České průmyslové firmy nejsou dostatečně chráněny – riziku jich je vystaveno nejméně 1 580
Zavádění principů SMART Industry nejen do průmyslové výroby, ale například i do dodavatelsko-odběratelských vztahů, s sebou přineslo i vyšší přístupnost průmyslových řídicích systémů z veřejného internetu. „Vzdálený přístup je dnes běžně využívanou metodou pro sledování nejen výrobních technologií nebo logistiky zásobování výroby, ale například i malých vodních či solárních elektráren,“ upozornil Martin Lohnert z Void SOC.
Právě na stav zabezpečení průmyslových řídicích systémů českých firem se zaměřil průzkum společnosti Soitron provedený týmem analytiků Void SOC. Bezpečnostní specialisté se však během průzkumu nepokoušeli nalezené systémy jakkoli manipulovat. „Naši bezpečnostní analytici hledali systémy, které jsou dostupné z internetu a jsou slabě zabezpečeny, ale nepokoušeli se je žádným způsobem zneužít. Pracovali v režimu „read-only“,“ vysvětlil Lohnert. Jak dodává, do výsledků průzkumu zařadili pouze průmyslové řídící systémy, kde bylo patrné vysoké riziko průniku hackerů nebo škodlivého softwaru s možností uškodit dané firmě.
Průmyslové firmy lze jednoduše napadnout přes internet
Průzkum našel až 1 580 průmyslových řídicích systémů vystavených riziku kybernetického útoku, ať už ve výrobních firmách, ale například i v malých elektrárnách. I bez nutnosti jakéhokoliv „hackingu“ umožnilo nedostatečné zabezpečení bezpečnostním analytikům v reálném čase vidět výrobní linku pivovaru s možností aktivního ovládání, systém fotovoltaické elektrárny s nabídkou vytvoření vlastního hesla, či parkoviště monitorované průmyslovou kamerou s možností vyčíst poznávací značky.
Hrozba kybernetického útoku však nesouvisí pouze s připojením řídicích systémů na internet. Mnohé firmy dnes využívají ve svých provozech na údržbu systémů externí firmy, které se mohou například do výrobní linky připojit přes vlastní počítač nebo mobil. „Pokud jsou zařízení takového dodavatele s přístupem do výroby slabě zabezpečené, což standardně jsou, je riziko pro firmu ještě výrazně vyšší," upozornil David Dvořák, IT konzultant pro kybernetickou bezpečnost společnosti Soitron.
Příčiny nízké ochrany průmyslových řídicích systémů vidí v nárocích, které na výrobní firmy klade rostoucí automatizace a digitalizace řízení. „Více než kdy v minulosti platí, že před kybernetickým útokem není nikdo na 100 % v bezpečí. Jsou však možnosti, jak eliminovat riziko a případné škody i v případě sofistikovaných průniků,“ dodal Dvořák.
Do výzkumu byly zahrnuty ICS na území ČR dostupné z internetu. Nedostatky byly nalezeny napříč systémy různých výrobců včetně Siemens, ABB, Schneider Electric, Honeywell, Johnson Controls, Rockwell Automation a dalších.
Zjištěno bylo, že firmy často ignorují základní bezpečnostní doporučení a jejich systémy jsou otevřené pro anonymní přístup pro kohokoli. Běžným nedostatkem je také používání starých a nepodporovaných verzí systémů. Lokalizovat podniky se špatným zabezpečením nejde – celkem dle průzkumu pocházejí z 280 měst. Riziko je přitom značné a průměrná doba odhalení průniku činí 214 dní. Firmy navíc svou špatnou situaci často neřeší ani navzdory varováním, která dostávají. Další z příčin těchto problémů je také nedostatek investic směřujících do firemního IT.s
Jak se chránit před útokem?
V první řadě je to aktivní přístup firem k otázce ochrany jejich systémů před kybernetickými hrozbami. Zároveň je nezbytné nastavit a pravidelně kontrolovat procesy zaměřené na zajištění kybernetické bezpečnosti ve firmě. „Jednak jde o průzkumem potvrzené nezajištění řídicích systémů před neoprávněným přístupem přes internet, což je velmi viditelný problém. Ale jsou to i takové věci jako například přístup zaměstnanců a dodavatelů do interních sítí se zařízeními připojenými na internet,“ dodal Dvořák.
Stejně důležitý je reakční čas, pokud monitoring kybernetické bezpečnosti zachytí průnik do systémů firmy. „Ne každý incident musí skončit špatně, pokud začnete situaci řešit okamžitě. Minimálně tím, že se pokusíte minimalizovat škody, například odpojením napadeného zařízení z provozu,“ poukázal na možnosti řešení M. Lohnert.
Problémem v případě českých průmyslových firem, který může být i důvodem nelichotivých výsledků průzkumu, může být dostupnost kvalitních bezpečnostních analytiků. Ne v každém regionu České republiky je dnes na trhu práce dostatek volných specialistů na kybernetickou bezpečnost. „Mnohé firmy jsou v regionech, kde byste nejspíš specialistu na kybernetickou bezpečnost našli velmi těžko. Pokud si navíc máte zajistit monitoring hrozeb v režimu 24/7, jelikož hackeři často neútočí v době plného provozu svého cíle, potřebujete více takových specialistů,“ uzavřel M. Lohnert.