Pri hekeroch sú najslabší článok ľudia
Skúšame kolegov tak, že im pošleme podvodný email a čakáme, či kliknú, vraví Tibor Paulen
Od začiatku invázie Ruska na Ukrajinu podnikajú hekeri vo zvýšenej miere pokusy dostať sa do slovenskej kritickej infraštruktúry.
„Už nie je tajomstvo, že každá armáda má aj kybernetickú zložku. Rusko sa pokúsilo ukázať palebnú silu v kyberpriestore. Podľa našich partnerov to bol pokus vytvoriť si vo firmách, ktoré nemajú dostatočne zabezpečené systémy, pozície na útok do budúcna,” hovorí Tibor Paulen, ktorý je zodpovedný za kybernetickú bezpečnosť v Stredoslovenskej distribučnej spoločnosti (SSD).
Jeho úlohou je odhaľovať slabé miesta v organizácii, cez ktoré by mohli skúsiť hekeri zaútočiť na distribúciu elektriny alebo získať citlivé dáta o odberateľoch. „Najslabší článok sú ľudia, zamestnanci a dodávatelia. Im nedokážete nakonfigurovať silnejší firewall,” približuje Paulen.
Ako veľmi je distribúcia elektriny ohrozená kybernetickými útokmi?
Ako kritická infraštruktúra sme si vedomí, že ak by na Slovensko prišiel vojenský konflikt, budeme jednými z prvých na rane. Za malé peniaze sa dá totiž spôsobiť veľká škoda.
Kyberútoky sú lacnejšie a rýchlejšie ako tanky?
Presne tak. Vidieť to na udalostiach, ktoré sa stali v čase ruskej invázie na Ukrajinu. Ešte pred útokom ruských rakiet sa objavili kybernetické útoky, ktoré mali zahltiť, a tým znefunkčniť IT systémy (označujú sa skratkou DDoS – pozn. E). Dve hodiny pred útokom sme ich zaznamenali aj u nás. Kolegovia z ostatných slovenských energetických spoločností mali to isté. Podobné útoky boli zacielené aj na ostatné západné krajiny. Bola za tým koordinovaná činnosť hekerov. Už nie je tajomstvo, že každá armáda má aj kybernetickú zložku. Rusko sa pokúsilo ukázať palebnú silu v kyberpriestore. Podľa našich partnerov to bol pokus vytvoriť si vo firmách, ktoré nemajú dostatočne zabezpečené systémy, pozície na útok do budúcna.
Niečo ako predmostie, len kybernetické?
Áno. Odborníci na kyberbezpečnosť si myslia, že ak by sme boli na zozname cieľov, už teraz by mohlo byť v našej sieti niečo predpripravené od útočníka. Medzi tým, keď sa heker prvýkrát dostane do siete, a spustením samotného útoku uplynie v priemere 230 dní. Počas toho útočník „skenuje terén“a zbiera informácie. Pozerá si heslá, spoznáva používateľov, chodí zo stroja na stroj. Umiestňuje tam svoje nástroje, ktoré potom použije na spustenie útoku. Ak nemá spoločnosť dostatočne sofistikované systémy, tak takéto udalosti nezachytí. Po približne 230 dňoch to kybernetický útočník celé spustí a firmu to môže položiť. Zrazu je firma v situácii, ktorú si ani nedokázala predstaviť.
Je ťažké odhaliť takúto aktivitu aj po prieniku, teda keď už je útočník v systéme?
Je to o peniazoch a o tom, aká veľká je ochota spoločnosti do toho zainvestovať. Sú monitorovacie nástroje, ktoré si vyžadujú obrovské výpočtové a dátové kapacity. Dôležité systémy musia byť nastavené tak, aby logovali všetky podstatné udalosti (zapisovali informácie o udalostiach a zmenách – pozn. E). Obsah logov sa následne ukladá do veľkých databáz, v ktorých sa hľadajú podozrivé aktivity a to, či k nim nedochádza na viacerých miestach vo firemnej počítačovej sieti.
Kto to robí? Nejaký špecialista na kyberhrozby?
Áno, ale v poslednom čase tam hrá významnú úlohu aj umelá inteligencia.
