Potřeba nového přístupu ke koncepci bezpečnosti

Ondřej Výšek, KPCS CZ Ondřej Výšek, KPCS CZ

Poslední červnový týden bylo sídlo pražské pobočky Microsoftu hostitelem zajímavé akce, při níž zástupci společnosti KPCS CZ simulovali kybernetický útok na průmyslové zařízení. Setkání jsme využili k rozhovoru s obchodním ředitelem společnosti Ondřejem Výškem (dále v textu OV) a Michalem Hanusem (dále jen MH), který ve společnosti působí jako Security Solution Architect. Povídání s odborníky, kteří mají bohaté zkušenosti s kybernetickou ochranou v Česku i v zahraničí a mohou se pochlubit i zkušenostmi se sběrem dat při prestižní dakarské rallye, přineslo řadu zajímavých informací.

Můžete na úvod nastínit, čemu se společnost KPCS věnuje?

OV: Naše společnost funguje na trhu téměř 15 let. Z původně ryze IT konzultační firmy jsme se transformovali na společnost, která pomáhá dalším v produktivitě uživatelů, věnujeme se trendu vzrůstajícího objemu práce mimo kancelář. Vnímáme za tím ale především hrozby pro organizace, protože ať jsou to nechtěné aplikace  do telefonů, různé spamy nebo nevyžádané emaily, snažíme se uživatelům pomoci od těchto nešvarů a umožnit jim pracovat kdykoli, kdekoli a na čemkoli. Je jedno, jestli se jedná o domácí počítač, telefon, notebook nebo tablet. Bezpečnostní důraz je pro nás velmi důležitý. Vyvinuli jsme i vlastní bezpečnostní řešení, které cílíme na servery či cloudové služby. Jmenuje se ATOM a pomáhá firmám získat přehled o tom, co se v síťových prostředích děje, protože komplexnost a propojení významně narůstají. Narážíme na oblast výrobních technologií, protože aby se mohly společnosti posunout dopředu a využít data získaná z výrobních linek, je potřeba dostat data bezpečným způsobem ven z výrobního procesu a vizualizovat je. To se střetává se zmiňovanou prací odkudkoli. Aby výrobní ředitel mohl pracovat například od bazénu, je třeba výrobní linku, kterou ovládá, bezpečně připojit k internetu.

MH: V KPCS mám na starosti bezpečnost. Jak tu tradiční, tak i novou, které říkáme OT – Operation Technologies, tedy bezpečnost průmyslových řídicích systémů a průmyslových systémů obecně. Ono to spolu souvisí, protože každá rozumná firma má vybudované IT a řeší v něm tradiční bezpečnost – například zabezpečení emailů nebo webových stránek, aby nedošlo k odcizení business dat ve smyslu duševního
vlastnictví či podvrhu platebních příkazů. Na tuto úroveň bezpečnosti v organizaci navazuje síťová bezpečnost typicky přes síťovou konektivitu, protože tyto systémy musí být propojeny. Většinou je kvůli údržbě od dodavatelů průmyslových řešení vyžadován vzdálený přístup. Překryvů je tam ale samozřejmě více. Říkáme tomu IT OT konvergence. Téměř výlučně se zde objevují systémy Microsoft Windows. Zatímco v sedmdesátých letech se jednalo o unikátní systémy od Motoroly nebo Siemensu, tak dnes se kvůli úsporám a sjednocení téměř vše nahradilo platformou Intel. Protože je vše propojeno na stejné základně, mohou
zde pronikat hrozby. Ať už klasické viry, kterým říkáme agresivní malware – ten se nesnaží jednorázově otevřít hackerovi konektivitu. Dnes se chovají v podstatě jako zbraně hromadného ničení. Cokoli najdou, tak zašifrují nebo vymažou nenávratně disk. Byly to například viry WannaCry a hned měsíc po něm přišel ještě ostřejší virus, který se jmenoval Not Petya. Ten zasáhl řádově větší procento průmyslových podniků. Po celém světě ale zasáhl rovněž nemocnice nebo zdravotnická zařízení. Tento virus vznikl na Ukrajině a pravděpodobně se jednalo o záměr ruské strany, která úmyslně nakazila účetní software všech podniků, které
odevzdávaly účetnictví na ukrajinské straně. Dostali falešný update a virus se začal šířit. Doplatil na to například Saint Gobain, kterým zastavil výrobní linku.

