výrobný proces, lebo nevedeli zvládnuť logistiku. OT systémy neboli v tomto prípade zasiahnuté.

Takže nestačí ochrániť OT sieť, keď sa neubráni IT časť, ktorá musí byť verejnejšia.

Kybernetická bezpečnosť musí byť holistická, naprieč celou spoločnosťou. Prevádzkovateľ musí identifikovať kritické systémy a procesy, od ktorých je závislá napríklad preprava ropy. Keď je jeden z nich napadnutý a má previazanie na iné kritické systémy, sú automaticky zasiahnuté aj tie.

fotogaléria
M. Fábry sa venuje kybernetickej bezpečnosti v podmienkach priemyselných riadiacich systémov roky. V praxi sa stretáva s podceňovaním rizík aj v tomto sektore. Zdroj: Martin Fábry

Od čoho všetkého závisí úspešný prienik do kritických systémov?

Je priamo úmerný sofistikovanosti a úrovni vedomostí útočníka a vyspelosti kybernetickej obrany prevádzkovateľa.

Teda dosť závisí od toho, kto sa na vás pri útoku zameria. APT (Advance Persistence Threat) skupiny sponzorované štátmi môžu investovať veľa peňazí a času do prípravy útoku, simulujú útoky u seba v laboratóriách na drahých technológiách a majú silný intelektuálny potenciál.

Pokiaľ chce APT skupina preniknúť do siete, prenikne buď logicky, alebo fyzicky a nič ich nezastaví. Fyzický prienik znamená, že sa nakontrahuje človek, ktorý sa zamestná v organizácii, ktorú chce napadnúť, a použije napríklad zavírený USB kľúč alebo ukradne citlivé dáta.

Aké opatrenia teda musia prevádzkovatelia robiť?

Nutná je implementácia hĺbkovej kybernetickej obrany (Defense in Depth) – či už bezpečnostné politiky, ako by sa mali správať dodávatelia a používatelia, pokročilé technické opatrenia v IT a OT prostredí (priemyselné riadiace systémy – pozn. red.), ktoré útočníkom buď sťažia alebo úplne zabránia prieniku do kritických systémov.

Budíčkom pre firmu nebol ani úspešný útok

Akým spôsobom prebieha vyšetrovanie sofistikovaných útokov ako v prípade Colonial Pipeline? Je možné, že sa nenájde prvotná vstupná brána?

Podľa nedávnych prieskumov až 90 % výrobných spoločností z celého sveta nemá monitorovacie a detekčné nástroje v OT sieti, ktoré slúžia na proaktívnu detekciu kybernetického útoku alebo hrozby. Je ťažké chrániť kritické aktíva, keď nemáte prehľad, čo sa s nimi deje.

Keď je napríklad v OT sieti útočník rezidentný šesť mesiacov a neviete ho detegovať, jednoducho si zmonitoruje celú sieť a procesy – a získa tým dostatok času na prípravu zdrvujúceho útoku.

Takže základom je poriadny monitorovací systém.

Bez monitoringu kybernetických hrozieb je ťažké získať kvalitný dôkazový materiál, ktorý by pomohol odhaliť vektor útoku, prípadne samotného útočníka. Predpokladám, že Colonial Pipeline nemal žiaden bezpečnostný monitoring OT siete, a možno ani IT siete, a tým bude ťažšie vyšetriť vektor útoku a identifikovať útočníka.

Považujete za reálne, že za útokom stojí Rusko?

Všetko sa automaticky zvaľuje na nich, lebo je to dnes moderné, ale v kybernetickom svete je veľmi náročné presne adresovať útočníka. Môže ísť aj o proxy útok (patria do skupiny false flag útokov, pri ktorých útočník maskuje svoju pravú identitu – pozn. red.).

