NÁSTUP 5G SÍTÍ PŘINESE VÍCE HROZEB I ÚTOKŮ

Vydáno 2.3.2020 5G sítěkybernetika

Rozhovor s Jaroslavem Otcovským,
vedoucím technického oddělení společnosti Asseco Solutions.

 

„Očekává se připojení většího počtu zařízení i jejich rostoucí automatizace až autonomie, a to je pro útočníky velké lákadlo. Vzhledem k rychlosti 5G sítí bude docházet k rychlejšímu sdílení a zpracování dat, což umožní zaměřit se na slabá místa potenciálního cíle,“ říká v rozhovoru pro Svět průmyslu Jaroslav Otcovský.

 

Petr Zahálka, specialista na kybernetickou bezpečnost ze společnosti Tech Data, v nedávném rozhovoru pro Svět průmyslu řekl, že většina průmyslových společností stále podceňuje kybernetickou bezpečnost. Jak to vidíte vy?

S panem Zahálkou jsem ve shodě. Také si myslím, že vysoké procento společností, a to nejen průmyslových, stále podceňuje problematiku kybernetické bezpečnosti. Ostatně velmi často je to vidět na plánování nákladů na další rozvoj a investic v některých společnostech. Zejména u průmyslových podniků často slyšíme, že potřebují řešit inovaci nebo obměnu toho či jiného stroje, ale velmi málo je v souvislosti s tím řešen rozvoj IT infrastruktury, a právě samotná bezpečnost. V dnešní době, kdy mnoho zařízení funguje v plně automatickém režimu, provádí se sběr a vyhodnocení dat pro další strojové učení, napojení přímo do internetu, je právě bezpečnost tím, co je třeba řešit. Myslím, že bezpečnost těchto zařízení v rámci podnikové infrastruktury je podceňována, a tím se tato zařízení stávají více zranitelnými a jsou tak potenciální hrozbou průniku do infrastruktury nebo ztráty dat. Mnohdy je právě zde to know-how společnosti, které může být odcizeno, takže případný útok může destabilizovat firmu, nemluvě o vysokých finančních ztrátách.

 

Nicméně zpráva společnosti Kaspersky uvádí, že v roce 2018 zaměstnanci firem zapříčinili 52 procent všech incidentů, které negativně ovlivnily provozní technologie a průmyslové řídící systémy. Není tedy cestou k úspěchu především vzdělávání zaměstnanců?

Nejsem si jist, jestli je to přímo cesta k úspěchu, ale rozhodně jde o jednu z důležitých součástí celé kybernetické bezpečnosti dané společnosti. I když máte skvělé zabezpečení a vše téměř dokonalé, problém na straně uživatele vám toto zabezpečení může snížit i o více něž 50 procent. Vzdělávání zaměstnanců je tedy důležitou součástí, přičemž se musí pravidelně opakovat. Nejde jen o prvotní proškolení a podpis zaměstnance, že byl proškolen na „počítačovou bezpečnost“, ale o skutečnou připravenost vašich lidí. Osobně vnímám jako velmi důležité pravidelné (elektronické nebo osobní) školení, kde je možné reagovat na aktuální trendy a hrozby a dle toho daná školení upravovat. Současně s tím zapojit i reál­ný trénink.

Asi budete souhlasit, že ze strany uživatele je jednou z největších hrozeb e-mail a s ním související phising. Dokonce se uvádí, dle hlášení hrozeb společnosti Fortinet, že více než 90 procent malwaru je stále doručováno emailem. Další statistiky hovoří o tom, že na zaslanou phishingovou zprávu zareaguje průměrně cca 25-30 procent uživatelů. Firmy by tedy měly implementovat řešení, ve kterém je možné sofistikovaně zasílat phishingové kampaně v různých úrovních kvality, které jsou následně vyhodnocené a uživateli přímo ukážou, že reagoval chybně, nebo jej naopak pochválí za správné nahlášení takové zprávy na IT oddělení. Po pravidelném tréninku se reakce uživatelů na podvodné e-maily rychle sníží pod úroveň 10 procent. Následně se lze individuálně zaměřit na ty uživatele, kteří „rádi klikají“.

