Hrot24.cz
Kolaps lentilkové ochrany

foto Tomáš Novák, týdeník Hrot

Kolaps lentilkové ochrany

Přechod na home office rozbil přežitý koncept kybernetické ochrany firem. Ta nyní začíná v domovech zaměstnanců, míní experti Siemensu. 

Jan Brož

Jan Brož

redaktor

Náplní práce Vladimíra Kully je pomáhat fabrikám co nejlépe využívat digitální technologie. Šéf vývojového a prototypového centra globálního technologického obra Siemens, zvaného od letoška Siemens Advanta, pomáhá firmám a jejich vlastníkům propojit stroje a software různého stáří a různých výrobců do funkčního, digitalizovaného celku. Součástí toho je samozřejmě i zabezpečení před hackerskými útoky, které pandemie koronaviru povznesla na úplně novou úroveň. Doposud přežívající představa o tom, že uvnitř sídla firmy je bezpečno a vně ne, definitivně padla, říkají Kulla a jeho kolega Jozef Mareš, šéf kybernetické bezpečnosti v Advanta Development. 

Mareš: Akceleroval se trend mizejícího perimetru. Slangově se tomu říká lentilková ochrana. Lentilka má tvrdou skořápku a uvnitř měkkou čokoládu. V průmyslu je stále zažitá představa, že existuje perimetr firmy, všechno uvnitř je považováno za bezpečné a vůči všemu zvenčí je potřeba se chránit. Masivní přechod na home office ale ukázal, že perimetrem se najednou stala domácí síť zaměstnanců, která na tom není nikdy dobře. Dost firem najednou zjistilo, že jim zmizela jediná vrstva ochrany.

Kulla: Řešíme to i v Siemensu a bezpečnost sítě našich zaměstnanců je najednou stejně důležitá jako naše vlastní. Říkáme jim proto, přijďte k nám, i když máte problém se sítí doma. To je úplná změna paradigmatu. My máme přitom jednu výhodu, a sice že většina našich zaměstnanců je alespoň trochu technicky zdatná. Ale představte si, že máte textilní firmu, účetní dělá něco z domova. Ta nejspíš technice nerozumí vůbec.

Mareš: Je to věc mentálního nastavení. Můžete se nastavit tak, že nechcete mít žádný problém, což je hra, kterou nevyhnutelně prohrajete. Musíte tedy vědět, co chcete chránit, co vám hrozí a jak na to reagovat. Je to klasika z buddhistických knížek. Nejde o to, jaký máte problém, ale jak se k němu postavíte.

Mareš: Dokonale bezpečný systém je systém, který nefunguje. Dokonale uživatelský systém je ten, který nemá bezpečnost vůbec žádnou. Obecně lze tedy říct, že není systém, který by nebyl proniknutelný. Je to spíš otázka energie na jedné i druhé straně a toho, kolik jí chcete investovat.

Mareš: Většina je na škále od „absolutně to neřešíme" po „už jsme se někam dostali". A firmy ve střední a východní Evropě jsou na tom paradoxně někdy v porovnání se Západem lépe. Důvodem je technologická obměna, která na Západě začala v 70. letech. Životní cyklus technologií je ovšem dlouhý a z dnešního pohledu mají technologický dluh. To neznamená, že v Česku jsou na tom všichni super, ale mají určitou výhodu.

Kulla: Některé menší firmy to neřeší téměř vůbec, ale paradoxně na tom nemusejí být vůbec špatně, protože jejich majitel si dokázal zachovat přehled. Možná nejhůře jsou na tom střední firmy. Majitel často nestíhá, nemá ale moc peněz, aby zabezpečení řešil systémově, zároveň si říká, že je moc malý na to, aby se stal terčem. Bohužel cílem ataků jsou i menší firmy. I u větších firem je ale otázka, jestli bezpečnost řeší systematicky, nebo jen hasí požár. Řekl bych, že kromě kritické infrastruktury není moc těch, kteří to řeší systematicky.

Kulla: Určitě jsou případy zaměřené na konkrétní firmu, pak jsou ale případy, kdy jde o úplnou náhodu. Někdo ve firmě omylem spustí něco zvenku a pak se všichni diví, proč byl útok zaměřen právě na tuto firmu nebo třeba nemocnici.

Mareš: Troufám si tvrdit, že 80 procent incidentů je neúmyslných, necílí na konkrétní firmu.

Mareš: Malware je dnes v podstatě komodita. Není to práce jednoho konkrétního člověka v kapuci někde za monitorem. Existuje skupina, která programuje, jiná skupina vyrábí řetězec a někdo jiný se zabývá komercializací. Někdo musí peníze vyprat. Jeden z mých kolegů prohlásil, že tyto vyděračské skupiny fungují mnohem lépe než normální firmy a mají daleko lepší support. Vyděrači se paradoxně snaží poskytnout co nejlepší zákaznickou zkušenost.

