Pokračujeme v sérii rozhovorů s našimi odborníky ze společnosti Soitron, které mají inspirovat průmyslový sektor. Na příkladu úspěšného projektu v české Remosce diskutujeme o tom, jaký je nezbytný základ a jaké další „nice to have“ věci by výrobní podnik ještě mohl mít. Poradíme, čím začít při plánování přestavby, proč se změn nebát a jak celou věc uchopit. Po prvním rozhovoru o síťové infrastruktuře jsme se tentokrát zaměřili na výrobu z pohledu bezpečnosti se Stanislavem Smolárem, vedoucím oddělení kybernetické bezpečnosti.
Stano, řekni nám, co jsme v Remosce zavedli z hlediska bezpečnosti?
Začněme tím, jak byla v Remosce navržena síťová infrastruktura. Od toho se dostaneme i k bezpečnosti. Při návrhu řešení jsme vycházeli ze dvou klíčových dokumentů. Prvním z nich je Cisco Validated Design pro bezpečnost ve výrobě. Obsahuje základní parametry, jak má být navržena síť, vzdálený přístup do sítě, jak má být řešena segmentace sítě a přestupy mezi jednotlivými částmi infrastruktury. Druhým standardem, na který jsme se zaměřili, je ISA/IEC 62443, což je soubor tzv. best practices pro průmyslovou infrastrukturu z hlediska kybernetické bezpečnosti.
Co to znamená v praxi?
Znamená to, že od počátku jsme mysleli na to, aby byla síť v Remosce dobře rozsegmentovaná. Při navrhování industriálních sítí je segmentace sítě mezi IT částí a průmyslovou OT částí velmi důležitá. Například z office sítě by se někdo neměl dostat jen tak do té industriální. Je důležité oddělit funkční celky, aby se potenciální malware nemohl šířit do těch částí sítě, které jsou pro továrnu nejdůležitější. Jde například o industriální síť, na které běží stroje, PLC, různí roboti atd.
Z tohoto důvodu jsme použili průmyslové firewally a přepínače Cisco, specializované pro náročné prostředí, instalované přímo u výrobní linky v tzv. DIN lištách. Kromě toho jsme použili také klasické Cisco Firepower Threat Defense jako virtuální platformu. Celé je to rozděleno do logických celků, takže vše komunikuje jen s tím, co je nevyhnutné. Je to řízeno z jednoho management centra v rámci těchto pravidel.
Další klíčová věc, která se v Remosce řešila, je vzdálený přístup dodavatelů. Ten byl řešen přes ověřování přístupů do sítě díky Cisco ISE spolu s cloudovým Microsoft Active Directory. Je tam zároveň i multifaktor – Microsoft Authenticator. Tím pádem umíme zajistit bezpečný přístup dodavatelů k výrobním strojům, když je potřebují servisovat. Je třeba zmínit, že právě toto bývá typický problém ve výrobních podnicích. Pokud si továrna není vědoma toho, že by to měla řešit, tak každý dodavatel si udělá vlastní přístup ve své režii. Nicméně to není standardizováno. Právě toto pak bývá „slabé místo“ při kompromitaci, kdy se útočník může dostat do infrastruktury fabriky přes nechráněný přístup některého z dodavatelů strojů.
Proč je třeba použít právě tato industriální zařízení? Nestačí klasické switche a firewally?
Záleží na tom, kde jsou nainstalovány. Když budou nainstalovány v serverovně, tak není důvod používat industriální. Ale zase industriální firewally mají specifické vlastnosti, které ty normální firewally nemají. Tyto komponenty jsou určeny pro použití v náročných podmínkách, například tam, kde je vyšší elektromagnetické záření, vysoká prašnost nebo extrémní teploty. Čili když se podíváme na to, v jakém prostředí mohou tato zařízení fungovat, tak je vidět zásadní rozdíl mezi běžným firewallem a industriálním. Totéž platí i pro switche.
