Úspěšné napadení nemocnice v Benešově ransomwarem opět poukázalo na to, jak špatně jsou tuzemské státní i soukromé instituce zabezpečeny, jak nedostatečné je financování kybernetické bezpečnosti a jak slabé o ní mají jednotliví pracovníci povědomí. Lze očekávat, že další podobné útoky se dříve či později objeví, respektive se dostanou na povrch. V Česku mohou být až tisíce velice špatně zabezpečených systémů.
Situaci můžeme ilustrovat na průmyslových systémech, které v ostrém chodu fungují v malých až velkých podnicích a institucích v celé zemi. Slovenská společnost Void SOC spadající pod slovensko-český Soitron se letos v létě a na podzim zaměřila na průzkum těchto systémů (ICS, PLC a další) v Česku a na Slovensku. Výsledek je takový, že jen v Česku je minimálně 1580 vysoce zranitelných řídících systémů. Detekovány byly v 280 zdejších městech.
Analytici z Voidu pracovali s běžně dostupnými nástroji a službami typu Shodan. Nepraktikovali žádné hackování, hádání hesel, přihlašování, nedělali změny v systémech a vše probíhalo postupem read only. Číslo 1580 ukazuje počet systémů na území Česka, které jsou běžně dostupné z internetu, je z nich možné číst údaje a získat k nim anonymní přístup bez přihlašování.
Mezi analyzovanými systémy s těmito problémy byly odhaleny výrobky od všech známých výrobců. Jde například o ABB, Schneider Electric, Siemens, Honeywell, Rockwell Automation a další.
„Většinou nešlo o žádnou chybu výrobce zařízení, ale o implementaci. Tito dodavatelé nedělají prodej napřímo a instalaci řeší jejich partneři. Ti společně s koncovými zákazníky ignorují základní bezpečnostní doporučení. Navíc se běžně používají staré verze softwaru, třeba z roku 2007,“ popisuje pro Lupu Martin Lohnert ze Soitronu.
Třetí strany představují problém i jinde. O údržbu řídicích systémů se často starají externí společnosti, které ke strojům mají vzdálený přístup. Vzniká zde tak další riziko napadení skrze prostředníka v rámci celkového dodavatelského řetězce.
Průmyslové řídicí systémy se používají v řadě odvětví. Nejde pouze o výrobu, ale rovněž o obchod, energetiku a tak dále. V některých případech mohou být otevřeny přístupy pouze k nekritickým technologiím, jako jsou klimatizace a vytápění. „Existuje ovšem vysoká pravděpodobnost, že pokud organizace kašlou na zabezpečení tohoto typu, podobná situace bude i v dalších částech jejich IT infrastruktury,“ navazuje Lohnert.
Přes nekritické části systému tak třeba mohou útočníci postupně získat přístup do zajímavějších částí sítě. ICS systémy přístupné z internetu přitahují útočníky, neaktuální software pak umožňuje využívat již známé zranitelnosti. Takto zneužívané systémy pak slouží jako přestupní stanice, kdy útočníci do sítě nasadí například monitorovací systém a postupně získávají data. Průzkumy obecně říkají, že průměrná doba odhalení podobných útoků je 214 dní.
Výzkumníci Voidu se během svého testu dostali například do veřejně dostupného kontrolního systému fotovoltaické elektrárny. Je to jeden ze zhruba dvaceti příkladů, kdy administrační rozhraní vstupujícího uživatele upozorňovalo, že není nastaveno žádné heslo a zda skutečně chce do nastavení vstoupit i bez něj. Uživatelé tedy museli sami zaškrtnout hlášku, že jsou si vědomi rizik, nechtějí upozornění dále ukazovat a přejí si přesto pokračovat dále.
Uživatelé obchází i upozorňující hlášky o chybějícím heslu
Další ze zdařených přístupů se týkal systému pro produkci piva, u kterého bylo možné klepnutím zastavit výrobu. Další průniky se týkaly systémů pro vytápění, chlazení nebo chytrých kamer monitorujících parkoviště a další objekty. Kamery dostupné přes internet jsou ostatně kapitola sama pro sebe. Lze přes ně mapovat dění v okolí, vytvořit si vzorce chování a provozu, analyzovat dopravní značky a tak dále.
„Současné povědomí o kyberbezpečnosti v průmyslu je na úrovni IT povědomí v roce 1991,“ míní Lohnert. „Nastupuje takzvaný průmyslu 4.0, ze kterého si ovšem hodně firem implementuje to, co se jim chce, a kybernetickou bezpečnost vynechávají. Celý koncept průmyslu 4.0 přitom na tuto oblast myslí.“
Jedním z důvodů, proč se kybernetická bezpečnost neřeší, je přístup zodpovědných lidí spadající do kategorie „koho bychom zrovna my měli zajímat“. Dále hraje roli fakt, že systémy používané ve výrobě a spol. mají dlouhý životní cyklus, v rámci modernizace se obměňují starší rozmanité technologie za standardizované, a rovněž to, že organizace často do bezpečnosti neinvestovaly průběžně. Vyřešit tuto otázku je potom poměrně náročné a finančně nákladné.
ČLÁNKY DO MAILU