[Partnerský rozhovor] Kyberútoky dosud směřovaly zejména na IT systémy, jak se ale ve firmách stále častěji propojují s průmyslovými zařízeními, stoupá i riziko útoků přímo ve výrobě. Jejich ochrana se ale od řízení rizik v IT výrazně liší, říká odborník na kybernetickou bezpečnost ve výrobě z českého Siemensu Miroslav Kuric.
„Jedním ze specifik je velká roztříštěnost výrobců, standardů a systémů. Neexistuje obecný standard, jakým způsobem se řídí výrobní linka. Každý výrobce má svoje postupy. Samozřejmě existují snahy o standardizaci, které se týkají datové komunikace, sběrnic a podobně. Ale stále jsou několik desetiletí za úrovní standardizace v IT,“ upozorňuje.
Klíčovým opatřením podle něj je, aby se ve firmě o bezpečnost výrobních linek staral dedikovaný tým. „Velmi často setkáváme s tím, že lidé v IT požadavkům výroby nerozumí. Řešíte třeba dilema, jestli máte udělat upgrade, který záplatuje kritickou zranitelnost, i když tím přerušíte výrobu a například zničíte nějaký materiál, nebo systém chvilku nechat nezáplatovaný a počkat do následující odstávky. A to je typická situace, kterou je potřeba vydiskutovat a vyargumentovat. Když se odehrává pod výrobou, zastřešuje ji jeden člověk, který má odpovědnost za výrobu,“ vysvětluje.
Díval jsem se, jaké velké útoky na průmyslové firmy proběhly v uplynulém roce. Jeden mířil na německého výrobce baterií Varta, který kvůli němu musel na nejméně dva týdny odstavit výrobu. Útok cílil i na velkou americkou firmu Halliburton, která dodává zařízení pro těžbu ropy a zemního plynu. I té útok způsobil velké škody, když musela odstavit své IT systémy. Samozřejmě je to jen ukázka útoků, které byly zveřejněny. Viděl jsem i čísla, která říkají, že útoků na průmyslové firmy přibývá. Jaká je vaše zkušenost? Platí to? A jakých firem nebo jakých oborů se riziko nejvíc týká?
Naše zkušenosti to potvrzují a zveřejněné případy jsou jenom špičkou ledovce. Útočit se dnes dá mnohem jednodušeji než dřív a útoky se dají automatizovat, což dává útočníkům výhodu. Může jim být jedno, jestli nabourávají síť nemocnice nebo nějakého výrobního podniku. U výrobních podniků to nebylo ze začátku tolik vidět, protože když byly zasaženy jejich IT systémy, výroba většinou běžela dál. Vyrábělo se třeba na sklad, expedovalo se pomocí papírových faktur a podobně, takže to nevypadalo „tak kriticky“.
S tím, jak se výrobní světy otevírají a jak roste průchodnost mezi IT a OT, začínají útoky zasahovat přímo výrobu. V takovém okamžiku dopady útoku pocítí i zákazníci: jsou přerušené dodávky, začíná se něco dít v dodavatelském řetězci a je mnohem složitější útok utajit. Firma pak musí jít s kůží na trh a zveřejnit, že se něco stalo a že incident řeší.
Kromě zkratky IT, kterou asi všichni známe, jste použil také zkratku OT. Co to je?
Operational technology. Jde o výrobní technologie a související infrastrukturu. Když uvedu příklad, máme výrobní línku, která je propojená datovou sítí, což znamená infrastrukturu. Ve výrobní lince jsou také uložené recepty – vyrábíte například pivo, takže musíte vědět, kolik přidat sladu, chmele a dalších přísad. Tyto informace mohou být uložené na serveru, který je umístěn někde v síti. To všechno dohromady je operational technology.
Týká se to zvýšené množství útoků konkrétního oboru?
Děje se to rozhodně napříč obory. Je pravda, že u některých oborů je to lépe vidět. Pokud využíváte třeba just-in-time metodologii, tak ve chvíli, kdy nevyrábíte, máte okamžitě problém. Když vyrábíte na sklad, nějakou dobu přežijete i bez bežící výroby – samozřejmě stále musíte být schopen zboží dodávat zákazníkovi.
Hodně se mluví o kritické infrastruktuře, o elektrárnách, vodárnách a podobně. Jsou i tyto průmyslové podniky více ohroženy?