 

Proč řada podniků stále není ochotná investovat do kyberbezpečnosti? Považují to za nadbytečný výdaj?

Na to je velmi těžké odpovědět. Osobně si myslím, že hlavní příčinou je neuvědomění si možného rizika, což má za následek podcenění ochrany proti možným útokům. Roli hraje také množství financí, které je třeba vložit a pravidelně vkládat do ochrany. Ať chceme, nebo ne, jedná se o nikdy nekončící proces. Jak se budou zlepšovat technologie, budou se měnit typy hrozeb, na něž je třeba reagovat. Neustále se pohybujeme v kole analýza rizik – vyhodnocení analýzy – naplánování opatření – provedení naplánovaných opatření – test účinnosti provedených opatření. Často se to děje ve spolupráci s externím dodavatelem těchto služeb.

 

Které typy firem u nás jdou naopak v kyberbezpečnosti příkladem?

Nerad bych hodnotil globálně. Ze své praxe bych se přikláněl zejména k IT firmám. A to jak těm, které jsou poskytovateli IT služeb, tak k vývojářským společnostem. Dále se dlouhodobě setkávám s řešením této problematiky u nadnárodních společností. Setkal jsem se však i s podnikem, který si najal dodavatele pro řešení auditu v rámci GDPR, přičemž jako součást tohoto auditu byla dána i doporučení pro IT zabezpečení zjištěná v rámci vulnerability testů. Je to vcelku zajímavá kombinace.

 

Jak z vašeho pohledu firmy zvládají zavádění internetu věcí (IoT) do provozu? Když už zařízení propojí, umí je dostatečně zabezpečit?

Firmy v rámci inovace a obnovy mají zařízení, která se mohou a většinou také připojují k síti. Záleží však na nastavení dané společnosti, jestli řeší kybernetickou bezpečnost, nebo ne. Pokud ano, jsem přesvědčen, že uvádění IoT do provozu u nich není takovým problémem a zvládají to velice dobře. Bohužel si myslím, že většina firem tuto problematiku stále dostatečně neřeší, tím vzniká další možná skulinka pro případného útočníka.

 

S jakým největším bezpečnostním problémem jste se doposud v oblasti průmyslu setkal?

Je asi jedno, jestli se jedná o průmysl, nebo o jinou oblast. Scénář, se kterým jsem se setkával, byl neustále stejný: uživatel něco odklikne a následně ransomware, tedy vyděračský software, zašifruje data a požaduje zaslání financí pro dešifrování. Pak záleží při rozsahu škod na velikosti a zaměření činnosti společnosti, zálohách dat a dalších parametrech. V rámci konkrétního případu v oblasti průmyslu byla společnost asi týden paralyzovaná ve výrobě, musela vše řešit manuálně a další týden ještě trval přechod do normálu v oblasti administrativy. Přesný finanční rozsah škod neznám, ale pohybujeme se v řádech jednotek milionů korun.

 

Jak mohou kyberbezpečnost nejen ve firmách ovlivnit nastupující 5G sítě? Zvýší se rizika napadení?

Nové generaci 5G sítí je věnovaná velká pozornost. V rámci jejich budování je kladen důraz na vysoké bezpečnostní standardy. Tak jak se mění technologie pro bezpečnost, tak se mění technologie pro útočníky a bohužel v tomto pomyslném souboji mají většinou útočníci navrch. Očekává se připojení mnohem většího počtu zařízení, rostoucí automatizace až autonomie zařízení, a to je myslím pro útočníky velké lákadlo. Vzhledem k rychlosti 5G sítí bude docházet k rychlejšímu sdílení a zpracování dat, což umožní zaměřit se na slabá místa potenciálního cíle. Domnívám se, že nás čeká více hrozeb a možných útoků, které mohou ovlivnit nejen pracovní, ale také soukromý život.

 

Co je cílem dnešních útočníků? Chtějí svými útoky podniky spíše vystrašit, nebo jim jde o zisk peněz, případně firemních dat?