Kulla: Když firma platí, je pro vyděrače zákazníkem. A představte si, co by se stalo, pokud by někdo zaplatil, a přesto se pak jeho počítače nepodařilo odblokovat. Nicméně pokud zaplatí, mohou je vydírat znovu nebo systém stejně neodblokují. Jistotu nemá a běžná praxe je neplatit.

Mareš: Před osmi deseti lety byl velký boom útoků za peníze. Třeba jste si mohli zaplatit, aby vypadl e-shop vaší konkurence. To byl v zásadě velmi primitivní způsob. Dneska jde spíše o získávání informací za účelem manipulace burzy. Například pokud se nějaká biotechnologická společnost připravuje vydat informaci, že něco objevila. Pokud někomu zastavíte linku, firmu to stojí třeba 300 tisíc eur, což je špatné, ale zdravý podnik to nepoloží.

Kulla: Pro konkurenci může být mnohem zajímavější informace, kolik a čeho na té lince vyrábíte, jaké máte náklady na výrobu nebo kdo vám dodává součástky.

Kulla: Jsou to často spíše takové hloupější útoky, za kterými stojí lidé, kteří nemají vyšší cíl a jenom si třeba chtějí něco dokázat. Na druhé straně o těch sofistikovaných není nic slyšet. Tajné služby o nich třeba vědí, ale nemají zájem to zveřejňovat. To, že o útocích vědí, je totiž pro ně důležitá informace a nechtějí, aby to druhá strana věděla.

Mareš: Četl jsem, že v každém okamžiku se po USA pohybuje 150 sériových vrahů, o kterých nikdo neví, protože vraždy si nikdo nespojuje. Tady je to podobné.

Mareš: Nejdříve je potřeba si říct, co pro vás představuje riziko a kolik máte prostředků mu čelit. Můžete si najmout třeba pět lidí, to znamená 40 člověkohodin denně. A proti vám se spojí skupina, která má tisíc člověkohodin denně. Útočníci musejí navíc najít jednu chybu, vy je musíte najít všechny.

Kulla: Vezměte si však, že jste například firma, která vyrábí výlisky světlometů. Pak je třeba se zeptat: Jsme opravdu tak důležití, aby na nás útočila nějaká daleká asijská země? Mnoho firem přitom netuší, kde vlastně stojí. Nabízíme jim proto takzvaný health check, kdy se na ně koukneme, vysvětlíme jim jejich situaci a ony si podle toho řeknou, jaká opatření potřebují a chtějí.

Mareš: Klíčový může být třeba už jen první krok, jaký uděláte, pokud máte problém. Komu zavoláte? V mnoha případech je základ se rychle zorientovat, je to tedy o nastavení vnitřních procesů a nejen o technologii.

Kulla: Dobře organizovaná parta ochránců, která ví, co má dělat, dokáže s relativně malými prostředky čelit přesile, která tak dobře organizovaná není. A s tím jim můžeme pomoci, protože i v Siemensu musíme tyto otázky řešit za sebe. Musíme chránit naše produkty, naše závody, naši infrastrukturu.

Mareš: Je extrémně málo hráčů, kteří by provozovali kancelářské IT a zároveň měli fabriky a vyráběli produkty. Naše výhoda není v tom, že bychom měli v šuplíku předpřipraveno 180 plánů pro každé odvětví, ale spíše v tom, že víme, odkud čerpat.

Kulla: Siemens je aktivní v odvětvích, jako jsou průmysl a energetika, ale mezi tím jsou části, které je potřeba propojovat. Zákazníci dnes nechtějí kupovat jen produkty, často chtějí pomoci s digitalizací fabriky. Tradiční divize Siemensu prodávají řešení a produkty, neintegrují však technologie třetích stran. Advanta je schopna nabídnout komplexní řešení třeba právě kybernetické bezpečnosti, poradenství, ale i integrovat řešení třetích stran. Vezměte si třeba továrnu na med. Jeden stroj med balí, jiný na to lepí etikety, další čistí lahve a k tomu máte software na účetnictví. Pokud chcete fabriku digitalizovat, tak když se zeptáte výrobce jednoho ze strojů, odpoví vám, že ho umí připojit na účetnictví. Ale vy nechcete stroj připojený na účetnictví, vy chcete digitální fabriku. Musíte proto navrhnout celý systém, domluvit se s výrobci všech strojů, doplnit prvky internetu věcí a pospojovat staré s novým do funkčního celku. A to my umíme udělat.