IT bezpečnost je jen jedna, ve výrobě má ale svá specifika, proto má smysl mluvit o zabezpečení OT, říká Lukáš Svozil

V jednom vašem článku píšete, že průmyslové podniky mají 10 let zpoždění v zavádění bezpečnostních opatření za IT firmami. Nemají i útočníci podobné zpoždění v napadání průmyslových firem?

Lukáš Svozil: Nevím, jestli má smysl nad tím takto uvažovat. Pro mě je podstatné, že IT je jenom jedno a stejně tak hrozby jsou stejné pro všechny společnosti, které IT využívají. Nehraje roli, jestli jsou to firmy softwarové nebo strojařské.

Strategií řady firem je vyčkávání podpořené názorem: „Vždyť na mně si nikdo nic nevezme, moje firma se ztratí v hledáčku hackerů mezi tisíci jinými.“ Co je na tom špatně?

Špatně je na tomto uvažování úplně všechno. Největší chyba je, když se situujeme do pozice oběti, do ovečky. Kolem obíhá vlk a ovečka doufá, že se skryje ve stádu a sežrán k večeři bude někdo jiný. Takto to fungovat nesmí, mnohem smysluplnější je vzít IT osud firmy do svých rukou a začít se bezpečnosti aktivně věnovat. 

Řekl jsem, že IT je jen jedno, a stejně tak i IT bezpečnost je jen jedna – a my se jí buď zabýváme nebo nezabýváme. Pokud se jí zabýváme, víme, že nemá smysl čekat se zavřenýma očima. Nejde o to, jestli vlk přijde nebo ne – je jasné, že přijde. Otázka zní, jestli budeme připraveni.  

Představte si následující scénář: Jsem majitel firmy s desítkami zaměstnanců, na všech počítačích ve firmě dodržujeme základní bezpečnostní pravidla: bezpečná hesla, pravidelnou obměnu hesel, opatrnost v práci s poštou atd. Při „kobercových náletech“ hackerů tak nevzbuzuji dojem snadného terče. Stačí to?

Nestačí to. Samozřejmě tato oblast je důležitá, je třeba vzdělávat zaměstnance. Nicméně informační bezpečnost je mnohem širší problematika, kterou je potřeba se zabývat a řídit ji na úrovni vedení firmy. 

Když budu vycházet z toho, že IT je jen jedno. Čím se tedy liší bezpečnost ve firmě a u mě doma? 

Především v povaze dat, které chráníme. V domácím počítači můžu mít fotky z dovolené, nějaké práce do školy, dokumenty osobní povahy. Když o tato data přijdu, je to čistě můj problém. Omezí mě na nějakou krátkou dobu, než si data obnovím. Ve srovnání se ztrátou dat ve firmě je to téměř zanedbatelná újma.

Společnost pracuje s informacemi, které jsou pro ni kritické. V první fázi je potřeba kritická data rozeznat a potom je chránit. Zajištění bezpečnosti zdaleka neznamená jen je ochránit proti vnějším útočníkům. 

No vidíte, a já jsem si myslel, že právě o to jde. 

Vycházet musíme z požadavku, aby data byla dostupná, to je jejich smysl. Druhou zásadou je, aby byla dostupná jen těm zaměstnancům, kteří mají oprávnění. A za třetí musíme zabezpečit správnost a důvěryhodnost dat. V informační bezpečnosti se tedy vždy bavíme o dostupnosti, důvěryhodnosti a integritě dat. Útok hackera, o kterém novináři tak rádi mluví, je jen jednou z možností, která může narušit tyto tři podmínky bezpečnosti dat, ale zdaleka ne jediná. To, o co se snažíme, je vystavět firemní infrastrukturu tak, aby odolala hrozbám a zachovala dostupnost informace. 

Vysvětlete mi prosím tyto pojmy na konkrétních příkladech. Začněme dostupností. 

Představme si člověka ve výrobě, který provádí montáž jednotlivých součástí na základě výkresu, tedy dat. Pokud výkres nemá, výroba stojí. Potřebuje ho tedy mít dostupný. K tomu musíme zajistit možnost komunikace s úložištěm i samotné úložiště dat. Nastane-li výpadek, třeba poškozením disku, data musí být k dispozici na druhém místě. 

A Důvěryhodnost? 

