Vojna o bezpečnosť - informačné verzus prevádzkové technológie

Prí­cho­dom smart gri­dov sa ky­ber­ne­tic­ká bez­peč­nosť in­for­mač­ných a pre­vádz­ko­vých tech­no­ló­gií stá­va veľ­kou vý­zvou. Dl­ho ús­peš­ný a jed­no­du­chý prís­tup v za­bez­pe­če­ní pre­vádz­ko­vých tech­no­ló­gií, spo­čí­va­jú­ci v strik­tnom od­de­le­ní od os­tat­né­ho sve­ta, pres­tá­va sta­čiť a sve­ty in­for­mač­ných (IT - In­for­ma­tion Tech­no­lo­gy) aj pre­vádz­ko­vých (OT - Ope­ra­tio­nal Tech­no­lo­gy) tech­no­ló­gií sa mu­sia nau­čiť viac spo­lup­ra­co­vať.

Ako však za­bez­pe­čiť ky­ber­ne­tic­kú bez­peč­nosť pre­vádz­ko­vých sys­té­mov, keď na to až do­te­raz ne­bo­li prip­ra­ve­né? Ako sa pri­chys­tať na ob­rov­ské ob­je­my dát zo „smart" za­ria­de­ní in­šta­lo­va­ných v kaž­dej do­mác­nos­ti, aby nes­pô­so­bi­li viac ško­dy ako úžit­ku? Čo sa sta­ne, keď bu­de ob­ja­ve­ná kri­tic­ká zra­ni­teľ­nosť vo firmware smart met­ri? Aby sme do­ká­za­li na uve­de­né otáz­ky od­po­ve­dať a prip­ra­viť fun­kčné sys­té­my na bu­dúc­nosť, je nut­né spo­jiť všet­ky dos­tup­né si­ly v ob­las­ti IT aj OT a nau­čiť tie­to do­po­siaľ od­de­le­né sve­ty spo­lup­ra­co­vať.

Pro-Energy - obr1.jpg

Kto roz­ho­du­je?

Poď­me si naj­prv po­lo­žiť otáz­ku, kto ale­bo čo si vlas­tne vy­ža­du­je tú­to zme­nu a pot­re­bu in­teg­rá­cie me­dzi svet­mi IT a OT. Zme­nu, kto­rú veľ­mi čas­to ne­ga­tív­ne vní­ma­jú sa­mot­ní správ­co­via z oboch sve­tov. Pot­re­ba in­teg­rá­cie, a tým väč­šie­ho za­bez­pe­če­nia tech­no­ló­gií, je spô­so­be­ná pre­dov­šet­kým kvô­li:

- pot­re­be ria­de­nia pre­vádz­ko­vých tech­no­ló­gií na zá­kla­de ob­chod­ných in­for­má­cií a sú­vi­sia­cich ma­na­žér­skych roz­hod­nu­tí, po­žia­dav­kám zá­kaz­ní­kov na dos­tup­nosť de­tail­ných in­for­má­cií o čer­pa­ní slu­žieb s cie­ľom op­ti­ma­li­zo­vať svo­ju spot­re­bu,

- zvy­šu­jú­cej sa pot­re­be od­ov­zdá­va­nia dát z pre­vádz­ko­vých do bež­ných in­for­mač­ných sys­té­mov na ďal­šie spra­co­va­nie s cie­ľom zvý­še­nia cel­ko­vej efek­ti­vi­ty vy­uži­tia zdro­jov spo­loč­nos­ti.

Dva poh­ľa­dy ne­rov­ná sa dva sve­ty

Dr­vi­vá väč­ši­na dneš­ných fi­riem (naj­vý­raz­nej­šie v ob­las­ti uti­lít či vý­ro­by) roz­de­ľu­je svo­je in­for­mač­né a pre­vádz­ko­vé sys­té­my na nie­koľ­ko ob­las­tí - ho­vor­me im si­lá (ozna­če­nie si­lo nie je ná­hod­né a v an­glic­kej li­te­ra­tú­re je úpl­ne bež­né). Tie­to si­lá vznik­li pos­tu­pom ča­su a pred­tým ma­li svo­je od­ôvod­ne­nie v roz­diel­nom prís­tu­pe v spra­co­va­ní in­for­má­cií.

