Zajistit účinnou a co nejkomplexnější ochranu je stále složitější a dražší: vyžaduje to celé kyberbezpečností týmy s odpovídajícími vědomostmi a zkušenostmi a složité systémy ochrany, v nichž se stále hůře orientuje. Reakční doba na bezpečnostní incidenty se tak prodlužuje a s ní i výše škody, kterou může úspěšný útok napáchat.

Podle společnosti Kaspersky, která se zaměřuje na komplexní kyberbezpečnost, lze očekávat, že se kybernetické útoky v příštím roce zaměří nejvíc na průmyslové firmy, které vyvíjejí a vyrábějí pro zbrojní a letecký průmysl, na dodavatele energií a dalších nezbytných služeb a na průmysl, který disponuje chráněnými patenty. Důvodem pro kyberútoky není jen špionáž a přístup k cenným informacím, množí se případy ransomwaru, kdy se útočníci snaží dostat k výkupnému tím, že zablokují nezbytné zdroje nebo služby, což se stalo například v případě amerického distributora plynu Colonial Pipeline. Ale pokročilé kybernetické útoky už dávno nejsou tak pokročilé a útočníci si nepotřebují pečlivě vybírat svůj cíl. Nástroje prodávané přes ilegální tržiště slouží k rychlému nabourání do systému jakékoli středně velké až velké firmy s „obyčejným“ záměrem vybrat bankovní účet.

„V posledních letech výrazně vzrostl počet škodlivých útoků na průmyslové systémy včetně průmyslových řídicích systémů (ICS) a systémů pro dohledové řízení a sběr dat (SCADA). Jak ukázaly útoky Stuxnet nebo BlackEnergy, útočníkům stačí pouze infikovaný USB disk nebo jediný spear-phishingový e-mail, aby překonali slabou ochranu a pronikli do průmyslové sítě. Tradiční zabezpečení již nestačí k ochraně průmyslových prostředí před kybernetickými hrozbami. Ne každý podnik si také může dovolit postavit vlastní bezpečnostní tým, nemluvě o tom, že zkušených bezpečnostních expertů je na trhu práce nedostatek a jejich cena raketově roste,“ říká Michal Lukáš, Head of Presales ve společnosti Kaspersky pro region východní Evropy.

Průmyslové koncerny se proto stále častěji uchylují k externím bezpečnostním řešením. Ne všechna ale nabízí komplexní služby od monitoringu provozu přes detekci potenciální hrozby, následnou reakci a zajištění bezproblémového pokračování výroby, zatímco probíhá bezpečnostní zásah. Takovým univerzálním vícevrstevným bezpečnostním řešením je Kaspersky Industrial Cyber Security (KICS), které využívá například Plzeňský prazdroj.

Nejen ochrana, ale i monitoring, detekce a reakce

KICS kombinuje různé metody ochrany a představuje tak komplexní přístup k průmyslové kybernetické bezpečnosti od predikce potenciálních vektorů útoků, přes specializované průmyslové preventivní a detekční technologie až po proaktivní reakce na kybernetický incident. Zabezpečí průmyslové sítě i koncové stanice před různými druhy poškození dat, penetracemi sítě, známými technikami útoků na sítě a cílenými útoky na automatizační zařízení. To vše při nulovém dopadu na kontinuitu provozu, útok tedy nijak nenaruší výrobu a dodávku produktů odběratelům.

„KICS využívá více než dvacetileté zkušenosti bezpečnostních expertů společnosti Kaspersky, takže dokáže vyhodnotit druh útoku a adekvátně na něj zareagovat. To, co by internímu bezpečnostnímu týmu trvalo desítky minut nebo hodiny, dokáže KICS provést prakticky okamžitě a zároveň informuje bezpečnostní tým, který může obranu řídit a usměrňovat. Reakce je okamžitá bez ohledu na to, zda k útoku došlo během pracovní doby, v noci nebo o víkendu. KICS tak získává čas, který při řešení incidentů hraje nejdůležitější roli,“ vysvětluje Michal Lukáš.

KICS tvoří několik jednotlivých nástrojů, které lze využívat samostatně nebo společně – dokážou totiž mezi sebou velmi účinně spolupracovat. KICS for Networks je řešení pro monitorování provozu v průmyslové síti, detekci narušení sítě a k ochraně koncových bodů, síťových zařízení, datových bran a koncentrátorů různých druhů před hrozbami pocházejícími ze sítě. Nejprve si analyzuje běžný provoz v síti a poté hlídá, zda v něm nedochází k výkyvům, o kterých ihned informuje bezpečnostní tým a spouští reakci. KICS for Nodes je softwarová komponenta navržená pro průmyslové koncové body k ochraně před narušením bezpečnostních zásad a prevenci aktivních hrozeb. Můžete jejím prostřednictvím například vytvořit seznam povolených nebo zakázaných aplikací, které je možné používat na koncových zařízeních, nebo řídit všechny typy spustitelných souborů ve Windows.

