Kybernetická bezpečnost je nezbytná pro rozvoj moderní společnosti

Kybernetická bezpečnost je nezbytná pro rozvoj moderní společnosti

30. 11. 2022

Digitalizace probíhá po celém průmyslovém světě a ovlivňuje ekonomiku i běžný život lidí. Po celém světě se však proti kybernetickým systémům šíří útoky, které způsobují vysoké škody a současně poškozují důvěru spotřebitelů v nové technologie. Obrana tedy musí být rovněž globální – a Siemens se na ní významně podílí.

Německá společnost Hellmann Worldwide Logistics, která nabízí služby letecké, námořní, silniční a železniční přepravy a smluvní logistiku, prožila před časem velký phishingový útok. Phishingové útoky spočívají v tom, že útočník pošle někomu uvnitř společnosti falešnou zprávu, která jej zmate natolik, že odešle zpět citlivé informace nebo stáhne do firemního systému škodlivý software. Jakmile společnost zjistila, že se stala obětí kybernetického útoku, okamžitě se jej snažila zastavit, aby se nedostal dál do firemní výpočetní infrastruktury. Postupovala nekompromisně. Odpojila svá datová centra po celém světě, vypnula některé své systémy, a dokonce se úplně odpojila od internetu. Na několik dní tedy byla nucena zastavit přijímání nových objednávek.

Zdá se, že hackeři měli dva hlavní cíle. Prvním bylo ukrást data, druhým pak zašifrovat datové systémy společnosti a pak její majitele vydírat, aby zaplatili výkupné a jejich systémy mohly začít fungovat. Společnost Hellmann se ubránila právě díky tomu, že se rychle odstřihla od internetu a prakticky přestala pracovat a komunikovat se zákazníky. Neinformovala však, o jakou částku kvůli tomu přišla ani jak to ovlivnilo její další obchodní vztahy s klienty. Kdo byl útočníkem, není jasné.

Ztráty za biliony dolarů

Výše ztrát způsobených kybernetickými útoky na firmy ve světě za rok 2021 dosáhla neskutečných 6 000 miliard (tedy šest bilionů) dolarů. Odhadli to účastníci konference Cybertech Europe 2022, která se uskutečnila letos v květnu v Římě. Do těchto nákladů se započítávají poškození a zničení dat, odcizení peněz, ztráta produktivity, krádeže duševního vlastnictví, krádeže osobních a finančních údajů, zpronevěry, podvody, narušení běžného chodu podniku po útoku, vyšetřování útoku, obnova a vymazání napadených dat a systémů, a rovněž poškození dobrého jména napadené firmy. Kdo je nejvíc zasažený? Riziku ohrožení svých počítačů se dnes samozřejmě nevyhne nikdo. Nejzranitelnější cíle popisuje mezinárodní poskytovatel internetových služeb CDNetworks. Vypočítává pět odvětví nejvíce ohrožených kybernetickými hrozbami. Jsou to malé a střední podniky, zdravotnické ústavy, vládní instituce, energetický průmysl a vysoké školství.

Malé a střední podniky podobně jako nemocnice nebývají dobře zabezpečené před kybernetickými útoky. Energetika je zranitelná zvláště vzhledem k energetickým sítím, které pokrývají rozlehlá území. Je obtížné chránit tak rozsáhlou infrastrukturu před útoky. A třeba školy jsou zajímavé například možností získat osobní údaje o studentech a zneužít jejich identitu při finančních podvodech.

Zajímavým postřehem může být, že podle CDNetworks mohou kybernetické útoky provádět i osoby s malými nebo téměř žádnými programátorskými dovednostmi. Je to možné mimo jiné vzhledem k tomu, že se nelegálně dají relativně snadno získat sady pro útoky ransomwarem, tedy vyděračským programem, který zablokuje napadený počítačový systém nebo zašifruje jeho data a požaduje výkupné za obnovení přístupu.

Specifickým velmi zranitelným cílem jsou pak podle této analýzy cloudová úložiště, která lákají hackery tím, že je v nich vysoká koncentrace žádaných dat.

Firmy a instituce sdružené v iniciativě Charta důvěry (Charter of Trust)

Partneři
Přidružení partneři
  • AES
  • Spolkový úřad pro informační bezpečnost (Německo)
  • Airbus
  • Kanadské středisko pro kybernetickou bezpečnost
  • Allianz
  • Brazilské středisko pro mezinárodní vztahy
  • Atos
  • Národní kryptologické centrum (Španělsko)
  • Bosch
  • Institut kybernetické připravenosti (USA)
  • Dell Technologies
  • Institut CyberPeace (Švýcarsko)
  • Deutsche Post DHL Group
  • Globální kybernetická aliance (USA)
  • IBM
  • Institut Hassa Plattnera pro digitální inženýrství (Německo)
  • Infineon Technologies
  • Ministerstvo hospodářství, obchodu a průmyslu (Japonsko)
  • Mitsubishi Heavy Industries
  • Ministerstvo vnitra a komunikace (Japonsko)
  • Mnichovská bezpečnostní konference
  • Technická univerzita ve Štýrském Hradci
  • NTT
  • NXP
  • SGS
  • Siemens
  • TotalEnergies
  • TÜV SÜD

