Ochrana priemyselnej organizácie pred externými (alebo dokonca internými) hrozbami je kľúčová pre podnikanie. To platí rovnako pre IT systémy ako aj pre prostredia operačnej technológie (OT – Operational Technology).
Keďže kybernetické útoky každý rok narastajú na frekvencii aj závažnosti, organizácie musia mať pripravené správne stratégie na zmiernenie rizika (risk mitigation). Úniky dát stoja organizácie v priemere 4,88 milióna USD ročne, pričom 35 % týchto útokov súvisí s ransomvérom. A vzhľadom na jedinečné zraniteľnosti OT infraštruktúry v kritických sektoroch môžu mať úspešné ransomvérové útoky nielen za následok výpadky základných služieb, ale aj environmentálne škody alebo ohrozenie ľudských životov.
Ak nemáte zavedené potrebné bezpečnostné opatrenia, aj jednoduchá administratívna chyba môže organizáciu stáť obrovské straty. Existujú však overené stratégie, ktoré vaša spoločnosť môže zaviesť už teraz, aby znížila svoj rizikový profil a výrazne zvýšila šance na úspešné zotavenie z ransomvérového útoku.
Minimalizujte vystavenie rizikám na úrovni používateľov
Je nesmierne dôležité zabezpečiť, aby bol každý jednotlivý používateľ, ktorý pristupuje k systémom vašej spoločnosti, dostatočne chránený. To platí najmä pre organizácie s remote tímami alebo priemyselné prevádzky s rôznymi úrovňami kontroly prístupu.
Osobné notebooky, smartfóny a tablety predstavujú potenciálne vstupné body pre útočníkov, ak nie sú dostatočne zabezpečené. V OT prostrediach sa tieto riziká týkajú aj špecializovaného inžinierskeho vybavenia, ktoré sa používa na monitorovanie a správu PLC (Programmable Logic Controllers) alebo HMI (Human-Machine Interface). Preto je pre organizácie kľúčové prijať proaktívny prístup k správe a monitorovaniu všetkých sieťových pripojení.
Prvým krokom je zdokumentovať všetky formáty, ktoré zamestnanci používajú na pripojenie k firemným systémom. Na základe tejto mapy potom môžete zaviesť vhodné politiky a protokoly pre každú z týchto foriem prístupu.
Jedným zo spôsobov, ako riešiť túto problematiku, je nasadenie EDR platforiem (Endpoint Detection and Response). EDR nástroje sú čoraz relevantnejšie v prepojených IT a OT prostrediach. Umožňujú monitorovať a kategorizovať všetky spojenia v sieti a zároveň vynucovať prísne bezpečnostné protokoly a obmedzenia prístupu na základe zariadenia alebo miesta požiadavky.
Dávajte prioritu kontinuálnemu cybersecurity školeniu
Aj keď to nemusí byť prvá vec, ktorá vás napadne, školenie zamestnancov v oblasti kybernetickej bezpečnosti môže výrazne prispieť k zníženiu celkového rizika pre organizáciu.
Zamestnancov učte praktické spôsoby, ako sa môžu chrániť a zároveň pomôcť firme – napríklad používanie silnejších hesiel, nenechávanie prihlasovacích údajov na očiach alebo zamykanie počítača pri odchode od pracovného miesta.
Zaveďte jasné pravidlá pre nových aj existujúcich zamestnancov a zahrňte ich do zamestnaneckých príručiek. Tieto pravidlá by mali zahŕňať nielen osvedčené bezpečnostné postupy, ale aj zodpovedné a etické používanie AI nástrojov, aby boli v súlade s štandardmi odvetvia.
Udržiavajte adekvátne zálohovacie procesy
Aj keď investujete do proaktívnych bezpečnostných opatrení, musíte byť pripravení na scenár najhoršieho prípadu. Ak dôjde ku kompromitácii dát v dôsledku ransomvérového útoku alebo iného narušenia bezpečnosti, musíte mať k dispozícii zálohy, na ktoré sa môžete spoľahnúť.
To znamená pravidelné zálohovanie. V IT prostredí to zahŕňa všetky kritické obchodné dáta, ktoré môžu byť roztrúsené po viacerých systémoch. V OT prostredí ide o programy PLC, konfigurácie HMI, systémové obrazy kontrolných serverov a údaje z inžinierskych pracovných staníc.
Správne zálohovanie vám v prípade útoku umožní obnoviť funkčné verzie systémov, čím sa môže výrazne skrátiť doba výpadku a znížiť finančné straty. Vo vašom disaster recovery pláne (pláne obnovy po havárii) definujte, kde sa zálohy nachádzajú a akú prioritu má každý systém pri obnove.
Oddelenie IT a OT sietí
Pri ransomvérovom útoku sa môže malware šíriť naprieč všetkými prepojenými systémami. Jednou z najefektívnejších metód, ako znížiť riziko, je strategická izolácia IT a OT systémov.
Ak sú IT a OT príliš prepojené, tvoria veľký spoločný cieľ s minimom vstupných bodov, ktoré útočník potrebuje na prienik. Napríklad počas útoku NotPetya na spoločnosť A.P. Moller-Maersk sa jeden infikovaný IT systém stal bránou na rýchle šírenie útoku do celosvetovej fyzickej prevádzky spoločnosti, čo paralyzovalo logistiku.
Podobne počas útoku na Colonial Pipeline útočníci získali prístup cez kompromitované heslo k VPN účtu zamestnanca. Ransomvér najskôr infikoval len IT systémy na fakturáciu, no rýchlo sa rozšíril, čo viedlo k odstaveniu celého ropovodu, čo spôsobilo palivovú krízu.
Oddelením IT a OT prostredníctvom demilitarizovanej zóny (DMZ) vytvoríte karanténne zóny, ktoré zabránia úplnému kolapsu systémov po jednom prieniku.
Rovnako dôležité je riadiť individuálny prístup používateľov. Prístup do citlivých častí siete povoľte len tým, ktorí ho skutočne potrebujú. Zavádzajte princíp najnižších oprávnení (principle of least privilege) – zamestnanci majú mať len také oprávnenia, aké nevyhnutne potrebujú.
Využívajte penetračné testovanie
Jedným z problémov, ktorým organizácie čelia, je neistota, či ich bezpečnostné opatrenia budú účinné pri reálnom útoku. Penetračné testovanie (penetration testing) je spôsob, ako si to overiť bez ohrozenia prevádzky.
Externé tímy penetračných testerov vykonávajú simulované útoky podobne ako skutoční útočníci. Pomáhajú tak odhaliť slabiny, ktoré by inak zostali nepovšimnuté.
Špecializované OT penetračné testovanie vám umožní preveriť integritu vašich systémov riadenia priemyselných procesov. Môžu hľadať zraniteľnosti v staršom hardvéri, nesprávne konfigurácie sietí, alebo neopravené HMI softvéry. Včasné odhalenie a oprava týchto zraniteľností je kľúčová.
Zistenia z testovania vám pomôžu prioritizovať investície do bezpečnosti a zabezpečiť súlad s regulačnými požiadavkami.
Budujte odolnú kultúru kybernetickej bezpečnosti
Chrániť vašu organizáciu pred modernými kybernetickými hrozbami, najmä ransomvérom, si vyžaduje proaktívny a strategický prístup.
Ak sa budete riadiť uvedenými stratégiami a zároveň vzdelávať svojich zamestnancov v oblasti bezpečného správania, môžete výrazne znížiť rizikový profil organizácie a vybudovať odolnú kultúru kybernetickej bezpečnosti.