Michal HanusMichal Hanus, KPCS CZ
To jsou ale informace, o kterých moc lidí otevřeně mluvit nechce. Člověk často musí číst mezi řádky, aby se dozvěděl, kdo se s těmito problémy a jejich zdrojem potýkal…

MH: Je to veřejně známá věc a najdete to i ve Wikipedii.

OV: Na to jde navázat tím nejrozsáhlejším veřejně známým případem, který zasáhl především segment dopravy – společnost MAERSK. V tomto případě to v podstatě znamenalo během tří měsíců postavit firmu z pohledu IT celou znovu. Dovolím
si ale tvrdit, že se stále jedná o méně razantní dopad. Ten útok může být zaměřen i na odcizení duševního vlastnictví, což v případě výroby léčiv může mít následky na zdraví a životy lidí. A to se ještě nebavíme o kritické infrastruktuře, kde je to obdobné. Ve výrobním prostředí mohou být dopady podobného útoku opravdu fatální.

Společnost KPCS má celkem široké pole působnosti a zkušenosti i ze zámoří. Kdybyste měli porovnávat, jak hodnotíte připravenost českých firem, nebo vůbec jejich zájem o kybernetickou bezpečnost?

OV: Co se týká zájmu, Michal mne případně doplní, protože se v bezpečnostním prostředí firem pohybuje jako konzultant, poptávka dramaticky roste. Za poslední rok si řada firem začala uvědomovat potřebu jak samotného zabezpečení, tak i využití dat ve svůj prospěch. Je dost možné, že kdo tak neučiní, může ztratit konkurenceschopnost. Právě proto, že jsme z trhu zájem cítili, uspořádali jsme v květnu IT OT konferenci. Co se týká připravenosti, tak v mnoha případech existují světlé výjimky. Situace je dost tristní…

MH: Já to musím jen krátce okomentovat… V České republice existuje poměrně kvalitní legislativa v podobě Zákona o kybernetické bezpečnosti (ZKB). Právě to, že se začal připravovat a potom vešel v platnost, byl silný impuls pro to, aby se větší podniky začaly intenzivně zabývat kybernetickou bezpečností a něco s ní dělaly. Menší firmy, kterých se ZKB netýká, k bezpečnosti přistupují vlažněji. Velmi často se mi stává, že přijdu do podniku, kde v oblasti kybernetické bezpečnosti není položen ani ten nejmenší základní kamínek.

OV: Možná mají antivirus. Kybernetickou bezpečnost řeší v IT části, ale v té výrobní sféře je to velmi podceňovaná oblast. Obzvláště se to týká firem, které nejsou součástí kritické infrastruktury státu, nebo se na ně ZKB nevztahuje.

Takže legislativní připravenost ČR v této oblasti hodnotíte jako dostatečnou?

OV: Dokonalost neexistuje, ale zcela určitě je zákon dobrý stavební kámen.

MH: Minimálně to dostali top manažeři na stůl jako agendu, kterou musejí nějakým způsobem odbavit a vyřešit. Otázkou je, co se s tím stalo. To je v každé firmě na zvážení.

OV: Ve výrobním segmentu, který není součástí kritické infrastruktury státu, většinou investují do něčeho, co přímo nesouvisí s výrobou. Naprosto logicky, proč bych si měl kupovat nové auto, když mi to stávající pořád stačí? Tady je odpověď jednoduchá. Svět okolo se změnil a výrobní podniky se rázem ocitly v nebezpečném prostředí. S tím je potřeba se nějakým způsobem vyrovnat.

