Až začne malware zabíjet

Jakkoliv děsivě vypadají současné kybernetické útoky, v drtivé většině případů byly doposud škody v konečném důsledku omezené převážně na finanční újmy – a to snad i v případě útoků na zdravotnická zařízení, byť zcela vyloučit, že omezení jejich provozu nestála nepřímo žádný lidský život či zdravotní újmu, rozhodně nelze. Tato bilance se ale podle analytiků v nejbližších letech bohužel změní.

Už do roku 2025 bychom se měli dočkat prvních případů, kdy povedou útoky na technologickou infrastrukturu k bezprostředním újmám či zabití lidí – tedy ke kyberteroristickým vraždám. Zní to možná bulvárně, ale jde o prosté konstatování pravděpodobného vývoje v situaci, kdy jsou útoky na OT (provozní technologie, respektive HW a SW v oblasti ICT provozu) stále častější. Navíc se postupně vyvíjejí – někdejší bezprostřední narušení konkrétního procesu (vedoucí např. k zastavení výroby) dnes nahrazují průniky a narušení integrity celých průmyslových prostředí s cílem způsobit maximální škody – buď bezprostředně, nebo v případě nezaplacení kybervýpalného. Příkladem je nedávný ransomware útok na Colonial Pipeline. To, že výpadky základních utilit nakonec nepřímo povedou ke škodám na zdraví nebo úmrtím, je nevyhnutelné – závisí jen na jejich rozsahu a délce.

„Lídři zodpovědní za bezpečnost a riziko by se zejména v oblasti provozu měli zajímat o reálná nebezpečí a rizika pro lidi či životní prostředí spíše než o prosté krádeže informací,“ říká analytik a ředitel výzkumu Gartneru Wam Woster. „Z diskuzí s našimi klienty opakovaně zjišťujeme, že zejména organizace v odvětvích s velkým podílem investičních aktiv, jako jsou výroba, přírodní zdroje a utility, mají problém správně definovat vhodné kontrolní rámce.“

Analytici Gartneru upozorňují, že za bezpečnostními útoky a incidenty v oblasti provozu a dalších kyberfyzických systémů (CPS, Cyber-Physical Systems) stojí tři hlavní typy motivace: způsobit škodu či někomu skutečně ublížit, způsobit obchodní vandalismus (snížit výkon či výstupy) nebo poškodit dobré jméno (reputační vandalismus znevěrohodněním či snížením spolehlivosti oběti).

Analytici odhadují, že finanční dopad útoků na CPS (kyber-fyzické systémy), při nichž dojde ke ztrátám na životech, překročí v roce 2023 50 miliard dolarů. I bez zohlednění ceny lidských životů tak budou náklady, jež organizace ponesou ve formě na odškodnění, soudní spory, pojištění, regulační pokuty a ztrátu reputace, značné. Analytici předpovídají, že za podobné incidenty budou vedeni k osobní odpovědnosti CEO a další členové nejvyššího vedení postižených organizací.

 

 

10 bezpečnostních opatření pro provozní oblast

 

  1. Definujte role a odpovědnosti

Jmenujte pro každý provoz manažera bezpečnosti OT (Operational Technology – provozních technologií – resp. tzv. kyberfyzických systémů, tedy kombinace výpočetních systémů a provozních zařízení), který je zodpovědný za přidělení a zdokumentování rolí a odpovědností souvisejících s bezpečností pro všechny pracovníky, vedoucí pracovníky a případné třetí strany.

  1. Zajistěte odpovídající školení a informovanost

Všichni pracovníci OT musejí mít pro své role požadované dovednosti. Zaměstnanci každého zařízení musejí být proškoleni, jak rozpoznat bezpečnostní rizika, nejčastější vektory útoku a co dělat v případě (kyber)bezpečnostního incidentu.

  1. Zavedení a testování postupů reakcí na incidenty

Zajistěte, aby každý provoz zavedl a udržoval proces řízení bezpečnostních incidentů specifický pro jeho OT, který zahrnuje čtyři fáze: přípravu, detekci a analýzu, oddělení (containment), eliminaci a obnovu a aktivity po incidentu.

