Studie společnosti Kaspersky Lab v červnu 2018 upozornila na závažné kyberbezpečnostní hrozby, kterým čelí ICS (průmyslové kontrolní systémy). Více než tři čtvrtiny společností, které se studie zúčastnily, uvedly, že je velmi pravděpodobné, že se stanou cílem kybernetického útoku. Pouze 23 % z nich odpovědělo, že jsou v souladu se směrnicemi a předpisy pro průmysl a veřejné instituce.
Tento trend potvrzují i nejnovější údaje z amerického webu MITRE , který uvádí seznam CVEs (běžných zranitelností a ohrožení), tj. všechny zranitelnosti a hrozby související s IT bezpečností.
Například americká společnost Rockwell Automation zaznamenala v letech 2017 až 2018 zdvojnásobení počtu zranitelnost (+ 108 %), což je výrazně více než u společností Schneider Electric (+ 64 %) nebo Siemens (+ 22 %).
Průmysl je tak vystaven kybernetickým hrozbám více než kdy jindy. Jakou formu mohou takové hrozby mít? Kybernetické útoky se staly polymorfními a procházejí čtyřmi hlavními vektory útoku (síťovými, softwarovými, lidskými a fyzickými), aby mohly zneužít hranici mezi IT a OT (provozními technologiemi).
Typy vektorů útoku
Síťové vektory
- Definice: všechny útoky, které zneužívají díry v konfiguraci sítě, nebo přímo v síťovém protokolu
- Příklady: WannaCry, Heartbleed
- Přístup: lokální nebo vzdálený, podle dostupnosti připojení přenášejícího datové toky, na které se útočí
- Cíle: síť je zde pouze vektorem. Skutečnými cíli jsou odesilatel nebo adresát dat přesouvaných přes síť, na kterou útočník cílí
- Dopad: průmyslová špionáž, poškození dat, odrazový můstek pro další kroky, získání určitých informací
Softwarové vektory
- Definice: všechny útoky, které zneužívají díry v softwaru
- Příklad: Mirai
- Přístup: především přes lokální síť, ke které je cíl připojen, ale výjimečně vzdálený, pokud je cíl dostupný přes internet
- Cíle: ve většině případů je skutečným cílem zařízení, ale někdy jde pouze o stroj, který se používá jako vstupní brána pro další kroky
- Dopad: průmyslová špionáž, poškození dat, odrazový můstek pro další kroky
Lidské vektory
- Definice: všechny útoky používající nebo cílící na konkrétní osobu e-mailem, ale někdy i telefonem
- Příklady: podvodné vydávání se za nadřízeného, WannaCry
- Přístup: vzdálený
- Cíle: zaměstnanci nebo subdodavatelé průmyslových podniků jsou obecně pouze vstupní branou, ne samotným cílem. Tento typ útoku cílí na samotnou organizaci.
- Dopad: získání informací (průzkumná fáze), odrazový můstek pro další kroky, poškození PC dané osoby
Fyzické vektory
- Definice: všechny útoky cílící na fyzické vybavení
- Příklad: Stuxnet (USB)
- Přístup: lokální
- Cíle: ve většině případů je vybavení skutečným cílem útoku, ale někdy jde pouze o stroj, který je použit jako brána pro další útoky.
- Dopad: poškození vybavení, průmyslová sabotáž, odrazové můstek pro další kroky
Nové bezpečnostní výzvy, kterým budou muset továrny čelit
Použití digitálních dvojčat – dynamických softwarových modelů procesu, produktu nebo služby s využitím IoT propojení a často konektivitou do cloudu – je typickým příkladem nových rizik, kterým budou muset továrny čelit.
Aby bylo možné v průmyslovém prostředí udržet krok s rostoucí úrovní propojení, je potřeba plánovat bezpečnost s dostatečně velkým předstihem, tedy ještě ve fázi návrhu připojeného zařízení nebo IoT modulu. Tento trend se odráží v konceptech Security-by-Design a Cybersecurity-by-Design.
S ohledem na široké spektrum vektorů útoku nesmí bezpečnostní systém ICS zanedbávat žádnou z těchto kategorií útoků a nesmí přehlížet ani vlastní potenciální díry.
Chcete se o problematice ochrany provozu a IT dozvědět více?
Přijďte na konferenci IT/OT bezpečnost, 28. 5. 2019 v Praze. Obsah je určen pro provozní ředitele a manažery, CIO, CISO a správce IT a bezpečnosti.
Autor: Robert Wakim, Stormshield
Překlad a úpravy: Jan Mazal, VPGC
Zdroj: Stormshield – Cybersecurity: Mapping attack vectors in industrial environments
