Viete, ako preklenúť priepasť medzi rizikami starších OT systémov a modernými bezpečnostnými požiadavkami?
Je dobré mať spoľahlivú technológiu, ktorá funguje celé roky. Najmä v prostrediach prevádzkovej technológie (OT) sú zariadenia navrhnuté tak, aby vydržali.
To, čo bolo nainštalované pred 30 rokmi, však nemusí stačiť na výzvy súčasnosti. V roku 1996 bol internet ešte v plienkach a umelá inteligencia bola väčšinou len sci-fi. Teraz, už viac ako desaťročie, internet umožňuje vyššiu efektívnosť tým, že otvára kedysi dokonale izolované prostredie OT. To platí najmä tam, kde staršie systémy čelia finančným tlakom a kde sa začína formovať budúcnosť spájajúca OT a IT.
Už nejde len o výrobu; ide o lepšiu viditeľnosť, diaľkový prístup a predovšetkým o dáta. Ale kdekoľvek sú systémy prepojené, nasleduje ich vystavenie rizikám. Jednoducho povedané, zabezpečenie prostredia si vyžaduje značné úsilie, pričom stačí jediný slabý článok, aby bolo ohrozené.
Kľúčové body tohto článku:
- Vaša továreň síce funguje ako hodinky, ale zastarané operačné technológie (OT), ktoré za ňou stoja, v tichosti hromadia riziká, ktoré súčasné hrozby môžu ľahko zneužiť.
- Systémy, ktoré kedysi boli izolované a špeciálne navrhnuté pre priemyselné účely, sa dnes v záujme efektívnosti prepájajú – a tým nevedomky otvárajú dvere, ktorými môžu kyberzločinci bez problémov prejsť.
- Jednoduchá aktualizácia, ktorej cieľom je umožniť vzdialenú správu, môže namiesto toho slúžiť ako most pre útočníkov a premeniť kedysi bezpečnú výrobnú halu na zraniteľnú digitálnu plochu.
- Výmena OT systémov je pre väčšinu tovární nereálna kvôli súvisiacim nákladom na kapitál a čas. Výpadky spôsobené incidentom súvisiacim s OT však nielen narušujú výrobu, ale ohrozujú aj zmluvy, vedú k pokutám a môžu vážne poškodiť dôveru v značku.
- Keďže IT sa rýchlo vyvíja a OT sa pohybuje pomalým tempom, skutočnou výzvou nie je inovácia, ale zabezpečenie dvoch svetov, ktoré pôvodne neboli navrhnuté tak, aby sa stretli.
- ESET PRIVATE zasahuje tam, kde tradičná bezpečnosť končí, a ponúka dlhodobú ochranu zameranú na OT, navrhnutú tak, aby chránila staršie systémy bez nutnosti rušivých aktualizácií.
Prečo staršie systémy OT predstavujú v priemysle riziko pre kyberbezpečnosť
Zvýšenie produktivity predstavuje riziko pre kyberbezpečnosť.
Predstavme si, že máte výrobcu automobilových dielov, ktorý používa staršie OT (hlavne stroje riadené PLC), ktoré boli inštalované pred 20 až 30 rokmi. Hoci tieto stroje stále spoľahlivo fungujú, ich riadiace systémy sú všetko, len nie moderné. V priebehu času môže vedenie spoločnosti v záujme efektívnosti požiadať o zlepšenie monitorovania prevádzky, takže projektoví manažéri postupne pripoja výrobnú halu k firemnej IT sieti – a práve tu začínajú problémy.
Historicky boli OT siete špeciálne navrhnuté pre priemyselné prostredie a ich bezpečnosť vychádzala najmä z ich uzavretosti a nízkej známosti („security through obscurity“), doplnenej o fyzické oddelenie od firemnej IT infraštruktúry. Inými slovami, výrobná hala aj administratívne kancelárie boli samostatnými jednotkami s možnosťou fyzického monitorovania.
Jedného dňa spoločnosť zavedie moderné riešenie protokolu vzdialeného pripojenia RDP, aby umožnila vzdialenú správu. Inými slovami, správca už nemusí cestovať, aby pozoroval výrobnú halu; môže to robiť digitálne z pohodlia svojej kancelárskej stoličky. Navyše môže chcieť, aby prístup mali nielen interní správcovia, ale aby sa mohli pripojiť aj subdodávatelia zo zahraničia.
Hoci však môžu využívať protokol RDP prostredníctvom moderných zariadení, technológie v prevádzke, ktoré spoľahlivo fungujú už viac ako 15 rokov (teda PLC, HMI, systémy SCADA), zďaleka nie sú pripravené na vzdialený prístup.
