Kyberzločinci, ktorí chcú rýchlo zarobiť, sa už dlho zameriavajú na sektor výroby, pretože zastarané systémy, ktoré sa v ňom často používajú, predstavujú ľahký cieľ. Chráňte svoje prevádzkové technológie pomocou služby MDR a dosiahnite maximálne zabezpečenie.
Výrobný priemysel, ktorý zabezpečuje produkciu a poskytovanie dopravných systémov, chemikálií, energetickej infraštruktúry a ďalších produktov, je hnacou silou celosvetovej ekonomiky.
V sektore výroby však nemá všetko rovnakú prioritu. Existujú určité kritické uzly, ktoré väčšina národných štátov považuje za kľúčové pre kritickú infraštruktúru. Patria sem primárne kovy, stroje, elektrické zariadenia a komponenty či dopravné zariadenia. Zabrániť akémukoľvek narušeniu v týchto sektoroch je základom národnej bezpečnosti a stability.
Primárny terč útokov
Pre výrobcov sa digitálna transformácia stala dvojsečnou zbraňou, pretože síce vytvára príležitosti na zvýšenie produktivity a efektívnosti, ale zároveň otvára Pandorinu skrinku problémov, ktoré vyplývajú z používania kybernetických zariadení v priemysle. Tie sú totiž závislé od prevádzkových technológií (OT) a IT sietí, ktoré môžu byť zneužité na ničivé útoky, pri ktorých dochádza k zastaveniu výrobných liniek alebo ohrozeniu národnej bezpečnosti či existencie dokonca aj väčších spoločností.
Dobrým príkladom takéhoto prekrývania pozitívnych a negatívnych dôsledkov sú moderné útoky na dodávateľský reťazec. V roku 2021 bol po ransomvérovom útoku kyberzločineckej skupiny DarkSide vyradený z prevádzky hlavný americký ropovod prepravujúci 2,5 milióna barelov ropných produktov denne. Vzniknutá situácia prinútila vládu USA zmierniť pravidlá prepravy pohonných hmôt po súši a spôsobila, že ceny plynu vzrástli približne o 6 %. Útočníci sa údajne dostali do systémov vďaka kompromitovanému heslu k účtu VPN. Spoločnosť sa napokon rozhodla zaplatiť výkupné vo výške približne 5 miliónov dolárov, aby nad systémami znovu získala kontrolu.
Výrobcov však neohrozuje len ransomvér. V roku 2017 výskumníci spoločnosti ESET odhalili Industroyer, jednu z najväčších hrozieb pre priemyselné riadiace systémy. Tento malvér zneužíva priemyselné komunikačné protokoly používané v infraštruktúre dodávok energie, riadiacich systémoch dopravy a iných kritických odvetviach, vďaka čomu dokáže priamo ovládať spínače a ističe elektrických rozvodní. To znamená, že potenciálne následky útoku by mohli vyvolať reťazovú reakciu, pri ktorej by došlo k poškodeniu a poruchám ďalších zariadení.
Spoliehanie sa na staré systémy
Vzhľadom na to, ako sú dodávatelia, zhotovitelia, distribútori a poskytovatelia služieb tretích strán úzko prepojení, vzniká rozšírený priestor na útoky. Ak padne jedna kocka domina, ostatné budú nasledovať. To isté platí aj pre interne prepojené systémy, keďže práve takto sa šíril malvér Petya: kompromitoval účtovný softvér M.E.Doc a vykonal trojanizovanú aktualizáciu, ktorá útočníkom umožnila spustiť masívnu ransomvérovú kampaň globálneho rozsahu.
Tieto incidenty sú obzvlášť škodlivé pre odvetvia kritickej výroby, v ktorých sa používajú staršie systémy. Na rozdiel od iných priemyselných odvetví, kde sa zastarané systémy dajú ľahšie modernizovať alebo vymeniť (napríklad v IT sektore), výrobný priemysel je závislý od drahých špecializovaných zariadení, ktoré niekedy využívajú zastarané počítačové systémy. Ak sa teda výrobný závod stane obeťou útoku ransomvérom, ako je LockerGoga, môže byť nútený prejsť do manuálneho režimu, čím sa zníži efektívnosť výroby a v konečnom dôsledku môže dôjsť k miliónovým stratám.