Machine Learning for Anomaly Detection (MLAD) pomáhá detekovat anomálie v průmyslových sítích na samém počátku jejich vývoje. Kaspersky Secure Gateway (KSG) je integrovatelný modul zabezpečení a technologie přidaná do firmwaru zařízení, takže může chránit hardware s různými stupni uzpůsobení. ICS Security Assessment je služba zaměřená na identifikaci různých bezpečnostních nedostatků ve fyzickém a síťovém zabezpečení, zranitelností, které se týkají speciálně dodavatelů. Všechny tyto nástroje lze pohodlně ovládat přes konzoli Kaspersky Security Center (KSC). A využít lze také KICS Maintenance Service Agreement (MSA), což je rozšířená technická podpora 24/7 pro podniky – pokud nemáte vlastní bezpečnostní experty, můžete si je prostřednictvím této služby pronajmout od společnosti Kaspersky.

Investice, která se rychle vrátí

O tom, že KICS může průmyslovým podnikům výrazně pomoci a ušetřit náklady spojené s odstraňováním následků bezpečnostních incidentů, svědčí případ energetické společnosti, která využila KICS for Networks a díky nasazení tohoto řešení ušetřila během tří let částku 1,7 milionu dolarů, což představuje 135% návratnost investic. Podle nezávislého šetření Total Economic Impact (TEI), které provedla společnost Forrester Consulting, tento dodavatel elektrické energie, který provozuje 400 rozvoden, nezaznamenal během sledovaného období žádný úspěšný kyberbezpečnostní incident. Snížení rizika narušení kybernetické bezpečnosti a snížení nákladů na poškozené vybavení během tří let společnost vyčíslila na 2,9 milionu dolarů, zatímco náklady na licence a školení činily za stejné období 1,2 milionu dolarů.

„Pandemie postavila firmy před nesnadné rozhodování o omezování nákladů a přijímání obtížných rozpočtových škrtů. Případ, který analyzovala společnost Forrester, je proto velmi aktuální, protože ukazuje, že při opomíjení investic do řešení kybernetické bezpečnosti můžou být konečné náklady na odstranění následků incidentů mnohem vyšší než při chytrém a strategickém investování do budování silného kybernetického zabezpečení,“ konstatuje Michal Lukáš. „Kybernetické hrozby jsou stále sofistikovanější a můžou mít velmi vážné následky. Nedávný kybernetický útok na potrubní systém Colonial Pipeline v USA, který způsobil šestidenní výpadek dodávek pohonných hmot, dokládá potenciální škodlivost útoků na kritickou infrastrukturu. Je evidentní, že se průmyslový sektor neobejde bez nasazení přísných ochranných opatření,“ dodává Lukáš.

Útoky se neustále mění, ochrana musí také

Kaspersky svoje bezpečnostní řešení KICS pro průmyslové podniky neustále vylepšuje. Letos v listopadu společnost doplnila konzoli Kaspersky Security Center o centralizovaný ovládací panel pro orchestraci zabezpečení celé infrastruktury provozních technologií s mapou všech geograficky distribuovaných výrobních prostředků a s hlášením událostí, analýzou incidentů a dalšími informacemi. Kromě předchozích funkcí, které usnadňují správu nasazení produktů, aktualizací, licencí a bezpečnostních zásad, nyní tato nová konzole poskytuje úplný přehled o všech chráněných prostředcích, bezpečnostních událostech a analýze incidentů.

Uživatelé dokážou vyhledávat všechny prvky infrastruktury (například servery nebo řídicí jednotky PLC) a jejich charakteristiky a prohlížet si je na geografické mapě, kde lze nastavit všechny prostředky rozmístěné v různých pobočkách. Mapa funguje v reálném čase a upozorňuje na všechny prostředky, které by mohly být při bezpečnostním incidentu zasaženy. Administrátor pak může problém ihned prozkoumat tak, že klikne na ohrožené místo a přejde do speciální webové konzole serveru.

KICS for Networks nově umí načítat důležitá data z průmyslových koncových bodů chráněných pomocí KICS for Nodes. Administrátoři tak mají při vyšetřování bezpečnostních problémů k dispozici rozsáhlý kontext – informace o incidentech doplněné údaji z platformy pro ochranu koncových bodů (EPP), přesnou detekci parametrů prostředků a mapy síťové komunikace ze segmentů, kde ještě není k dispozici zrcadlení provozu.

Kaspersky Industrial CyberSecurity for Nodes s přidaným blokátorem síťových útoků navíc chrání před skenováním portů, DDoS útoky, útoky hrubou silou a hrozbami využívajícími zranitelností nebo chybně nakonfigurovaných aplikací, služeb a operačních systémů. Sofistikovanějších útoků, konkrétně pak DDoS, přitom výrazně přibývá. Společnost Kaspersky ve třetím čtvrtletí 2021 zaznamenala jejich meziroční nárůst o 24 % a pro rok 2022 předpovídá výrazný nárůst útoků na dodavatelské řetězce, které umožňují přístup k velkému počtu potenciálních cílů. Pokračovat bude i trend napadání zařízení, z nichž zaměstnanci pracují na dálku z home office a očekává se i rozmach útoků na zabezpečení cloudu a outsourcované služby.

„Neinvestování do kybernetické bezpečnosti může mnoho podniků stát obrovské peníze, zvláště pokud se útočníkům podaří kompletně zastavit výrobní proces. Tedy podcenění situace a žádný krizový plán pro služby typu „incident response“ je v dnešní době obrovské riziko,“ varuje Michal Lukáš ze společnosti Kaspersky.