 

Bílé klobouky před počítačem

Do boje s kybernetickou kriminalitou se pochopitelně přidala i společnost Siemens. Svůj první tým pro bezpečnost internetových technologií založila už v roce 1986. Od té doby se pozornost stále zvyšuje úměrně narůstání rizik. Siemens má mimo jiné ve svém týmu i „white hats“, tedy „bílé klobouky“ neboli etické hackery. Ti zkoumají, čím mohou být zranitelné počítačové technologie – ty už používané i ty teprve vznikající – a jak případnému útoku proti nim čelit. Označení pochází z dřívějších westernových filmů, v nichž černý klobouk symbolizoval zloducha a v počítačové bezpečnosti se toto označení ujalo pro hackery napadající počítače se zištným či ničivým úmyslem – na rozdíl od dobrých westernových hrdinů v bílém klobouku, kteří se v kybernetickém světě proměnili v ochránce počítačových systémů, byť někdy neortodoxní.

Přitom ochrana výpočetních systémů v průmyslu bývá obvykle ještě složitější než bezpečnost v kancelářích. Období pandemie covidu-19 s sebou přineslo také podstatné zvýšení rozsahu práce z domova, a to i v některých aplikacích v průmyslu. Právě dálkové připojení však může představovat zranitelné místo a vyžaduje velkou pozornost.

Přístup společnosti Siemens k bezpečnosti počítačových technologií v průmyslu před napadením zvenčí, ale i zevnitř, je proto holistický. Spočívá v komplexnosti, tedy v zajištění ochrany na všech úrovních současně – od provozní po výrobní část a od řízení přístupu až po ochranu před kopírováním. Ačkoli existují stovky norem pro bezpečnost informačních technologií, jen některé z nich se ukázaly jako použitelné pro ochranu průmyslových zařízení. Odborníci ze Siemens však na základě svých dlouholetých zkušeností dokážou svým partnerům poradit s výběrem a zaváděním vhodných norem.

Stále je však nutné mít na paměti, že stoprocentní „neprůstřelné“ zajištění informačních technologií neexistuje a aktuální špičková ochrana nevydrží věčně. Technologie, i ty hackerské, se stále vyvíjejí a obranné postupy musí stále reagovat.

Školení po celém světě

Zásadním rysem digitálních společností je rostoucí horizontální a vertikální integrace dat. Proto je stále potřebnější zajistit spolehlivou ochranu produktivity a odborných znalostí na třech úrovních, tedy v oblastech bezpečnosti zařízení, bezpečnosti sítí a systémové integrity. Siemens nabízí vícevrstvou bezpečnostní koncepci, která podnikům poskytuje všestrannou ochranu podle doporučení mezinárodní normy IEC 62443. Je určena jak provozovatelům zařízení, tak integrátorům a výrobcům komponent a pokrývá všechny aspekty kybernetické bezpečnosti pro průmysl.

Za zmínku stojí i skutečnost, že Siemens pořádá na více než 130 místech ve světě školení, která jeho partnerům umožňují získat potřebné informace o zavádění kybernetické bezpečnosti v prostředí průmyslové automatizace.

CERT chrání techniku Siemens

Dva ústřední týmy odborníků zajišťují okamžitou reakci na bezpečnostní hrozby namířené proti produktům nebo službám společnosti Siemens.

První tým má označení Siemens ProductCERT (CERT je zkratka ze slov Computer Emergency Response Team, tedy Tým pro reakci na počítačové havarijní situace). Funguje jako centrální kontaktní místo pro bezpečnostní výzkumníky, průmyslové skupiny, vládní organizace a dodavatele, kteří mohou hlásit potenciální bezpečnostní zranitelnosti produktů Siemens. Tým vydává upozornění pro zákazníky a informuje je o tom, jaká opatření se musí proti bezpečnostním hrozbám přijmout. Druhý tým, pojmenovaný Siemens CERT, má za úkol zabezpečovat před kybernetickými hrozbami infrastrukturu Siemens. Koordinuje reakci na kybernetické hrozby v rámci Siemensu, ale spolupracuje na jejich poznávání také s výzkumníky z akademické i průmyslové sféry.

Hackeři ničí důvěru v digitalizovanou budoucnost

Kybernetické útoky nejenomže poškozují napadené a připravují je o peníze. Způsobují také nepřímé, a přitom možná ekonomicky ještě mnohem nebezpečnější škody celému odvětví digitalizace. Fakticky ubližují rovněž těm firmám, které se útokům dokázaly vyhnout nebo se jim uměly ubránit.

Pokud uživatelé začnou považovat digitální technologie za celkově rizikové a váhají s jejich pořízením, ztrácejí klienty i ti nejlepší poskytovatelé těchto služeb. A tento postoj brzdí rozvoj moderní společnosti. Narušuje důvěru běžných lidí i byznysu v počítačové technologie. Představitelé Siemens připouštějí, že zákazníci často zůstávají vůči digitalizaci skeptičtí. Avšak na druhé straně je tato situace obrovskou příležitostí výrazně rozšířit oblast podnikání společnosti právě o kybernetickou bezpečnost.