Aktualizácia alebo výmena týchto systémov si však často vyžaduje dlhšie prestoje, čo môže viesť k prevádzkovému sklzu a následným veľkým finančným ujmám. Vytvára sa tak prostredie, v ktorom majú investície do kybernetickej bezpečnosti a aktualizácií systémov často nižšiu prioritu, čím vznikajú medzery v zabezpečení, ktoré by kyberzločinci časom nepochybne zneužili.
Je to problém vedenia?
Hlavnou otázkou je, kto by mal niesť zodpovednosť za zlyhania bezpečnosti spôsobené používaním starších alebo nezabezpečených systémov – profesionálni bezpečnostní pracovníci, ktorí robia, čo môžu, aby zaistili nepretržitú ochranu firmy, alebo vedenie, ktoré odmieta krátke prerušenia prevádzky súvisiace s údržbou a radšej zaplatí výkupné aj za cenu, že by to mohlo viesť ku globálnym odstávkam?
Keďže priemerné náklady spojené s únikom údajov v priemyselnom sektore sú 5,56 milióna dolárov, správne rady spoločností by mali dôkladne diskutovať o tom, či sú takéto náklady prijateľné.
Pracovníci na výkonných a riadiacich pozíciách zohrávajú kľúčovú úlohu pri určovaní toho, akú má kybernetická bezpečnosť v organizácii prioritu a ako sa implementuje. Pre výrobcov to znamená pristupovať ku kybernetickej bezpečnosti ako k základnému obchodnému cieľu a nepovažovať ju za výlučnú záležitosť IT oddelenia. Vedúci pracovníci musia v podstate strategicky rozdeliť zdroje a vyčleniť rozpočet na nástroje kybernetickej bezpečnosti, súvisiace školenia a personál. Navyše, ak sa takýto prístup spojí s modernizáciou procesov, môže to priniesť veľké výhody v podobe zvýšenej produktivity, čo z dlhodobého hľadiska znamená viac obchodných príležitostí.
Netreba zabúdať na zamestnancov
Keď sa vedenie rozhodne stanoviť si pevné ciele v oblasti zlepšovania bezpečnosti, nemalo by zabúdať ani na zamestnancov. Nehovoríme ani tak o manuálnych pracovníkoch, ako skôr o tých, ktorí majú prístup ku kritickým systémom pripojeným k sieti a mohli by do nich vniesť hrozby zvonka, ako napríklad malvér. Upozorňuje sa na to aj v správe o vyšetrovaní únikov údajov spoločnosti Verizon z roku 2024, v ktorej sa uvádza, že k 83 % narušení bezpečnosti vo výrobnom odvetví došlo v dôsledku preniknutia do systémov, sociálneho inžinierstva a útokov na základné webové aplikácie.
Kyberzločinci často zneužívajú ľudí, využívajúc pritom taktiky sociálneho inžinierstva, ako sú napríklad phishingové správy, alebo do ich zariadení zavádzajú malvér prostredníctvom škodlivých príloh a iných súborov na stiahnutie. Preto by sa pravidelné školenia o kybernetickej bezpečnosti mali venovať témam, ako je budovanie povedomia o phishingu, správa hesiel či bezpečná manipulácia s údajmi. Zamestnancov treba navyše povzbudzovať, aby nahlasovali podozrivé aktivity bez obáv z následkov, čím sa vytvorí otvorená bezpečnostná kultúra zameraná na prevenciu.
Okrem toho sú pre výrobcov nevyhnutné pokročilé nástroje kybernetickej bezpečnosti, ako sú riešenia na ochranu koncových zariadení alebo riešenia umožňujúce rozšírenú detekciu a reakciu. Tieto technológie poskytujú prehľad o celej firemnej sieti v reálnom čase, čím pomáhajú organizáciám odhaľovať anomálie a potenciálne hrozby skôr, ako sa stihnú rozvinúť. Možno na to využiť aj spravovanú službu, čím sa zabezpečí nepretržitá ochrana s globálnym dosahom.