Tady si můžeme představit smlouvy a nabídky uložené na sdíleném disku, ke kterému má přístup každý ve firmě. Kterýkoliv zaměstnanec si může zjistit, jakou nabídku jsme poslali jakému zákazníkovi. To je situace, kterou jsem sám pomáhal řešit v jedné společnosti. Této firmě prudce ubyly zakázky, protože je vždy předběhla konkurence. Podařilo se odhalit, že kritické informace o cenových nabídkách vynáší nespolehlivý zaměstnanec. Chyba byla pochopitelně v tom, že data byla dostupná i zaměstnancům, kteří k nim přístup mít neměli. Nebyla zachována důvěryhodnost. V zodpovědných firmách je standardní práci s daty monitorovat, kdo a kdy k nim přistupuje, jestli si je jen prohlíží nebo je stahuje, jak s nimi dále pracuje. Cokoliv se vymyká normálnímu chodu, signalizuje hrozbu. 

A co se může stát, když není zachována integrita dat? 

Jako modelový příklad si vezměme výrobní linku, která na základě vstupních informací vyrábí požadovaný artikl. Pokud dojde k podvržení chybných dat pro výrobu, třeba nějakým útočníkem, přišli jsme o jejich integritu. Pokud je tato chyba očividná, může si jí včas všimnout obsluha. Pokud ale dojde jen k malé změně, operátor to nemusí rozpoznat a linka může po dobu několika hodin vyrábět zmetky.

Pojďme chvíli mluvit o penězích. Pro řadu, zejména malých a středních firem, jsou výdaje na kvalitní zabezpečení vysoké. Investici odkládají na dobu, kdy tyto služby budou levnější. Myslíte si, že nastane doba, kdy se náklady na bezpečnost sníží?

Jde mi o to, že IT firmy mají jiná finanční měřítka a co je pro ně běžný výdaj, to je pro strojírenskou firmu „luxusní zboží“. Vidíme to na nedostupnosti kvalitních IT pracovníků, všichni jsou ve velkých korporátech a středně velká výrobní firma si je nemůže dovolit. Podobné je to se službami v IT oblasti.

To, že je IT finančně nákladnější než některé jiné obory je pravda. Proč to tak je, to je debata, která mi nepřísluší. Zkrátka to tak musíme brát. Takto bychom se mohli bavit i o jiných specialistech, například právnících. Ani oni nejsou levní a i jejich služby strojírenská firma čas od času potřebuje. 

IT se stalo součástí všech firem. Kontrakty, nabídky a další dokumenty jsou uloženy v elektronické podobě, komunikace probíhá přes email, chat, firmy používají ERP systémy pro plánování podnikových zdrojů. Osobně mě nenapadá žádné odvětví, která by se bez IT ve své každodenní práci obešlo, to je realita. 

Mluvili jsme dosud o zabezpečení informačních technologií – IT. V souvislosti s průmyslem je teď stále skloňovanějším pojmem zabezpečení operačních technologií – OT. Je v těchto dvou oblastech velký rozdíl? 

Jednoho dne přišel požadavek, aby byl stroj připojen do sítě. Abychom mohli sbírat data, nebo abychom mohli říkat stroji, jak má něco vyrábět. To neprobíhá nijak jinak, než integrací fyzického stroje (tedy OT) se světem IT technologií. Prostě na stroj přidáme PC, podobné jako známe z kanceláře. Takže když použijeme pojem OT, zastřešíme tím všechna specifika propojení stroje s počítačem. Z mého pohledu architekta řešení jde pořád o zabezpečení IT. Není tu nic neznámého, jenom možná marketingová oddělení začala používat nové pojmy, které dělají lidem v hlavách zmatek. Stále jde o informační bezpečnost. Podrobněji se tomu věnujeme například na této stránce.

Neslyšel jsem ještě o případu, kdy by se nějaký stroj vymknul kontrole a byl ovládán na dálku hackerem. Jaká rizika v praxi skutečně hrozí?

Řeknu vám opět reálný příklad. Nešlo v něm o to, že by byl stroj záměrně někým chybně ovládán, ale nebezpečnost situace byla stejná. Stalo se, že se operátor připojil k jinému stroji, než se domníval. Snažil se stroj před sebou rozpohybovat ovládáním přes tablet, ale ten nereagoval. Zato se pohyboval stroj za ním, aniž o tom měl operátor tušení. Došlo tak k vážnému zranění. Nebylo to cílené, nešlo o zneužití, ale o chybu, a i to samozřejmě spadá do bezpečnosti. Z hlediska tří oblastí, o kterých jsme mluvili před chvílí, můžeme říci, že nastalo narušení integrity zařízení. 