Či to bol DarkSide (hackerská skupina – pozn. red.) alebo nie, či to bolo cez proxy z iného štátu, je ťažké zistiť. Ale existujú špecializované spoločnosti, ktoré sa venujú hackerským kriminálnym živlom a vedia podľa zanechaných identifikátorov definovať, o ktorú skupinu pravdepodobne pôjde. Dajú sa zachytiť útočné fragmenty, analyzovať a priradiť ich k známej hackerskej skupine.

„Game changer to určite nebude, i keď verím, že zopár spoločností sa poučí.“

Prinesie útok na Colonial Pipeline zmenu pri myslení a ochrane firiem tohto typu?

Game changer to určite nebude, i keď verím, že zopár spoločností sa poučí. Objavili sa aj informácie, že šéf Colonial Pipeline bude zrejme trestne stíhaný za manažérske zlyhanie. Sú vcelku silné indície, že kybernetická bezpečnosť bola v spoločnosti diletantsky manažovaná a chýbali kritické opatrenia. Informáciu pustila von firma, ktorá tri roky dozadu vykonávala bezpečnostný audit a zistila mnoho závažných nedostatkov, ktoré zrejme pretrvávali až do útoku.

Podobne závažný útok kyberkomunita ale zažila aj dva roky dozadu, preto by som nebol optimista pri zmene myslenia spoločností.

O aký útok išlo a ako sú na tom s bezpečnosťou po čase?

Malvér Triton napadol bezpečnostný systém spoločnosti Petro Rabigh v Saudskej Arábii, ktorá vyrába ropné produkty pre značnú časť planéty.

Auditoval som túto firmu na jeseň minulého roka a ich infraštruktúra je aj po útoku stále vo veľmi zlom stave. Spravili nejaké nápravy, ale kritické opatrenia v OT prostredí stále nemajú finálne implementované. A to im útok na päť dní odstavil rafinériu, kde boli napadnuté bezpečnostné systémy, ktoré majú za úlohu zamedziť hazardným situáciám alebo explózii vo výrobnom procese.

Malvér našťastie zlyhal, nedošlo k výbuchu. Avšak finančné a reputačné straty boli značné.

Ako konkrétne spoločnosť reagovala – hoci nie dostatočne?

Okamžite zakázali vzdialené prístupy do OT siete, lebo sa obávali ďalších útokov. Čiže všetci dodávatelia vykonávajúci vzdialenú údržbu museli byť fyzicky presunutí do rafinérie, čo značne zvýšilo prevádzkové náklady.

Obrazne povedané, hradby posilnili, majú jeden most s veľa vyzbrojenými mužmi, ale vo vnútri je stále neporiadok. Je len otázka času, kedy sa niekto cez trójskeho koňa dostane do hradu a niečo nepekné spácha.

fotogaléria
Určenie konkrétnych útočníkov je náročné. Zanechané identifikátory kompromitácie ale aspoň pomôže definovať, ktorá hackerská skupina má incident pravdepodobne na svedomí. Zdroj: Pexels

Na Slovensku stále niektorí veria, že útok nepríde

Čo teda očakávate vo svete IT bezpečnosti po najnovšom útoku v Spojených štátoch?

Chvíľu bude „humbug“, médiá o tom napíšu, ale zase sa pôjde do starých koľají a bezpečnosť sa bude lepiť ako lastovičie hniezdo. Za 24 rokov, čo som v IT bezpečnosti, vidím, že ľudia sa nepoučia. Ani mnoho operátorov v energetike a chemickom priemysle.

Stále sa žije vo „vatikánskej bezpečnosti“ – veríme, že sme v bezpečí a útok nám nehrozí, lebo sme napríklad na Slovensku a nemáme nepriateľov, čo už nie je pravda. Aj my sme vyhostili ruských diplomatov, čiže geopolitická tenzia je vysoká.

V akom stave sú subjekty z kritickej infraštruktúry na Slovensku?

Niektorí zodpovední prevádzkovatelia kritickej infraštruktúry a základných služieb zlepšili svoju bezpečnosť, avšak stále to nie je na prijateľnej úrovni vyspelosti, aby sme mohli kľudne spávať.