Spomenuli ste, že v čase začiatku invázie Ruska na Ukrajinu ste zaznamenali útoky ruskej kybernetickej armády vedené cez západné krajiny. Ako viete určiť, odkiaľ útok v skutočnosti prichádza?
Sú agentúry, ktoré za určitý poplatok alebo zadarmo zbierajú spravodajské informácie o hekeroch a aktivitách vlád v kybernetickom priestore. Následne vytvárajú zoznamy IP adries, ktoré títo hekeri a vlády využívajú. Môžete ich nahrať do svojho monitorovacieho systému. Ak ten zachytí aktivitu z IP adresy na blackliste, tak vás na to upozorní.
Ako často dostávate takéto upozornenia?
Deje sa to na dennej báze.
Viete povedať, koľko pokusov o kybernetický útok ste už v živote zažili?
V energetike je to problém najmä posledných desiatich rokov. Predtým sa útočníci zameriavali skôr na banky a vládne inštitúcie. My sme zažili dve vážnejšie situácie. Našťastie sme pokusy zaregistrovali skôr, než to mohlo spôsobiť komplikácie. Bolo to najmä obozretnosťou kolegov. Napríklad jeden pokus sa týkal zneužitia zraniteľnosti v softvérovej knižnici Log4j (vysoko rozšírený softvér – pozn. E). Stalo sa to na státisícoch počítačov po celom svete. Odporúčania boli, že na to treba odpovedať ako na útok. Tak sme sa snažili robiť kroky, ako keby na nás niekto útočil, aj keď to bolo najmä preventívne.
Čo je typické úzke miesto, cez ktoré zvyknú útočníci skúšať preniknúť do systémov?
Najslabší článok sú ľudia, zamestnanci a dodávatelia. S ľuďmi je potrebné neustále sa rozprávať, vzdelávať ich, aká dôležitá je IT bezpečnosť, a neustále ich trénovať v tom, ako sa majú v digitálnom priestore správať, a aby boli neustále obozretní a v strehu.
V čom spočíva tréning?
Máme na to vzdelávací program. Učíme ľudí, ako sa dajú zneužiť zraniteľnosti mailov, na aké pasce sa dá chytiť pri surfovaní po internete a klikaní na neznáme linky. Vysvetľujeme im, prečo je nebezpečné ukladať citlivé informácie do cloudu a na verejné úložiská, prečo je dôležité kryptovať mailové správy. Samostatná kapitola je takzvaný phishing (útok, pri ktorom sa útočník vydáva za dôveryhodnú osobu alebo inštitúciu s cieľom získať od obete citlivé informácie – pozn. E). Až 70 percent všetkých úspešných útokov začína phishingovým mailom. Je to najjednoduchšie. Môžete mať po technickej stránke dokonale zabezpečenú firmu, ale stačí mail a celá obrana sa dá obísť. V maili môže byť nebezpečná príloha, cez ktorú sa v systéme útočník uhniezdi.
Robia sa aj v prípade kyberhrozieb cvičné operácie?
Robíme napríklad phishingové simulácie, čiže rozošleme zamestnancom podvodný email. Zisťujeme, koľko ľudí na to kliklo, a keď kliknú, tak ich
Rusko sa pokúsilo ukázať palebnú silu v kyberpriestore. Podľa našich partnerov to bol pokus vytvoriť si vo firmách, ktoré nemajú dostatočne zabezpečené systémy, pozície na útok do budúcna.
upozorníme, v čom urobili chybu. Začali sme s tým pred dvomi rokmi.
Aká je „úspešnosť” týchto mailov pri cvičeniach?
Keď sme s tým začali, bola ešte pandémia. Poslali sme zamestnancom informácie, ktoré sa tvárili, že sú od štátnej organizácie a ktoré sa týkali zdravotnej prevencie. V maili bola inštrukcia – pre bližšie informácie kliknite sem. To bola pasca. Najskôr na to klikalo 35 percent ľudí, ale zlepšilo sa to. Momentálne sme pod desiatimi percentami.
Čo ešte iné triky sociálneho inžinierstva, ktoré sa vo svete používajú?
Vo všeobecnosti platí, že ak ľuďom pošlete niečo, na čo čakajú, a vyzerá to ako z interného prostredia, tak vypnú kognitívnu ostražitosť a začnú sa správať spontánne. Zo všetkého najjednoduchšia hekerská metóda je dostať ľudí pod tlak. Vystrašiť ich napríklad správou: zmeňte svoje heslo, lebo hekeri na vás útočia. Pritom je to pasca na vyzradenie hesla.
