Výrobci automobilů se potýkají s jedinečnými výzvami v oblasti kybernetické bezpečnosti. Zde jsou čtyři nejčastější, na které je třeba si dát pozor.
Rizika
Úspěšné útoky vytvářejí nejen finanční rizika v podobě výkupného, ztráty dat a nákladných procesů obnovy, ale také mohou způsobit rizika pro fyzickou bezpečnost v automobilových závodech. S tím souvisí také dlouhé přerušení dodavatelského řetězce, a dokonce i soudní spory.
Naštěstí existují kroky, které může každý výrobce automobilů podniknout, aby odstranil běžné mezery v kybernetické bezpečnosti. Je totiž mnohem nákladově efektivnější posílit kybernetickou odolnost předem, než nechat nevyřešené nedostatky s vysokou prioritou, které lze odstranit.
Tento článek popisuje některé často pozorované zranitelnosti instalované základny, na které se zaměřují dnešní aktéři hrozeb.
Zabezpečení sítí a prostředků OT/ICS
Během posledního desetiletí výrobci automobilů otevřeli komunikační protokoly a umožnili sběr dat v provozovně pomocí ekosystému senzorů a akčních členů IoT. Sdílení dat z OT (provozní technologie) do IT (informační technologie) značně usnadnilo efektivitu výrobních hal a snížení nákladů díky podrobné analýze těchto dat v rámci podnikových systémů.
Rozmach poznatků založených na datech, které vyplývají ze zvýšené konektivity na hranici OT/IT, vedl k většímu riziku v podobě nárůstu sofistikovaných aktérů hrozeb. Efektivní kybernetická bezpečnost začíná přesnou znalostí toho, co je v sítích, aby bylo možné proaktivně zabezpečit to, co je legitimní, a zároveň odstranit to, co legitimní není.
Bez řádného zabezpečení mohou aktéři představující hrozbu potenciálně proniknout do systému s možností zablokovat řídicí jednotky kvůli výkupnému, ovládat fyzické akce strojů, měnit data receptur, a dokonce vytvářet bezpečnostní rizika pro pracovníky.
Výrobci automobilů potřebují nejnovější informace o všech prostředcích instalační základny s přehledem o známých nebo neznámých zranitelnostech. Potřebují znát důkladnou metodiku hodnocení rizik v prostředí OT, aby pochopili a zmírnili bezpečnostní slabiny spojené se zvýšeným tokem dat přes hranici OT/IT. Toto posouzení rizik může upozornit na špatné hygienické postupy, jako jsou nedostatečné možnosti detekce incidentů v IDMZ, rizika komunikačních protokolů (např. Modbus, PROFINET) nebo nezabezpečená (či neautorizovaná) zařízení IoT.
Špatný Patch Managenent
Slabý Patch Management instalované základny je velmi problematická – 71 % automobilových společností má špatné výsledky v této oblasti. Zařízení se zastaralými verzemi operačních systémů nebo softwaru jsou velmi náchylná ke kybernetickým útokům, od počítačů v průmyslových provozech až po PLC. Patch Management často řeší kritické bezpečnostní chyby v softwaru a jejich včasná neaplikace s sebou nese vysoké riziko kybernetické bezpečnosti, protože umožňuje záškodníkům relativně triviální zneužití zastaralých verzí se známými bezpečnostními chybami.
Špatný Patch Management sice představuje riziko pro kybernetickou bezpečnost v automobilovém průmyslu, ale je pochopitelná i v kontextu kritických výrobních zařízení. Ve světě IT je jednoduché zavést rutinní Patch serverů a pracovních stanic, které vede k minimálnímu narušení provozu.
V provozních halách znamená oprava odstávku výrobních strojů, které udržují provoz v chodu. Osoby odpovědné za prostředí OT pochopitelně těžce nesou jakoukoli míru výpadku. Statistiky ukazují, že pouhá minuta zastavení výroby v závodě může výrobce automobilů stát 22 000 dolarů. Riziko se zvyšuje, pokud ve výrobním prostředí pracují s fyzickými servery a dosud nebyla převedena na virtuální výpočetní infrastruktury s nepřetržitým monitorováním a správou datových center OT.