Za­tiaľ čo in­for­mač­né tech­no­ló­gie če­li­li dl­ho­do­bo mno­hým ky­ber­ne­tic­kým hroz­bám po­čí­na­júc ví­rus­mi a kon­čiac so­fis­ti­ko­va­ný­mi útok­mi na pre­lo­me­nie dvoj­fak­to­ro­vej auten­ti­zá­cie, pre­vádz­ko­vé tech­no­ló­gie bo­li vďa­ka strik­tné­mu od­de­le­niu viac-me­nej dos­ta­toč­ne chrá­ne­né. Červ Stuxnet bol dl­ho je­di­nou zná­mou ky­ber­ne­tic­kou hroz­bou, na­vy­še bol vy­tvo­re­ný s kon­krét­nym cie­ľom. Kvô­li neus­tá­le­mu oh­ro­ze­niu sa správ­co­via in­for­mač­ných tech­no­ló­gií nau­či­li če­liť hroz­bám po­mo­cou rôz­nych proti­opat­re­ní, nap­rík­lad:

- pra­vi­del­nou in­šta­lá­ciou op­rav­ných zá­plat (pat­chov) pre sof­tvé­ro­vé vy­ba­ve­nie,
- ak­tua­li­zá­ciou firmware pre in­šta­lo­va­ný har­dvér,
- im­ple­men­tá­ciou rôz­nych bez­peč­nos­tných sys­té­mov (ap­li­kač­né fi­rewal­ly, IPS sys­té­my),
- de­fi­ní­ciou a dodr­žia­va­ním rôz­nych or­ga­ni­zač­no-tech­nic­kých opat­re­ní ale­bo pro­ce­sov - ria­de­nie zra­ni­teľ­nos­tí, pra­vi­del­ný cyk­lus ob­me­ny, viac­fak­to­ro­vá ale­bo bio­met­ric­ká auten­ti­zá­cia, šif­ro­va­nie.

Op­ro­ti to­mu úlo­hou správ­cov pre­vádz­ko­vých tech­no­ló­gií bo­lo a zos­tá­va za­bez­pe­čiť tak­mer 100 % dos­tup­nosť sys­té­mov a aký­koľ­vek kom­po­nent ale­bo ak­ti­vi­ta, kto­ré nie sú ne­vyh­nut­né, ne­ma­li v sys­té­me mies­to. Dl­ho bo­li ky­ber­ne­tic­ké hroz­by prob­lé­mom, kto­rý ne­bo­lo skrát­ka pot­reb­né v OT vďa­ka se­pa­rá­cii rie­šiť. A to aj na­priek to­mu, že „pod povr­chom" pou­ží­va­jú IT aj OT veľ­mi po­dob­né pro­to­ko­ly a za­ria­de­nia, aký­mi sú IP sie­te, ap­li­ká­cie prog­ra­mo­va­né v bež­ných prog­ra­mo­va­cích ja­zy­koch, po­dob­né pos­tu­py pri spra­co­va­ní a ucho­va­ní dát a pod. Vďa­ka neus­tá­le­mu pre­ni­ka­niu „bež­ných" IT pro­to­ko­lov a kom­po­nen­tov do sve­ta OT tak do­chá­dza k pa­ra­doxnej si­tuá­cii exis­ten­cie dvoch a via­ce­rých inter­ných od­de­le­ní s rov­na­ký­mi zna­los­ťa­mi, iba s roz­diel­nym poh­ľa­dom na vec. Sche­ma­tic­ky je mož­né oba poh­ľa­dy po­rov­nať jed­no­du­chým ob­ráz­kom:

Pro-Energy - obr2.jpg

Sku­toč­né prob­lé­my

Nie je ky­ber­ne­tic­ká bez­peč­nosť vlas­tne len búr­kou v po­há­ri vo­dy? Aká je prav­de­po­dob­nosť, že niek­to do­ká­že od­ha­liť a vy­užiť zra­ni­teľ­nosť v ta­kom úz­ko špe­cia­li­zo­va­nom za­ria­de­ní, ako je napr. smart me­ter? Čo tým mô­že spô­so­biť? To­to sú zá­klad­né otáz­ky, kto­rých zod­po­ve­da­nie by sta­či­lo na ma­lý se­riál, ale po­kiaľ do­ká­že­me pri­jať, že ky­ber­ne­tic­ké hroz­by sa tý­ka­jú aj sve­ta OT, za­čí­na­jú sa ob­ja­vo­vať ove­ľa za­ují­ma­vej­šie a reál­nej­šie otáz­ky:

- Akým spô­so­bom chrá­niť pre­vádz­ko­vé tech­no­ló­gie?
- Ako bu­de­me spra­co­vá­vať to oh­rom­né množ­stvo dát? Nep­red­sta­vu­je sa­mot­ný ob­jem a rých­losť ne­ja­kú hroz­bu?
- Ako sa za­cho­vať pri ob­ja­ve­ní kri­tic­kej zra­ni­teľ­nos­ti v pre­vádz­ko­vých sys­té­moch?
- Je pot­reb­né ne­ja­ko tes­to­vať pre­vádz­ko­vé sys­té­my pro­ti ky­ber­ne­tic­kým hroz­bám?
- Ako sa brá­niť hroz­bám „zvnút­ra"?

Akým spô­so­bom chrá­niť pre­vádz­ko­vé tech­no­ló­gie? V pr­vom ra­de je pot­reb­né ve­dieť, čo pres­ne chce­me chrá­niť a akým spô­so­bom sú tie­to ak­tí­va oh­ro­ze­né. Čím pres­nej­šie bu­de­me ve­dieť od­po­ve­dať na otáz­ku „čo?", tým efek­tív­nej­šie a lac­nej­šie bu­de­me schop­ní ap­li­ko­vať proti­opat­re­nia a od­po­ve­dať na otáz­ku „ako?". Na za­čiat­ku je dob­ré uve­do­miť si, že spô­so­by už dl­ho exis­tu­jú a rie­še­nie spo­čí­va v ich vhod­nom ap­li­ko­va­ní, nie vy­mýš­ľa­ní už vy­mys­le­né­ho.

Ako bu­de­me spra­co­vá­vať oh­rom­né množ­stvo dát? Na tú­to otáz­ku, bo­hu­žiaľ, dnes neexis­tu­je príl­iš us­po­ko­ji­vá od­po­veď. V pr­vom ra­de je pot­reb­né zis­tiť, ako dl­ho bu­de­me k dá­tam pris­tu­po­vať a ako s ni­mi za­ob­chá­dzať. (Ako čas­to ich pot­re­bu­je­me čí­tať, bu­de­me ich v bu­dúc­nos­ti mo­di­fi­ko­vať?) Na zá­kla­de tých­to in­for­má­cií mô­že­me po­tom zvo­liť správ­ne rie­še­nie na uk­la­da­nie dát. Sú­čas­ným tren­dom sú sys­té­my s mož­nos­ťou de­dup­li­ká­cie dát, rôz­ny­mi úrov­ňa­mi vý­ko­nu jed­not­li­vých čas­tí úlo­žis­ka a mo­du­la­ri­tou umož­ňu­jú­cou bu­dú­ce roz­ši­ro­va­nie na ka­pa­ci­ty rá­do­vo v pe­ta­baj­toch.

Ob­ja­ve­nie kri­tic­kej zra­ni­teľ­nos­ti za­ria­de­ní, kto­ré sú roz­mies­tne­né u zá­kaz­ní­kov v poč­te nie­koľ­ko sto­ti­síc s tým, že exis­tu­je reál­na šan­ca na ich vy­ra­de­nie z pre­vádz­ky, je noč­nou mo­rou kaž­dé­ho pre­vádz­ko­va­te­ľa ta­kých­to za­ria­de­ní.