Jiný příklad může být zakryptování stroje ransomwarem. Takový zavirovaný stroj má modrou obrazovku a nereaguje na nic. Vzpomínám si, že se toto konkrétně stalo nejen na jednom stroji, ale na několika strojích v řadě, protože vir se rozšířil na všechna průmyslová PC zapojená v síti. Bohužel se často setkávám s tím, že průmyslová PC jedou na neaktualizovaných a zastaralých operačních systémech, kde k něčemu podobnému dojde velice snadno.

Jak se může virus dostat do kancelářského PC, je dnes všem poměrně jasné. Jakými cestami se takový škodlivý kód dostane do výrobního stroje? 

Cesty šíření jakéhokoliv malwaru jsou tady naprosto stejné jako u kancelářského PC. Do firmy se může dostat přílohou v mailu nebo infikovanou fleškou a už se šíří i do počítačů ve výrobě, většina industriálních PC používá běžný operační systém Windows. Možná zvenčí klame, že stroj má jiný monitor, jinou klávesnici, ale ve skutečnosti je to počítač jako každý jiný. 

Pracujete jako specialista pro OT sektor, přesto tvrdíte, že i v OT jde o stejné principy jako v IT. Proč má tedy smysl tyto dvě oblasti odlišovat?  

Důvod, proč odlišovat OT, je právě specifický přístup ve výrobních firmách. Shrnu několik příkladů: Industriální počítače ve výrobě má zpravidla na starosti jiný tým lidí. Takže zatímco IT tým má v perfektním pořádku počítače v kancelářích, nepřemýšlí o tom, že je ve firmě řada dalších počítačů, které představují významnou trhlinu v bezpečnosti firmy.  

Tato industriální PC jsou součástí dodávky stroje a obvykle se tak s nimi i zachází. Nejsou aktualizované, není možná odstávka. Hardware je zastaralý, třeba ani jeho kapacita neumožňuje instalaci nové verze Windows. Takže se setkáváme s Windows XP nebo 7. Zde jsou velmi úspěšné vámi zmíněné kobercové útoky. Navíc škodlivé kódy, které nemohou poškodit udržované PC v kanceláři, mohou firmě způsobit velké ztráty poškozením výrobního sektoru. 

Z hlediska bezpečnosti je také třeba hlídat, kam mají jednotlivé stroje přístup. Ke strojům se pravidelně připojují externí servisní pracovníci se svými notebooky. I v situaci, kdy mají čisté úmysly, je třeba je vnímat jako potenciální riziko. To všechno dělá ze světa operačních technologií specifickou oblast. 

Rozumím tomu tak, že účelem hackerské práce je získat peníze. Jde nějak zpeněžit útok na výrobní sféru? Na stroj nebo výrobní linku?

Funguje to úplně stejně. Budu se opakovat, ale je to opravdu důležité: Na počátku musím identifikovat důležitá data, specifikovat, která jsou pro nás kritická, a odpovídajícím způsobem je chránit. Pokud o ně přijdu na určitou dobu, stoupá mi finanční ztráta. Pokud mi tato data například zašifroval hacker, bude požadovat výkupné. Mají navíc novou fintu, když zaplatíte výkupné, data vám odemknou, ale zároveň vám sdělí, že je mají také, takže pokud nechcete, aby je prodali konkurenci, zaplaťte ještě jednou. 

Pracujete v NTT Česká republika a nabízíte zajišťování informační bezpečnosti firmám jako externí službu. Proč by firmy měly chtít tuto práci od někoho zvenčí? 

V situaci, kdy je nedostatek odborníků, jak jste sám zmínil, dává využití služeb externí zkušené firmy smysl. Mít ve firmě jednoho člověka pro IT bezpečnost je málo, vždycky potřebujeme nějaký tým, v němž bude existovat zastupitelnost, tím rostou náklady. Z mojí zkušenosti menší firmy sázejí na jednoho až dva pracovníky, kteří mají v IT více rolí. Bezpečnost je většinou pouze přidružená role. Stavět vše na takto malý tým není ideální, pro samou práci tito lidé nemají prostor se dále vzdělávat. 

