Wilmer, nebo Benešov?

V říjnu 2019 došlo k napadení několika velkých nemocnic v USA. Stejné útoky se předtím odehrály v Austrálii i jinde ve světě. Lékaři museli neakutním pacientům zrušit schůzky a odsunout výkony. Administrativu vyřizovali ručně, počítačová síť byla zcela mimo provoz. Útočil ransomware, škodlivý software, jehož typickou činností je šifrování dat bez toho, aby jejich majiteli dal potřebný klíč. V celosvětovém měřítku zatím největší katastrofu způsobil v transportní společnosti Maersk v roce 2017. Během několika hodin byly pobočky firmy po celém světě vlivem útoku téměř paralyzovány. Na začátku přitom byl jeden jediný nakažený počítač.

Zatímco v některých případech obětí útoků škodlivým softwarem se podařilo IT infrastrukturu a chod zařízení obnovit, jiné instituce byly nuceny zaplatit útočníkům tučné výkupné s nejistým příslibem návratu rozšifrovaných dat a k běžnému provozu. Bezpečnostní experti totiž upozorňují, že i když útočník data skutečně vrátí, mohou být poškozená. Ať už úmyslně nebo omylem. Pro komplexní průmyslové systémy pak může být taková neviditelná chyba fatální. Obecně platí, že riziko je tím vyšší, čím menší je napadená společnost, a tedy i její schopnost následky napravit vlastními silami.

V prosinci 2019 ochromil benešovskou nemocnici stejný typ viru. Byl to první mediálně výrazně pokrytý útok svého druhu u nás. Náprava škod stála dodnes už více než 40 milionů korun. Benešovský, ale i všechny výše uvedené případy přitom mají společného jmenovatele – nedostatečné nebo dokonce žádné zabezpečení IT infrastruktury a případně ICS (Industrial Control System) spojené s nedostatečným proškolením zaměstnanců.

Oběťmi útoků přitom nejsou jen velké podniky, ale i zcela miniaturní instituce, jakou byla například v srpnu 2019 knihovna v pětitisícovém městečku Wilmer v Texasu. Velká část útoků škodlivým softwarem totiž není vedena dokonale cíleně jen na konkrétní oběť. „Náhodně“ postižených je mnohem víc.

Zastavit pivovar jedním kliknutím

Nerozhoduje, zda firma má jen jediný provoz v Česku nebo tři další v Číně. Škodlivý kód v tom nedělá rozdíly. Pokud je zařízení připojené na internet a je zranitelné, pravděpodobně jej napadne. Dříve nebo později.

V případě cíleného útoku je pak situace ještě horší, protože průměrná doba odhalení sofistikovaného napadení trvá 214 dní. Jsou známy příklady, kdy se útočníci na základě odposlechnuté firemní komunikace dokázali vydávat za dodavatele, podvrhnout faktury a opakovaně inkasovat za nikdy nedodané služby.

Problém přitom může nenápadně začít například u špatně zabezpečeného řídícího systému klimatizace, přes který se útočníci dostanou dál do vnitřní sítě. Březnový průzkum kybernetického dohledového centra Void SOC společnosti Soitron ukázal, že jen na českém internetu je ve 280 městech připojeno téměř 2 000 (1977) průmyslových zařízení, u nichž chybí mnohdy i jen základní zabezpečení přístupu. Systémy tak může v mnoha případech ovládnout naprosto kdokoliv bez potřeby jakéhokoliv hesla.

Experti společnosti přitom k vyhledání těchto snadno napadnutelných cílů nepoužili žádné agresivní metody (vše běželo v režimu read only). Stačily jim specializované vyhledávače, které si každý dokáže „vygooglovat“. Mezi volně přístupnými byly nejen řídící systémy pro klimatizaci a vytápění, ale i kamerový systém parkoviště, ICS fotovoltaické elektrárny nebo jistého pivovaru, kde by byl útočník doslova jedním kliknutím schopen přerušit výrobu. Jinde našli i cestu k citlivým datům společnosti. Výzkumníci bezpečnostní firmy dodávají, že pokud by někdo použil agresivnější a hackerské metody, dokázal by u těchto společností způsobit opravdu velké škody.

Během průzkumu objevili experti i 96 případů, kdy software konkrétního zařízení poskytoval na jednoduchý dotaz komukoliv heslo s plným přístupem. Nešlo přitom o chybu výrobce. Naopak, společnost, která do svého provozu zařízení integrovala, jeho doporučení zcela ignorovala a použila pro online přístup nevhodnou funkčnost. Ve 25 případech bylo dokonce použito heslo 2580 (klávesy ve sloupci nad sebou), které by útočník dokázal rychle prolomit i tehdy, že by vše ostatní bylo zabezpečeno lépe.