Nejsem hacker, a tak nechci soudit. Myslím, že všechny uvedené varianty jsou správné a jen záleží na typu útočníka. Vnitřně to mám rozdělené na tři skupiny. Za prvé etičtí útočníci, kteří poukazují na možné chyby a pomáhají je odstranit. Mnozí z nich jsou součástí firem dodávajících na trh služby v oblasti kybernetické bezpečnosti. Za druhé jde o jedince, již si něco dokazují a mají radost z toho, že něco dokážou prolomit a někam se dostat, aniž by poškozovali napadeného. A pak máme ještě výdělečné útočníky. V tomto případě se skutečně jedná o útoky za účelem zisku. Jak jinak si vysvětlit různé druhy phishingu útočící na bankovní přístupy uživatelů, již zmíněný kryptovací ransomware nebo škodlivé kódy pro těžení kryptoměn?

 

Nedostatečné kybernetické zabezpečení není jen problémem průmyslových podniků, například v prosinci ochromil virus benešovskou nemocnici, ta kvůli tomu musela i přesunovat pacienty jinam. Je dnes vůbec v silách větších zařízení se útokům bránit?

Pokud jde o cílený útok, je velmi obtížné se bránit. Většinou útok proběhne tak rychle, že člověk ani nemá šanci reagovat. Vše je tedy závislé na technologiích, které jsou použité na straně obránce. Pokud jde o typické robotické útoky, lze se dle mého názoru bránit poměrně efektivně. I zde však hraje důležitou roli neustálá analýza hrozeb, jejich náprava a také lidský faktor.

 

Kdybyste měl dát majitelům malých či velkých firem jednu nejdůležitější radu týkající se zabezpečení jejich softwaru, jaká by to byla?

Změňte svůj pohled na IT bezpečnost vaší společnosti. Vezměte to jako součást vaší cesty při rozvoji firmy. Společně s IT týmem analyzujte rizika, prioritizujte si je dle kritičnosti a následně postupně realizujte jejich zabezpečení. Ideálně si k tomu nasmlouvejte společnost, která tuto problematiku dlouhodobě řeší. Má zkušenost, povede vás metodicky a udělá primární penetrační a vulnerability testy k doplnění vaší interní analýzy. Nezapomeňte na mobilní zařízení.

 

Vystudoval jste aplikovanou informatiku a kolem kybernetiky se pohybujete víc než dekádu, sledujete tedy její každodenní vývoj. Jak se za tu dobu podle vás proměnila?

Vývoj v této oblasti šel stejně jako ve všech odvětvích velmi rychle kupředu. Pryč jsou doby, kdy jsme v IT řešili zavirovaný PC a následně zkoumali, jak se daný vir chová. Avšak stejně jako dříve je velmi často příčinou lidský faktor. Pominu-li již zmíněné hrozby, posouvá se vývoj do daleko skrytějších hrozeb, během nichž nedochází k útoku hned, ale jsou deaktivovány bezpečnostní prvky a škodlivý kód se může šířit do další částí firemní infrastruktury. Útočník má následně neomezený přístup k datům v síti. Úplně samostatnou kapitolou jsou webové a mobilní aplikace.

 

Řešíte problematiku kybernetické bezpečnosti i přímo ve vaší společnosti Asseco Solutions?

Ano, tuto problematiku řešíme dlouhodobě na nadnárodní úrovni i v naší společnosti.

 

Jak je to vlastně v Česku s odborníky na kybernetickou bezpečnost a IT sektor obecně, máme jich dostatek?

Myslím, že na trhu je o odborníky na kybernetickou bezpečnost nouze, a ještě pár let potrvá, než se situace zlepší. K posunu totiž dojde až s uvědoměním managementu firem a změnou jejich přístupu k zabezpečení. Proto si myslím, že je vhodné investovat do vzdělávání vlastních IT pracovníků a budovat si vlastní tým.

 

Asseco Solutions přišla s řešením SCS (Smart Connected Solutions). Mohl byste popsat, čeho se tento projekt týká?

Ve zkratce má toto řešení na jedné straně za cíl připojit průmyslová (a nejen průmyslová) zařízení do cloudu, provádět sběr dat a následně predikovat možné problémy a případně pomocí strojového učení optimalizovat. Na druhé straně má sloužit jako systém pro servisní techniky. Od tiketovacího systému přes manuál až po automatickou fakturaci plně napojenou na ERP systém. V současné době je tento produkt určen primárně pro německy mluvící trh.