Prevádzkovatelia kritickej infraštruktúry mali mať už dávno pred zákonom o kybernetickej bezpečnosti bezpečnostné opatrenia implementované. Niektorí urobili minimum, stále spia na vavrínoch a veria, že útok nepríde. Najlepšou verifikáciou bezpečnostných opatrení sú expertné penetračné testy, ktoré by odhalili možnosti prieniku z IT do OT systémov (priemyselné riadiace systémy – pozn. red). U mnoho prevádzkovateľov by nedopadli dobre.

Čo môžu urobiť subjekty kritickej infraštruktúry na zlepšenie bezpečnosti?

Americký prezident spustil program 100-dňovej ochrany kybernetickej infraštruktúry. Pre Američanov je to ďalší budíček, hoci dávajú do bezpečnosti veľa peňazí. Niektoré armádne objekty v San Diegu čelia niekoľkým tisíckam útokov denne. Na Slovensku sú to možno desiatky alebo stovky útokov, ale ani zďaleka takých sofistikovaných ako majú oni.

Prevádzkovatelia základných služieb a kritickej infraštruktúry by teda mali okamžite implementovať opatrenia tak, ako nariaďujú zákon o kybernetickej bezpečnosti a prislúchajúce vyhlášky. Značne tým znížia kybernetické riziká a môžu predchádzať problémov aké aktuálne riešia Colonial Pipeline.

OT systémy by mali byť zabezpečované podľa etablovaných kybernetických štandardov – či už IEC 62443, alebo NIST 800-82.

„Niektoré armádne objekty v San Diegu čelia niekoľkým tisíckam útokov denne. Na Slovensku sú to možno desiatky alebo stovky útokov, ale ani zďaleka takých sofistikovaných ako majú oni.“

Politici nereagujú, kým sa niečo nestane

Keď Česko vyhostilo ruských diplomatov po spojení s výbuchom munície, môže čakať kybernetické útoky ruských skupín?

Je to vysoko pravdepodobné. NÚKIB (Národní úřad pro kybernetickou a informační bezpečnost, pozn. red.) už vydal varovanie pre kybernetickú infraštruktúru na zvýšenie ostražitosti a posilnenie ochrany.

Sú už hlásené prvé anomálie, ktoré by indikovali, že sa niečo pripravuje?

Verím, že NÚKIB má prehľad o kybernetickom priestore. Hlavne sa zameriava na nemocnice, ktoré sú veľmi zraniteľné. Vedeli by povedať, či evidujú zvýšený počet útokov.

Pokiaľ by Slovensko malo pocit ohrozenia zo strany iného štátu alebo kyberzločineckej skupiny, z akéhokoľvek dôvodu, čo sa dá spraviť v priebehu pár týždňov, aby sme útočníkom minimálne sťažili prístup ku kritickým systémom?

Aktuálne si neviem predstaviť aplikáciu Bidenovho 100-dňového programu kybernetickej bezpečnosti v slovenských podmienkach – z dôvodu stále vysokej byrokracie a neefektívnosti procesov v štátnom aparáte. Len vysúťaženie kybernetických technológii napríklad na obranu energetiky by tu trvalo mesiace.

Mnoho ľudí na Slovensku žije v bubline a myslí si, že na nás nikto nemôže zaútočiť, lebo nie sme Američania a nemáme politických nepriateľov.

Toto je jeden z problémov zmýšľania ľudí na Slovensku. Útočníci často testujú svoje útoky na „obetiach“, ktoré nie sú ich primárnym nepriateľom.

Príkladom je Ukrajina, kde v roku 2015 údajne Rusi zaútočili na elektráreň a ponorili do tmy 250-tisíc ľudí. V kuloároch sa hovorí, že to bol len test predtým, ako zaútočia na energetiku v Spojených štátoch.

Má slovenská vláda tieto riziká navnímané?

