Strašákem průmyslových firem jsou malware i zranitelnosti IoT

Tomu, že pravděpodobnost kybernetického ohrožení ICS systémů stoupá s počtem využívaných IoT zařízení, věří v 65 % společností. Společnost Kaspersky Lab ve svém nejnovějším průzkumu „Stav průmyslové kybernetické bezpečnosti 2018“ zjistila, že je velká část firem odhodlaná zvýšit efektivitu své výroby díky novým informačním technologiím. Počínají si při tom ale velmi nerozvážně. Na jednu stranu se snaží maximálně zabezpečit své IT sítě, na druhou stranu ale nechávají téměř nechráněné veškeré provozní technologie (OT). Zvyšují tím tak riziko útoku ransomwarem nebo malwarem.

Prolínání informačních (IT) a provozních technologií (OT), propojení OT s externími sítěmi a stoupající počet průmyslových IoT zařízení pomáhá zvyšovat efektivitu průmyslových procesů. Tento trend ale s sebou přináší zvýšená rizika a zranitelnosti, které v zástupcích průmyslových podniků vyvolávají nejistotu. Více než tři čtvrtiny (77 %) firem podle průzkumu totiž očekávají ohrožení svých průmyslových řídicích sítí ze strany hackerů.

Firmy svým laxním přístupem ke kybernetické bezpečnosti IT a OT/ICS sítí nechávají ve své infrastruktuře četné zranitelnosti. I když jsou si vědomy rizik spojených s digitalizací, neaplikují správná bezpečnostní opatření, aby ochránily své provozní technologie. Že se za poslední rok nestaly obětí žádného kybernetického útoku přitom tvrdí 51 % průmyslových společností. Tato rozdílná tvrzení mohou být způsobena tím, že více než polovina dotázaných respondentů pracuje v IT odděleních. Ta v mnoha případech nemívají přehled o útocích na průmyslové řídicí systémy. Jednou z příčin může být absence jednotné koncepce kybernetické bezpečnosti. Tento fakt potvrzuje i zjištění, že celých 48 % organizací přiznalo, že postrádají jakékoli řešení, které by detekovalo nebo monitorovalo útoky na jejich průmyslové systémy.

Pozdě či vůbec neodhalené útoky by přitom mohly mimo jiné znehodnotit vyráběné produkty a tím ovlivnit důvěru zákazníků a obchodních partnerů. S incidenty jsou spojeny i značné finanční ztráty, kdy 20 % podniků, které za poslední rok byly napadeny alespoň jednou, uvedlo, že se tyto náklady oproti předchozí zkušenosti zvýšily.

Očekávání versus realita

Navzdory dobrému povědomí o kybernetických hrozbách a zvýšeným investicím na ochranu IT se stále OT systémy průmyslových organizací stávají častou obětí běžných malwarových útoků. Největší obavy mají firmy všeobecně z cílených útoků. Realita je ale taková, že se dvě třetiny (64 %) firem během posledních 12 měsíců staly obětí běžného malwaru a virových útoků. Dalších 30 % zažilo ransomwarový útok a čtvrtina (27 %) se dostala do problémů kvůli chybám, které způsobily jejich zaměstnanci. Cílené útoky negativně ovlivnily fungování pouze 16 % firem (v roce 2017 to bylo 36 %). Obavy organizací se tak rozcházejí s kyberbezpečnostní realitou.

„S nástupem cloudu a IoT zařízení do průmyslové výroby je čím dál důležitější zabezpečit po kybernetické stránce všechny části řídicích systémů, tak aby nedošlo k narušení provozu firmy. V poslední době pozorujeme pozitivní trend, kdy převládající část firem věnuje větší pozornost své kybernetické bezpečnosti. Zavádějí efektivní pravidla a účinná bezpečnostní řešení chránící průmyslové řídicí sítě. Značné mezery ale stále existují v implementování speciálních ICS řešení pro včasnou reakci na napadení,“ řekl Georgy Shebuldaev z oddělení společnosti Kaspersky Lab zaměřeného na kyberbezpečnost průmyslových firem.

Průmysl budoucnosti

Nově zaváděné technologie, jako jsou průmyslová zařízení internetu věcí a cloudové systémy, vyžadují stejnou míru zabezpečení jako běžné počítače. Více než polovina společností se svěřila, že v následujícím roce pro ně bude největším oříškem ochrana a správa čím dál propojenějších systémů a IoT zařízení. V současnosti už 15 % průmyslových podniků používá cloudová řešení pro řídicí systémy SCADA, přičemž dalších 25 % je plánuje zavést v následujícím roce. Proto je velmi důležité, aby kybernetická ochrana držela krok s vývojem a zaváděním nových technologií. Jedině tak se firmy vyhnou vážným provozním, finančním a reputačním škodám.