Digitálna fabrika  potrebuje viac než plot

Digitálna fabrika potrebuje viac než plot

PRAX UKAZUJE, ŽE PRED KYBERNETICKÝMI ÚTOKMI SA MUSIA FIRMY NIELEN BRÁNIŤ TECHNOLÓGIAMI A RIADENÍM, ALE MAŤ AJ PLÁN PRE OKAMIH, KEĎ ICH SERVERY A SIETE NIEKTO NAPADNE.

Napadli nás hackeri? Kedy a ako? Ak podobné otázky pripadajú manažérom priemyselných firiem zbytočne podceňujúce, mali by sa mať na pozore. Názory odborníkov, prieskumy a aj reálne skúsenosti ukazujú, že podnikov, ktoré si nemajú byť prečo isté, že vedia, čo sa deje na ich sieťach, je prekvapivo veľa.

Ak na niečo prídu, ťažko zisťujú, kedy a odkiaľ prišiel útok, zdĺhavo vyčísľujú škody. No najmä si nie sú isté, ako by mali zareagovať. V čase, keď technologický pokrok a konkurenčný tlak plnia mnoho tovární modernými výrobnými strojmi a manipulačnými robotmi, riadenými počítačovými systémami v prepojenom režime v rámci firmy aj s externým dodávateľským reťazcom, by taká správa mala vzbudiť pozornosť.

HROZIA AJ VEĽKÝM

Mohlo by sa zdať, že slabšie pripravené na kybernetické hrozby budú menšie podniky. Voči útokom či iným ohrozeniam svojich digitálnych systémov sa učia brániť, ale aj znižovať ich riziko aj veľké firmy, hovorí hlavný produktový manažér slovenskej bezpečnostnej spoločnosti Eset Michal Jankech.

Miera tolerancie problémov je podľa neho v niektorých organizáciách prekvapujúca. „Boli sme v organizáciách, ktoré považovali za akceptovateľné, ak desať percent ich siete vykazuje nejaký problém,“ konštatuje M. Jankech.

Jeho slová potvrdzujú aj slabé umiestnenia Slovenska v porovnaniach pripravenosti na kyber

netické útoky, ktoré sleduje špecializovaný útvar Európskeho policajného úradu (Europol). Podľa štatistík Europolu však na tom nie sú extra lepšie firmy v mnohých krajinách Európskej únie. Tvrdia, že vyše dvoch tretín organizácií v Európe nemá ani odhad možného finančného dosahu kybernetického útoku a menej ako štvrtina disponuje plánom, ktorý by hovoril, ako má firma reagovať v prípade, že jej počítačový systém čelí útoku.

Europol však zároveň konštatuje, že útoky sú sofistikované a pre jednoduchú dostupnosť je naozaj čoraz ťažšie rozpoznať ich. Najviac útokov na európske krajiny a spoločnosti prichádzalo v minulom roku priamo z Európy. Útoky pritom môžu smerovať od hackerských skupín, nespokojných zamestnancov, ale aj konkurentov.

Najlepšie doplnenie prevencie je vzdelávať zamestnancov, prípadne aj preverovať, čo sa naučili.  Martin Jankech Eset

Najlepšie doplnenie prevencie je vzdelávať zamestnancov, prípadne aj preverovať, čo sa naučili.

Martin Jankech Eset

TECHNOLÓGIE AJ RIADENIE

V niektorých prípadoch sa firmy primárne spoliehajú na bezpečnostné technológie, čo však nemusí stačiť. „Aj preto je lepšie, ak si firmy prípadnú slabinu priznajú a snažia sa ju riešiť. Rovnako ako výber vhodného systému pre zabezpečenie je dôležité, aby ho mala firma správne nastavený a implementovaný,“ dodáva M. Jankech.

Odborníci sa zhodujú, že vytvorenie a nastavenie vhodného systému kybernetickej bezpečnosti sa začína definovaním presných úloh pri prevencii, ale aj v prípade útoku. Jeho súčasťou má byť aj presné určenie reakčného plánu na obranu a preventívne opatrenia, spresňuje Bohuš Levčík, bezpečnostný analytik pre priemyselné systémy výrobcu robotov a iných prvkov automatizácie ABB.

