Pri zagotavljanju kibernetske varnosti je glavna vidljivost informacijskega ali procesnega okolja podjetja. Če ne vemo, kaj se dogaja v okolju, ne moremo ustrezno ukrepati. Usmerjeni kibernetski napad se ne zgodi z včeraj na danes, ampak lahko traja tudi več mesecev, v povprečju 200 dni in navadno poteka v petih fazah, opozarja Matjaž Katarinčič, vodja tehnološkega področja kibernetske varnosti v družbi Smart Com.
Kakšno je bilo v smislu kibernetskih tveganj leto 2022, kateri varnostni incidenti pri nas in v svetu vam bodo najbolj ostali v spominu?
Leto 2022, ki ga še ni konec, je bilo zelo dinamično. Zaznamovali so ga ukrajinski vojaški spopad in dva večja kibernetska napada, ki smo ju doživeli pri nas – na eno od medijskih hiš ter na center za obveščanje in reševanje. Oba sta v javnosti tudi zelo odmevala.
Vojna v Ukrajini še vedno traja, onesposabljanje strateških ciljev oziroma ciljev kritične infrastrukture je vsakdanja praksa. Občutno se je povečalo tudi število kibernetskih napadov, vodenih iz Rusije in njenih simpatizerskih držav. Ob tem, ko s sistemi za prepoznavanje anomalij v informacijskem oziroma procesnem okolju zaznamo protokolne nepravilnosti, poskuse nelegalne komunikacije, morebitne zlorabe, lahko vidimo izvorne IP-naslove napadalcev, se lahko odzovemo skladno z vnaprej vzpostavljenimi postopki za preprečevanje oziroma omejitev varnostnih incidentov.
Naj dodam, da je o uspešnih kibernetskih napadih javnost le izjemoma obveščena. Uradni podatki, ki jih zbira nacionalni odzivni center, so nepopolni, saj žrtve navadno zaradi poslovnih razlogov ne prijavijo varnostnih incidentov.
Zaradi vsega naštetega smo zaznali povečan obseg dela na področju zagotavljanja kibernetske varnosti, ki pa ga v podjetjih z omejenimi kadrovskimi viri zelo težko dohajajo in so tako začeli najemati specializirane zunanje izvajalce varnostnih storitev.
Na katerih področjih zaznavate ranljivosti v industrijskih panogah?
Najprej bi poudaril, da v Smart Comu zelo veliko vlagamo v ozaveščanje o pomembnosti kibernetske varnosti v industrijski panogi. V praksi namreč opažamo, da številna industrijska oziroma procesna okolja niso strukturirana tako, da bi se lahko obranila varnostnih groženj ali pa jih vsaj zaznala. Glede na smernice, priporočila in standarde stroke vse to odseva na zrelostni stopnji kibernetske varnosti v takšnih okoljih.
Če pogledamo delovanje okolij kritične infrastrukture, ki so za delovanje družbe najpomembnejša – na primer delovanje energetskega sistema, vodovoda, kanalizacije in preostalih ključnih storitev, ki jih kritična infrastruktura zagotavlja –, hitro ugotovimo, da je največja težava vseh teh okolij vidljivost. Se pravi vidljivost, preglednost nad tem, kaj se v okolju dogaja. Ali vemo, kje smo ranljivi, ali vemo, ali je v teku kibernetski napad, ali smo prepričani, da na obseg izmeta v proizvodnji ni vplival napadalec …
Napadalci vedno poskušajo izrabiti najšibkejšo točko v okolju, to je največkrat ranljivost, ki omogoča vstop v sistem in s tem prevzem nadzora nad sistemom oziroma njegovo upravljanje.
Katere točke so najšibkejše?
Še vedno velja, da so najšibkejša točka zaposleni, tem sledijo procesi in šele nato varnostni sistemi. Marsikatero podjetje ima vpeljane varnostne sisteme, a če nima usposobljene ekipe, sisteme s težavo vzdržuje, upravlja …
V industrijskih okoljih je praksa, da informatiki vzdržujejo tudi okolja procesne tehnologije, precej pogosta. A pri tem se je treba zavedati, da je to povsem drugo okolje, za katero so značilni specifični industrijski protokoli. IT-strokovnjak, ki ne pozna proizvodnega procesa in kako v nekem procesu deluje industrijska elektronika, ne more prepoznati varnostnih ranljivosti, spremembe kritičnih parametrov ter postopkov odziva na kritične položaje v takšnem okolju.
Nepoznavanje procesnih (OT) okolij in nezadostne kompetence v takšnem primeru privedejo do povišane stopnje tveganj v teh okoljih. Navadno so procesniki pravi tisti, ki delajo v OT-okoljih in ne poznajo mehanizmov za zagotavljanje kibernetske varnosti, itijevci pa po drugi strani ne poznajo procesov, poznajo pa kibernetsko varnost.
Opozoril bi še, da je zavedanje poslovodstva o pomembnosti zagotavljanja visoke stopnje kibernetske varnosti najpomembnejše. Podatki na svetovni ravni namreč kažejo, da se nov hekerski napad zgodi vsakih sedem sekund. Hekerji ne izbirajo svojih tarč, kar pomeni, da je na zemljevidu seveda tudi Slovenija.
Povprečna finančna odškodnina, ki so jo od industrijskih podjetij lani zahtevali hekerji, je bila 220 tisoč ameriških dolarjev. K tej številki pa je treba dodati še petkratnik te vrednosti, ki je potreben za odpravljanje posledic kibernetskega napada in vnovično vzpostavitev nemotenega delovanja proizvodnje. Zato je pomembno, da poslovodstva zagotovijo tehnološke, procesne in kadrovske pogoje za obrambo pred kibernetskimi napadi z namenom zagotavljanja neprekinjenega poslovanja.
