Bezpečnostní rizika provozního IT – problém je hlavně historický

Spadají provozní (provozní, OT) systémy v podnicích pod IT oddělení? Kdo zodpovídá např. za instalaci aktualizací? Nebo raději do systémů OT nikdo nezasahuje a aktualizace se nenasazují? Provádějí se bezpečnostní testy? Jaké typy útoků na systémy OT jsou dnes nejčastější? Odpovídá Zbyněk Lebduška, Director Systems Engineering ve společnosti Fortinet.

Jaké jsou největší bezpečnostní slabiny současných OT systémů?
Základní problém si neseme z historie – při původním návrhu systémů nebyla bezpečnost brána v potaz, což bylo poplatné té době. Jednoduše se řešila jen dostupnost a spolehlivost. Ovšem životní cyklus OT systémů je obecně velmi dlouhý, a zatímco situace v oblasti bezpečnosti se změnila dramaticky, OT systémy často zůstávají stále stejné, a to jak na úrovni aplikací, na úrovni operačních systémů, ale i na úrovni komunikačních protokolů. Výjimkou tak nejsou klidně deset a více let staré systémy, které komunikují zcela nešifrovanými protokoly, bez vzájemné autentizace nebo jiných bezpečnostních mechanismů známých z klasického IT prostředí. Patch management je navíc velmi komplikovaný, v některých případech zcela nemožný. Problém může být i často požadovaný vzdálený přístup dodavatele technologie, který je nedostatečně zabezpečen.

Jak fungují OT systémy ve firmách z hlediska organizace?
OT systémy tradičně řeší samostatné oddělení a o tyto systémy se starají spíše inženýři ze světa provozu, nikoliv IT specialisté. Ale naštěstí firmy postupně začínají chápat, že OT dnes nelze provozovat izolovaně. Problémem je to, že inženýři zodpovědní za provoz OT systému často otázku bezpečnosti neřeší, nebo jim s ohledem na provoz a chod výroby přijde druhořadá. Jejich přístup s ohledem na bezpečnost by se nechal popsat takovou tou tradiční mantrou „raději se toho nedotýkat, když to funguje.“

Jaké typy útoků na systémy OT jsou dnes nejčastější? Proti jakým specializovaným řešením se nejčastěji útočí?
Je důležité uvědomit si specifika motivací útoků proti provozním technologiím. Cílem je obvykle zastavit nebo omezit provoz, ť už kvůli možnosti finančního zisku (tedy kvůli vydírání oběti), nebo například z politických důvodů. Za tímto účelem je často využíván ransomware a malware obecně, ale časté jsou i útoky na komunikační protokoly jako takové díky úplné absenci nebo velmi slabému šifrování. Běžné jsou také útoky zaměřující se na krádež firemního know-how či exfiltrace dat, šíření škodlivého kódu skrze VPN propojení v rámci dodavatelského řetězce, nebo prostup škodlivého kódu z IT sítě – příkladem může být sofistikovaná phishingová kampaň, která cílí na kancelářského uživatele, škodlivý kód ale nakonec doručí právě do OT sítě.

Máte nějaká čísla, zda při úspěšném průniku se tak dělo přes OT a kdy čistě přes „klasické“ IT?
Nemyslím si, že by se to mělo takto rozdělovat. Útok totiž velmi často kombinuje obě varianty – prvotní průnik je veden přes IT systémy klasickými metodami jako phishing nebo uniklé credentials, teprve následně se laterálně šíří do OT sítě. Jsou však známé i obrácené postupy, kdy útočník využije nějaké nezabezpečené místo, které je připojeno do OT sítě a přes něj šíří škodlivý kód do IT prostředí. Obecně platí, že zhruba polovina útoků směřovaných na OT prostředí přichází přes běžnou kancelářskou IT síť. OT systémy nejsou izolované, s ohledem na výrobu to snad ani není prakticky možné, proto je otázka bezpečnosti tak důležitá.

Používají útočníci proti OT nějak umělou inteligenci, nebo zde vystačí s jednoduššími metodami (skenování, jaké systémy jsou přístupné přes Internet atd.)?
To je téma, které naprosto souvisí s předchozí otázkou. AI systémy jsou velmi efektivní v klasických útocích v IT světě – a jak již bylo řečeno, právě ten bývá často vstupní branou do světa OT. Každopádně i v samotném OT světě se útoky s pomocí AI objevují a jednoznačně budou s nárůstem AI technologií objevovat více a více.

Nakolik lze říci, že SecOps je obdobou DevOps? Jak je dnes tento přístup k zabezpečení IT přijímán?
Ano, v principu to platí, sdílí celou řadu společných rysů. Každopádně SecOps je dnes vnímán jako naprostá nutnost a s trochou nadsázky by se dal považovat za DevOps bezpečnosti.

Co všechno zahrnují systémy SASE?
I Secure Access Service Edge má v oblasti OT svoje zastoupení, ať se jedná o robustní propojení výrobních hal a závodů pomocí SD-WAN, možnost segmentovat provoz v rámci SCADA systémů, nebo zajistit bezpečnou komunikaci OT prvků do internetu či cloudových aplikací. Často se také využívá funkce ZTNA (zero trust networks access, náhrada historické VPN) pro bezpečný vzdálený přístup. Výhodou je také udržovaní bezpečnostní politiky z jednoho místa a s tím související snazší dohled nad incidenty.