Jakkoliv děsivě vypadají současné kybernetické útoky, v drtivé většině případů byly doposud škody v konečném důsledku omezené převážně na finanční újmy – a to snad i v případě útoků na zdravotnická zařízení, byť zcela vyloučit, že omezení jejich provozu nestála nepřímo žádný lidský život či zdravotní újmu, rozhodně nelze. Tato bilance se ale podle analytiků v nejbližších letech bohužel změní.
Už do roku 2025 bychom se měli dočkat prvních případů, kdy povedou útoky na technologickou infrastrukturu k bezprostředním újmám či zabití lidí – tedy ke kyberteroristickým vraždám. Zní to možná bulvárně, ale jde o prosté konstatování pravděpodobného vývoje v situaci, kdy jsou útoky na OT (provozní technologie, respektive HW a SW v oblasti ICT provozu) stále častější. Navíc se postupně vyvíjejí – někdejší bezprostřední narušení konkrétního procesu (vedoucí např. k zastavení výroby) dnes nahrazují průniky a narušení integrity celých průmyslových prostředí s cílem způsobit maximální škody – buď bezprostředně, nebo v případě nezaplacení kybervýpalného. Příkladem je nedávný ransomware útok na Colonial Pipeline. To, že výpadky základních utilit nakonec nepřímo povedou ke škodám na zdraví nebo úmrtím, je nevyhnutelné – závisí jen na jejich rozsahu a délce.
„Lídři zodpovědní za bezpečnost a riziko by se zejména v oblasti provozu měli zajímat o reálná nebezpečí a rizika pro lidi či životní prostředí spíše než o prosté krádeže informací,“ říká analytik a ředitel výzkumu Gartneru Wam Woster. „Z diskuzí s našimi klienty opakovaně zjišťujeme, že zejména organizace v odvětvích s velkým podílem investičních aktiv, jako jsou výroba, přírodní zdroje a utility, mají problém správně definovat vhodné kontrolní rámce.“
Analytici Gartneru upozorňují, že za bezpečnostními útoky a incidenty v oblasti provozu a dalších kyberfyzických systémů (CPS, Cyber-Physical Systems) stojí tři hlavní typy motivace: způsobit škodu či někomu skutečně ublížit, způsobit obchodní vandalismus (snížit výkon či výstupy) nebo poškodit dobré jméno (reputační vandalismus znevěrohodněním či snížením spolehlivosti oběti).
Analytici odhadují, že finanční dopad útoků na CPS (kyber-fyzické systémy), při nichž dojde ke ztrátám na životech, překročí v roce 2023 50 miliard dolarů. I bez zohlednění ceny lidských životů tak budou náklady, jež organizace ponesou ve formě na odškodnění, soudní spory, pojištění, regulační pokuty a ztrátu reputace, značné. Analytici předpovídají, že za podobné incidenty budou vedeni k osobní odpovědnosti CEO a další členové nejvyššího vedení postižených organizací.
10 bezpečnostních opatření pro provozní oblast
- Definujte role a odpovědnosti
Jmenujte pro každý provoz manažera bezpečnosti OT (Operational Technology – provozních technologií – resp. tzv. kyberfyzických systémů, tedy kombinace výpočetních systémů a provozních zařízení), který je zodpovědný za přidělení a zdokumentování rolí a odpovědností souvisejících s bezpečností pro všechny pracovníky, vedoucí pracovníky a případné třetí strany.
- Zajistěte odpovídající školení a informovanost
Všichni pracovníci OT musejí mít pro své role požadované dovednosti. Zaměstnanci každého zařízení musejí být proškoleni, jak rozpoznat bezpečnostní rizika, nejčastější vektory útoku a co dělat v případě (kyber)bezpečnostního incidentu.
- Zavedení a testování postupů reakcí na incidenty
Zajistěte, aby každý provoz zavedl a udržoval proces řízení bezpečnostních incidentů specifický pro jeho OT, který zahrnuje čtyři fáze: přípravu, detekci a analýzu, oddělení (containment), eliminaci a obnovu a aktivity po incidentu.
- Zálohování, obnova a zotavení po havárii
Zajistěte, aby byly zavedeny správné postupy zálohování, obnovu a zotavení po havárii. Abyste omezili dopad fyzických událostí, jako je například požár, neukládejte záložní média na stejném místě jako zálohovaný systém. Zálohovací média musejí být také chráněna před neoprávněným vyzrazením nebo zneužitím. Aby bylo možné zvládnout závažné incidenty a havárie, musí být možné obnovit zálohu na zcela novém systému nebo virtuálním stroji.
- Správa přenosných médií
Vytvořte zásady, které zajistí, že všechna přenosná média pro ukládání dat, jako jsou klíčenky USB a přenosné počítače, budou skenována/zkontrolována bez ohledu na to, zda zařízení patří internímu zaměstnanci nebo externím stranám, jako jsou subdodavatelé nebo zástupci výrobce zařízení. K OT lze připojit pouze média, u nichž bylo zjištěno, že neobsahují škodlivý kód nebo software.
- Mějte k dispozici aktuální inventář aktiv
Bezpečnostní manažer musí vést průběžně aktualizovaný soupis všech zařízení a softwaru OT.
- Zaveďte řádné oddělení sítí
Sítě OT musejí být fyzicky a/nebo logicky oddělené od všech ostatních sítí, a to jak interně, tak externě. Veškerý síťový provoz mezi OT a jakoukoli jinou částí sítě musí procházet přes řešení zabezpečné brány (secure gateway), jako je demilitarizovaná zóna (DMZ). Interaktivní relace do OT musí využívat vícefaktorovou autentizaci pro ověření na bráně.
- Shromažďujte logy a nasaďte detekci v reálném čase
Musejí být zavedena vhodná pravidla, zásady nebo postupy pro automatizované zaznamenávání a přezkoumávání potenciálních a skutečných bezpečnostních událostí či incidentů. Ty by měly zahrnovat jasnou dobu uchovávání bezpečnostních protokolů, které mají být uchovávány, a ochranu proti manipulaci nebo nežádoucím úpravám.
- Implementujte proces bezpečné konfigurace
Bezpečné konfigurace musejí být vytvořeny, standardizovány a nasazeny pro všechny používané systémy, jako jsou koncové body, servery, síťová zařízení a provozní (dislokovaná) řešení. Bezpečnostní software pro koncové body, jako je anti-malware, musí být nainstalován a povolen na všech komponentách v prostředí OT, které jej podporují.
- Formální proces záplatování
Zaveďte procesy vyžadující kvalifikaci (schválení) záplat výrobcem zařízení před jejich nahráním. Po schválení mohou být záplaty nasazené jen na odpovídající systémy s předem definovanou četností.
Klienti, uživatelé služeb Gartneru, se mohou další podrobnosti dozvědět ve studii „Reduce Risk to Human Life by Implementing this OT Security Control Framework“. + QR
Napsat komentář