Kibernetski varnosti se v družbi Smart Com posvečajo že približno dve desetletji. »V zadnjih petih, šestih letih se je to področje zaradi vse večjega povpraševanja na trgu zelo okrepilo,« je povedal Peter Ceferin, tehnični direktor podjetja in strokovnjak za IKT-sisteme v infrastrukturnih podjetjih.

 

Razlog za to gre po eni strani pripisati čedalje večjemu zavedanju ljudi, po drugi pa vse večji povezanosti sveta oziroma sistemov, kar obenem prinaša vse več groženj v okolju.

 

Kako privlačna tarča kibernetskih kriminalcev so industrijska okolja (OT)?

Čedalje bolj. V preteklosti ni bilo tako, zato je zdaj o tem v podjetjih še vedno premalo zavedanja. Medtem ko so bila tovarniška okolja v preteklosti ločena od preostalih poslovnih sistemov oziroma interneta, danes  ni več tako. Sistemi so čedalje bolj povezani. S tem se pojavlja veliko večja izpostavljenost novim ranljivostim, ki so prisotne v vsakem informacijskem sistemu.

 

V industrijskih okoljih zaradi narave samih procesov obratuje še vedno veliko operacijskih sistemov, kjer pogostih nadgradenj ni mogoče izvajati, ali celo sistemov, za katere varnostni popravki niso več na voljo (na primer za Windows XP), kar dodatno vnaša  omemben delež ranljivosti, ki se jih moramo zavedati.

 

V svetu je opazen trend rasti kibernetskih napadov na tovarniška okolja. Škoda, ki jih podjetju povzročijo izpadi proizvodnje ali okvare strojev, pa je, kot vemo, lahko ogromna. Tudi poročilo Svetovnega gospodarskega foruma kaže, da so kibernetske grožnje ena izmed glavnih nevarnosti, ki grozi človeštvu na splošno. Poleg seveda globalnega segrevanja, raznih nesreč in epidemij, kot je denimo ta, ki smo ji pravkar priča.

 

Pri zagotavljanju kibernetske varnosti so največje tveganje neozaveščeni uporabniki, zato je zelo pomembno, da zaposlene v podjetjih nenehno izobražujemo in usposabljamo.

 

Bi lahko našteli nekaj najpogostejših varnostnih pomanjkljivosti industrijskih okolij?

Začne se že na osnovni ravni, saj marsikatero industrijsko okolje ni segmentirano. To pomeni, da so stroji in računalniki v tovarniškem okolju povezani v enotno omrežje, brez osnovnih mehanizmov ločevanja v virtualne domene že na omrežni ravni. Segmentacija omrežja na virtualne domene pomeni, da so določeni segmenti ali sklopi proizvodnje ločeni drug od drugega že na ravni tako imenovanih VLAN-domen, da med
različnimi napravami ali računalniki že na tej ravni ni povezljivosti, če za to ni potrebe.

 

Če nekdo vstopi v neki računalnik, od tam pa lahko dostopa do kateregakoli dela proizvodnje, ker omrežje ni segmentirano, potem imamo že v osnovi varnostno težavo. Marsikatero podjetje to osnovno pomanjkljivost sicer že odpravlja. Naslednji korak je zagotoviti ločevanje od zunanjih omrežij, v prvi vrsti od javnih omrežij oziroma internetnega omrežja ter omrežja oziroma segmenta, kjer tečejo poslovne aplikacije (IT). Ko poskrbimo za segmentacijo omrežja in ločevanje od zunanjih omrežij, pa je treba najprej ugotoviti, kje so morebitne ranljivosti.

 

Proizvodne linije so avtomatizirane in vodene z računalniškimi sistemi, vemo pa, da so v vseh operacijskih sistemih določene varnostne pomanjkljivosti. V te sisteme se, ko so enkrat nameščeni, praviloma veliko ne posega, saj posodobitve in nadgradnje pomenijo prekinitev proizvodnega procesa, kar pa v podjetjih ne pride v poštev. In zato vse varnostne vrzeli ostajajo. Na podlagi analize in ugotovitev se potem poskrbi za ustrezne varnostne rešitve, ki segajo do aplikativne (vsebinske) ravni podatkovnih pretokov, ki tečejo v procesnem sistemu.

 

Koliko se industrijska podjetja v Sloveniji zavedajo kibernetskih nevarnosti?

To se ne zgodi čez noč, to je proces. Še pred nekaj leti je bilo pogosto slišati: »Ah, nam se to ne more zgoditi.« Zdaj tega ni več. To pomeni, da se zavedanje povečuje. Pri tem pa je zelo pomembno, da zavedanje  nenehno razvijamo oziroma povečujemo z vpeljavo sprememb na ravni procesov.

 

Če nečesa ne vidiš oziroma ne poznaš, v resnici ne veš, kaj se dogaja. In imaš lažno predstavo o tem, da je vse v redu. V tem primeru  oziroma ob nezavedanju in globljem nepoznavanju lastnega sistema z vidika varnostne ogroženosti lahko pride do varnostnih incidentov. In ko se zgodi, nam je žal, da prej nismo ustrezno ukrepali, da do težav  sploh ne bi prišlo.

 

Kakšne ukrepe lahko podjetje vpelje samo?