Rok 2018 bol z pohľadu kybernetickej bezpečnosti na Slovensku prelomový, lebo konečne uzrel svetlo sveta zákon o kybernetickej bezpečnosti. Ten trochu rozhýbal ľady. Je to podstatne lepšie ako predtým, avšak oproti vyspelejším členským krajinám EÚ máme čo doháňať.

Nedávno bola schválená stratégia kybernetickej bezpečnosti, ktorá by mala reflektovať strategické smernice z EÚ, NATO, OECD a OSN. Otázka je, či sa podarí tieto strategické ciele naplniť a v akom časovom horizonte.

Problémom je, že štát začne intenzívnejšie vnímať kybernetickú bezpečnosť až vtedy, keď sa reálne stane incident a bude mať značný dopad na obyvateľov. Tak ako sa to teraz stalo v USA. Preto by sa Slovensko malo z tohto poučiť a zaradiť vyššiu rýchlosť v oblasti kyberobrany.

„Zákon o kybernetickej bezpečnosti nezohľadňuje špecifiká bezpečnosti OT prostredí a nie sú vydané ani odporúčania kybernetickej ochrany pre OT.“

Najhoršie sú na tom vodárne a nemocnice

Snažili ste sa slovenskú vládu upozorniť na prípadné riziká, ktoré sa môžu naplniť? Alebo sú v komunite ľudia, ktorí to urobili?

Na Slovensku je NBÚ a iné vládne bezpečnostné agentúry, ktorých úlohou je kybernetická obrana štátu a monitorovanie kybernetického priestoru. Verím, že si dobre uvedomujú riziká a netreba ich upozorňovať.

Ja sa primárne pohybujem v privátnom sektore, kde riešim hlavne OT bezpečnosť. Tu musím vytknúť, že zákon o kybernetickej bezpečnosti nezohľadňuje špecifiká bezpečnosti OT prostredí a nie sú vydané ani odporúčania kybernetickej ochrany pre OT. Priemyselný sektor má iné požiadavky a pravidlá pre OT prostredia, ktoré musia byť zohľadnené.

Napríklad nemecká BSI, čo je ekvivalent Národného bezpečnostného úradu, vydala sadu bezpečnostných odporúčaní pre OT prostredie, ktoré sú vysokej kvality. Takéto odporúčania na Slovensku zo strany zodpovedných úradov neevidujem.

Znamená to, že je päť minút po dvanástej a štát na poli OT bezpečnosti v podstate nič nerobí?

Túto otázku treba adresovať im. OT bezpečnosť spadá takisto pod zákon o kybernetickej bezpečnosti, avšak ako som spomínal, neevidujem zatiaľ bezpečnostné odporúčania pre OT prostredie. Nedostatky v OT bezpečnosti by mali byť taktiež identifikované prebiehajúcimi auditmi vyplývajúcimi zo zákona.

Ako je vidno z útoku na Colonial Pipeline, agresivita útokov rastie a dopad je enormný. Výpadok dodávky ropy kvôli kybernetickému útoku je už vcelku silná káva aj pre štátny aparát.

fotogaléria
Odborník upozorňuje, že dotknuté subjekty implementáciu riešení zvyknú odkladať. A v podmienkach štátu rýchlu reakciu zdržiava aj byrokracia. Zdroj: Pexels

Ja na Slovensku reálna rýchla reakcia na nejaký incident, týkajúci sa OT bezpečnosti, respektíve zasahujúci do OT?

Napríklad Bidenov 100-dňový plán v slovenských podmienkach je pre mňa nepredstaviteľný. Adresuje urýchlenú obranu kyberbezpečnosti v energetike, ktorá zahŕňa implementáciu monitoringu bezpečnosti v OT sieti a značné posilnenie manažmentu incidentov.

Štátom vlastnené energetické spoločnosti na Slovensku by len tri mesiace obstarávali technológie, nehovoriac o ďalších mesiacoch potrebných na implementáciu a v neposlednom rade aj získanie odborníkov na trhu, ktorí tie technológie vedia obsluhovať. Jednoducho slovenská byrokracia by to „nedala“.