Industriální zařízení jsou někde zcela jinde z hlediska toho, jaké bezpečnostní funkce poskytují oproti běžným komponentům. Zásadní rozdíl je například v tom, že industriální sítě většinou používají jiné protokoly než běžné sítě a industriální firewally umí filtrovat i tyto industriální protokoly. Jejich další vlastností, která je podle mě klíčová, je, že industriální firewally jsou principiálně odlišné od běžných firewallů v tom, že když takové zařízení přestane fungovat, tak neblokuje komunikaci, ale je tam tzv. Pass-through interface, tedy komunikace sice nebude kontrolována, ale bude probíhat nadále.
V bezpečnosti se velmi často pracuje s výrazem „Crown Jewels“. Čili co je tím „rodinným zlatem“ pro výrobní podnik. Je to jednoznačně samotný provoz podniku, protože výpadek výrobní linky znamená obrovské finanční ztráty. Proto když se někdo ptá, proč by měli investovat do industriálních zařízení, je třeba se ho zeptat na jednoduchou otázku: „Co byste měli raději dobře zabezpečené – IT část nebo OT část? Co vám vydělává peníze?“ A odpověď je jasná. Bez office IT části umí továrna fungovat i nadále, ale pokud se útočník či malware dostanou do industriální OT části, tak se bavíme o ztrátě příjmu podniku a neschopnosti plnit své závazky.
Oddělení IT od OT části ve výrobním podniku lze chápat jako novátorský přístup? Nebo je to něco, co je dnes v praxi již běžné?
Je to standard, který zde máme 15 – 20 let, čili je relativně dlouho na světě. Historicky však nebyla motivace to ve výrobních podnicích řešit. Jedna z primárních příčin, proč tomu tak bylo, je, že tyto industriální sítě byly v minulosti brány jako air-gapped prostředí bez propojení na IT systémy. Buď byly zcela analogové nebo to nebylo nijak ošetřeno. Ale důvod, proč to už budou muset organizace řešit, je Zákon o kybernetické bezpečnosti a směrnice NIS2. Ta zásadní změna bude v tom, že několik subjektů ze soukromé sféry budou pod tyto právní normy spadat. Pro průmysl je předpoklad, že se to bude týkat všech větších výrobních podniků. Například, pokud by Remoska spadala mezi subjekty, kterých se směrnice NIS2 týká, tak je do velké míry na tuto legislativu připravena. A to i díky tomu, že jsme v ní implementovali jednotlivé bezpečnostní postupy podle validovaných designů a standardů.
Existuje něco, co ti z pohledu bezpečnosti pro průmyslový sektor ještě dává smysl?
V dnešní době se hodně pracuje s viditelností do industriálních protokolů. To znamená, že je dobré mít nástroj, který rozumí komunikaci strojů a umí provést bezpečnostní analýzu. Zároveň lze tato data použít i pro troubleshooting provozních problémů, pokud je tam například chyba v konfiguraci. K tomu využíváme produkt Cisco Cyber Vision.
Můžeš mi blíže popsat, jak tento nástroj funguje?
Jak jsem již zmínil, jiné protokoly jsou využívány ve výrobní části a jiné protokoly v office části továrny. V rámci IT části máme nástroje, které zajistí tzv. viditelnost sítě. To znamená, že víme, jak probíhá komunikace jednotlivých zařízení v této IT síti, kdo s kým komunikuje, umíme se k ní zpětně vrátit. Jenže nástroje, které fungují v IT části, nerozumí komunikaci zařízení v OT části, protože výrobní stroje běží na specifických protokolech. Cisco Cyber Vision je určen právě pro „čtení“ těchto industriálních protokolů. Pokud bych to měl porovnat s něčím z Cisco portfolia, tak je to něco jako Cisco Secure Network Analytics, akorát je to určeno pro OT část. Industriální switche, které jsme použili v Remosce, slouží jako tzv. senzory pro Cisco Cyber Vision. Umí přeposílat určité informace z těchto switchů přímo do tohoto nástroje pro bezpečnostní analýzu.
Pro zajímavost, Cisco Cyber Vision byla akvizice společnosti Cisco. Původně šlo o francouzskou firmu Sentryo a my jsme s nimi spolupracovali ještě dříve, než je Cisco akvizovalo. V podstatě jsme byli vyškoleni na tuto platformu ještě předtím, než ji Cisco oficiálně spustilo. S tímto produktem máme nejdelší zkušenosti a myslím, že jsme jeden z mála, kdo se jím seriózně zabývá.