ESET chráni sektor výroby
Spravované služby, ako napríklad ESET MDR, dokážu zaistiť nepretržitú ochranu a zmierniť tak riziká vyplývajúce z riešení, ako je EDR, najmä v prípadoch, keď výrobca nemá dostatok personálu alebo má nedostatočne kvalifikovaných bezpečnostných pracovníkov. To všetko je možné bez potreby veľkých investícií do interných zdrojov a pri zachovaní efektívnosti výroby. Ponuka MDR od spoločnosti ESET zahŕňa aj službu ESET Detection & Response Ultimate prispôsobenú potrebám zákazníkov. Funguje ako špecializovaná bezpečnostná zložka, ktorú tvoria výskumom poverení profesionáli schopní vyriešiť detekcie už do 20 minút.
Neustále prítomné normy súladu
Okrem externých hrozieb si musia firmy dávať pozor aj na dodržiavanie rôznych predpisov a noriem, na základe ktorých môžu v prípade nedostatočného zabezpečenia dostať sankcie, najmä ak sa riziku dalo predísť.
V predpisoch Európskej únie, ako je smernica NIS2 alebo nariadenie 2023/1230 o strojových zariadeniach, sa stanovujú požiadavky na kritické odvetvia. V smernici sa výroba označuje za dôležité odvetvie a okrem zvýšenej bezpečnosti dodávateľského reťazca a riadneho riadenia rizík sa v nej stanovujú aj oznamovacie povinnosti. Druhý predpis je však konkrétnejší, keďže nariadenie o strojových zariadeniach ukladá výrobcom povinnosť vytvoriť primerané koncepty priemyselnej bezpečnosti s hlavným dôrazom na kybernetické zabezpečenie. Zároveň sa v ňom odkazuje na akt EÚ o kybernetickej bezpečnosti v prípade, že stroj obsahuje digitálne prvky a možnosti pripojenia.
Za veľkou mlákou sa uplatňuje séria noriem ISA/IEC 62443, v ktorých sa stanovujú požiadavky na udržiavanie bezpečnosti priemyselných automatizačných a kontrolných systémov. V prípade výrobcov zdravotníckych pomôcok sa podľa zákona o konsolidovaných rozpočtových prostriedkoch z roku 2023 oddielu 524B vyžaduje dôkladné posúdenie toho, či pomôcky pripojené do siete spĺňajú normy kybernetickej bezpečnosti, ako je napríklad oprava zraniteľností. Keďže vlády sa budú musieť aj naďalej zameriavať na udržanie kybernetickej odolnosti, môžeme predpokladať, že v budúcnosti pribudnú ďalšie normy pre dodržiavanie súladu v kritických odvetviach.
MDR ako riešenie pre výrobcov
Na zmiernenie rizík vyplývajúcich z používania starších systémov musia výrobcovia zaviesť spoľahlivé stratégie prevencie, ako je napríklad fyzická izolácia alebo segmentácia siete.
Fyzická izolácia zahŕňa úplnú izoláciu kritických systémov od siete, čím sa zabráni neoprávnenému prístupu. Jednoducho povedané, bez infikovaného USB kľúča, ktorý by útočníci vložili priamo do zariadenia, by bolo pre nich oveľa ťažšie získať prístup. Aj to sa však mení, o čom svedčí nový výskum spoločnosti ESET. Vzhľadom na rastúcu vzájomnú prepojenosť zariadení nemôže byť fyzická izolácia jedinou stratégiou na dosiahnutie kybernetickej odolnosti prostredí prevádzkových technológií, najmä ak ide o ochranu kritickej infraštruktúry. Preto môže dodatočné zabezpečenie, ako napríklad segmentácia siete, ktorá rozdeľuje sieť na menšie izolované zóny, pomôcť ľahšie zabrániť potenciálnym narušeniam bezpečnosti.
Tieto opatrenia v podstate zabezpečujú, že aj keď je kompromitovaná jedna časť systému, útočníci nemajú prístup k tým ostatným. Podobne vysoký stupeň ochrany by sa dal dosiahnuť pomocou služby riadenej detekcie a reakcie, ako je napríklad ESET MDR, ktorá zabraňuje tomu, aby sofistikované hrozby vôbec ovplyvnili výrobné procesy.