Vse se začne na vrhu, pri upravi, ki mora to podpreti, dati svoj pečat oziroma pomembnost zavedanju o kibernetski varnosti, sploh ob vpeljavi novih tehnologij, zmogljivosti oziroma digitalizaciji ali, če hočemo, pri konceptu industrije 4.0. Ko govorimo o digitalizaciji, govorimo tudi o povezljivosti. In ko smo enkrat vsi med seboj povezani, so že po definiciji pri tem prisotne kibernetske grožnje. Če se uprave tega zavedajo, in rečem lahko, da se vse bolj zavedajo, kar je pohvalno, potem se proces začne premikati od vrha navzdol. Segmentacijo omrežja sem omenil prej.

 

Druga pomembna stvar, na katero bi opozoril, pa je varnostni  pregled. Težko namreč karkoli narediš, če ne veš, kaj imaš v sistemu. Z varnostnim pregledom, ki se lahko izvede relativno hitro, spoznamo sistem v globino, kje so potencialne odprte zadeve, stvari, ki jih je treba spremeniti, izboljšati, vpeljati na novo.

 

Naslednja stvar, ki je lahko tudi povezana z varnostnim pregledom, je ozaveščanje zaposlenih. Danes smo vsi uporabniki sodobnih računalniških naprav, pri čemer pa velika večina uporabnikov, vsaj 95 odstotkov, nevarnosti ne zaznava. Kaj hitro na primer kliknemo na priponko ali povezavo v elektronskem sporočilu, ki ga dobimo od neznanega pošiljatelja, a deluje verodostojno. Zato je ozaveščanje zaposlenih tako zelo pomembno.

 

 

Kako proizvodnim podjetjem pomagajo specializirana podjetja s strokovnim ocenjevanjem stanja, posodabljanjem sistemov in opreme, uvajanjem sistemskih rešitev?

Najprej bi poudaril zelo pomembno stvar, in sicer da so podjetja, ki se s tem ukvarjajo, dobri poznavalci okolja, v katero posegajo. Tu je govor o tako imenovanih procesnih sistemih, za katere se uporablja kratica OT (Operational Technology). V nasprotju z informacijskimi tehnologijami (IT), ki so značilne za poslovna okolja, imamo v proizvodnih oziroma kritičnih sistemih OT.

 

Običajno sta sistema IT in OT ločena, se pa seveda tudi v sistemu OT uporabljajo informacijske tehnologije. Vendar je to okolje, v katerem vladajo drugačne zakonitosti kot v poslovnih omrežjih (IT). V svetu OT je na prvem mestu visoka razpoložljivost, v katero se ne sme posegati z raznimi dogodki. Za dobro poznavanje sistema OT so pomembna znanja na področju načrtovanja omrežij, poznavanje arhitektur omrežij in integracije varnostnih mehanizmov. Šele tako lahko vanj vsadimo ustrezne specialne rešitve, namenjene zagotavljanju kibernetske varnosti. Tu pogosto naletimo na napake, ko ljudje mislijo, da bo zadeva rešena, če postavijo nekaj dodatnih požarnih zidov. Morda res, vendar pa je sistem vedno treba gledati kot celoto in iskati rešitve, s katerimi bomo vzpostavili v prvi vrsti vidljivost nad gradniki v sistemu, pretokom podatkov, protokoli, ki se uporabljajo v sistemu, in z njimi  zovezanimi varnostnimi vidiki. Da v primeru, če se kaj zgodi, zaznamo morebitne nevarnosti v realnem času in s tem obvladujemo lastni sistem, da se lahko hitro ustrezno odzovemo za preprečitev varnostnega incidenta.

 

Kibernetska varnost poleg poslovno kritičnih sistemov (ICS) in omrežnih tehnologij je bila ena od glavnih tem naše tradicionalne že 22. Tehnološke konference Smart Com. Oglejte si posnetke predavanj v času, ki vam najbolj ustreza.

 

Kakšna je običajna pot do zavarovanja OT-okolij?

Z notranjim varnostnim pregledom najprej ugotovimo, kje so kakšni sistemi, kako so razporejeni, kako je omrežje segmentirano, če je, kje so strežniki, uporabniki, IP-naslovi, razne SCADE, kako se stvari odzivajo, kako je z dosegljivostjo oziroma dostopnostjo sistema, kako vanj vstopamo z geslom in tako naprej. Z zunanjim varnostnim pregledom pa preverimo, ali lahko do OT-okolja pridemo tudi od zunaj in kako. Oddaljeni dostopi morajo biti obvezno urejeni z ustreznimi pravili in varnostnimi mehanizmi, na primer z dvostopenjsko avtentikacijo uporabnika oziroma gesla.

 

Še vedno se lahko prek šibkih gesel, celo privzetih, omogoči relativno lahek vstop v sistem, kar nas pozneje lahko veliko stane. Na podlagi posnetka stanja in analize nato pripravimo poročilo, ki vključuje tudi priporočila za različne ukrepe glede na stanje v sistemu naročnika. Poročilo služi kot orodje za nadaljnje ukrepanje. Eden od namenov poročil je tudi dajanje ustreznih usmeritev za posodabljanje in vlaganje v rešitve kibernetske varnosti, ki bodo ustrezne in stroškovno učinkovite. Na trgu je namreč na voljo ogromen spekter rešitev.

 

Pri odločitvi, katero izbrati, je zato zelo pomembno, da imate celovito sliko, da veste, v katero smer naprej. Fragmenti so lahko zavajajoči, zato sta pomembni celovita slika in načrtovanje od vrha navzdol.

 

S Petrom Ceferinom, tehničnim direktorjem Smart Com, se je pogovarjala Sabina Petrov. Članek je bil objavljen 2. marca 2020, v časniku Finance, št. 42, v prilogi Tovarna leta.