V čom je energetika pre kybernetického špecialistu iná než iné odvetvia?
Energetika je špecifická množstvom komplexných a kritických „distribučných“informačných systémov v teréne. Ďalšie špecifikum je veľké množstvo osobných údajov zákazníkov u obchodníka.
Čo je najhorší dôsledok, ktorý môže nastať?
V distribúcii elektriny je to prienik do riadiacich systémov, ktorý môže skončiť blackoutom. To sa stalo napríklad na Ukrajine v roku 2015. Pre obchodníka by bol najväčší problém únik osobných údajov. Nielenže za to hrozia žaloby či pokuty, ale hrozí strata reputácie.
Jedno z rizík, ktoré spomínajú analýzy kybernetických hrozieb, je prehnaná sebadôvera manažérov firiem. Tí majú často pocit, že „im sa to stať nemôže“. Ako narábate s týmto?
Treba využiť každý útok, ktorý sa stal konkurencii, a hovoriť o ňom s manažmentom. Ja nepodávam správy len o našich problémoch, ale aj o tom, čo sa deje v okolitých firmách. Musím sledovať, čo sa deje vo svete. Napríklad minulý rok hekeri zaútočili na americký ropovod Colonial Pipeline. Tri týždne netiekla ropa v jednom z najdôležitejších ropovodov USA. Skupina, ktorá za to bola zodpovedná, tvrdí, že jej nešlo o to ho odstaviť. Chceli len získať výkupné. No neuvedomovali si, aký obrovský problém spôsobia. Ak sa to stalo americkému gigantovi, prečo by sa to nemohlo stať napríklad na Slovensku? Treba otvorene hovoriť aj o škodách. Musíte sa nachystať na finančné aj reputačné škody, ak nastane výpadok na deň, týždeň alebo mesiac. A robiť všetko pre to, aby sa pravdepodobnosť fatálneho útoku znížila.
Funguje aj v energetike niečo také ako v leteckom alebo jadrovom priemysle, že spoločnosť, ktorá zaznamenala incident, o ňom musí okamžite aj so všetkými detailmi informovať ostatných?
To by bol ideálny stav, teda po každom incidente upraviť opatrenia a vylepšiť detaily. Zo strany ministerstva hospodárstva bola snaha, aby firmy v energetike takto komunikovali, no nejako to odišlo do stratena. Veľkú snahu vyvíjajú Národný bezpečnostný úrad (NBÚ) a Vládna jednotka pre riešenie počítačových incidentov (CSIRT). Niečo vyžaduje aj zákon o kybernetickej bezpečnosti, no z môjho pohľadu je stupeň závažnosti, od ktorej sa vyžaduje informovanie, nastavený príliš vysoko.
Vaša firma by nemala problém priznať, že došlo k incidentu?
Nedávno sme spravili úvodné stretnutie neformálneho kruhu expertov z energetiky. Dohodlo sa, že si budeme dávať operatívnejšie informácie, než aké vyžaduje zákon. Aj skupina EPH, do ktorej patrí SSD, má viacero pobočiek v Európe, ktoré sa navzájom informujú o nebezpečných situáciách.
Ako je na tom vo všeobecnosti slovenská energetika, čo sa týka odolávania kybernetickým útokom?
Bežným hrozbám odoláva. No realitu by sme videli až vtedy, ak by došlo k sofistikovanému vojenskému kyberútoku.
Aká je spolupráca so štátom?
Raz sme podávali trestné oznámenie na neznámeho páchateľa. Vtedy to polícia vyšetrovala a uzavrela s tým, že nič nezistila. S NBÚ komunikujeme, len keď sa deje niečo veľmi vážne. Napríklad na tému Ukrajiny zatiaľ nekomunikujeme.
Kybernetický priestor je špecifický ešte aj tým, že v ňom neplatia presne tie isté hranice ako medzi krajinami. Útočníci môžu sedieť pokojne na opačnom konci sveta. Čo teda napríklad spolupráca so zahraničnými alebo medzinárodnými bezpečnostnými agentúrami, napríklad s Interpolom?