IT špecialisti samozrejme plnia svoje úlohy svedomito. Zabezpečujú zariadenia, aby nedošlo k ich kompromitácii. Kompromitácia je však len otázkou času, nie toho, či k nej vôbec dôjde. RDP je jedným z najbežnejších vektorov hrozieb pre potenciálne útoky kvôli svojim mnohým zraniteľnostiam, alebo konkrétnejšie, chýbajúcim bezpečnostným kontrolám.
Napríklad SMBv1, doplnkový protokol k RDP, ktorý mu umožňuje prístup k súborom, tlačiarňam a iným sieťovým zdrojom (pochádzajúci z 90. rokov), bol široko vystavený exploitom EternalBlue, čo umožnilo globálne útoky ransomvéru WannaCryptor.
Hoci sa obavy môžu týkať výrobnej haly, narušenie bezpečnosti a následné prerušenie prevádzky môžu nasledovať cestou najmenšieho odporu. Stačí jeden spearphishingový e-mail alebo jeden škodlivý odkaz či PDF súbor, a celá vaša prevádzka je zasiahnutá ransomvérom alebo wiperom (programom na vymazanie dát). Výsledkom môže byť s veľkou pravdepodobnosťou zastavenie výroby.
Schopnosť útočníkov preniknúť do sietí OT sa zjednodušila vďaka využívaniu sieťových protokolov postavených na verejne zdokumentovaných internetových protokoloch, zraniteľným rozhraniam medzi zamestnancami a strojmi a ďalším výpočtovým zariadeniam s operačnými systémami. Túto situáciu ešte zhoršuje prenikanie priemyselných zariadení IoT do výrobných závodov.
„No, IT to môže zastaviť.“ Alebo naozaj môže? V prípade OT musia inžinieri fyzicky navštíviť stroje, čo si vyžaduje čas a zručnosti. Medzitým je výroba zastavená, čo narúša dodávky. Čo je horšie, v prísne kontrolovaných odvetviach by známe zraniteľnosti mohli takéto útoky ľahko umožniť len preto, že každá jednotlivá aktualizácia vyžaduje nový súbor certifikácií na pokračovanie prevádzky.
A práve v tom spočíva dilema: OT a priemyselné riadiace systémy (ICS) sa ťažko nahrádzajú a ešte ťažšie aktualizujú. Mnohé prostredia OT sa spoliehajú na zastaraný hardvér (údajne aspoň 62 % amerických spoločností), nepodporované operačné systémy (ako Windows 7) a nezabezpečené protokoly, ktoré neboli nikdy navrhnuté s ohľadom na kyberbezpečnosť.
Medzitým sa pravdepodobnosť udelenia pokút zo strany regulačných orgánov zvyšuje každou minútou a oddelenie PR sa tiež zo všetkých síl modlí za vyriešenie situácie skôr, ako sa táto správa dostane medzi partnerov a zákazníkov.
Existuje z toho jednoduchá cesta von? V tom bode už nie. Záložné riešenia treba vybudovať vopred, inak vás situácia zaskočí nepripravených.
Prečo tá neochota nahradiť zastarané systémy OT?
Výrobné spoločnosti s dlhodobo fungujúcimi výrobnými linkami, ako sú výrobcovia automobilov a komponentov, výrobcovia zdravotníckych zariadení alebo dokonca vysoko špecializované závody na výrobu počítačových čipov, musia zachovať kontinuitu svojich prevádzok, aby splnili svoje zmluvné záväzky.
Preto je akékoľvek narušenie súvisiace s modernizáciou systémov OT len ďalším mínusom v ich vopred naplánovanom ziskovom pláne, a to kvôli nákladom na výmenu a výpadkom vo výrobe. Existuje dôvod, prečo napríklad výrobcovia mobilných zariadení zriedka, ak vôbec, menia svojich dodávateľov procesorov. Vyžaduje si to oveľa viac výskumu a vývoja, rizika a interných aj externých znalostí, nehovoriac o tom, že by ste museli začať od nuly, keď už máte stabilný výrobný reťazec. Preto zariadenia majú tendenciu ponechať svoje staré OT systémy tak, ako sú. Pokiaľ fungujú.
Tieto pomaly sa vyvíjajúce a prísne kontrolované prostredia si vyžadujú dlhé životné cykly. Vo svete IT, ktorý sa však čoraz viac presúva do oblasti prevádzkových technológií (OT), však nie je miesto pre stagnáciu.