Rozhodně. Firmy v kritické infrastruktuře ale mají jednu podstatnou výhodu: legislativa na ně myslela o něco dříve a podniky jsou připravenější, minimálně z legislativního pohledu. Mají tak určitý náskok. Průmyslová výroba dosud často fungovala v „ostrovním režimu“, to znamená že byla odstřižená od zbytku firmy a nikdo z ní nepotřeboval stahovat data. Nicméně výhody propojení výroby se světem dat teď převažují a jak se všechno začíná propojovat, začínají firmy zjišťovat, že se potřebují chránit.
Jsou útoky vedené pořád častěji na IT vrstvu, to znamená na servery a počítačové systémy? Anebo se setkáváte i s útoky na výrobní část?
Obecné útoky jdou většinou do IT světa. Jednotlivé výrobní ekosystémy se od sebe liší, takže když chcete provést automatizovaný útok například na průmyslové systémy Siemens, je to mnohem složitější, než když spustíte automatizovaný útok třeba na Windows. IT svět není tak roztříštěný a panuje v něm větší standardizace. Ale už se začínají objevovat útoky cílené na konkrétní oběti, a tam už útočníci míří hlavně na OT část, protože ta je většinou méně zabezpečená než IT.
Co vlastně obvykle bývá cílem útočníků? Snaží se narušit provoz firmy, vyžadují výkupné?
Většinou jim jde o peníze, proto je mezi útočníky tak populární ransomware. Samozřejmě je tady skupina útočníků, která se snaží o zničení nebo poškození funkčnosti daného subjektu. Jde například o útoky na energetickou infrastrukturu na Ukrajině. Takovým skupinám je pak jedno, kolik vydělají peněz, protože je obvykle někdo sponzoruje.
Jakým způsobem se útočníci pokoušejí dostat do cílových systémů? Používají klasický phishing a snaží se získat přístupové údaje? Nebo používají více plošné skenování portů a hledání zranitelností?
Vidím dva hlavní trendy. Prvním je využití všeobecně známých zranitelností, které se občas objeví i v řídících systémech ve výrobě. Útočník na tuto zranitelnost připraví nějaký <a>exploit (akce využívající tuto zranitelnost), snaží se rozhodit sítě a čeká, kde se „chytne“. Druhým trendem je cílení na zaměstnance. Když kliknou na něco podezřelého, nastane neplecha.
Pojďme se podrobněji podívat na výrobní systémy. V čem se liší od IT?
Specifik průmyslových systémů je celá řada. Obecně se oproti IT liší ve třech hlavních ohledech. Za prvé musí obvykle být v provozu 24 hodin 7 dní v týdnu. Není to samozřejmě pravidlem, občas se dá výroba odstavit, ale v řadě případů musí linka jet kontinuálně. Buď je to dáno ekonomicky: vyrábím a existuje určitá cena za to, že výroba stojí. Nebo je to dáno technologicky. Třeba u tavení skla putuje tavenina kontinuálně z místa, kde se taví, a já nemám šanci ji zastavit, protože kdybych ji zastavil, dojde k destrukci výrobního zařízení.
Dalším specifikem je velká roztříštěnost výrobců, standardů a systémů. Neexistuje obecný standard, jakým způsobem se řídí výrobní linka. Každý výrobce má svoje postupy. Samozřejmě existují snahy o standardizaci, které se týkají datové komunikace, sběrnic a podobně. Ale stále jsou několik desetiletí za úrovní standardizace v IT.
Třetím specifikem je dlouhý životní cyklus zařízení. Průmyslová zařízení se staví tak, aby měla dlouhou životnost. Když koupíte stroj a dáte za něj desítky milionů, nechcete ho za dva roky měnit kvůli tomu, že nemá nejnovější operační systém. Oproti tomu šéf IT v bance nemá problém vyměnit server, který mu běží tři roky, za nový. V IT jsou obrátky infrastruktury mnohem rychlejší a každé tři roky přijde něco nového. U výrobních strojů nemáte šanci postupovat stejně rychle.
Jak se vlastně vůbec nějaký útočník může do OT systémů dostat? Jsou standardně připojené někam k internetu? Čekal bych, že budou úplně oddělené.
