Hrozby pre kritickú infraštruktúru Európy pribúdajú

Nejedná sa zďaleka o jediný útok zahraničných mocností na kritickú infraštruktúru štátov Európskej únie. Len v decembri zasiahol tú istú krajinu útok na priemyselné systémy v energetike.

Jednotka pre riešenie kybernetických bezpečnostných incidentov CERT Polska zverejnila v analýze aj popis útokov. Cielili na tridsať veterných a fotovoltaických fariem, súkromnú výrobnú spoločnosť a kombinovanú tepláreň a elektráreň, zásobujúcu teplom takmer pol milióna zákazníkov v Poľsku. Útoky boli deštruktívne a ich cieľom bolo zničiť alebo znefunkčniť zasiahnuté zariadenia. Útočníci nepožadovali výkupné.

Útoky na riadiace a priemyselné systémy sú už pravidelnou súčasťou vojnových konfliktov aj mocenského boja v čase mieru. Situáciu uľahčuje relatívna anonymita útočníka a dostupnosť systémov prostredníctvom internetu. Hoci riadiace a priemyselné systémy a celkovo internet vecí by nikdy nemal byť online, tieto systémy sú čoraz dostupnejšie  kvôli ovládaniu, monitoringu a vzdialenej správe. Občas je za dostupnosťou aj konfiguračná chyba administrátorov.

Latka v oblasti priemyselných a riadiacich zariadení bola historicky nastavená oveľa nižšie ako pri klasickej výpočtovej technike. Dôraz bol kladený na prevádzkovú spoľahlivosť, nie na zabezpečenie. Hardvér bol málo výkonný a nemal pokročilé bezpečnostné funkcie. Zároveň sú tieto komponenty často nasadené v prevádzke na desiatky rokov – vysoko nad dobou, kedy softvér morálne zastará. Navyše nie je vždy ľahké alebo možné ich aktualizovať.

Viaceré kategórie útokov

Útoky na zariadenie zahŕňajú pokus o prihlásenie predvoleným prihlasovacím menom a heslom, slovníkové útoky na heslá a zneužívanie softvérových zraniteľností. Tie je možné ďalej rozdeliť na takzvané zraniteľnosti nultého dňa, kedy výrobca vôbec nevie, že produkt obsahuje zraniteľnosť, a známe, ale z rôznych dôvodov nezaplátané zraniteľnosti. Okrem útokov na zariadenie je možné napadnúť sieťovú komunikáciu.

Množstvo doposiaľ používaných riadiacich komunikačných protokolov nepodporuje šifrovanie ani iné moderné bezpečnostné mechanizmy. Ako náhradné riešenie je nutné použiť šifrovanie samostatnými sieťovými prvkami, izoláciu zariadení od internetu a dôslednú segmentáciu siete alebo iné techniky.

Ani najmodernejšie prvky nie sú v bezpečí. V prípade, že sú ovládané cez cloud, útočníkovi pribúda celá škála možností v podobe útokov na cloudovú infraštruktúru. Veľmi časté sú aj útoky na dodávateľský reťazec. Vtedy útočník napadne spoločnosť, ktorá vyvíja daný typ produktu a priamo počas vývoja doň implantuje škodlivý kód, prípadne napadne spoločnosť, ktorá systémy udržiava.

Včasná príprava

Aby bolo možné tejto hrozbe čeliť, treba sa na ňu vopred pripraviť. Na úrovni organizáci je potrebné dodržať základné bezpečnostné zásady: neumožňovať prístup na zariadenia z verejného internetu, vyberať zariadenia podporujúce moderné, bezpečné komunikačné protokoly a šifrovanie, pravidelne ich aktualizovať a plánovať životný cyklus.

To predpokladá, že výrobcovia týchto zariadení sú zodpovední ako počas ich vývoja, tak aj životného cyklu a vydávajú na ne bezpečnostné aktualizácie. Na situáciu reagujú aj štáty a legislatívne prostredie.

V podmienkach Európskej únie je problematika riešená viacerými kľúčovými reguláciami. Na smernicu o opatreniach na zabezpečenie vysokej spoločnej úrovne kybernetickej bezpečnosti v Únii NIS2, nadväzuje slovenský zákon o kybernetickej bezpečnosti a nariadenie CRA, čiže akt o kybernetickej odolnosti. Kým kyberzákon dáva prevádzkovateľom služieb povinnosti vedúce k zodpovednému nasadzovaniu týchto komponentov a k správnej identifikácii, nahlasovaniu a riešeniu incidentov, nariadenie CRA rieši túto problematiku zo strany výrobcov. Definuje, ako majú byť produkty s digitálnym prvkom navrhnuté a vyvinuté a pokrýva celý ich životný cyklus.

Milan Pikula zástupca riaditeľa

Národné centrum kybernetickej bezpečnosti