Navyše, ak sa na to pozrieme z pohľadu softvéru, faktom je, že kód (vrátane malvéru) sa vyvíja rýchlejšie ako hardvér. To isté platí pre firmvér, ktorý je špecifický pre konkrétny hardvér a používa sa už desaťročia. V takýchto prostrediach nemusí byť aplikovanie záplat realizovateľné kvôli nekompatibilite alebo zániku externých dodávateľov, čo v konečnom dôsledku ponecháva systémy vystavené riziku až do ďalšieho vypnutia. Alebo navždy.
Vplyv rizík súvisiacich s dosluhujúcimi OT na podnikanie
Andrea Doyle, riaditeľka oddelenia Corporate Solutions spoločnosti ESET pre región NORAM, má dlhoročné skúsenosti s prácou s klientmi, ktorí prevádzkujú komplexnú infraštruktúru: „Staršie systémy nie sú problémom, problémom je nespravované riziko. Väčšina výrobcov nemôže jednoducho vyhodiť a nahradiť desaťročia prevádzkovej technológie. Skutočné nebezpečenstvo nepredstavuje vek, ale prevádzka kritických systémov bez bezpečnostnej architektúry navrhnutej pre dlhé životné cykly a obmedzené možnosti inštalácie záplat.“
Aktualizácie firmvéru sú zriedkavé a pomerne náročné. Existuje však prístup, ktorý by mohol preklenúť priepasť medzi zastaranou infraštruktúrou a modernými bezpečnostnými požiadavkami?
„Organizácie nemusia vymeniť všetky systémy, aby znížili kybernetické riziko; potrebujú stratégiu, ktorá zabezpečí to, čo musí naďalej fungovať. Nepodporované systémy nielen zvyšujú kybernetickú zraniteľnosť, ale aj znásobujú obchodné riziko. V OT stoja výpadky oveľa viac ako náprava incidentov. Bezpečnostná stratégia sa musí prispôsobiť prevádzkovej realite, nie ju narúšať,“ dodala Doyle.
Pre výrobcov preto možno v skutočnosti nejde o inovácie. Ak predpokladáme, že výrobné zariadenia musia naďalej fungovať, predvídateľnosť je cenná viac než čokoľvek iné. Prevádzkovatelia musia plánovať dopredu. A práve tu prichádza do hry aj dosiahnutie odolnosti.
„Manažéri IT bezpečnosti vo výrobnom, energetickom, obrannom a zdravotníckom sektore musia posúdiť, či sú ich staršie systémy stále podporované. Ak nie sú, riešením nie je ich opustenie, ale bezpečnostná podpora s dlhým životným cyklom navrhnutá špeciálne pre prostredia OT,“ povedal Doyle.
Ako zabezpečiť staršie OT prostredia bez narušenia výroby
Je potrebné prehodnotiť doterajšie predpoklady. Lokálne, dlhodobo používané a staršie systémy nezmiznú. Budú koexistovať s modernými platformami ešte celé desaťročia. Skutočnou výzvou nie je voľba medzi starým a novým, ale konzistentné a realistické zabezpečenie celého IT a OT ekosystému.
Preto výrobné spoločnosti nielenže potrebujú ochranu pred malvérom na koncových zariadeniach, ktorá musí spoľahlivo fungovať v ich jedinečných podmienkach s vysokou úrovňou bezpečnosti, aby bolo zabezpečené každé jedno zariadenie, ale ich bezpečnostné riešenie musí tiež zabezpečiť dlhodobú podporu s minimálnym vplyvom na ich softvérovú a hardvérovú infraštruktúru počas dlhšieho obdobia.
„Presne na to sú navrhnuté bezpečnostné modely založené na životnom cykle, ako je ESET PRIVATE Industrial Security,“ vysvetľuje Andrea Doyle.
ESET PRIVATE pre dlhodobú bezpečnosť OT a starších systémov
Ako naznačila Doyle, spoločnosť ESET má riešenie. ESET PRIVATE Industrial Security ponúka bezpečnostné riešenia šité na mieru pre prostredia OT, vrátane riešení ESET Lifecycle Solutions, ktoré sú špeciálne navrhnuté s ohľadom na rôzne časové rámce:
Štandardné riešenie a podpora (3 roky):
Určené pre IT prostredia, ktoré nemajú žiadne obmedzenia pri aktualizácii svojich zariadení. Zákazníci majú prístup k najnovším verziám operačného systému a riešení ESET, čo zaručuje najvyššiu úroveň ochrany a kompatibility.