Neviem o nej nič. Ale na vyšších úrovniach štátu by mala prebiehať.
Čo spolupráca s etickými hekermi, ktorí testujú zabezpečenie firmy nie s cieľom uškodiť, ale odhaliť potenciálnu slabinu a upozorniť na ňu?
To je legitímne a využíva sa to už aj na Slovensku. Robia sa tak napríklad penetračné testy alebo cielené útoky. Alebo môžete dať hekerom voľnú ruku a necháte ich zaútočiť, ako len vedia. Keď prinesiete manažmentu report, kam až sa hekeri dostali a čo mohli spraviť, ale nespravili, lebo boli etickí – to je dobrý nástroj. Existuje aj simulácia, pri ktorej vytvoríte takzvaný „red team“z etických hekerov a „blue team“z vašich špecialistov. Takto ich môžete učiť, ako odpovedať na reálny útok.
Existuje aj skupina hekerov, ktorí nie sú zakontrahovaní a hľadajú zraniteľnosti len tak, lebo ich to baví. Aký na nich máte názor?
Ak majú dobrý úmysel a chcú odhaľovať bezpečnostné diery, tak to beriem. Ale podľa mňa by mali ísť vždy najskôr za subjektom, u ktorého zraniteľnosť objavili. Dohodnúť sa, čo ďalej. Ak to rovno publikujú, tak je to podpásovka.
Aké náklady musí vaša firma vynakladať na kyberbezpečnosť?
Momentálne je to asi 10 percent rozvojového rozpočtu na IT. Ľudia, ktorí sa venujú bezpečnosti, tvoria 6 percent zo všetkých ľudí zamestnaných na IT oddelení firmy. Napriek vysokým finančným nákladom je bezpečnosť strategickej infraštruktúry štátu iba v rukách firiem, tie to platia. Bez spoluúčasti štátu.
A v budúcnosti? Bude treba viac špecialistov?
Bojím sa, že veľkú časť tímu bude tvoriť umelá inteligencia. Jedna bude útočiť a druhá sa bude brániť. Kde zostane priestor pre ľudí? To je práve ochrana pred útokmi, ktoré využívajú sociálne inžinierstvo. Budú potrební špecialisti v komunikácii, vzdelávaní a zvyšovaní povedomia. Je možné, že firmy budú zamestnávať behaviorálnych expertov (odborníkov na ľudské správanie – pozn. E).
Tesne pred inváziou na Ukrajinu došlo aj k útoku na satelit nad Európou, ktorý okrem iného zabezpečoval spojenie s veternými turbínami. Do akej miery bude vaša bezpečnosť závisieť od prevádzkovateľov komunikačných systémov?
Bude to vždy problém. Firmy ako my sa preto radšej spoliehajú na vlastné komunikačné prostriedky a budujú si ich.
To znamená, že integrujete aj podporné služby a jedného dňa budete mať radšej vlastný satelit?
Ani nie tak satelit, ako vo väčšej miere naťahané vlastné optické káble.
Keď bude mať každá firma naťahané vlastné káble, bude ich dosť veľa. Nebolo by jednoduchšie, keby sa kybernetické tímy naprieč organizáciami spojili?
To dáva veľký zmysel. Tlačíme na koncept spoločného bezpečnostného operačného centra. To znamená, že by spolu sedeli ľudia, ktorí rozumejú energetike, systémom aj kybernetickému svetu. Je to dobré aj preto, že keď má takéto centrum len jedna firma, vyskytne sa niečo vážne raz za rok. V spoločnom centre by bolo incidentov viac a experti by boli vďaka tomu vyspelejší a schopnejší. A aj pokus šíriť útok cez viacero energetických spoločností by sa dal riešiť z jedného centra.
Môže sa stať, že jedného dňa to bude služba, ktorú budú energetické spoločnosti poskytovať aj iným odvetviam?
Ja vidím našu budúcnosť v tom, že raz takýto spoločný tím bude slúžiť celej slovenskej energetike.
Platí, že ak ľuďom pošlete niečo, na čo čakajú, a vyzerá to ako z interného prostredia, tak vypnú kognitívnu ostražitosť a začnú sa správať spontánne. Najjednoduchšia hekerská metóda je dostať ľudí pod tlak.