Rozhovor s Petrem Zahálkou,
specialistou na kybernetickou bezpečnost společnosti Tech Data:
Ke zničujícím kybernetickým útokům v prostředí českého průmyslu zatím nedochází. I tak by podnikatelé měli zůstat ve střehu a tématu kyberbezpečnosti věnovat více pozornosti a úsilí, protože ochrana jejich systémů a dat často bývá nedostatečná. „U některých zákazníků děláme analýzu bezpečnostní situace a výstupy jsou pro ně někdy zděšením,“ říká v rozhovoru pro Svět průmyslu Petr Zahálka ze společnosti Tech Data.
Ve firmě Tech Data jste odborníkem na kybernetickou bezpečnost. Mohl byste přiblížit, co je náplní vaší práce?
Mám na starost tým lidí řešící bezpečnost a vykonávám funkci security team leadera, společně s kolegy se staráme o distribuci kyberbezpečnostních produktů některých výrobců, kteří se právě na kyberbezpečnost zaměřují.
Jsou dnes podle vás společnosti napříč českým průmyslem dostatečně chráněné proti kyberútokům?
Myslím si, že rozhodně nejsou. A to proto, že investice českých společností do kybernetické bezpečnosti neodpovídají hodnotě dat, která chrání, respektive by měly chránit. Techniky útočníků se velmi rychle mění, naopak technologie na straně obránců příliš inovativní nejsou, minimálně v porovnání s vývojem záškodníků. Útočníci stále mají technologickou výhodu. Na druhou stranu investice ze strany společností příliš rychle probíhat nemohou, jsou totiž pokaždé činěné na delší období dopředu, takže se jen obtížně přizpůsobují aktuálním novinkám z hlediska ochrany. Navíc firmy nepořizují nejnovější technologie, spíše se snaží situaci zachránit technologiemi, které už mají, což není dobře.
Takže nejen průmyslové společnosti kyberbezpečnost stále podceňují?
Ve většině případů ano. U některých zákazníků děláme analýzu bezpečnostní situace a výstupy jsou pro ně někdy zděšením. Z legrace k této problematice s kolegy zmiňujeme jeden slogan: „Existují jen dva typy firem. Ta první přijde za odborníky a říká, že už byla kyberneticky napadena. A druhá byla napadena také, akorát o tom ještě neví.“
Pojďme si dát modelový příklad. Představme si, že vlastním výrobní továrnu plnou moderních zařízení, která jsou bez dostatečné ochrany náchylná ke kyberútokům. Co bych měl prioritně zabezpečit a kde konkrétně může nastat problém?
Asi není potřeba úplně odlišovat firmy od velkých průmyslových podniků, přestože ty mají specifika různých výrobních linek a automatů, jež jsou pro výrobu potřebné a často fungují v rámci samostatných sítí. Spíš je potíž taková, že společnosti mají příliš komplikované techniky detekce a zároveň nedisponují dostatkem odborníků. To vede k tomu, že když ve firmě zjistí kyberbezpečnostní problém, už je po všem a majitelé pouze sčítají rozsah škod. Takže to všechno záleží na implementaci bezpečnostních složek do systémů, neměli bychom věřit nikomu a ničemu, co neznáme, tedy aplikovat tzv. zero trust bezpečnostní model. Pomoci zabránit útokům může dostatečná úroveň automatizace, která pomůže nahradit chybějící bezpečnostní specialisty.
Setkáváte se v České republice s případy, kdy jsou následky kyberútoků ve firmě fatální?
Není to zcela běžná záležitost, málokdy se setkáváme s útoky, které by vedly k několikatýdennímu nebo několikaměsíčnímu výpadku výroby, alespoň já jsem nic takového v poslední době nezaznamenal. Z mezinárodního pole si pamatuji nedávný útok na jednu velkou farmaceutickou společnost, která měla celosvětově zašifrovaných tisíce desktopů a serverů a zůstala tak několik měsíců bez přístupu k výrobě i jejím systémům. Ani po půl roce nejsou zpátky tam, kde byli před útokem. Přestože se tato záležitost příliš nemedializovala, firma zaznamenala obrovské ztráty.
Společnost Tech Data poskytuje v oblasti kyberbezpečnosti nejmodernější dostupná řešení. V čem konkrétně vaše pomoc zákazníkům spočívá?