Je ještě něco dalšího, co by uměly výrobní podniky využít?
Jedna věc je mít správně nastavený vzdálený přístup, to znamená přes multifaktor a nějak standardizovaný tak, že každý dodavatel vidí jen svá zařízení. Ale pokud bychom chtěli jít o úroveň výš, tak můžeme zakomponovat do vzdáleného přístupu i Privileged Access Managemet. Jedná se o řešení, které umí izolovat dodavatele od těch zařízení, která spravují. Takto pak zcela minimalizujeme riziko, že by například administrátor dodavatele způsobil nějakou škodu továrně, protože je to zcela odsegmentováno na síťové úrovni a dodavatel ani neví hesla na zařízení, která spravuje.
Důležitá je již zmiňovaná viditelnost do industriálních protokolů. Nad ní jako bezpečnostní nástavba jsou pak tzv. Intrusion prevention systémy, které umí dělat s industriálními protokoly, ale ty se dnes ještě málo využívají.
Vraťme se ještě na chvíli k Remosce. Měla v něčem výhodu oproti jiným podnikům?
Určitě greenfield byl jednoznačná výhoda, jak pro samotnou továrnu, tak pro nás – Soitron, jako hlavního IT architekta celého řešení. Většinou je složitější zlepšovat stávající a dělat to postupně, jak postavit celou továrnu nově na zelené louce. Celé řešení jsme mohli navrhnout tak, jak by to ideálně mělo vypadat a nemuseli jsme bojovat s nějakými omezeními a nedokonalostmi z minulosti.
A co podniky, které mají stávající výrobu a nezačínají na zelené louce? Máme i pro ně řešení?
Určitě ano. Vždy to je jen o tom, o jak velká rizika jde. Je třeba začít těmi věcmi, které jsou nejvíce rizikové. Ideální je zmapovat celou síť přes analytický nástroj, abychom se nebavili jen o teoretických rizicích, ale také o konkrétních z praxe. My k tomu používáme například nástroj Soitron Security Sensor. Následně navrhneme, co by se mělo dělat, a poté se bavíme se zákazníkem, do čeho by měl investovat nyní, do čeho později a on si to zařadí do svého dlouhodobého plánu investic. Snažíme se k tomu přistupovat tak, že začneme s věcmi, kde umíme adresovat relativně vysoká rizika za rozumné peníze. Definujeme, kde je riziko velké a náprava není až tak bolestivá. Takto postupně odstraňujeme ta největší rizika, až se dostaneme do stavu, kdy s tím může být zákazník relativně komfortní. Přitom má určitě smysl provádět i formální analýzu rizika, Bussiness Impact analýzu, přípravy či úpravy bezpečnostních směrnic a procesů tak, aby byly v souladu se zákony.
Co bys poradil průmyslovým podnikům, které by si chtěly zlepšit zabezpečení své výroby, ale nevědí, kde a jak začít?
Doporučil bych začít zmapováním jejich sítě. Spousta organizací si myslí, že se jich kybernetické útoky netýkají. Když pak uděláme praktickou diagnostiku, jsou často překvapené. Nevědomost o tom, co se děje v infrastruktuře, je určitě nespasí. Ale když začnou tím, že si pomocí sady nástrojů zmapují komunikaci své fabriky, získají konkrétní data, co kde, jak a s čím komunikuje, kde jsou jaké zranitelnosti, jaká jsou rizika. Pak umí snáze navrhnout plán dalších kroků k nápravě.
Určitě by tedy neměly začít „od stolu“ formální částí bezpečnosti v podobě zpracování bezpečnostních směrnic. Ano, i na tyto procesní normy je třeba myslet, ale mělo by to jít ruku v ruce s tím, že je to podpořeno konkrétními daty z praxe a je za tím hlubší myšlenka.
Jako další krok přichází v úvahu bezpečnostní monitoring. Téměř žádný výrobní podnik nemá vlastní bezpečáky, a proto dává smysl držet nad těmito všemi nástroji bezpečnostní dohled, ať už prostřednictvím Security Operation Center nebo formou uzavření SLA supportní smlouvy.
Děkuji za rozhovor.