Dlhodobá podpora (7–10 rokov):
Určená pre zákazníkov v prostrediach OT alebo iných kritických prostrediach, ktorí potrebujú stabilnú verziu bezpečnostných riešení ESET počas dlhšieho časového obdobia. To zaručuje predvídateľnú, dlhodobú bezpečnosť bez častých zmien verzií, čím sa podporuje kontinuita podnikania v citlivých alebo regulovaných prostrediach.
Podpora starších verzií (10 a viac rokov, prispôsobená časovému harmonogramu zákazníka):
Určené pre zákazníkov, ktorí potrebujú prevádzkovať staršie zariadenia, operačné systémy alebo používať riešenia ESET, ktoré dosiahli koniec životnosti a nemožno ich aktualizovať z dôvodu technických, prevádzkových, regulačných alebo obchodných obmedzení.
Podpora starších verzií od spoločnosti ESET zahŕňa bezpečnostné opatrenia pre zastarané operačné systémy, ako sú Windows XP SP3, Windows 7, Windows Server 2008 a mnohé ďalšie. Ak ide o dlhodobú prevádzku bez výpadkov, podpora musí držať krok a rešpektovať dedičstvo týchto systémov.
Podpora starších verzií sa zameriava skôr na zmierňovanie rizík. ESET PRIVATE Industrial Security poskytuje bezpečnostné krytie pre vybrané staršie platformy prostredníctvom kontrolovaných verzií produktov, aktualizácií signatúr a prispôsobených bezpečnostných konfigurácií. Cieľom je znížiť vystavenie známym hrozbám a predĺžiť bezpečnú prevádzku kritických starších zariadení.
Čo výrobcom prináša dlhodobá podpora bezpečnosti OT
Nezabúdajte, že cieľom je odstrániť medzery spôsobené chýbajúcimi aktualizáciami, čo sa najlepšie realizuje v lokálnom prostredí, aby sa zabezpečila vyššia spoľahlivosť a lepšie predvídateľné časové harmonogramy. Skúsené tímy DevOps z ESET PRIVATE sa venujú riešeniam s dlhým životným cyklom, neustále pracujú na identifikácii a odstraňovaní slabín v starších riešeniach a umožňujú včasnú detekciu rizík v celej inštalačnej základni. To zlepšuje pripravenosť a reakciu v prípade kritického incidentu.
Spoločnosť ESET poskytuje komplexné technológie kybernetickej bezpečnosti v prostrediach IT aj OT, ktoré sú plne nasadzované na mieste (on-premises), s on-premises platformou, ktorá je neustále vylepšovaná a ďalej rozvíjaná a ponúka ochranu siahajúcu od moderných priemyselných systémov až po desaťročia staré staršie platformy.
Návrhy zabezpečenia OT ESET PRIVATE Industrial Security rešpektujú prevádzkové, bezpečnostné a dostupnostné obmedzenia jej jedinečných zákazníkov. Naše technológie nezávislé od odvetvia sú použiteľné vo výrobnom, energetickom, dopravnom a iných kritických sektoroch a sú dodávané priamo alebo v rámci OEM technológií.
Podpora starších verzií zahŕňa aj pomoc s konfiguráciou a nasadením, ako aj odporúčania týkajúce sa kompenzačných bezpečnostných opatrení (end-to-end riešenia). Pokiaľ ide o prevádzku, ponúkame špecializovanú infraštruktúru pre aktualizácie, ktorá zabezpečuje riadené dodávanie aktualizácií v priebehu niekoľkých rokov, s predvídateľným modelom nákladov a vyhradeným manažérom SLA pre priamy kontakt.
Pre OT poskytuje ESET PRIVATE aj poradenstvo v oblasti kyberbezpečnosti, návrh riešení na mieru, vývoj a implementáciu, ako aj spravované služby, vrátane SOC as a Service pre monitorovanie riadené ľuďmi.
Prepojenie starších OT systémov a moderných bezpečnostných požiadaviek
V prostrediach OT sú zariadenia navrhnuté tak, aby vydržali, a preto musí podpora ísť ruka v ruke s tým, aby sa zabezpečilo, že tomu tak aj bude.
Ako to teda je? Sú používatelia starších OT systémov odsúdení na prevádzku s pretrvávajúcimi zraniteľnosťami? Je priepasť medzi starými a modernými požiadavkami neprekonateľná? Našťastie nie. Preklenutie tejto priepasti si však vyžaduje prístup zameraný na životný cyklus, ktorý vyplní medzery pomocou bezpečnostných riešení navrhnutých na mieru s ohľadom na dlhodobé ciele.