V ostatních oblastech je běžné si nakoupit celou službu od externího dodavatele, v IT to dává smysl úplně stejně. Výrobní linku za desítky milionů také sestaví a zprovozní dodavatel. 

Naprostou většinu textů o nutnosti zabezpečení OT, které se v médiích objevují, publikují ti, kteří tyto služby nabízejí. Není to účelové strašení lidí? 

Firmy, jako je NTT, dlouhodobě sbírají zkušenosti z různých projektů, situací, i bezpečnostních událostí, které pomáhaly řešit. A tyto znalosti a zkušenosti můžeme nabídnout zákazníkům. Podobně jako lékař pacientům. Můžeme předem řešit situace a předvídat hrozby, o kterých zákazník zatím nemá ani tušení. Není překvapivé, že o té problematice publikujeme články a edukujeme společnost. My jsme odborníci a čeká se to od nás. 

Pravidelně publikujeme respektovanou zprávu GTIR (Global Threat Intelligence Report) o stavu a vývoji informační bezpečnosti ve světě. Ta poslední je například mimořádně zajímavá, protože během pandemie koronaviru prudce stoupl počet útoků, řada z nich směřovala i do oblastí, které dříve nebyly v centru zájmu útočníků. 

Když se rozhodnu svěřit IT a OT bezpečnost ve svojí firmě externí firmě a oslovím vás, jak bude vypadat návrh řešení a jeho uvádějí do praxe? 

Zaměření naší firmy nesměřuje jen k prodávání „boxů“, které vám vyřeší bezpečnost. Naše podnikání zakládáme na znalostech a zkušenostech, takže primárně poskytujeme odborné konzultace. Všemu předchází analýza, abychom poznali konkrétní situaci zákazníka. Pojmenujeme oblasti, kterými se zákazník musí zabývat, jaké to přinese interní nebo externí náklady a časové nároky. Z konzultace vyplyne rozvojové strategie. Tato část našich služeb je pro většinu zákazníků nejvíce objevná a přínosná.

Návrh vhodné technologie je samozřejmostí. Pokud nemá vlastní tým na realizaci, tak samozřejmě umíme prodat a implementovat navržená řešení do jeho firmy, to je druhá rovina našich služeb.

Třetí oblast je operativa, čili následná péče o celý systém. Zejména si tu můžete představit pravidelné aktualizace a kontroly, co se děje ve firemní síti, prověřování podezřelého chování a podobně. Zde mluvíme o managovaných službách – například správa firewallu formou služby.

Vím, že finanční otázky je těžké zodpovědět obecně, ale právě peníze často rozhodují. Může si vaše služby dovolit i výrobní firma s desítkami zaměstnanců?

Pokud zákazník není zvyklý platit za IT a IT bezpečnost, tak první platba je pro něj vždycky příliš vysoká. Napadá mě třeba analogie s dobou, kdy se přecházelo z papírových dokumentů na počítače, které v té době byly strašně drahé. IT je součástí našeho byznysu, a tedy i náklady na IT bychom měli přijmout jako samozřejmost, bez které nelze jít dál. 

Primárně se firmám snažíme nabídnout řešení a v mých očích není levné nebo drahé řešení, ale dobré nebo špatné. Cena IT řešení se neodvíjí od počtu zaměstnanců, ale od charakteru podnikání. Abych se vaší otázce zcela nevyhnul, mohu myslím říci, že výrobní strojírenské firmy nepatří k těm, které by vyžadovaly robustní a nákladné řešení IT bezpečnosti.

Lukáš Svozil, Business Development Manager – Security v NTT Česká republika.

Lukáš Svozil pracuje v Enterprise IT přes 10 let. Začal jako síťový administrátor, kde získal praktické zkušenosti se zabezpečením webových aplikací a LAN sítí. Následně nastoupil do automotive společnosti na pozici globálního síťového architekta, později přešel na pozici bezpečnostního architekta. Zde setrval 8 let a na starosti měl celý proces – od výběru řešení, přes jeho implementaci až po následný support.

Do NTT Česká republika nastoupil před pěti měsíci a má na starosti Business development pro oblast  security. Součástí jeho kompetencí je i OT security.