Keby chcelo Slovensko väčšie uistenie, že nás žiadni útočníci „nevypnú“, malo by sa v kritických sektoroch intenzívne konať.

V ktorých sektoroch by mal štát špeciálne spozornieť?

Hlavne v ekonomicky a kyberneticky podvyživených sektoroch, ako je zdravotníctvo, vodárenské a teplárenské podniky a mnoho štátnych organizácií, kde je bezpečnosť dlhodobo a systematicky neriešená.

„Faktom je, že časť organizácií sa vyhovára na koronavírus: že nestihli implementovať bezpečnostné opatrenia podľa kybernetického zákona. Ale hackerov korona nezaujíma, práveže im vyhovuje, aby útočili.“

Tiež si všímam rozdiel vnímania kybernetickej bezpečnosti v spoločnostiach so zahraničným a slovenským manažmentom. Slováci nie sú zvyknutí na dodržiavanie pravidiel a často aj zákonov tak, ako západné spoločnosti. Bolo to napríklad viditeľné už pri implementácii regulácie GDPR, ktorú niektoré slovenské firmy nespĺňajú doteraz.

Vyhovárajú sa firmy aj na koronakrízu?

Faktom je, že časť organizácií sa vyhovára na koronavírus: že nestihli implementovať bezpečnostné opatrenia podľa kybernetického zákona. Ale hackerov korona nezaujíma, práveže im vyhovuje, aby útočili.

Môj názor je, že ak sa nestane seriózny útok aj na Slovensku podobný tomu americkému v Colonial Pipeline, politici to budú vnímať vlažne.

Ktoré odvetvia alebo firmy sú na tom naopak lepšie?

Najlepšie sú na Slovensku kyberneticky chránené finančné inštitúcie, ktoré sú regulované – a za nesúlad by hrozilo odobratie licencie. A niektoré nadnárodné spoločnosti investovali viac do kyberbezpečnosti, lebo to nariadil zahraničný manažment – aj po neblahých skúsenostiach z kyberútokov vo vyspelých krajinách.

fotogaléria
Koronavírus zasiahol firmy a prácu administrátorov, no hackerom chaos a zvýšený presun aktivít do online prostredia vyhovuje. Rýchle kroky a nedostatočné testovanie zvyšuje predpoklady zlyhania. Zdroj: Pexels

Energetici sa báli ruských trojanov

Pokiaľ si zoberieme vodárne a nemocnice, ktorých problémy by zasiahli bežný život, ako presne vidíte ich stav na Slovensku?

Ako som už spomínal, vodárne sú na tom hrozne, je to jedna z najzraniteľnejších infraštruktúr vôbec spolu so zdravotníctvom. Toto je ale celosvetový problém. Veľa infraštruktúry je už digitalizovanej aj v slovenských podmienkach. Množstvo dôležitých komponentov vodární je exponovaných do internetu s predvolenými heslami, sú nezaplátané, dodávateľ riadiaceho systému nemá povedomie o kybernetickej bezpečnosti, nepozná možný dopad.

Infraštruktúra v nemocniciach je z pohľadu bezpečnosti katastrofálna. Chýbajú implementované technické opatrenia a ľudské zdroje. Príkladom je útok na nemocnicu v Brne počas pandémie, ktorý ju stál desiatky miliónov korún, stratila mnoho administratívnych a ekonomických dát.

A čo jadrové elektrárne?

Jadrové elektrárne sú kapitola sama o sebe. Sú regulované, takže by mali spĺňať vyššie kybernetické štandardy, aj keď o tom nie som presvedčený – vzhľadom na to, ako sa stavali Mochovce, kde sa rozpadával betón a niektoré funkčné bloky stavby. Otázny je stav kybernetickej bezpečnosti – treba len dúfať, že ju stavali odborníci a sú nastavené tvrdé opatrenia.