Oddělené by samozřejmě být měly. Ale u komplexnějších systémů začíná být složitější i údržba a pokud na ni máte málo kvalifikovaných lidí, stoupá také tlak na vzdálený přístup a vzdálenou údržbu. Dále jsou tady nové postupy, jako je například prediktivní údržba, kdy se konstantně vyhodnocuje, jestli stroj běží v optimálním režimu. K tomu se dělají různé typy analýz a pohledů na výrobu, které sledují alarmové hlášky, stavy stroje, kvalitu výroby a podobně. A to bez dat nejde. Výrobní firmy jsou tak postupně nuceny své systémy do datového ekosystému podniku připojovat. Samozřejmě, když člověk aspoň trochu přemýšlí, nepřipojí je přímo do internetu, ale je potřeba vyřešit to nějak jinak. Ani v IT si svoji databázi rovnou nevystavíte na internet.
No, neměl byste (smích).
To tedy (smích).
Mluvil jste o dlouhém životním cyklu průmyslových zařízení. Znám případ strojů, které obsahovaly určitá čidla, která fungovala asi dvacet let a neprobíhaly u nich žádné softwarové updaty. V dotyčné firmě už nikdo pořádně nevěděl, jestli společnost, která je vyrobila, vůbec existuje. Je to v průmyslu standardní stav?
Neměl by to být standardní stav, ale často se s tím potkáváme. Výrobci strojů po těch dvaceti letech třeba už neexistují, někdo někoho koupil, někdo zkrachoval. Opakovaně se setkáváme s tím, že průmyslové aplikace postavily specializované firmy, které mají na danou oblast třeba jednoho experta a když ten člověk odejde do důchodu, systém běží, dokud funguje. Ale co potom s ním? Udržovat takový stroj ve funkčním a bezpečném stavu je oříšek. Nechci říct, že to je nemožné, ale je to složité.
Jak je možné takové OT systémy chránit? To se na každou velkou CNC mašinu nainstaluje firewall?
V IT světě je všechno online, všechno je připojené, všechno je možné udělat prakticky hned. Princip kybernetické ochrany tady tkví v tom, že zavádím určité standardizace. IT manažer řekne, že všichni budou mít tuto verzi Windows, upgradovat se bude v těchto momentech, bude se používat tento konkrétní antivir. Hardware je ideálně taky standardní. Strategie je tedy založená na standardech a občas řešíte nějakou výjimku.
Ve světě OT je to přesně naopak. Tam v podstatě nejde vybudovat standard a aplikovat obecné normy. Neustále řešíte specifické situace. Z toho vychází i to, jak chránit výrobu. Uvedu jednoduchý příklad. V IT je naprosto běžnou věcí vícefaktorová autentizace. Je to skvělá věc, kterou má útočník velký problém překonat. Jenže kdybyste ji chtěli aplikovat ve výrobě, dostanete se často do neřešitelné situace.
Máte například operátora, který se má autorizovat vůči nějakému displeji. Jenomže ten operátor běhá všude možně, pracuje v rukavicích, má ulepené prsty… Jak ten dvoufaktor provedete? Jedním faktorem, tím fyzickým, může být to, že si pípne kartou. A co ten druhý? Má v rukavicích zadávat PIN? Autentifikovat se otiskem, který mu střídavě bude a nebude fungovat? Nebo naskenovat sítnici, když třeba výroba vyžaduje, aby měl nasazené ochranné brýle?
A jak se to tedy dáte vyřešit? Autentizuje se jen kartou?
Prostě třeba použijete jen jeden faktor, ale takto přihlášený operátor bude mít třeba omezené možnosti, co může v systému dělat. Podstatné úpravy pak např. povolíme technologovi, který je ale udělá z počítače, kde už vícefaktor realizujete výrazně jednodušeji.
Jakým způsobem se tedy výroba před kyberútoky chrání?
Na začátku je ideální udělat si koncept kybernetické bezpečnosti, který určí, jakým způsobem chci výrobu chránit. Naprostým základem je oddělit IT a OT. Ideálně i personálně, tedy aby to neřešil stejný tým, protože tyto dvě oblasti fungují úplně jinak. U výroby je nejdůležitější, aby jela. Hraje se o čas. Když to porovnáte s IT, tak když vám e-mail přijde o 10 minut později, svět se nezboří. Jenže když se dopravník pohne o 20 milisekund později, může dojít k velké katastrofě.
