Průmyslové IT systémy nejsou bezpečné, ukázal průzkum v Česku

4. 12. 2019

Sdílet

 Autor: © buchachon - Fotolia.com
České průmyslové firmy, ale například i elektrárny, nejsou dostatečně chráněné před potenciálními počítačovými útoky. Jak ukázal průzkum společnosti Soitron, minimálně 1580 řídicích systémů ve firmách v České republice je vystaveno riziku průniků z internetu do jejich řídících průmyslových systémů.

Zavádění principů Smart Industry nejen do průmyslové výroby, ale například i do dodavatelsko-odběratelských vztahů, přinesl s sebou i vyšší přístupnost průmyslových řídicích systémů z veřejného internetu.

"Vzdálený přístup je dnes běžně využívanou metodou pro sledování nejen výrobních technologií nebo logistiky zásobování výroby, ale například i malých vodních či solárních elektráren," upozorňuje Martin Lohnert ze Soitronu.

Právě na stav zabezpečení průmyslových řídicích systémů českých firem se zaměřil průzkum Soitronu. Bezpečnostní specialisté se ale během průzkumu nepokoušeli nalezené systémy "hackovat".

"Naši bezpečnostní analytici hledali systémy, které jsou dostupné z internetu a jsou slabě zabezpečeny, ale nepokoušeli se je žádným způsobem zneužít. Pracovali v režimu "read-only"," vysvětluje Lohnert.

Jak dodává, do výsledků průzkumu zařadili pouze průmyslové řídící systémy, kde bylo patrné vysoké riziko průniku hackerů nebo škodlivého softwaru, s možností uškodit dané firmě.

Průzkum našel až 1580 průmyslových řídicích systémů vystavených riziku kybernetického útoku, ať už ve výrobních firmách, ale například i v malých elektrárnách.

I bez nutnosti jakéhokoliv "hackingu" umožnilo nedostatečné zabezpečení bezpečnostním analytikům v reálném čase vidět výrobní linku pivovaru s možností aktivního ovládání, systém fotovoltaické elektrárny s nabídkou vytvoření vlastního hesla, či parkoviště monitorované průmyslovou kamerou.

Hrozba kybernetického útoku však nesouvisí pouze s připojením řídicích systémů na internet. Dnes mnohé firmy využívají ve svých provozech na údržbu systémů externí firmy, které se mohou například do výrobní linky připojit přes vlastní počítač nebo mobil.

"Pokud jsou zařízení takového dodavatele s přístupem do výroby slabě zabezpečené, což standardně jsou, je riziko pro firmu ještě výrazně vyšší," upozorňuje David Dvořák, IT konzultant Soitronu.


Příčiny nízké ochrany průmyslových řídicích systémů vidí v nárocích, které na výrobní firmy klade rostoucí automatizace a digitalizace řízení.

Jak se chránit před útokem?

V první řadě je to aktivní přístup firem k otázce ochrany jejích systémů před kybernetickými hrozbami. Zároveň je nezbytné nastavit a pravidelně kontrolovat procesy zaměřené na zajištění kybernetické bezpečnosti ve firmě.

"Jednak jde o průzkumem potvrzené nezajištění řídicích systémů před neoprávněným přístupem přes internet, což je velmi viditelný problém. Ale jsou to i takové věci jako například přístup zaměstnanců a dodavatelů do interních sítí se zařízeními připojenými na internet," dodává Dvořák.

Stejně důležitý je reakční čas, pokud monitoring kybernetické bezpečnosti zachytí průnik do systémů firmy. "Ne každý incident musí skončit špatně, pokud začnete situaci řešit okamžitě, jak vznikne. Minimálně tím, že se pokusíte minimalizovat škody, například odpojením napadeného zařízení v provozu," dodává Lohnert.

Problémem v případě českých průmyslových firem, který může být i důvodem nelichotivých výsledků průzkumu, je i dostupnost kvalitních bezpečnostních analytiků.

Také Jan Gřunděl ze zastoupení Rockwell Automation pro střední a jihovýchodní Evropu potvrzuje problémy průymyslového IT včetně tzv. provozních technologií (OT).

Výrobní průmysl je podle Rockwellu velmi konzervativní prostředí. Ke změnám technologií zde dochází velmi pomalu a firmy rády vytěží ze stávajícího majetku co nejvíce, než přejdou na nové technologie.

Proto se některé z nich zdráhají zapojit své provozovny do širšího světa. To je však velmi naivní postoj. Pokud není závod připojený, ještě to neznamená, že je chráněný.

Stuxnet, nechvalně známý malware, dokázal napadnout provozovny, které nebyly připojené k internetu, a to jednoduše útokem jinými cestami – například externě nakaženými notebooky nebo USB flash disky.

Chybějící připojení má navíc pro podnik závažné důsledky. Společnost, která se domnívá, že si izolací svých systémů zajistí bezpečnost, se staví do velmi nekonkurenceschopné pozice a přichází o výhody integrovaných dodavatelských řetězců, pokročilé analytiky údržby a sdílení provozních informací v reálném čase, což jsou jen některé z mnoha výhod propojeného podniku (The Connected Enterprise).

Pokud budete soutěžit s propojenými firmami – zůstanete na chvostu, tvrdí Rockwell. Izolace není ta správná cesta vpřed. Firmy by se namísto toho měly zaměřit na nové způsoby, jak se s riziky vypořádat.

Prvním krokem je tato rizika pochopit a zamyslet se nad následujícími otázkami:

•          Je vaše automatizační síť vhodná k danému účelu?

•          Je vaše síť OT určena speciálně pro OT nebo je pouhou nadstavbou vaší sítě IT?

•          Jak se vaše síť OT organicky vyvíjí přidáváním nových prvků?

•          Disponujete nejlepší sítí ve třídě? A co je důležitější: víte, co je do vaší sítě aktuálně připojeno?

•          Máte další podsítě, které sídlí pod ethernetovými systémy? Jak hluboký je váš „síťový řetězec“?

•          Víte, jestli jsou vaše chytrá zařízení aktualizována na poslední opravenou verzi softwaru?

Ve výrobních podnicích se setkáváme s rozdíly v přístupu a správě IT a OT infrastruktury. Zatímco IT většinou důsledně řídí pravidla a nutná zabezpečení, oblast OT často nemá žádná pravidla, definované odpovědnosti, a dokonce není ani dostatečně mapována a dokumentována.“, říká Gřunděl.

Úplným extrémem jsou pak podle něj integrované gatewaye pro vzdálenou správu zařízení, o kterých v závodě nikdo neví.Obvykle je implementují dodavatelé strojů pro jejich vzdálenou správu a údržbu, a protože nejsou nikde dokumentovány, zapomene se na ně.

bitcoin školení listopad 24

Přes tato zařízení pak může kdokoli vzdáleně změnit například recepturu nebo rychlost otáčení motoru, aniž by překonával jakékoli heslo, a aniž by to v podniku někdo vůbec věděl, dodává Gřunděl.