Řešení správy oprav OT vyžaduje strukturovanou strategii s minimálními nároky na narušení výroby. V tomto procesu je zásadní inventarizace prostředků, která poskytuje přehled o každém zařízení v závodě, verzích softwaru, a jejich nezáplatovaných zranitelnostech. Užitečný je také poradce pro kybernetickou bezpečnost, který má zkušenosti s výrobním provozem, aby se vyhnul častým nástrahám a rychle dosáhl správné rovnováhy mezi účinným zabezpečením a provozuschopností výroby.
Mezery ve znalostech v oblasti bezpečnosti OT
Dalším zdrojem zranitelností jsou mezery ve znalostech v oblasti OT bezpečnosti – nemůžete chránit to, o čem nevíte.
Například startupy v oblasti elektromobilů mohou pokrýt všechny základy kybernetické bezpečnosti IT na mimořádně vysoké úrovni, ale zanedbávají zranitelnosti OT. Viry, červi a zranitelnosti na úrovni automatizace se mohou šířit sítí a představovat hrozbu pro fyzická zařízení. Nejznámějším příkladem je Stuxnet, který se prostřednictvím zneužití systému Windows zaměřil na PLC.
Zvyšování bezpečnosti OT začíná s testovanými a ověřenými referenčními architekturami, jako je konvergovaný celoplošný Ethernet (CPwE). CPwE poskytuje pevný základ pro zabezpečení automobilových závodů. Pomoc odborníků na tyto architektury může pomoci chytře nasadit firewally a zřídit průmyslové IDMZ, které posílí zabezpečení výrobních hal.
Kromě toho může přijetí řešení kybernetické bezpečnosti v souladu s pěti pilíři rámce NIST (Identify, Protect, Detect, Respond, Recover) výrazně posílit kybernetickou bezpečnost IT i OT.
Kompromitace pověření
Navzdory složitosti moderních řešení kybernetické bezpečnosti a sofistikovaným taktikám, které používají útočníci, mnoho typů těchto napadení zpočátku využívá překvapivě jednoduchých zranitelností. Nejznámějším příkladem z poslední doby byl hackerský útok na společnost Colonial Pipeline z roku 2021, při kterém útočníci použili heslo ukradené z předchozího úniku dat, aby získali přístup k účtu VPN a tím se dostali do sítě.
V kontextu instalovaných zařízení v automobilovém průmyslu by kompromitace přístupových údajů mohla vést k tomu, že útočníci získají přístup k počítačům v závodě se slabými dvojicemi uživatelského jména a hesla. Sdílená hesla a vzdálený přístup, které jsou v éře Covid-19 běžnější, mohou způsobit kompromitaci, při níž útočníci získají kontrolu nad stroji anebo důvěrnými daty.
Zero Trust, přístup, který zpevňuje kybernetickou bezpečnost tím, že odstraňuje nadbytečnou nebo předpokládanou důvěru v prioritní data, aktiva, aplikace a služby (DAAS), klade důraz na silnou kontrolu identity a přístupu jako na kritickou ochranu. Vícefaktorové ověřování, pravidelné změny hesel, přístup s nejmenším počtem oprávnění a další techniky mohou být použity k tomu, aby byl přístup udělen pouze oprávněným uživatelům, z oprávněných důvodů a v oprávněnou dobu.
Začínáme
Společnost Rockwell Automation nabízí kompletní řadu řešení kybernetické bezpečnosti OT, která chrání vaše sítě, instalovanou základnu, a nakonec i provoz před běžnými zranitelnostmi kybernetické bezpečnosti. Tato řešení zahrnují posouzení rizik a služby inventarizace aktiv, které vám pomohou porozumět zranitelným místům a vytvořit správný plán pro větší odolnost.
Autor článku: Joe Agee, vedoucí oddělení globálních síťových a bezpečnostních služeb, Rockwell Automation
Zdroj: PRAM Consulting