Jak v dnešní době nejčastěji vypadá kybernetický útok?

MH: Pro zákazníky z výrobních podniků nejčastěji zpracováváme ve formě tzv. High profile. To znamená, co je v daném odvětví nejčastější statistický průnik, a pak i konsekvence včetně typizovaných dopadů. Nikdy to ale není pouze číslo. Jedná se o jakousi distribuční křivku, kde na začátku jsou minimální škody a na konci případy s astronomickými škodami. V každém odvětví je to trochu jiné. Do jedné věty to určitě nelze shrnout. Ve všech profilech hrozeb se ale objevuje lidský faktor a jeho selhání. Zcela určitě jsou phishingy a spearphishingy na začátku spousty útoků, které jsou vyreportovány s tím, že měly nějaký dopad. V každé firmě probíhá denně spousta pokusů o útok. Nekončí to žádnými škodami, neexistuje povinnost útoky komukoli hlásit a bezpečnostní prvky většiny firem je nějakým způsobem zastaví. Co bezpečně proniká do internetového prostředí firmy, jsou spearphishingové útoky. Uživatele je třeba opravdu trénovat a připravovat je na jejich sofistikovanost a taky na to, že člověk je tvor chybující. Objevuje se rovněž řada produktů, které formou kampaně provedou simulovaný útok proto, aby se zaměstnanci i top management zdokonalili a rozpoznali tuto hrozbu.

OV: Jak bychom se měli bez uživatelů… Výrobní linku nepřenesete, je většinou v hale. Je to o tom, že prostředí zvenčí bývá relativně dobře zabezpečeno. S nadsázkou říkáme, že útočník leckdy sedí uvnitř. Protože svým uživatelům důvěřuji, nebo bych měl, ale oni jsou nedůvěryhodní právě díky tomu, že míra povědomí o nebezpečí je zde velmi nízká. V oblasti moderního IT je to především o vzdělanosti.

Zmínil jste to již na začátku. Vnímáte v dnešní době jako zásadní problém velkou diverzifikaci zařízení, ze kterých se jde do podniku připojit a ovládat na dálku jeho fungování?

OV: Já si to nemyslím. Jak říká Michal, pro některé organizace řešíme řízené phishingové útoky, aby se firma poznala zevnitř. Je tam asi 80% úspěšnost, kdy se uživatel například dobrovolně vzdá svých přihlašovacích údajů, což je neuvěřitelné. Svět se roztočil a už nikdy se nezpomalí. Inovační trendy a způsoby zpracování dat se budou spíše zrychlovat. Je třeba nastavit úplně jiný přístup ke koncepci bezpečnosti oproti tomu, jak tomu bylo zvykem v minulosti. Kdysi se postavil silný firewall na rozhraní fabriky a internetu, dnes je trendem mít menší zařízení na mnoha úrovních – od připojení linky k internetu, od připojení fabriky k internetu, práce s cloudovými službami, práce se zpracováním dat. Jde tedy o diverzifikaci bezpečnostních úrovní do celé škály činností. Už neexistuje onen pověstný zlatý grál, kdy nakoupím drahé zařízení, nainstaluji ho do serverovny a ono mne spasí.

Vaše produkty pracují primárně na platformách Microsoft. Jak pracujete s umělou inteligencí a strojovým učením?

