Kibernetska varnost kritične infrastrukture

| Avtorici: Tanja Pangerl, mag. Marjetka Raušl Lesjak |


Novembra lani je bil Holding slovenskih elektrarn (HSE) žrtev kibernetskega napada z izsiljevalskim virusom. Ob hitrem ukrepanju strokovnih služb HSE je napadalcem uspelo zašifrirati le manjši del sistemov in pridobiti dostop do podatkov, ki niso imeli posebne vrednosti. Na HSE so vse sisteme ponovno postavili iz varnostnih kopij in z dodatnimi varnostnimi ukrepi. Dobava električne energije ni bila motena niti za trenutek. Kako poskrbeti za kibernetsko varnost, saj je napadov vse več, podjetja pa so na to različno pripravljena? Nekateri sektorji in panoge so še posebej izpostavljeni.


Gorazd Božič, vodja SI-CERT
Gorazd Božič, vodja SI-CERT

Kot ocenjuje Gorazd Božič, vodja SI-CERT, nacionalnega odzivnega centra za kibernetske incidente, so bili v primeru HSE »na mestu ustrezni postopki, ki niso zmotili delovanja njene dobave.« Vendar ob tem opozarjajo, da »obstajajo razlike po sektorjih kritične infrastrukture in izvajalcih bistvenih storitev. Cilj je, da te razlike zmanjšamo in da sektorje, ki so mogoče malo zaostali zaradi pozne digitalizacije in kakšnih drugih razlogov, pripeljemo do boljše preventive.« Dejstvo je, da prav vse statistike dokazujejo, da se število varnostnih incidentov iz leta v leto veča.

Kateri sektorji sodijo v kritično infrastrukturo?

To so dejavnosti in zmogljivosti, ki so ključnega pomena za državljane in bi prekinitev njihovega delovanja ali uničenje pomembno vplivalo in imelo resne posledice. To so sektorji energetike, prometa, hrane, preskrbe s pitno vodo, zdravstva, financ, varovanja okolja ter informacijsko-komunikacijskih omrežij in sistemov.

Kot pravijo na Uradu vlade za informacijsko varnost (URSIV), ima kibernetski incident v tej infrastrukturi »t. i. kaskadni učinek. En dogodek sproži verigo drugih dogodkov, ki se medsebojno krepijo in povzročajo širše posledice, kot bi jih imel zgolj prvi dogodek. Na primer, uspešen vdor v informacijske sisteme elektroenergetskega omrežja lahko povzroči izpad dobave električne energije. Izpad lahko nato vpliva na druge sektorje, kot so oskrba s pitno vodo, promet, zdravstveni sistem in telekomunikacije. Posledica je lahko nastanek krize, ki ima dolgoročne gospodarske in družbene posledice.«

Načrtovanje zaščite kritične infrastrukture vključuje ocenjevanje tveganj in oblikovanje ukrepov za njeno zaščito. Strokovno usmerjanje in usklajevanje na tem področju izvaja ministrstvo za obrambo.

Vodja SI-CERT ocenjuje, da se podjetja, ki spadajo v segment kritične infrastrukture, zavedajo pomembnosti ustrezne zaščite, zato recimo napadi zaradi onemogočanja ne povzročajo nekih težav. Druga zgodba so dobavna veriga in zunanji izvajalci, »kjer se z dobro zasnovanim phishing (ribarjenje) napadom, okužbo prenosnika ali nakupom odteklih poverilnic na temnem spletu lahko pridobi dostop do notranje infrastrukture podjetja. Običajno sledi izsiljevalski napad (ransomware), znani so pa tudi primeri, ko je motivacija za napad pridobitev podatkov, vohunjenje, takrat seveda govorimo o državno podprtih skupinah.«

Varnostna tveganja, ki prednjačijo

Peter Ceferin, tehnični direktor podjetja Smart Com
Peter Ceferin, tehnični direktor podjetja Smart Com