Za­tiaľ čo v ob­las­ti IT má bež­ný ži­vot­ný cyk­lus za­ria­de­ní dĺžku oko­lo šty­roch ro­kov, ži­vot­ný cyk­lus pre­vádz­ko­vých za­ria­de­ní sa čas­to po­hy­bu­je v dĺžke vy­ššej ako pät­násť ro­kov. Exis­ten­cia reak­čných plá­nov a pres­ných pos­tu­pov je tak úpl­nou nut­nos­ťou, rov­na­ko ako nep­retr­ži­té mo­ni­to­ro­va­nie, včas­ná iden­ti­fi­ká­cia a reak­cia na vznik­nu­té in­ci­den­ty. V prí­pa­de krí­zo­vé­ho rie­še­nia spo­čí­va­jú­ce­ho v od­po­je­ní čas­ti infra­štruk­tú­ry na za­me­dzenie ší­re­nia chy­by mu­sí po­tom ve­dieť oko­li­tý sys­tém na vznik­nu­tú si­tuáciu rea­go­vať, aby eli­mi­ná­ciou jed­nej chy­by nev­znik­lo nie­koľ­ko ďal­ších.

Tes­to­va­nie pre­vádz­ko­vých sys­té­mov na prí­tom­nosť zra­ni­teľ­nos­ti a od­ol­nos­ti pro­ti hroz­bám je ne­ľah­kou otáz­kou. Spo­lu so zme­na­mi, kto­rý­mi sys­té­my pre­chá­dza­jú, by sme ma­li ve­dieť, či sa do sys­té­mu ne­dos­ta­la ne­ja­ká reál­na hroz­ba. Tes­ty zra­ni­teľ­nos­ti by sme te­da ma­li ro­biť pra­vi­del­ne a zá­ro­veň po­čas sig­ni­fi­kan­tných zmien sys­té­mu. Sa­moz­rej­mos­ťou by ma­lo byť us­ku­toč­ne­nie tes­tov naj­skôr na nep­ro­duk­čnom pros­tre­dí.

Vo sve­te IT pla­tí, že naj­väč­šie hroz­by pri­chá­dza­jú „zvnút­ra". Po­mer inter­ných a exter­ných ús­peš­ných úto­kov ale­bo oh­ro­ze­ní sys­té­mov je 9 : 1. K to­mu­to fak­tu pris­pie­va ok­rem iné­ho nie­koľ­ko fak­to­rov:

- inter­ný útoč­ník má čas­to veľ­mi dob­ré zna­los­ti o sys­té­me,
- inter­ný útoč­ník ne­mu­sí čas­to pre­ko­ná­vať pok­ro­či­lé fi­rewal­ly a ochra­ny,
- inter­ný útoč­ník mô­že dob­re za­hla­diť sto­py,
- inter­ný útoč­ník má čas­to väč­šiu mo­ti­vá­ciu.

Na ús­peš­nú ochra­nu pred vnú­tor­ný­mi hroz­ba­mi je vhod­né pri­jať niek­to­ré od­po­rú­ča­nia, nap­rík­lad:

- za­mes­tna­nec by ne­mal mať prís­tup­né in­for­má­cie, kto­ré ne­pot­re­bu­je na svo­ju prá­cu,
- po ukon­če­ní pra­cov­né­ho po­me­ru mu­sia byť čo naj­skôr od­ob­ra­té všet­ky op­ráv­ne­nia a prís­tu­py - naj­lep­šie auto­ma­ti­zo­va­ne,
- čin­nosť za­mes­tnan­ca by ma­la byť mo­ni­to­ro­va­ná - v sú­la­de s práv­ny­mi pred­pis­mi,
- har­dvé­ro­vé a sof­tvé­ro­vé vy­ba­ve­nie za­mes­tnan­cov mu­sí byť pra­vi­del­ne tes­to­va­né na prí­tom­nosť ví­ru­sov a škod­li­vé­ho SW,
- kľú­čo­vé in­for­má­cie by ma­li byť chrá­ne­né pro­ti úni­ku zo spo­loč­nos­ti/pros­tre­dia.