 

Vaše firma se ostatně dlouhodobě zaměřuje na nejmodernější technologie v oblasti podnikového softwaru. Nabízíte zákazníkům i nějaké bezpečnostní prvky?

Aktuálně se nesnažíme působit jako dodavatel bezpečnostních prvků. Nabyté zkušenosti v této oblasti nabízíme jako poradenství a službu prostřednictvím naší dceřiné společnosti NZ SERVIS, kde se mimo jiné věnujeme správě a návrhu IT infrastruktury, zabezpečené komunikaci a elektronickým podpisům.

 

Martin Schwarz

 

Zadejte e-mailovou adresu

a nic ze Světa průmyslu vám už neunikne!

Vaše osobní údaje budeme zpracovávat pouze za účelem zasílání newsletterů, a to v souladu s platnou legislativou a zásadami ochrany osobních údajů. Svůj souhlas se zasíláním a zpracováním osobních údajů můžete kdykoli odvolat prostřednictvím odhlašovacího odkazu v každé kampani.

Asseco

Rozhovory

Ochranné pomůcky chceme zařadit do výrobního programu

Ochranné pomůcky chceme zařadit do výrobního programu

Vydáno 11.5.2020

Rozhovor s Petrem Galatíkem, jednatelem společnosti G3 s.r.o.   Za normálních okolností vyrábí lepidla, suché zipy nebo protiskluzné pásky. I společnost G3 však rychle zareagovala na situaci kolem koronaviru a částečně upravila výrobu – rozjela produkci ochranných štítů. „Ochranné pomůcky dodáváme všem potřebným, kteří nás osloví,“ říká Petr Galatík.   Vaše společnost je dodavatelem lepidel, […]

Kdo jednou vyzkouší carsharing, nechce po městě cestovat jinak

Kdo jednou vyzkouší carsharing, nechce po městě cestovat jinak

Vydáno 7.5.2020

Rozhovor s Michalem Pecinou, provozně technickým ředitelem společnosti CAR4WAY:   „Stačí se online zaregistrovat, stáhnout naši aplikaci do mobilu, přihlásit se a vybrat auto. To si zarezervujete a za okamžik vám dorazí SMS s navigací. Dojdete k vozidlu, přiložíte čipovou kartu k čelnímu sklu, načež se automobil odemkne a je váš,“ popisuje Michal Pecina, jak fungují služby carsharingu. Sdílená mobilita je ve velkých […]

Tvoříme opravdovou náhradu běžného ventilátoru

Tvoříme opravdovou náhradu běžného ventilátoru

Vydáno 7.5.2020

Rozhovor s Tomášem Kaplerem, zakladatelem a koordinátorem projektu CoroVent:   Neseděli, nekoukali a začali pracovat. Tým kolem zakladatele projektu CoroVent Tomáše Kaplera od března vyvíjí a vyrábí plicní ventilátory, které mají pomoci zachraňovat životy v době koronavirové pandemie. Jejich velká přednost? Dají se sestrojit za mnohonásobně nižší cenu než ostatní přístroje tohoto typu na trhu. „Náš ventilátor je vytvářený pro […]

AUTOMATIZACE PIVOVARU POMÁHÁ ELIMINOVAT VÝKYVY KVALITY

AUTOMATIZACE PIVOVARU POMÁHÁ ELIMINOVAT VÝKYVY KVALITY

Vydáno 3.4.2020

Rozhovor s Tomášem Kinčlem, odborným pracovníkem v pivovarství na Vysoké škole chemicko-technologické v Praze   Stejně jako většině potravinářského průmyslu, ani pivovarnictví se nevyhnul trend automatizace. A není na tom nic špatného. „Hlavním přínosem automatizace pivovarů je standardnost. Zákazníci očekávají, že určitá značka bude chutnat vždy podobně,“ říká v rozhovoru pro Svět průmyslu Tomáš Kinčl.   […]

Zobrazit Více