Jeden ze základních konceptů ochrany je proto výrobu oddělit od IT světa. To znamená, že mezi ně nasadím firewall nebo i více firewallů. Potom se snažím do výroby omezit přístup lidí, kteří tam nemají co dělat. Je to jednak z bezpečnostních důvodů, ale také proto, že vím, že stroje nebudu schopný stoprocentně zabezpečit. V kancelářích třeba můžu mít Wi-Fi síť, která má dosah po celém prostoru. Ve výrobě udělám pokrytí jen pro konkrétní pracoviště, které připojení potřebuje. Proč by měla síť svítit do celé výroby? A to je jen jeden z příkladů bezpečnostního konceptu.
Z našich zkušeností vyplývá, že ve firmách, kterým se povedlo vyčlenit OT do samostatné jednotky, se daří prosazovat principy a implementace bezpečnostních projektů výrazně lépe. Většinou to je spojené s tím, že bezpečnostní tým je přímo podřízen výrobě, která mu říká, co potřebuje a jaká jsou omezení.
To je důležité, protože se velmi často setkáváme s tím, že lidé v IT požadavkům výroby nerozumí. Proč teď nemůžu udělat upgrade, když záplatuje kritickou zranitelnost? Řešíte dilema, jestli máte upgrade udělat, i když tím přerušíte výrobu a například zničíte nějaký materiál, nebo systém chvilku nechat nezáplatovaný a počkat do následující odstávky. A to je typická situace, kterou je potřeba vydiskutovat a vyargumentovat. Když se odehrává pod výrobou, zastřešuje ji člověk, který má odpovědnost za výrobu.
Pokračujeme dál. Když máte oddělené OT a IT, provedete segmentaci výroby. To znamená, že se snažíte zajistit, aby při zasažení jednoho článku výroby nepadlo všechno. Typicky například z kapacitních důvodů provozujete tři výrobní línky, které dělají to samé. Když je oddělíte a dojde k útoku, jedna může spadnout, ale další dvě jedou.
Rozumím oddělení IT a OT, ale na druhou stranu spolu tyhle dvě části firmy musí nějakým způsobem spolupracovat.
Je možná důležité říct, že charakteristika dat, která běží na infrastruktuře ve výrobě, je jiná než u dat, která běží v IT. Ve výrobě většinou jde o pravidelnost – máte například senzor, který odešle data každé tři vteřiny. Nebo řídící systém, který v definovaný okamžik pošle příkaz „posuň celý dopravník“. Datové toky jsou relativně dobře predikovatelné a mají očekávaný rozsah a velikost. V IT je to jinak. Jednou stahujete soubor, jednou brouzdáte na internetu, jednou posíláte nějakou tabulku. Je to naprosto nahodilé. Monitoring sítě v IT zjednodušeně sleduje, co kam jde, jak je to velké a dívá se víc do obsahu. V OT světě je to jiné. Máte obraz toho, jak probíhá komunikacea jak síť ve standardní výrobě funguje a když se tam objeví něco nového, co najednou začne generovat „traffic v IT stylu“, tak víte, že máte asi problém.
Detekce anomálií je tedy v OT asi o něco jednodušší.
V tomto ohledu určitě ano. Ale zase na druhou stranu je složitější analýza obsahu. Ve výrobě se totiž používá řada specifických průmyslových protokolů.
Mluvil jste o tom, že se u průmyslových zařízení často aktualizuje software, musí tam tedy existovat například nějaké vzdálené přístupy. Dají se dostatečně zabezpečit firewallem nebo správou přístupů?
Funguje to podobně jako v IT: máte určitou oblast, demilitarizovanou zónu (DMZ), přes kterou k jednotlivým zařízením zvenčí přistupujete. Tato oblast je zabezpečená firewally, dochází v ní k autorizaci a teprve pak vás systém pustí do interní sítě. Takže když jdete z internetu, nejdřív se dostanete do DMZ, pak do IT sítě, která je striktně oddělená od OT, opět přes firewall, který vás autorizuje, a teprve poté můžete jít do demilitarizované zóny OT. V OT DMZ by měly být jenom aplikace, které přímo souvisí s výrobou. A když chcete dělat s výrobními daty v IT síti, je rozumné nejdřív je přenést z OT světa do databáze, která je v IT světě, a tam s nimi teprve pracovat.