  1. Zálohování, obnova a zotavení po havárii

Zajistěte, aby byly zavedeny správné postupy zálohování, obnovu a zotavení po havárii. Abyste omezili dopad fyzických událostí, jako je například požár, neukládejte záložní média na stejném místě jako zálohovaný systém. Zálohovací média musejí být také chráněna před neoprávněným vyzrazením nebo zneužitím. Aby bylo možné zvládnout závažné incidenty a havárie, musí být možné obnovit zálohu na zcela novém systému nebo virtuálním stroji.

  1. Správa přenosných médií

Vytvořte zásady, které zajistí, že všechna přenosná média pro ukládání dat, jako jsou klíčenky USB a přenosné počítače, budou skenována/zkontrolována bez ohledu na to, zda zařízení patří internímu zaměstnanci nebo externím stranám, jako jsou subdodavatelé nebo zástupci výrobce zařízení. K OT lze připojit pouze média, u nichž bylo zjištěno, že neobsahují škodlivý kód nebo software.

  1. Mějte k dispozici aktuální inventář aktiv

Bezpečnostní manažer musí vést průběžně aktualizovaný soupis všech zařízení a softwaru OT.

  1. Zaveďte řádné oddělení sítí

Sítě OT musejí být fyzicky a/nebo logicky oddělené od všech ostatních sítí, a to jak interně, tak externě. Veškerý síťový provoz mezi OT a jakoukoli jinou částí sítě musí procházet přes řešení zabezpečné brány (secure gateway), jako je demilitarizovaná zóna (DMZ). Interaktivní relace do OT musí využívat vícefaktorovou autentizaci pro ověření na bráně.

  1. Shromažďujte logy a nasaďte detekci v reálném čase

Musejí být zavedena vhodná pravidla, zásady nebo postupy pro automatizované zaznamenávání a přezkoumávání potenciálních a skutečných bezpečnostních událostí či incidentů. Ty by měly zahrnovat jasnou dobu uchovávání bezpečnostních protokolů, které mají být uchovávány, a ochranu proti manipulaci nebo nežádoucím úpravám.

  1. Implementujte proces bezpečné konfigurace

Bezpečné konfigurace musejí být vytvořeny, standardizovány a nasazeny pro všechny používané systémy, jako jsou koncové body, servery, síťová zařízení a provozní (dislokovaná) řešení. Bezpečnostní software pro koncové body, jako je anti-malware, musí být nainstalován a povolen na všech komponentách v prostředí OT, které jej podporují.

  1. Formální proces záplatování

Zaveďte procesy vyžadující kvalifikaci (schválení) záplat výrobcem zařízení před jejich nahráním. Po schválení mohou být záplaty nasazené jen na odpovídající systémy s předem definovanou četností.

Klienti, uživatelé služeb Gartneru, se mohou další podrobnosti dozvědět ve studii „Reduce Risk to Human Life by Implementing this OT Security Control Framework“. + QR

 

Další komentáře

Gartner Security & Risk Management Summit 2021

CISO a lídři v oblasti informační bezpečnosti by podle viceprezidentky výzkumu a analytičky Gartneru Tiny Nunno v dnešní době měli zaujmout spíše ofenzivní než defenzivní pozici – současný svět, hrozby v něm a další pravděpodobný vývoj totiž vyžadují, aby si pravidla „konfliktu“ (myšleno uvnitř podniků a organizací) definovali oni, spíše než aby přistupovali na pravidla a druhých. Jen z „útočné“ (političtější by možná bylo použít termín „asertivní“) pozice totiž CISO mohou zaručit ty nejlepší...

2025: Robotizace datových center

Do roku 2025 budou v polovině cloudových datových center nasazeny pokročilé roboty vybavené umělou inteligencí a strojovým učením – datová centra by tak mohla zvýšit svou provozní efektivitu až o 30 %. Nepůjde přitom jen o „roboty“ softwarové, ale i o klasické – průmyslové či autonomní. „Rozdíl mezi rostoucím objemem serverů a úložišť v datových centrech a počtem schopných rukou a hlav, které by je všechny obsloužily, se zvětšuje,“ říká viceprezident výzkumu společnosti Gartner Sid...