Nabízíme různé způsoby analýzy kybernetických rizik nebo audity, které by měly zákazníkům pomoci uvědomit si, v jakém stavu je kybernetická bezpečnost v jejich společnosti a na čem by měli zapracovat. Pomáháme jim pak s návrhem řešení, jež jsou odvislá od technologií, které nabízíme a dodáváme. Prodáváme technologie jiných výrobců, data ani bezpečnostní zařízení nevyrábíme. Bezpečnostní audit každopádně není nijak zavazující, zákazníkovi ukážeme, co se ve společnosti po kybernetické stránce odehrává, kde jsou jaká rizika a tak dále. Často odhalujeme konkrétní problémy, ty nalézáme takřka ve sto procentech případů. Audit mu umožní vidět ty nejpalčivější problémy a dává mu možnost se na tyto oblasti zaměřit prioritně.
Jakou měrou vašich služeb využívají české průmyslové společnosti?
Abych pravdu řekl, Tech Data není vnímána jako zásadní dodavatel kybernetické bezpečnosti, plníme roli distributora a samozřejmě nás řada firem v tuzemsku využívá. Každopádně nejsme klasický velikán, který by se zabýval dodávkou konzultačních prací, dodáváme konkrétní technologie, pomáháme zákazníkům v analýze bezpečnostních rizik a navrhujeme vylepšení jejich bezpečnosti.
Jaké nové technologie jsou k co největšímu zabezpečení firem i jednotlivých uživatelů využívány?
Existují progresivní výrobci, kteří nové technologie, například automatizaci, pro kyberbezpečnost používají a pracují na jejich rozvoji. Důvod je jasný – všechno se zrychluje. Kybernetický útok se totiž skládá z několika fází, a pokud by všechny fáze byly prováděny ručně, proces by trval několik dní. Dnes už je na straně útočníků vše automatizované, za počítačem vůbec nemusí sedět živý člověk provádějící útok osobně. Pokud na straně obránce není tak vyspělá technologie, aby během desítek sekund odhalila, že se něco děje, tak nastává velký problém. Člověk na straně obránce dokáže reagovat až v okamžiku, kdy je téměř po všem a řeší pouze následky. Tady se samozřejmě bavíme o extrémech, stále ještě útočníci aplikují i klasické útoky, které zaberou několik dní.
A co využíti umělé inteligence?
Výrobci bezpečnostních technologií ji využívají, někteří v menší a někteří ve větší míře. Rozhodně to vede ke zvýšení bezpečnosti, právě kvůli automatizaci obranného procesu.
Platí, že jsou kyberútočníci stále o krok napřed před obrannými technikami? A tady se můžeme bavit jak o firmách, tak o jednotlivých osobách.
Je to tak, že oba dva tábory (útočníci i obránci, pozn. autora) běží kupředu. Někteří výrobci se snaží být před kyberútočníky a vymýšlejí obecná pravidla, jak co nejvíce útočníkům ztížit situaci. Jejich úkolem je minimalizovat prostor pro útok a zacelit všechny skulinky, které by byly pro napadení možné. Jsem přesvědčen o tom, že výrobci bezpečnostních technologií pořád dohánějí záškodníky. Všechno souvisí se zranitelnými místy, které někdo ve firmě odhaluje, ale útočníci je ve skutečnosti už několik měsíců využívají. Podniky pak reagují záplatami, jenže ty nejsou vždycky účinné. Využívání nepodporovaných zastaralých platforem, jako například operační systém Windows XP, je v průmyslových podnicích velmi rozšířené. K tomuto faktu je pak potřeba přizpůsobit i techniku ochrany. Existují výrobci Jako například Palo Alto Networks, kteří se snaží odhalovat techniky útočníků ještě předtím, než škodlivý kód napíšou, brání jim v samotném procesu tvorby. Tyto techniky jsou v tomto případě ochrany zastaralých systémů jedinou účinnou ochranou.
Jak jste sám zmínil, útočníky často zajímají data, která mají v dnešním světě nevyčíslitelnou hodnotu. Jak by je podnikatelé měli chránit a kam je nejlépe ukládat?