Co supply-chain útoky? Jsou problémem i ve výrobě?
Nestává se, že by vám přišel nějaký infikovaný materiál. Ani si nemyslím, že by to byla hrozba na úrovni dodávek výrobních technologií, protože jde o systémy, které zákaznici dodávají „jako box“, do kterého nikoho jiného nepouští. Na úrovni OT je to, řekněme, jednodušší situace než v IT.
Co do oblasti zabezpečení výrobních systémů přinese kyberbezpečnostní směrnice NIS2, kterou implementuje právě schvalovaný zákon o kybernetické bezpečnosti?
Kdybych to výrazně zjednodušil, tak směrnice říká, že se výroba považuje za regulovanou službu a firma má tuto regulovanou službu chránit z hlediska kybernetické bezpečnosti. To znamená, že musí zjistit, jak daný výrobek vyrábí, zanalyzovat současný stav a případné hrozby a přijmout odpovídající opatření, včetně opatření, která se stýkají tzv. business continuity, zajištění kontinuity činností podniku. To mimo jiné znamená, že musím vědět, co budu dělat, když se výroba kvůli kybernetickému útoku zastaví.
Je pro firmy lepší řešit bezpečnost v rámci výrobního procesu interně, nebo by bezpečnostní analýzu měla dělat spíš externí společnost?
V oblasti kybernetické bezpečnosti je vždycky lepší, když si ji řešíte sám. Ale je tady jedno velké ale. Potřebujete mít člověka, který má zkušenosti jak z oblastí výroby, tak z oblasti kybernetické bezpečnosti. A najít takového člověka je velmi těžké. Pokud máte skutečně silný tým kybernetické bezpečnosti, který má detailní znalosti výroby a ví, jaké principy tam využít, je možné řešit to svými silami. To je třeba případ Siemensu, protože máme i výrobní závody a tuto oblast velmi podrobně a dlouhodobě řešíme. Ale většina výrobních firem v podobné situaci určitě nebude. Pak je potřeba najít nějakého důvěryhodného, stabilního partnera, který má zkušenosti i z výrobního sektoru.
Alekompletně pokryt kybernetickou bezpečnost externími zdroji v zásadě není možné. I schvalovaný kyberbezpečnostní zákon jasně říká, že firmy musí zapojit vlastní zaměstnance. To zapojení může být malé, velké, až skoro 100%, ale vždycky tam je potřeba dodat svůj pohled z hlediska firmy, svoje know-how ohledně výroby.
Nekomplikují situaci konvergenční trendy, kdy principy IT pronikají i do OT světa?
Konvergence může určitým způsobem zvyšovat rizika. Ať už se týká virtualizace, <a>což je v OT trochu strašidelný pojem – třeba virtualizace nějakého řídícího systému,– ale i tyto technologie už existují a mají své místo a využití. Může se týkat také aplikačních serverů. V OT DMZ už nemusí figurovat fyzické železo, může to být nějaký virtuální server, který funguje na základě principů z IT. To určitě není problém. A ještě je tady jedno riziko: že když přijde management a vidí, že v OT se používají podobné principy jako v IT, řekne si, ano, pojďme to všechno hodit na IT oddělení, oni to zvládnou. Ale pak to většinou dost skřípe.
Takže konvergovat, ale opatrně (smích).
Opatrně (smích). Když přijde poradenská firma a řekne, ano, poradíme vám, jak na to, a ani se nejde podívat do výroby, nebo řekne, že se výroba přizpůsobí nějakým standardům, třeba: přestavíme linku tak, aby byla na Windowsech a mohla se updatovat každých 15 minut (smích), mělo by rovnou zvednout červenou vlajku. Kouzlo je skryté v drobných detailech, které se musí vyřešit, aby to celé fungovalo. A to ne každý vidí a umí vyřešit efektivně.
- Chcete mít Lupu bez bannerů?
- Chcete dostávat speciální týdenní newsletter o zákulisí českého internetu?
- Chcete mít k dispozici strojové přepisy podcastů?
- Chcete získat slevu 1 000 Kč na jednu z našich konferencí?
Staňte se naším podporovatelem
ČLÁNKY DO MAILU