Správne nastavenie a organizácia ochrany pred kybernetickými hrozbami má aj podobu dobrého nastavenia výdavkov do tejto oblasti. Podľa M. Jankecha nie je málo firiem, ktoré míňajú stovky až milióny eur na rôzne vyspelé riešenia, no nemajú človeka, ktorý by mal na starosti aktualizáciu systémov, využitie bezpečnostných záplat a aj iných bežne dostupných preventívnych opatrení.

„Môžu mať pocit, že to je súčasť bežnej firemnej IT agendy alebo že to je zbytočne zložité. Napríklad ak treba otestovať, či sú záplaty kompatibilné so všetkými aplikáciami v systéme. Niekedy sa podnik rozhodne akceptovať riziko, lebo neočakáva, že to môže priniesť problém,“ vysvetľuje.

Ako príklad spomína zložité inštalovanie záplat na výrobnú linku v závode. Pri strojoch sa firmy často spoliehajú na to, že sú fyzicky oddelené od online prostredia. To sčasti prestáva byť pravda, prepájajú sa navzájom, s informačnými systémami či asistenčnou manipulačnou technikou.

„Navyše aj výrobnú linku treba občas aktualizovať, napríklad pre výrobu nového typu produktu. Aktualizácie sa technicky inštalujú z USB kľúča. A stačí raz priniesť kľúč, na ktorom bude aj to, čo by na ňom byť nemalo, a je problém,“ varuje M. Jankech. To potvrdzuje dôležitosť komplexných stratégií ochrany pred kybernetickými hrozbami.

OPATRENIA AJ V ZÁKONE

Funkčná forma ochrany prepája bezpečnostné technológie a systém s vhodnou organizačnou štruktúrou kybernetickej bezpečnosti, hovorí Erik Saller, manažér oddelenia riadenia rizík konzultačnej spoločnosti Deloitte. Pripomína, že organizačnú štruktúru, ktorá pomáha eliminovať túto modernú formu rizika, vyžaduje od apríla 2018 zákon.

Zákon o kybernetickej bezpečnosti (č. 69/2018 Z. z.) zaviedol pre podniky a ďalšie organizácie povinnosť disponovať zdrojmi, technologickými riešeniami a odborníkmi, ktorí majú zabezpečiť kontinuitu služieb či výroby.

Podľa zákona sú podniky do šiestich mesiacov od zaradenia do registrov Národného bezpečnostného úradu povinné vypracovať opatrenia pre riadenie a prevenciu kybernetickej bezpečnosti s technológiami, ktoré spĺňajú legislatívne požiadavky, vysvetľuje E. Saller.

datasecurity-stage_Bosch.jpg

NAJNEBEZPEČNEJŠÍ VYDIERAČSKÝ KÓD

Na základe skúseností veľkých podnikov identifikovali analytici Esetu poltucet hlavných bezpečnostných problémov. Ako najväčšiu hrozbu vyhodnotili ransomware, teda škodlivý kód, ktorý napadne zariadenia a dokáže zablokovať alebo zašifrovať prístupy k nim.

Ak je obeťou útoku firma, môžu byť na zneprístupnených serveroch interné informácie, dáta z klientskych objednávok či kontraktov. S postupujúcou digitalizáciou výroby a jej prípravy však môže ísť aj o dokumenty z produktového vývoja či riadenia prevádzky a ďalšie potrebné informácie alebo prístupy k ovládaniu výrobných zariadení či celých liniek. Za obnovenie prístupu žiadajú útočníci obvykle nejakú formu výkupného.

Po vlne aj mediálne známych útokov cez ransomware, keď známe programy WannaCry a NotPetya napáchali po celom svete miliardové škody, majú podľa M. Jankecha hrozby pre firmy v poslednom čase často podobu phishingu, teda pokusov podvodne vylákať od zamestnancov firmy prístupy do firemných systémov. „Efekt je však rovnaký a firmám hrozia veľké škody. Preto je najmä nutné, aby firmy dokázali kontrolovať, čo im vstupuje do siete,“ zdôrazňuje.