Varnostni sistemi kritične infrastrukture se razlikujejo od manj kritičnih sistemov, ker se »osredotočajo na posebna okolja, kjer potekajo procesi t. i. operativne tehnologije (OT), ki vsebuje industrijske kontrolne sisteme. OT okolja so tista, ki so ključna za delovanje npr. sistemov za vodenje elektroenergetskih omrežij,« pojasnjuje Peter Ceferin, tehnični direktor podjetja Smart Com. Ob tem opozarja, da je bila OT prej izolirana od spleta, zdaj pa se povezuje z IT sistemi. OT kibernetski sistemi so bolj robustni, redundantnejši in imajo specifične komunikacijske protokole, ki so prisotni izključno v OT okoljih, vse z namenom zaščite pred obsežnimi in ciljanimi napadi.

Najpogosteje napadalci uporabljajo napade z izsiljevalsko programsko opremo, ciljane grožnje na industrijske kontrolne sisteme, napade na oddaljene dostopne točke ter napade preko dobavne verige. »Te grožnje so posebej nevarne, ker so usmerjene na operacijske tehnologije, ki jih je pogosto težko posodobiti ali zaščititi z običajnimi varnostnimi ukrepi,« pravi Ceferin.

V kibernetskih napadih vedno večjo vlogo igra umetna inteligenca (UI) tako na strani prepoznavanja tovrstnih groženj kot na strani zlorabe. Napadalci UI lahko zlorabijo za razvoj naprednih orodij za avtomatizacijo ali izpopolnitev tehnik napadov, po drugi strani pa, tako tehnični direktor, predstavlja močno orožje pri zaščiti, ker omogoča »hitro zaznavanje nenavadnih vzorcev in anomalij v omrežju, ki bi jih ljudje težko opazili. To pripomore k hitrejšemu odkrivanju in preprečevanju napadov«.

Zaščita kritične infrastrukture

»Za ustrezno zaščito pred kibernetskimi napadi je treba vzpostaviti kompetentno ekipo ali sodelovati z zunanjimi specializiranimi partnerji za vzpostavitev in ohranjevanje primerne ravni kibernetske obrambe, večplastno varnostno arhitekturo, redno posodabljati in vzdrževati sisteme in naprave, izobraževati zaposlene o varnostnih praksah in izvajati redne varnostne preglede ter simulacije kibernetskih napadov,« svetuje Peter Ceferin.

O sodobnih grožnjah in priporočenih varnostnih praksah mora podjetje ozaveščati ne samo svoje zaposlene, ampak tudi zunanje sodelavce, partnerje, podizvajalce in druge ključne deležnike. »Zaposleni morajo imeti osnovno znanje o prepoznavanju lažnih elektronskih sporočil, principov varnega ravnanja z osebnimi podatki, razumeti pomen močnih gesel in večstopenjskega preverjanja pristnosti (MFA). Ravno tako morajo biti seznanjeni, kako ravnati ob sumu kibernetskega napada, vključno s pravilnim poročanjem incidentov. Redno usposabljanje zaposlenih in poslovodstva ter simulacije kibernetskih napadov so nujne, da se pridobijo in ohranijo veščine, potrebne za hitro in učinkovito odzivanje na kibernetske grožnje ter za varno delovanje v okviru kritične infrastrukture.«

SI-CERT ponuja brezplačen tečaj, sestavljen iz 30-minutnih modulov za različne profile zaposlenih. »Prikažemo najbolj aktualne grožnje, kako jih prepoznati in kako ukrepati. Tečaj je bil narejen za mala in srednja podjetja, kmalu pa smo z veseljem ugotovili, da zaposlene nanj napotijo tudi v večjih podjetjih in državnih organih,« pravi Gorazd Božič.

