Společnost DataSpring je prozatím vnímána jako provozovatel datacenter a poskytovatele cloudových služeb. DataSpring je členem skupiny KKCG a je jejím důležitým pilířem pro oblast ICT. Věnuje se i mnoha jiným věcem, v IT jde například o bezpečnost průmyslových systémů SCADA a provozu mobilních operátorů, říká Ivan Štefek, DataSpring ICT Security Specialist.
Jaké oblasti bezpečnosti IT řešíte a nabízíte?
V poslední době jsme začali řešit i oblasti, které firmy v Evropě hodně pálí. Jde o nezabezpečené systémy SCADA a protokol SS7, který zase využívají mobilní operátoři. Obojí bylo vyvinuto před mnoha lety, kdy otázky bezpečnosti nebyly tak aktuální a ani připojení k internetu prakticky neexistovalo. Nabízíme řešení od firmy Positive Technologies. Pro ochranu sítí, kde jsou připojeny systémy SCADA jím je řešení ISIM (Industrial Security Incident Manager) a MaxPatrol, pro ochranu vnějších mobilních sítí pracujících s protokolem SS7 a přenášejícím signál přes transceivery BTS pak je to AttackDiscovery.
Pro které části zabezpečení systému SCADA je ISIM od Positive Technologies určen?
ISIM se skládá ze dvou částí. První jsou penetrační testy na systémy SCADA, které nám dají povědomí o jejich zranitelnosti, jaké útoky jsou na daný průmyslový systém, například na výrobní linku, proveditelné. Druhou částí je monitoring a analýza, která sleduje provoz zvenčí do systému SCADA. Jde o něco kvalitativně zcela jiného než například „hloupý“ firewall, který provoz do SCADA podle nastavených pravidel buď pustí, nebo ne. ISIM umí pomoci zjistit, zda jde o normální provoz, nebo o útok.
Může ISIM aktivně spolupracovat s oním „hloupým“ firewallem, jako například brněnský Flowmon s americkým řešením antiDDoS od A10 nebo F5?
Určitě ano, jde o navzájem se doplňující řešení. ISIM umí spolupracovat s běžnými firewally, které jsou na trhu (jako například Checkpoint, Cisco, Fortinet). Dokáže dát firewallu signál ohledně komunikace, kterou považuje za škodlivou, aby ji blokoval nebo zahodil, případně pokud jde o komunikaci validní, aby prošla. Společnosti se systémy SCADA neradi pouštějí jakékoliv zařízení do své sítě z důvodu výpadku systému v případě False Positive události a tak i v situaci, když FW na místě není, je ochrana možná. ISIM se postaví mimo síť, kde se na něj duplikuje provoz a ten je pak možné monitorovat, vyhodnocovat a zakročit v případě, že nastane incident.
Pro které technologie SCADA je ISIM certifikován?
Řešení je certifikováno prakticky pro všechny základní systémy SCADA, které jsou na trhu, takže Siemens, Schneider Electric a další nejvýznamnější značky, prakticky pro celý známý trh.
Proč se věnujete také zabezpečení protokolu SS7, který využívají operátoři pro své mobilní sítě?
Zabezpečení mobilních sítí pracujících s protokolem SS7 se věnujeme s AttackDiscovery z toho důvodu, protože jde o oblast, která dnes operátory hodně pálí. Samotný protokol SS7 byl totiž vybudovaný obdobně jako protokoly pro komunikaci se systémy SCADA někdy v 60. až 70. letech minulého století. Na něm pak byly postaveny kromě hlasových i další technologie, třeba datové služby, mobilní aplikace atd. Prakticky všechny dnešní chytré mobilní technologie, jsou postaveny na zastaralém, z dnešního hlediska hloupém protokolu, který je více než 40 let starý. Proto pro běžné uživatele a operátory představuje riziko krádeže dat – od odposlouchání hovoru přes přenosy SMS nebo dat v datových službách.
Jak ochrana AttackDiscovery pro protokol SS7 funguje?
Jde o obdobný princip, jako ISIM pro systémy SCADA. První fází je zhodnocení rizik na základě penetračních testů, které zjistí základní zranitelnosti, jaké scénáře útoku jsou možné na protokol SS7 ve vnější mobilní síti provést. V druhé části jde o monitoring provozu, jeho analýzu a porovnání se zjištěnými zranitelnostmi. Monitoring zde opět nefunguje jako onen obyčejný „hloupý“ firewall, který na základě nějaké tabulky komunikaci buď blokuje, nebo propouští.
Kdo je vaším typickým zákazníkem?
Pro ISIM, chránící systémy SCADA, jsou to výrobní podniky, typicky z odvětví „oil and gas“, případně „utilities“ (podniky veřejných služeb – výrobní podniky, elektrárny apod.). V podstatě každá firma, která má nějakou výrobní nebo řídicí linku. Attack Discovery pro ochranu sítí s protokolem SS7 zase jde typicky o mobilní operátory.