OV: To už se dostáváme k tomu našemu dakarskému dobrodružství, ale ono to souvisí i s oblastí bezpečnosti. Říká se tomu umělá inteligence, ale zdaleka to umělá inteligence není tak, jak by asi ve výsledku měla vypadat. Určitě jsou ale oblasti, a to souvisí s množstvím dostupné lidské kapacity, kde je schopna pomoci. Ať je to využití v bezpečnosti, kde množství generovaných dat člověk nemá šanci analyzovat a vyvodit z nich nějaký výsledek. Jak umělou inteligenci, tak strojové učení používáme, abychom zpracovávali velké množství dat a aby přinášely nějaké závěry, či spíše signály, kterými bychom se měli zabývat. To stejné se dá použít u výroby jako takové. Ať už si vezmeme výrobní linku nebo dakarský speciál, mám statisticky velké množství dat, u kterých vzniká možnost prediktivní údržby. Stroj se učí a upozorňuje na odchylky nebo deviace od standardu. Ve Spojených státech amerických diskuse jako u nás v republice, cloud ano, nebo ne, vůbec neexistuje. Tam už je cloud samozřejmostí a kladou si spíše otázky, kdy práci za člověka začne dělat stroj‑robot. Nyní proto velmi intenzivně rozvíjíme oblast RPA   (Robotic Proces Automation), kdy u rutinních úkolů, například u zadávání faktur do systému, přemýšlíme nad tím, jak by mohl stroj nahradit lidskou práci.

MH: Já to doplním z bezpečnostního pohledu. Reagovat na hrozbu, která už jednou nastala, je onen generál, kterým je po bitvě každý. Výzvou je všimnout si anomálií v prostředích IT nebo OT v případě, že já jsem „pacient 0“ – ten první, který se stal obětí útoku, o kterém není nic zdokumentováno. V této oblasti se tedy hledají anomálie nebo se řeší, co jsou ony paterny – vzorky charakteristického chování v průmyslové síti, ve které je to vše uspořádáno, pravidelné takty a jde krásně poznat jakákoli odchylka. Trochu pestřejší prostředí představuje klasické IT, kde uživatelé pořád něco dělají, ukládají na disky apod. Samozřejmě, že masivní útoky, o kterých jsme mluvili, se šíří přes SMB protokol a kdo měl charakteristiky nastaveny dobře, tak mohl během krátké doby vidět několikaprocentní nárůst. Zmiňovaný MAERSK to položilo do dvaceti minut a virus vyřadil 80 tisíc serverů a statisíce koncových stanic. V daný okamžik to má drastické následky, z této situace se dostávali tři měsíce. Kdyby měli ony charakteristiky a sledovali anomálie, mohli odstřihnout konektivitu sítě a zkoumat, co se děje. Hodinový cílený výpadek sítě by byl v tomto případě snazší a obhajitelný, než se z toho tři měsíce „zvedat“ za masivního přispění velmi drahé konzultantské firmy. Na ekonomickém fóru v Davosu tento případ dostal dokonce dvouhodinový prostor ve speciální přednášce.

Ale abych se vrátil k tématu. Umělá inteligence se určitě uplatňuje, stává se standardní součástí bezpečnostních produktů s tím, že se za nějaký čas odměří, co je charakteristické. Vše, co je anomální, by se mělo podrobněji prozkoumat. Je třeba zjistit, jestli se jedná o provozní odchylku, nebo něco, co je potřeba zahrnout jako další patern do toho, co je obvyklé, nebo naopak, že se něco začalo dít a může to být kybernetický útok. Dodám, že antivirus dnes není nic, co by útočníky zastavovalo.

OV: S antivirem se nabízí krásný oslí můstek… To, co je v oblasti bezpečnosti moderního světa nejvíce podceňováno, je prevence. Strojové učení, o kterém se tady bavíme, je až reakce na vzniklou událost. Když se podíváme na moderní typy útoků a moderní operační systémy, teď se nebavíme o Microsoft Windows, ale o Linux nebo Unix, tak tradiční antivirus na základě vzorku informací začíná selhávat. Běžná praxe phishingových útoků je příloha emailu. Když ji otevřete, což dělá tradiční antivirus, tak se nic nestane. Musíte přečíst až druhou nebo třetí stránku, teprve potom se v dokumentu něco spustí a škodlivý kód se dynamicky sestaví až na koncovém počítači. Zmíněný patern v tomto souboru vůbec není. Právě proto přicházejí do oblasti bezpečnosti technologie zaměřené na zpracovávání signálů z více zdrojů a úrovní. Ať už se jedná o aplikaci, operační systém, síťovou vrstvu nebo komunikační vrstvu. Když všechny signály spojím do jednoho výsledku, můžou mi napovědět: „Pozor, tady něco nehraje.“

Jak vnímáte nástup 5G sítí? Změní se něco zásadního v oblasti bezpečnosti?