Kako odporna je proti kibernetskim nevarnostim slovenska industrija danes v primerjavi s tisto pred nekaj leti?
Največja sprememba je zlivanje procesnih okolij z okolji informacijske tehnologije. Proces digitalizacije v industriji je ta proces pospešil. Nihče pa se ob tem ni zavedal, da procesna okolja vključujejo starejše tehnologije, ki pomenijo visoko varnostno tveganje in so tako lahka tarča kibernetskih napadalcev.
Poslovodstva se vse bolj zavedajo teh tveganj in jih zmanjšujejo, tudi z našo pomočjo. Lahko trdim, da slovenska industrija krepi odpornost proti kibernetskim napadom, povsem odporna pa ne more biti nikoli. Hekerji namreč nenehno odkrivajo nove metode, nove načine, nove varnostne ranljivosti, ki jih lahko izrabijo. In kot vemo, je veriga močna toliko, kot je močan njen najšibkejši člen.
Poudaril bi še, da so časi koronavirusa pokazali, kako so strateška okolja pomembna za nemoteno delovanje naše družbe. Z nadzorom in spremljanjem teh okolij z vidika varnosti in neprekinjenega delovanja se je razkrila marsikatera varnostna pomanjkljivost in bila že med korono tudi odpravljena.
S katerimi izzivi se industrijska podjetja srečujejo pri obvladovanju kibernetske varnosti?
Največji izziv so kompetence oziroma znanje zaposlenih, kjer je glavna predvsem širina poznavanja problematike, ne toliko specializacija. Drugi izziv pa je pomanjkanje kadrov oziroma virov.
Industrijska okolja so tudi stroškovno zelo občutljiva. Vendar pa je treba vlaganja v kibernetsko varnost obravnavati podobno kot vlaganje v zavarovanje.
Praksa kaže, da je strošek, povezan z zavarovanjem tveganja ob kibernetskem napadu, zelo majhen v primerjavi s škodo in stroški, ki jih podjetje ob takšnem napadu utrpi. Prav v javnosti odmevni kibernetski napadi najbolj pripomorejo k večjemu zavedanju o pomembnosti kibernetske varnosti.
Katere rešitve na področju kibernetske varnosti so na voljo proizvodnim podjetjem?
Proizvodnim podjetjem so za obrambo izpostavljenosti naprav, strežnikov in storitev na voljo rešitve zaščite inženirskih delovnih postaj, ki vodijo in nadzorujejo delovni proces – bodisi tekoči trak, plavž bodisi pakirni stroj, sledijo zaščite lokalnih omrežij in perimetrov proizvodnje ter zaščite varnega oddaljenega dostopa.
Te rešitve ponujajo vpogled v dogajanje v okolju in možnost odziva v primeru incidenta oziroma varnostnega dogodka. Rešitve nadzora pa zajemajo upravljavske sisteme, ki spremljajo delovanje proizvodnje oziroma procesa.
S spremljanjem in nadzorom protokolnih anomalij v okoljih si podjetje zagotovi vidljivost in možnost pravočasnega odziva, ki sem ga omenil prej.
Poudaril bi še, da so te rešitve specializirane za industrijska okolja ter da delujejo na podlagi strojnega učenja in mehanizmov umetne inteligence. Zadnji so pomembni zaradi ogromne količine podatkov, ki jih je treba medsebojno spremljati, korelirati in se potem ob morebitnem odstopanju, ki lahko predstavlja varnostni dogodek, tudi odzvati. Povedano preprosto, stroj zbere in obdela veliko količino podatkov, ki je človeški možgani ne zmorejo.
Ob omenjenih rešitvah so tu še »preventivne« storitve na področju zagotavljanja kibernetske varnosti, in sicer storitve analize stanja okolja, storitve upravljanja kibernetske varnosti, storitve ozaveščanja zaposlenih, storitve varnostnih sistemskih pregledov ter vdornih testiranj in forenzike.
Katerim rešitvam oziroma področjem v podjetjih že namenjajo dovolj pozornosti, katerim bi se v prihodnje morali posvetiti bolj?
Kot omenjeno, je zavedanje o pomenu kibernetske varnosti v OT-okoljih oziroma proizvodnji zelo pomembno. Zato se je treba na to področje usmeriti še bolj, ponujati podporo in prilagajati varnostne rešitve.
Še enkrat bom ponovil, da je pri zagotavljanju kibernetske varnosti najpomembnejša vidljivost. Ker če ne vemo, da se nekaj dogaja, tega me moremo niti zaznati niti ukrepati. Varnostnih groženj in tveganj v proizvodnih okoljih pa je čedalje več.
Poleg tega usmerjeni kibernetski napad traja dalj časa. Začne se z okužbo sistema, nadaljuje z zaznavanjem storitev v okolju, njihovo izrabo, bočnim premikanjem in komunikacijo s komandnim centrom, ki daje navodila, na koncu sledi še izvedba dejanskega napada, ki povzroči škodo.
Zato tako zelo poudarjamo pomen vidljivosti in vlogo, ki jo pri tem imajo sistemi za odkrivanje anomalij v okolju. Poleg sistema pa je seveda pomemben tudi človek, ki spremlja dogodke v okolju, jih analizira ter se odloča in izvaja postopke za neprekinjeno delovanje industrijskih procesov. Če kateri od teh členov manjka ali se ne uporablja v polnem obsegu, potem je naša varnostna obramba šibka.