[INTERVJU] Napadalce je treba danes aktivno iskati
“V primeru vdora ali varnostnega incidenta je najbolj pomembno, da se zna podjetje pravilno odzvati in ga obvladati. Hkrati mora informacijska varnost postati odgovornost vseh zaposlenih v podjetju,” poudarja Peter Ceferin, CTO in strokovnjak za IKT-sisteme v infrastrukturnih sistemih v podjetju Smart Com.
Katera podjetja so danes najbolj ranljiva z vidika informacijske varnosti?
Tista, ki nekaj ustvarjajo oziroma premorejo neko vrednost. Že evolucija človeštva je nakazala različne razloge za vojskovanja. Slednje je danes zgolj digitalizirano. A tudi področje informacijske varnosti in njegovi nasprotniki se spreminjajo, če so bili kibernetski napadi v preteklosti usmerjeni predvsem v povzročanje poslovne škode in/ali pridobivanje informacij ali intelektualne lastnine, so danes lahko še precej bolj nevarni. Nekateri med njimi imajo za cilj celo hromljenje gospodarstva ali uničenje javnih storitev, napadalci pa so lahko sponzorirani s strani države. Gre za projekte, ki ne nastanejo v garaži hekerja, proti takšnim napadalcem pa so ranljiva vsa podjetja.
Ranljivosti so eno, dejanske zlorabe in napadi pa drugo. Kako pogosto so slovenska podjetja tarče in tudi žrtve napadov?
Teh podatkov ni, saj jih podjetja navadno ne razkrivajo. Še najboljšo statistiko ima organizacija SI-CERT, ki beleži najrazličnejše napade. Teh vsekakor ni malo, so vseh vrst in oblik. Slovenska podjetja so tako med žrtvami izsiljevalskih virusov, direktorskih prevar pa tudi napadov, ki ciljajo na infrastrukturo. Največ resnih napadov, ki so javnosti nepoznani, se je po podatkih SI-CERT bržkone zgodilo leta 2008, ko je Slovenija predsedovala Evropski uniji, saj se napadalci zavedajo, da so sistemi po svetu povezani in iščejo najšibkejši člen vstopa. Takrat kar naenkrat ni več veljala pogosto izražena misel, da je Slovenija (pre)majhna in za napadalce nezanimiva država. Prav možno je, da se nam leta 2021 obeta podoben scenarij. Podobno velja za varnostne grožnje, ki pretijo kritični infrastrukturi, npr. elektroenergetskemu sistemu, zato je zavedanje o nujnosti razvoja varnostnih rešitev ključnega pomena, opazen je velik napredek na tem področju v zadnjih letih, vendar bo potrebno zaradi stalnega porasta različnih sofisticiranih in kompleksnih groženj tudi stalno slediti z uvajanjem učinkovitih varnostnih mehanizmov predvsem v t. i. OT (procesni sistemi) omrežjih.
Kako naj se zagotavljanja ustrezne varnosti lotijo različna proizvodna in storitvena podjetja, v katerih informatika sicer ni na najvišjem nivoju?
Veliko bi podjetja naredila že s tem, ko bi se predvsem v OT sistemih izvedli popisi in evidence, kaj se v teh segmentih sploh nahaja in kako je poskrbljeno za konfiguracijo varnostnih rešitev. Marsikje so zadeve postavljene s privzetimi konfiguracijami in gesli, kar dobesedno kliče po napadih in zlorabah. Delo napadalca je v takem primeru lahko precej enostavno – heker z nekaj znanja, prosto dostopnih orodjih in nekaj sreče, odkrije varnostne vrzeli, vdor potem ni več vprašanje. Prav vsa podjetja bi morala več pozornosti nameniti tudi osveščanju – tako informatikov kot zaposlenih. Ljudje so tisti, ki skrbijo za varnost. Vsak uporabnik je lahko potencialno najšibkejši člen. Treba jih je preizkusiti zoper odpornost na prevare – ali bo kdo izmed njih kliknil na škodljivo povezavo.
Ali mar ni skrb za informacijsko varnost odgovornost oddelka IT?