OV: S ohledem na bezpečnost si myslím, že 5G sítě nebudou znamenat nějaké dramatické zvýšení negativních dopadů na uživatele. Dnešní komunikační sítě jsou už natolik propustné a škodlivý kód je tak malý, že se může šířit úplně bez problémů. Maximálně to přinese rozšíření používaných zařízení – landscape. Kromě zvýšení používaných zařízení a rychlosti šíření nákazy bude kladen důraz na rychlejší detekci.

Jak velkou důležitost kladete bezpečnostnímu auditu? Kdybyste měli poradit zájemcům o tuto službu, čeho by se měli vyvarovat? Jak se vlastně kvalitní bezpečnostní audit pozná a je vůbec potřeba?

OV: Na to odpovím otázkou. Chodíte k zubaři?

MH: K bezpečnosti existují v podstatě dva přístupy. Jeden je tzv. conplains – soulad s něčím. Spousta firem si napíše na vlajku, že budou v souladu s normou ISO 27100 nebo s normou typu NIST, která je běžná v USA, zavolají si auditora,  který vezme checklist a odškrtává položky shora dolů. Audit vyhodnocením na papíře dopadne podle normy v pořádku. Nic víc ani méně vám to o bezpečnosti neřekne. Existuje jakási nepřímá souvislost, že ten, kdo v auditu dosahuje dobrého skóre, v reálu na hrozby pomýšlí a začne i konat a činit, ale nemusí to tak být. Nedávno jsem byl součástí posouzení jednoho z klíčových dodavatelů, kde se odehrál audit, dostali certifikát a vše se odehrávalo dvakrát ročně na hodinové
schůzce. Externí manažer konstatoval, že podnik je bezpečný a reálně se nemusí nic stát. Před tím bych důrazně varoval, protože to opravdu vytváří pouze falešný dojem o bezpečí a mělo by se skutečně jít do hloubky, na dřeň a k jádru věci. Znamená to, že několikrát do roka provedu tzv. vulnerability scan, což je základní zjištění, jestli jsem nezapomněl na bezpečnostní opravy, nenakonfiguroval cosi nebezpečného, jestli jsem nenechal otevřeny porty atp. Určitě by měl každý rok proběhnout penetrační test, při němž si najmeme tzv. etického hackera, který přemýšlí stejně jako útočníci a na cvičení vám krásně ukáže vaše slabá místa. Pak samozřejmě nastupuje praktická bezpečnost, které jsme velcí zastánci – sestaví se seznam hrozeb, rizik a podle charakteristiky rizik se vše firmě odbaví tak, že se dosáhne lepší úrovně zabezpečení. Nejedná se přitom o čistý soulad s normou typu „mám, nemám“. Je to realita, když přijde penetrační tester, přinese nálezy a hned vím, jak na tom jsem.

OV: V tom trochu spočívá rozdíl našeho vnímání, kromě pouhého konstatování přinášíme i návrhy, které jsme schopni společně s organizací uvést v život. Vše ale záleží na zákazníkovi. Bezpečnost musí být vyvážená na všech úrovních. Říkáme tomu ulita – nelze mít některé oblasti zabezpečeny extrémně a ostatní méně. Je to mnohem větší problém, než když jsem zabezpečen rovnoměrně.

Vítězslav Fejfar

Vítězslav Fejfar je editor ve společnosti Trade Media International (vydavatel časopisů Contorl Engineering Česko a Řízení a údržba průmyslového podniku). Zaměřuje se na rozhovory, reportáže a příběhy z průmyslových firem. 

www.trademedia.cz