Da bi zagotovili neprekinjenost delovanja tudi v primeru, ko do incidenta pride, morajo upravljavci kritične infrastrukture upoštevati zakonodajo, smernice dobre prakse in standarde s področja kibernetske varnosti. Zakon o kritični infrastrukturi, Zakon o informacijski varnosti in smernice ter ukrepi evropske direktive NIS 2 določajo obveznosti glede upravljanja tveganj, varnostnih ukrepov in poročanja o incidentih. Vključene so tudi zahteve za vzpostavitev rezervnih sistemov, nadzornih mehanizmov in komunikacijskih protokolov. Dobro je, da se upravljavci poslužijo storitev specializiranih partnerjev v okviru varnostnih in omrežnih storitev. Ti lahko zagotovijo dodatno strokovno znanje, tehnologije in rešitve.

Kako je v praksi?

Eles

V Elesu vsako zaznano tveganje ocenijo in sprejmejo ustrezen ukrep. Obrambo pred kibernetskimi napadi razumejo kot kontinuiran proces, ki ga nenehno izboljšujejo in dograjujejo: »Vlagamo v napredne, avtomatizirane sisteme prepoznavanja, alarmiranja in odzivanja na kibernetske grožnje ter posvečamo izjemno pozornost vlogi zaposlenim kot tistim, ki (tudi) lahko prepoznajo take grožnje.« Da bi povečali učinkovitost, zaznavo, preglednost in pohitrili odziv, so vzpostavili Varnostno operativni center. Družba ima mednarodni standard za upravljanje s tveganji ISO 31000 in certifikat ISO 27001. Za zaposlene imajo periodične programe ozaveščanja in redna izobraževanja, po katerih zaposleni opravijo tudi preverjanje znanja.

Za zagotavljanje kibernetske varnosti sodelujejo s tujimi in slovenskimi strokovnjaki, se udeležujejo mednarodnih vaj, kjer preizkušajo vpeljana orodja in nadgrajujejo že pridobljena znanja ter s tem še bolje zaznajo svoje ranljivosti, izboljšajo odzive na kibernetske grožnje in so predvsem bolje pripravljeni na morebitne incidente.

Veliko zaposlenih je vključenih v različne delovne skupine in v organe Evropskega združenja sistemskih operaterjev elektroenergetskega omrežja, ki je sodelovalo pri pripravi novega omrežnega kodeksa za kibernetsko varnost: »Kodeks med drugim zajema tudi zahteve za kibernetsko varnost čezmejnih pretokov električne energije in vključuje pravila za minimalne zahteve, načrtovanje, nadzor, poročanje, odziv na incidente in krizno upravljanje. Njegov vpliv presega meje elektroenergetike, saj naj bi služil kot vzorčni primer za urejanje kibernetske varnosti tudi za druga področja in pomeni pomemben premik v zagotavljanju kibernetske varnosti v elektroenergetskem sektorju.«

Banka Slovenije

V Banki Slovenije informacijska tveganja obvladujejo »z ustrezno zasnovo in vključevanjem varnosti v celotnem življenjskem ciklu vsakega sistema oziroma storitve (od načrtovanja, razvoja, uvedbe, uporabe in ukinitve). Pri tem sledimo načelu uporabe različnih varnostnih ukrepov in tehnologij na več ravneh (fizična varnost, omrežna varnost, varnost aplikacij, upravljanje identitet in dostop, varnost podatkov). Na ta način izboljšujemo odpornost na kibernetske grožnje in zmanjšujemo tveganja za varnostne incidente.«

Preventivni ukrepi, ki se jih poslužujejo, so redno ozaveščanje in izobraževanje zaposlenih, uporaba naprednih varnostih rešitev, redno posodabljanje programske opreme, izvedba rednih varnostnih pregledov in testiranj, izdelava varnostnih kopij, beleženje in redno spremljanje varnostnih dogodkov, spremljanje situacijskih informacij o kibernetskih grožnjah itd. Sodelujejo tudi z nacionalnim odzivnim centrom SI-CERT.