To je velmi složité téma, o kterém bychom mohli vést samostatný rozhovor. Je třeba si ale uvědomit, že nikdy neexistuje před únikem dat ani před útokem stoprocentní ochrana, to musíme brát jako fakt. I velké nadnárodní společnosti investují do kybernetické bezpečnosti obrovské prostředky, a přesto se občas problémy a úniky vyskytnou, ani tisíce odborníků a bezpečnostních specialistů někdy nestačí. Úniky dat však můžeme snížit minimalizací dopadů a předcházením některých situací, k tomu je třeba dodržovat základní pravidla. Minimalizace přístupu k datům je samozřejmě jedno z nich. Pokud někde probíhá velký únik dat, tak často nejde o cílové nabourávání databáze, ale o nechtěně poskytnutý přístup, například k serveru, který není dobře zabezpečen. Ochrana dat je o něco komplexnější než kyberbezpečnost, protože únik dat vždy není způsoben někým z venku.
Přinese podle vás nastupující trend 5G sítí mnohonásobně vyšší kybernetická rizika?
Podle mě 5G sítě nepřinesou žádnou zásadní změnu v tom, jak se bude ke kybernetické bezpečnosti přistupovat. Změní se pouze rychlost, jakou budou 5G sítě schopny přenášet data. Tahle záležitost se spíše než průmyslových společností dotkne menších uživatelů, kteří začnou 5G sítě intenzivně využívat.
►
►
POLOVINU KYBERBEZPEČNOSTNÍCH INCIDENTŮ MAJÍ NA SVĚDOMÍ ZAMĚSTNANCI
I přes všeprostupující automatizaci průmyslových procesů zůstává lidský faktor zdrojem velké části kybernetických incidentů. Chyby zaměstnanců nebo jejich špatná rozhodnutí zapříčinily v minulém roce 52 procent incidentů, které negativně ovlivnily provozní technologie a průmyslové řídicí systémy (OT/ICS). Z reportu společnosti Kaspersky nazvané Stav kybernetické bezpečnosti v průmyslu 2019 také vyplývá, že se jedná pouze o jednu část širšího a složitějšího kontextu. Narůstající složitost průmyslové infrastruktury totiž vyžaduje pokročilejší ochranu a dovednosti operátorů. Organizace se ale potýkají s úbytkem odborníků a s nižším povědomím zaměstnanců o hrozbách.
Značná část firem přistoupila k digitalizaci průmyslových sítí a adaptuje se na standardy Průmyslu 4.0. Čtyři z pěti společností vnímají digitalizaci provozních sítí jako důležitý nebo velmi důležitý úkol pro následující rok. Ruku v ruce s nespornými výhodami, které propojená infrastruktura přináší, jdou ale i kyberbezpečnostní rizika.
Pozitivním signálem je, že OT/ICS kybernetickou ochranu vnímá jako nejvyšší prioritu 87 procent respondentů z řad průmyslových firem. Aby ale dosáhly nezbytné úrovně ochrany, musejí investovat do vhodných opatření, a především do odborného personálu, který zaručí jejich efektivní fungování. Jenže pouze 57 procent podniků má pro kyberbezpečnost alokovaný speciální rozpočet.
ODBORNÍCI NA KYBERBEZPEČNOST CHYBÍ
Kromě neodpovídajících financí pro tuto oblast se firmy potýkají také s nedostatkem odborníků. Na pracovním trhu výrazně chybí odborníci na kybernetickou bezpečnost s odpovídajícími dovednostmi pro ochranu průmyslových sítí. Představitelé průmyslových podniků se také obávají, že jejich OT/ICS síťoví operátoři nejsou schopni odhalit rizikové chování, které může způsobit porušení kybernetické bezpečnosti. Tyto dvě oblasti představují dvě hlavní obavy vztahující se k managementu kyberbezpečnosti v průmyslu. A pravděpodobně také vysvětlují, proč lidské chyby stojí za polovinou ICS incidentů, jako jsou malwarové infekce, nebo obávané cílené útoky.
„Aktuální studie poukazuje na snahu průmyslových firem vylepšit svoji bezpečnost vůči kybernetickým hrozbám. Toho mohou nicméně dosáhnout pouze v případě, že budou posilovat odbornost svých zaměstnanců. Ideální je kombinovat jak ochranu po technické stránce, tak i prostřednictvím speciálních školení pro své IT bezpečnostní odborníky a operátory průmyslových sítí,“ uvedl Georgy Shebuldaev, vedoucí týmu Kaspersky Industrial Cybersecurity ve společnosti Kaspersky.
Kromě technické podpory a zvyšování povědomí o průmyslové kybernetické bezpečnosti musí organizace zvážit specifickou ochranu průmyslového internetu věcí, který se začíná čím dál více propojovat s externími subjekty.
Martin Schwarz