OHROZENIA E-MAILOV PRETRVÁVAJÚ

Útoky všetkých foriem podvodných či škodlivých programov či neoprávnených vstupov sa začínajú podľa záverov Esetu stále cez e-mail. Príkladom je kliknutie na podozrivý link, napríklad na fiktívnu faktúru. „Technicky však bezpečnostný systém dokáže v bezpečnom prostredí napodobniť správanie adresáta, otvoriť e-mail, stiahnuť prílohu či kliknúť na link a overiť, či hrozí nákaza. To preverujú systémy Machine Learningu,“ vysvetľuje M. Jankech.

Spory o to, či za úspešné kybernetické napadnutie firmy môže šikovnosť útočníkov alebo nesprávne kroky firmy či jej zamestnancov, podľa M. Jankecha nemajú víťaza. Aj preto sú podľa neho dôležité tak vhodné bezpečnostné riešenia, ako aj vzdelávanie a varovanie zamestnancov.

Dôležitosť správneho prístupu rastie. Okrem cielených útokov zo strany externých vydieračov sa firmy stretávajú aj s pokusmi o získanie informácií či prístupov v rámci konkurenčného boja. Zdrojom však môžu byť aj samotní zamestnanci, omylom či náročky.

INŠTRUOVAŤ A VZDELÁVAŤ

Nechtiac môže pracovník spôsobiť škodu tým, že napríklad nedokáže správne rozpoznať podozrivý e-mail alebo internetovú adresu, na ktorú má kliknúť. Podľa praktických skúseností to nie je ľahké, podvodné e-maily obvykle obsahujú linky na falošnú stránku banky alebo firmy. Pomôžu informácie o obsahu adries, certifikátoch a podobné, na čo však ľudia potrebujú školenie. Neúmyselný problém môže zamestnanec vyrobiť aj vtedy, ak si napríklad na firemnej sieti sťahuje súkromný obsah, hoci aj legálne kúpenú hudbu či film.

Uškodiť však môže aj cielene, napríklad pri výpovedi alebo inom probléme vo vzťahu k podniku, kde pracuje. Môže ukradnúť databázu zákazníkov, prípadne vniesť do firemnej siete škodlivý kód či poškodiť jej systém alebo uložené dáta.

Tomu možno zabrániť tak technologickými nástrojmi, ako aj vhodnou štruktúrou prístupov k dôležitým dátam, najmä sledovaním princípu obmedzenia pre využitie, ktoré zamestnanec vyslovene potrebuje na prácu.

Aj tu však podľa M. Jankecha najlepšie funguje kvalitné riadenie. Prístup je podľa neho podobný, ako funguje pri povinných školeniach bezpečnosti a ochrany zdravia pri práci, ktoré pri nástupe absolvuje každý zamestnanec.

Tak môžu firmy vytvoriť aj zásady vhodného správania pri využívaní internetu či využití e-mailov. Môžu obsahovať odporúčania, napríklad čo by pracovníci nemali sťahovať, na čo by nemalo klikať a aj s kým majú konzultovať podozrivé e-maily a čo robiť, ak hrozí, že útok už nastal.

Také pravidlá môžu mať formu interných predpisov, ktoré určia postupy a informujú, ako zareagovať, ale aj ako informovať firemných ítečkárov. Samozrejme, predpis môže obsahovať aj sankcie pre prípady porušenia. M. Jankech však akcentuje význam vzdelávania. „Dať zamestnancovi pri nástupe kopu smerníc nie je cesta. Drvivá väčšina zamestnancov si ich neprečíta. Preto je lepšie vzdelávať ich a prípadne preveriť, čo sa naučili,“ odporúča.

Elektromobilita otvára priestor na tvorivosť

Elektromobilita otvára priestor na tvorivosť

Koho sa pýtajú na budúcnosť

Koho sa pýtajú na budúcnosť