Informacijska varnost mora biti odgovornost slehernega zaposlenega. Se pa pri tem podjetja močno ločijo med seboj. Tista, ki premorejo lasten IT oddelek, so pogosto bolje varovana, saj so naloge in odgovornosti jasno določene, medtem ko se npr. v OT okoljih z informacijsko varnostjo v preteklosti niso pretirano ukvarjali, če sploh. Šlo je za zaprta okolja in sisteme, z njihovim povezovanjem in odpiranjem navzven pa so se bistveno povečala tudi varnostna tveganja. Danes v OT okoljih zaposleni pogosto ne vedo, kdo je odgovoren za zagotavljanje varnosti, niti podjetja nimajo zaposlenih ustreznih ljudi, namenskih varnostnih strokovnjakov. Za OT okolja bodo morali skrbeti usposobljeni varnostni strokovnjaki, podobno, kot je to že v IT. Informacijska varnost je lahko odgovornost tudi IT oddelkov, s tem, da se morajo usposobiti in prilagoditi specifikam v OT okoljih.
So industrijska okolja z varnostnega vidika različna od pisarniških in drugih poslovnih okolij?
Industrijska okolja imajo sebi lastne specifike. Razpoložljivost strojev, orodij in razpoložljivost procesnih sistemov je vedno na prvem mestu, saj mora proizvodnja delovati neprekinjeno oziroma s čim manj posegi, tudi za ceno manj »varovalk«. V takih okoljih pogosto najdemo rešitve z operacijskimi sistemi, ki se jih od namestitve naprej nihče ni dotaknil. Seveda so ti ranljivi »na celi črti« in posledično lažje tarče za napade ter vdore. Takšna okolja je treba nujno informacijsko prenoviti in ustrezno zaščititi. Podjetja bodo preprosto morala vložiti več energije in sredstev, saj sicer lahko nastane ogromna škoda – tako v obliki izpada prihodkov, propada podjetja, do ogrožanja človeških življenj v skrajnih primerih …
Bi mar veljalo poslovanje v večji meri preseliti v računalniški oblak? Je oblak bolj varno okolje?
Za poslovanje podjetij je oblak vsekakor varnejši, saj ponudnik navadno zagotavlja več varnostnih mehanizmov in varnostnega osebja kot posamezno podjetje. Težava je v tem, da so oblačne storitve za industrijska okolja in kritično infrastrukturo manj primerne, morebiti pridejo v poštev zasebni oblaki, javni pa za sedaj nikakor. Podjetja se jih naravnost izogibajo, saj se ne želijo dodatno izpostavljati, veliko je odpora, kdor premore zaupne informacije in rešitve, jih želi v celoti nadzorovati.
Pa saj podjetja, ki poslujejo že več let ali desetletij, pogosto sploh ne vedo, kaj vse premorejo in kako deluje v njihovih okoljih. Je to težava?
Česar ne poznaš, tega ne moreš zaščititi. Stare, nezakrpane in pozabljene rešitve, naprave in sistemi predstavljajo ogromno tveganje, saj so pogosto polni ranljivosti. So razpoke, skozi katere lahko v podjetje vstopijo napadalci. Vsako podjetje bi moralo temeljito preveriti svojo OT-krajino, narediti popis OT-virov in pregledati, kateri deli tega okolja so ranljivi ter če je mogoče, ranljivosti čim prej odpraviti. Če gre za starejše informacijske ali proizvodne rešitve, za katere popravkov ni na voljo, in jih zaradi različnih razlogov ni moč menjati (npr. zaradi večjih posegov v procese, kot je menjava celotne SCADA infrastrukture, različnih investicijskih ciklusov in podobno) je na podlagi ugotovljenih situacij smiselno vpeljati varnostne mehanizme, ki kot ovoj ščitijo ta okolja. V nekaterih primerih se sisteme, ki imajo varnostne grožnje ali so celo okuženi in jih zaradi prekinitve procesov ni moč enostavno in hitro odpraviti ali zamenjati – preprosto pusti v kontroliranem okolju in pod stalnim opazovanjem.
Kako varen je oziroma bo t. i. internet stvari (IoT)?