Ďal­šou zo za­ují­ma­vých a v sú­čas­nos­ti ži­vých tém je štan­dar­di­zá­cia. V oboch ob­las­tiach IT aj OT pre­bie­ha­jú pro­ce­sy štan­dar­di­zá­cie jed­not­li­vých pro­to­ko­lov a no­riem na za­is­te­nie správ­nej úrov­ne za­bez­pe­če­nia. Bo­hu­žiaľ, v tej­to ob­las­ti nie je to­ho eš­te dosť vy­ko­na­né­ho a je pot­reb­né prip­ra­viť mno­ho štan­dar­dov. Nes­mie­me však za­bú­dať, že štan­dard sám ose­be na­še sys­té­my neochrá­ni. Za­ují­ma­vou ini­cia­tí­vou v tom­to sme­re je nap­rík­lad plat­for­ma ty­pu Green But­ton (https://www.da­ta.gov/ener­gy/pa­ge/wel­co­me-green-but­ton) ale­bo zná­me ak­ti­vi­ty ame­ric­ké­ho NIST (http://www.nist. gov/) či IEC (http://www.iec.ch/)

V ne­pos­led­nom ra­de by sme ma­li mať na pa­mä­ti, že od 1. 1. 2015 na­do­bú­da účin­nosť zá­kon o ky­ber­ne­tic­kej bez­peč­nos­ti, kto­rý spo­lu s prip­ra­vo­va­ný­mi vy­ko­ná­va­cí­mi pred­pis­mi up­ra­vu­je ce­lý rad po­vin­nos­tí tý­ka­jú­cich sa ochra­ny pro­ti ky­ber­ne­tic­kým hroz­bám. Nap­rík­lad vy­ko­ná­va­cie práv­ne pred­pi­sy sta­no­via roz­sah za­ve­de­nia bez­peč­nos­tných opat­re­ní pre po­vin­né oso­by pod­ľa toh­to zá­ko­na. Sú na­še pre­vádz­ko­vé sys­té­my na za­ve­de­nie bez­peč­nos­tných opat­re­ní prip­ra­ve­né - bo­li už v na­šom pros­tre­dí otes­to­va­né?

Pri­chá­dza ne­vyh­nut­né

Na zá­kla­de in­for­má­cií z od­bor­ných člán­kov a sve­to­vých kon­fe­ren­cií je stá­le hlb­šia in­teg­rá­cia IT a OT sve­ta po­va­žo­va­ná za ne­vyh­nut­nú, rov­na­ko ako prí­tom­nosť ky­ber­ne­tic­kých hro­zieb tam, kde ne­bo­lo v mi­nu­los­ti nut­né o nich pre­mýš­ľať. Je pre­to pot­reb­né sa na tú­to in­teg­rá­ciu a prí­tom­nosť ky­ber­ne­tic­kých hro­zieb dob­re prip­ra­viť. Po­môcť nám v tom mô­žu niek­to­ré štan­dar­dy a rôz­ne ini­cia­tí­vy a plat­for­my na vý­me­nu in­for­má­cií me­dzi pre­vádz­ko­va­teľ­mi pre­vádz­ko­vých tech­no­ló­gií, aka­de­mic­kou pô­dou a vý­rob­ca­mi a do­dá­va­teľ­mi in­for­mač­ných a pre­vádz­ko­vých sys­té­mov. Zbli­žo­va­ním tých­to sve­tov pris­pe­je­me k ich lep­šie­mu vzá­jom­né­mu chá­pa­niu a spo­lup­rá­ci, kto­rá pris­pe­je v ko­neč­nom dôs­led­ku k zní­že­niu nák­la­dov a zvý­še­niu kva­li­ty slu­žieb cie­ľo­vým zá­kaz­ní­kom. Ako sa te­da na „ne­vyh­nut­né" prip­ra­viť?