Z minulosti mám informácie od energetikov, že sa veľa jadrových technológií nasadzovalo z Ruska, kde boli reálne obavy o to, či neobsahujú trójske kone. Verím, že dnes sa bezpečnosťou dodávaných komponentov v jadrových elektrárňach reálne niekto zaoberá.

V tomto prípade bola vyslovená požiadavka na reverzné inžinierstvo daných komponentov, pri ktorom by sa hľadali podozrivé artefakty a komunikácia. Na to ale treba mať špeciálne vedomosti, nástroje a technologické vybavenie.

Dali by sa dodávané technológie pred nasadením do praxe preveriť?

Každý systém, ktorý je klasifikovaný ako kritický, či už pre štát, alebo súkromnú spoločnosť, by mal byť pred uvedením do prevádzky otestovaný penetračnými testami. Táto projektová fáza sa nazýva CSAT (Cyber Site Acceptance Testing).

Bolo by možné spustenie elektrárne aj bez takéhoto preverenia? Ako sa na to typicky pozerá vrcholový manažment?

Každá energetická spoločnosť by mala mať implementovaný proces projektového inžinieringu a životného cyklu systémov, kde kybernetická bezpečnosť musí byť integrálnou časťou, od nábehu systému až po jeho vyradenie.

Ďalšou dôležitou doménou je nákup technológií od preverených a renomovaných výrobcov, ktorí spĺňajú európsku legislatívu z pohľadu kybernetických požiadaviek. Implantáty skryté v zariadeniach na úrovni hardvéru s odchytávaním citlivých dát za účelom špionáže nie sú žiadnou novinkou vo svete kybernetickej bezpečnosti. Preto by energetické spoločnosti mali hodnotiť aj rizikovosť dodávateľov a ich technológií.

Vrcholový manažment, ktorý rozhoduje a financuje nové projekty, často ani netuší, ako s dodávkou nových systémov súvisia potenciálne hrozby. Buď sa im to manažér bezpečnosti obáva reportovať, lebo nechce riešiť politickú šarvátku, alebo jednoducho tieto fakty manažment ignoruje a nakupuje technológie bez procesu hodnotenia rizík.

„Vrcholový manažment (elektrární), ktorý rozhoduje a financuje nové projekty, často ani netuší, ako s dodávkou nových systémov súvisia potenciálne hrozby.“

Existuje „záchranná brzda“, ktorá by v prípade úspechu hackerov zabránila výpadku energie alebo nekontrolovanému štiepeniu jadra a následnému výbuchu?

Áno, pre tieto účely slúžia bezpečnostné systémy (Safety Instrumented Systems/Emergency Shutdown Systems), ktoré sú poslednou inštanciou pred tým, ako by nastala hazardná situácia. Riadiace systémy jadrového reaktora sú fyzicky izolované a podliehajú prísnym bezpečnostným opatreniam aj v rámci kyberbezpečnosti.

Avšak 100% záruka bezpečnosti neexistuje ani pri izolovaných systémoch a implementovaných bezpečnostných systémoch SIS.

Na začiatku môže byť odcudzenie informácií

Existujú úspešné príklady kybernetických útokov na riadiace priemyselné systémy?

Malvér Stuxnet bol jasným príkladom toho, že aj izolované systémy je možné kompromitovať. Spomínaný malvér Triton v Saudskej Arábii ukázal, že aj na tieto systémy sa dá zaútočiť, hoci sú hlboko v OT sieti, kde je problém sa dostať.

Útočníci sa taktiež dostali aj do ukrajinských elektorozvodní, kde bezpečnostný systém jednoducho vypli, zmenili firmvér a prebrali všetko pod svoju kontrolu. Potom vypínali rozvodne, ako chceli. Prevádzkovateľ už nemal silu prebrať kontrolu späť, keďže bol zmenený riadiaci softvér a stratil kontrolu nad systémom. Tieto systémy sú vysoko redundatné, robustné a komplexné. Útok na bezpečnostné systémy nie je ani zďaleka triviálny a vyžaduje expertné vedomosti a koordinované útočné taktiky.