Telekom Slovenije

Janez Anžič, direktor Operativno-storitvenega centra
Janez Anžič, direktor Operativno-storitvenega centra

S pomočjo sodobne tehnologije pri Telekomu Slovenije po besedah Janeza Anžiča, direktorja Operativno-storitvenega centra, varnostne dogodke 24 ur na dan in vse dni v letu podrobno spremljajo, analizirajo in ocenjujejo informacije, ki jih prejemajo glede potencialnih groženj iz različnih virov. »Na globalnem nivoju sodelujemo z različnimi organizacijami, sprejemamo dodatne ukrepe za povečevanje varnosti tako lastnih storitev kot storitev, ki jih zagotavljamo naročnikom. V stalni pripravljenosti je naša odzivna skupina za kibernetske incidente.« Tudi v Telekomu Slovenije sodelujejo v mednarodnih vajah s področja kibernetske zaščite.

V podjetju imajo lastni Center kibernetske varnosti in odpornosti ter ekipo z več kot 100 strokovnjaki za kibernetsko varnost: »Uporabljamo najbolj napredne tehnološke rešitve s tega področja. Vse bolj uporabljamo umetno inteligenco, še posebej pri zaznavi poskusov kibernetskih napadov. Pred tem ni varen nihče, zato imamo vzpostavljene zelo kompleksne in napredne sisteme in protokole, ki pred kibernetskimi izzivi varujejo naše omrežje, storitve, podatke in uporabnike.«

Tudi v Telekomu Slovenije pripravljajo redna izobraževanja za zaposlene, saj se zavedajo, da je človek tudi na tem področju najšibkejši člen, ki lahko zaradi nepazljivosti omogoči nepooblaščen dostop.

Prav tako so poskrbeli za varnost uporabnikov. »Razvili smo zelo učinkovite in dostopne rešitve, s katerimi lahko uporabniki res enostavno zaščitijo svoje domače omrežje ali mobilno napravo pred zlonamernimi stranmi – Varen splet.« Anžič še dodaja, da na nevarnosti opozarjajo prek najrazličnejših kanalov, od medijev do družbenih omrežij. Veliko pozornosti namenjajo preventivi, ozaveščanju in človeškemu dejavniku.

Klinični center

V UKC Ljubljana so lani v okviru Službe za korporativno varnost ustanovili Enoto za kibernetsko varnost. »Prav tako smo uvedli izobraževalni seminar s področja kibernetske varnosti novo zaposlenih. Kibernetske grožnje, s katerimi se srečujemo, so enake kot pri ostalih subjektih gospodarstva in javne ter državne uprave. Odziv na grožnje je odvisen od obsega in kompleksnosti napada.«

Zaključek

Dejstvo je, tudi na področju kritične infrastrukture, da smo kot skupnost močni toliko, kot je močan najšibkejši člen v verigi. Vodja SI-CERT opozarja na razlike po sektorjih te za državo ključne infrastrukture. Nismo še na vseh segmentih tako suvereni, da bi z varnostnim incidentom opravili tako, kot je lani HSE.

Zgolj zavedanje, da je za kibernetsko varnost treba poskrbeti, ni dovolj. Ali, kot je zapisal Gorazd Božič: »V nekaterih elementih, tudi pri odzivnih kapacitetah, smo v zadnjem desetletju stagnirali in so nas že prehitele z nami primerljive države članice EU, med njimi tudi Hrvaška, Latvija in Estonija. Radi govorimo o kibernetski varnosti, pišemo lepe cilje v strategije, zaplete pa se pri realizaciji. Trenutno glede tega na SI-CERT še držimo vodo nad glavo, ponekod celo podhranjeni dosegamo dobre rezultate, ampak v nedogled to ne bo šlo. Nujno bo treba narediti načrt zmanjšanja omenjenega zaostanka in ga začeti takoj izvajati.« Posledice morebitnega vdora v katerikoli segment kritične infrastrukture bomo namreč boleče čutili prav vsi.