- Mať jas­nú a kom­plexnú stra­té­giu, čo a ako za­bez­pe­čiť, a pos­tup­ne ju napĺňať kon­krét­ny­mi krok­mi.
- Pra­vi­del­ne us­ku­toč­ňo­vať ne­zá­vis­lé audi­ty a tes­ty za­bez­pe­če­nia sys­té­mov pro­ti fy­zic­kým aj ky­ber­ne­tic­kým hroz­bám (napr. for­mou exter­ných pe­net­rač­ných tes­tov ale­bo sys­té­mov na ria­de­nie zra­ni­teľ­nos­ti).
- Nep­retr­ži­te mo­ni­to­ro­vať pros­tre­die po­mo­cou pok­ro­či­lých nás­tro­jov schop­ných spo­loč­ne vy­hod­no­co­vať in­for­má­cie z ob­las­ti in­for­mač­ných aj pre­vádz­ko­vých sys­té­mov.
- Navr­hnúť a účin­ne za­viesť pro­ce­sy reak­cie na vznik­nu­té in­ci­den­ty.

Ma­rian Bartl,
Se­nior Con­sul­tant,
Uni­corn Sys­tems



Ohodnoťte článok:
   
 

24 hodín

týždeň

mesiac

Najnovšie články

Roz­ho­vor: Pre zá­kaz­ní­ka je kľú­čo­vé, keď server­ov­é rie­še­nia do­ká­žu rásť spo­lu s ním a s je­ho ak­tuál­ny­mi po­žia­dav­ka­mi
ĽUBOŠ ŠENKERY pôsobí od decembra 2007 ako produktový manažér pre oblasť štandardných serverov v spoločnosti HP. Venuje sa projektom predaja serverov HP ProLiant na slovenskom trhu. čítať »
 
Ná­kup tech­no­ló­gií v pod­ni­koch
V priebehu augusta 2014 uskutočnila redakcia Infoware v spolupráci so spoločnosťou GRENKELEASING, s.r.o., prieskum o nákupe technológií v podnikoch. čítať »
 
Re­por­táž: VMware vFO­RUM 2014
Softvérovo definovaný podnik, investičné a technologické stratégie, ako si môžu firmy udržiavať konkurencieschopnosť v ére mobilných riešení a cloudu, zotavenie po havárii komponentov IT infraštruktúry... To boli len niektoré z tém podujatia VMware vFORUM 2014, ktoré sa konalo v Prahe. čítať »
 
Tla­čo­vé za­ria­de­nia pre ma­lé, stred­né a veľ­ké fir­my
Zariadenia pre tlač dokumentov v podnikovom prostredí ako aj procesy ich využívania sa priebežne optimalizujú. čítať »
 
Ana­lý­za tr­hu – tla­čiar­ne, ko­pír­ky a mul­ti­fun­kčné za­ria­de­nia
Digitalizácia dokumentov a procesov s nimi súvisiacich spôsobila revolúciu v ukladaní, zdieľaní a výmene dokumentov. čítať »
 
TCO: Nao­zaj vie­te, aká je ce­na pre­vádz­ky IT?
Riešenia v oblaku priniesli viac jasna. Kým v minulosti bolo vyhodnocovanie celkových nákladov na vlastníctvo informačných technológií zložitým porovnávaním množstva položiek, cloud vyhodnocovanie viacerých možností jednoznačne zjednodušuje. čítať »
 
TCO vs. ROI ale­bo Je pre­vádz­ka IT iba nák­la­do­vá po­lož­ka?
Prevádzka IT sa typicky považuje za nákladovú položku. Je to však skutočne tak? Sú náklady jediné kritérium, podľa ktorého vieme rozhodnúť, ktorý model, služba, systém, riešenie je lepšie? čítať »
 
Da­ta­cen­ter Cla­ri­ty LC – tran­spa­ren­tnosť infra­štruk­tú­ry dá­to­vých cen-tier
Spoločnosť Siemens rozšírila portfólio pre dátové centrá o riešenie Datacenter Clarity LC. Ide o systém DCIM (Data Center Infrastructure Management), ktorý umožňuje prepojenie IT manažmentu s facility manažmentom. čítať »
 
 
 
  Zdieľaj cez Facebook Zdieľaj cez Google+ Zdieľaj cez Twitter Zdieľaj cez LinkedIn Správy z RSS Správy na smartfóne Správy cez newsletter