V gospodinjstvu imate vedno več naprav pametnih naprav in sistemov – klima, ogrevanje, pečica, hladilnik, sesalni robot itd. Predstavljajte si scenarij, da napadalec vdre v ponudnikov strežnik in prevzame nadzor nad napravami. Že z zlorabo nekaj tisoč naprav, ki sodijo med velike porabnike energije, lahko zaniha delovanje elektroenergetskega omrežja ter v skrajnem primeru povzroči celo razpad le-tega. T. i. manipulativne IoT grožnje (MadIoT – Manipulation of demand via IoT) so nova oblika nevarnosti, saj napadalcem omogočajo, da preko različnih rešitev dosežejo svoj cilj – morebiti lahko z manipulacijo klimatskih naprav prej sesujejo električno omrežje kot z napadom na sam center vodenja elektrodistribucijskega podjetja. Na področju interneta stvari ponudnike in varnostne strokovnjake čaka še ogromno dela.
Podjetja in tovarne torej preprosto morajo vlagati v kibernetsko varnost. Koliko to/ta stane?
Izračun je precej enostaven. Vsako podjetje naj si izračuna, koliko ga stane nekajurni izpad proizvodnje ali drugih ključnih storitev in številko primerja s ceno rešitev, ki bi tak izpad preprečile. Tovrstni izračuni so še precej bolj zgovorni, ko gre za t. i. kritično infrastrukturo – znate izračunati škodo, ki nastane, če Ljubljana za en da pristane v temi?
Toda varnost je bila in bo vedno kompromis?
Drži. Informacijska varnost je kompromis, 100-odstotne varnosti ni. Tudi če bi jo želeli doseči, bi bili stroški previsoki. Varnostna tveganja je treba obvladovati, ugotoviti, kje so najšibkejši členi in jih nadgraditi. Za podjetja to pomeni stalno uvajanje izboljšav in izpopolnjevanje zaposlenih in s tem se krepi informacijska varnost. Na tem področju ni univerzalnega recepta – vedno je treba gledati konkretno okolje, oceniti varnostna tveganja v njem in potem prilagoditi varnostne rešitve in ukrepe ter stalno usposabljati uporabnike in varnostne strokovnjake, vsakega seveda glede na vlogo, ki jo ima v sistemu.
Kdaj je za vas informacijska varnost dovolj dobra?
Takrat, ko podjetje prestane varnostni pregled in je odpravilo ugotovljene šibke točke. Je pa treba tovrstne preglede opravljati redno, saj se tako informacijsko okolje kot tudi digitalne grožnje stalno razvijajo. To tudi pomeni, da ima podjetje vzpostavljene ustrezne procese ter usposobljeno osebje, ki zna pravilno reagirati ob napadu.
Nekatere statistike so prav grozljive – napadalci v podjetjih v povprečju ostanejo neodkriti tudi po 200 in več dni. Kako je to mogoče, kako se jim zoperstaviti?
Težava so številne prikrite in skrite grožnje. Napadalce je treba danes aktivno iskati – šele takrat lahko podjetje res skrbi za varnost. Pomembno je, da se začne raven informacijske varnosti višati, še posebej v OT okoljih. To se zagotovi z vzpostavitvijo tehničnih rešitev na ravni pasivnega zajema, nadzora in opazovanja nad sredstvi, ki jih imamo v tej infrastrukturi. Sodobna tehnologija z vpeljanimi algoritmi strojnega učenja in umetne inteligence nam to omogoča. Na podlagi ugotovljenih stanj se varnostni mehanizmi stalno izboljšujejo in s s tem tudi informacijska varnost.
Uredba GDPR je, vsaj v teoriji, naredila več redu na področju upravljanja (osebnih) podatkov. Mar lahko zakonodaja in regulativa dvigneta tudi varnostno »higieno« podjetij?
O informacijski varnosti je treba stalno razmišljati, se pogovarjati in predvsem ustrezno ukrepati. Uredba GDPR bo vsekakor prispevala k boljši statistiki in varnostni higieni. Žal pa proizvodni in procesni sistemi niso del GDPR. V splošnem velja, da se v okoljih, kjer se ne delijo informacije o vdorih, napadi hitreje širijo in naredijo še več škode.
S Petrom Ceferinom se je pogovarjal Miran Varga. Pogovor je bil objavljen v časniku Delo, 12. novembra 2018.