Je známe, kde bola v tomto prípade bezpečnostná chyba?

Riadiace komponenty ako napríklad PLC (Programovateľný priemyselný počítač) majú mnoho zraniteľností. Je veľmi problematické a mnoho ráz nemožné takéto komponenty zaplátať, pretože opravy takéhoto kódu prinášajú prevádzkové závislosti. Musíte aktualizovať celý riadiaci softvér, ide o desiatky až stotisíc eur navyše. A to nikto nerobí, lebo to nie je ako plátať systém Windows.

Akým spôsobom sa hackeri dostanú k informáciám, na aké slabé miesta by dokázali zaútočiť?

Najprv si spravia prieskum o cieľovom systéme v predmete útoku, identifikujú zraniteľnosti, následne sa patrične vyzbroja, zneužijú zraniteľnosti a ovládnu cieľový systém, zabezpečia si do kompromitovanej siete tajný vzdialený prístup a vykonajú útok.

Kľúčové je získať vysokú perzistenciu, teda byť čo najviac rezidentný v sieti, zmapovať čo najviac okolie za účelom spôsobenia maximálnych škôd. Preto je nevyhnutné mať nasadený monitoring bezpečnosti so skúsenými bezpečnostnými špecialistami, ktorý by vedeli odhaliť perzistenciu útočníka.

V súvislosti s útokom na elektráreň na Ukrajine sa hovorí, že boli zaplatení aj insideri. To znamená, že podplatený operátor údajne vyniesol citlivé informácie útočníkovi o infraštruktúre, modeloch a typoch PLC, ktoré tam bežali s presnou verziou softvéru.

Útoky na kritickú infraštruktúru, ktoré sú vysoko sofistikované, musia byť vopred testované, aby boli úspešné. Aj pri Stuxnete po rokoch vyplávali na povrch nepotvrdené špekulácie, že do útoku na Iránsky jadrový program boli údajne zaplatení holandskí a nemeckí inžinieri, ktorí tam nasadzovali riadiaci systém a technické informácie o ňom poskytli tvorcom Stuxnetu.

Čiže úspešný útok je otázka času a peňazí?

Niektoré APT skupiny sú dotované a chránené štátom. Majú dostatok času a financií vykonať sofistikované útoky a zároveň byť chránený „zákonom“. Jednoducho štát ich nevydá zahraničným orgánom činných v trestnom konaní. Preto je ich agresivita útokov citeľná.

„Robím evanjelizáciu ohľadom bezpečnosti v priemysle možno osem rokov a je to často mlátenie slamy.“

Ako by mohla vyzerať krízová situácia na Slovensku?

Nemaľujme čerta na stenu. Avšak máme tu dve jadrové elektrárne, prepravcu ropy a plynu, prenosové a distribučné energetické spoločnosti, rafinériu, chemické závody, silné vodné hospodárstvo a nezabezpečené zdravotníctvo. Scenárov o možných krízových situáciách je dosť.

Nebolo by dobré apelovať, napísať otvorený list alebo podobne, aby sa tento aspekt riešil koncepčne a reagovalo sa na svetové útoky, ak sa na Slovensku nedajú vylúčiť?

Robím evanjelizáciu ohľadom bezpečnosti v priemysle možno osem rokov a je to často mlátenie slamy. Ťažko sa to vyslovuje, ale niektoré spoločnosti si zrejme musia prežiť útok na vlastnej koži ako bohužiaľ Colonial Pipeline, potom začnú konať.

Na druhej strane musím jemne optimisticky podotknúť, že na Slovensku existujú aj progresívne zmýšľajúce spoločnosti, ktoré síce nespadajú pod zákon o kybernetickej bezpečnosti, a napriek tomu majú implementovanú slušnú kybernetickú ochranu IT/OT prostredí. Tých je bohužiaľ ako šafranu.