Co vede k podcenění nebezpečí?

U průmyslových firem jsou největším problémem specifická zařízení a technologie, které se velmi často zaváděly do výroby před více než deseti nebo patnácti lety. Kyberbezpečnost pochopitelně tehdy nebyla v této oblasti tak důležitá. Systémy nebyly mezi sebou propojené a ani většinou připojené k internetu.

Jenže zatímco okolo běžel vývoj na plné obrátky, ovládací protokoly zmíněných průmyslových zařízení velmi často žádným updatem neprošly. Jejich výrobci jednoduše ani se vzdáleným přístupem a dalším propojením nepočítali. Přesto mohlo časem k jejich připojení na internet dojít a problém byl na světě.

Je navíc zcela pochopitelné, že vzhledem k citlivosti samotné výroby na jakékoliv změny může být ochota vedení firem aktualizovat již zaběhlé a funkční systémy velmi malá. Obavy z poruch a případně nuceného přerušení procesu vítězí. Firmware neupdatovaný od roku 2007 tak bohužel není ničím výjimečným.

Častým důvodem, proč klíčové systémy nejsou řádně zabezpečené, je také rozšířená mylná domněnka, že jakékoliv zabezpečení je drahé.

Konzultujte! Bezpečnost nemusí být drahá

Ať už je současný stav ve firmách výsledkem historického vývoje, nebo jej způsobily jiné faktory, je potřeba jej podrobně zmapovat. Rozhodnout se, které části vůbec mají být připojené k internetu a jak je zabezpečit. Podle expertů není neobvyklé, že k síti jsou připojeny i ty, které online být rozhodně nemají (a už vůbec ne volně přístupné). Je potřeba vybrat kritické systémy, které je nutné chránit především. Priority jsou přitom zřejmé, cokoliv, co by mohlo narušit, znepřesnit, nebo dokonce přerušit výrobu má přednost.

Základní a zároveň nejtěžší výzvou je u komplexnější provozů rozklíčování datových toků, které uvnitř sítě mají probíhat. Jedině s pochopením běžného provozu je možné odhalit anomálie, které s sebou nese jakýkoliv útok zvenčí.

Obecně však bezpečnostní audit nemusí být pro firmu nutně složitý nebo drahý. Pokud si jej nedokáže udělat sama, může přizvat ke konzultaci specializovanou firmu, ale ani tehdy nejsou obavy ze zbytečných nákladů na místě. Navíc opravdu hodně se dá dosáhnout už jen správným nastavením stávajících systémů. Většinou není nutná investice do dalších zařízení nebo technologií. Máme zkušenost, že změny provedené po odborné konzultaci vedly k podstatnému zvýšení bezpečnosti.

Zaútočí, až nebudete v práci

Pokud audit doporučí pořízení specializovaného bezpečnostního nástroje (softwaru) na včasné odhalení případného útoku, je na místě zvážit, zda následné kroky zvládne firma sama, nebo rovnou využije služeb třetí strany. Otázka zní, kdo a kdy bude na bezpečnostní hlášení nového programu skutečně schopen reagovat. Firemní IT specialisté mají většinou i jiné úkoly a velmi pravděpodobně nebudou v práci 24 hodin denně. Není také těžké odhadnout, že cílený útok nebude veden v pracovní době, ale třeba ve tři ráno. Pokud takové riziko skutečně hrozí, je na místě zvolit spolupráci s firmou, která dokáže na kybernetickou bezpečnost dohlížet bez ohledu na čas.

Bezpečnost podniku je však mnohem komplexnější problém. Není to jen o samotném zabezpečení ICS, ale i o dalších bezpečnostních prvcích. Laxní přístup se nevyplácí ani ve vzdělávání zaměstnanců. Otevření neznámého e-mailu s „lákavou“ přílohou, použití infikovaného USB disku, navštěvování pochybných webů atd. jsou jen některé z typických příčin, které vedly k nakažení firmy škodlivým programem. Zaměstnanec, pokud není dostatečně proškolen o kybernetické bezpečnosti, může být nejslabším článkem řetězu a nákaza se může rozšířit právě přes něj.

Koneckonců, jak vyplývá z aktuálního průzkumu Evropské komise, pouze 38 % lidí v ČR se cítí být velmi dobře nebo alespoň dobře informováno o rizicích spojených s kyberzločinem. Naopak, 24 % dotázaných o problému netuší vůbec nic.

Martin Lohnert Autor článku je ředitelem centra kybernetické bezpečnosti Void SOC společnosti Soitron.