Globální problémy však nemůže řešit jedna firma. Proto v únoru 2018 na tradiční Mnichovské bezpečnostní konferenci inicioval Siemens vytvoření takzvané Charty důvěry (Charter of Trust). „Ve věku internetu věcí představuje Charta důvěry významný krok,“ uvedl tehdejší generální ředitel koncernu Siemens Joe Kaeser. „Jsme otevřeni spolupráci s dalšími partnery tak, aby pro nás pro všechny byl reálný i digitální svět mnohem bezpečnější. Kybernetická bezpečnost hraje v úspěšném digitálním podnikání klíčovou roli. Doufáme, že tato iniciativa povede k živé veřejné diskuzi o kyberbezpečnosti a v konečném důsledku i k vytvoření závazných pravidel a standardů.“

A skutečně, k původním devíti členům se postupně přidávaly další společnosti, státní úřady a výzkumně vzdělávací instituce. Charta důvěry si ve svém základním vyjádření vytyčila tři významné cíle. V první řadě chránit data jednotlivců i společností. Dále zabraňovat škodám způsobeným lidem, společnostem a infrastruktuře. A v neposlední řadě vytvářet spolehlivou základnu pro růst důvěry v propojený digitální svět

Podstatné na iniciativě je právě to, že se v ní spojily významné firmy a instituce ve snaze postupovat společně, aby dopad jejich postupu byl výraznější – a také globální.

Deset principů Charty důvěry

Charta důvěry předkládá deset zásad pro lepší kybernetickou bezpečnost, které vyzývají tvůrce politik i firmy k přijetí opatření k tomu, aby ekonomické, sociální a demokratické hodnoty byly chráněny před kybernetickými hrozbami.

1. Vlastnictví pro kybernetickou a IT bezpečnost

Zakotvěte odpovědnost za kybernetickou bezpečnost na nejvyšší vládní a podnikové úrovni určením konkrétních ministerstev a manažerů pro informační bezpečnost.

2. Odpovědnost v celém digitálním dodavatelském řetězci

Společnosti – a v případě potřeby i vlády – musejí stanovit pravidla založená na znalosti rizik, která zajistí odpovídající ochranu ve všech vrstvách internetu věcí s jasně definovanými a povinnými požadavky. Musejí zajistit důvěrnost, autenticitu, integritu a dostupnost stanovením základních standardů, jako například:

Správa identit a přístupu: Připojená zařízení musí mít bezpečné identity a ochranná opatření, která umožní jejich používání pouze oprávněným uživatelům a zařízením.

Šifrování: Připojená zařízení musí zajistit důvěrnost pro účely ukládání a přenosu dat, pokud je to vhodné.

Nepřetržitá ochrana: Společnosti musejí nabízet aktualizace, upgrady a záplaty po celou dobu přiměřeného životního cyklu svých produktů, systémů a služeb prostřednictvím bezpečného aktualizačního mechanismu.

3. Bezpečnost od výchozího nastavení

Přijměte nejvyšší vhodnou úroveň zabezpečení a ochrany dat a zajistěte, aby byla přednastavena v návrhu produktů, funkcí, procesů, technologií, operací, architektur a obchodních modelů.

4. Orientace na uživatele

Buďte důvěryhodným partnerem v průběhu celého přiměřeného životního cyklu, poskytujte produkty, systémy a služby a také poradenství na základě potřeb, dopadů a rizik kybernetické bezpečnosti zákazníka.

5. Inovace a spoluvytváření

Kombinujte know-how v dané oblasti a prohlubujte společné porozumění mezi firmami a tvůrci politik v oblasti požadavků a pravidel kybernetické bezpečnosti s cílem neustále inovovat a přizpůsobovat opatření kybernetické bezpečnosti novým hrozbám; podněcujte a podporujte mimo jiné partnerství veřejného a soukromého sektoru.

6. Vzdělávání

Začleňte specializované kurzy kybernetické bezpečnosti do školních osnov – jako studijní obory na vysokých školách, odborné vzdělávání a školení – s cílem ovlivňovat vývoj dovedností a pracovních profilů potřebných pro budoucnost.

7. Kybernetická odolnost prostřednictvím shody a certifikace

Společnosti – a v případě potřeby i vlády – musí zajistit kyberneticky odolné produkty, systémy, služby a procesy prostřednictvím posuzování shody, včetně například ověřování nezávislými stranami.

8. Transparentnost a reakce

Udržujte a rozšiřujte síť odborníků, kteří sdílejí nové poznatky a informace o bezpečnostních incidentech, aby podpořili kolektivní kybernetickou bezpečnost; spolupracujte s regulačními orgány a dalšími zúčastněnými stranami na politice sdílení informací o hrozbách a vyměňujte si osvědčené postupy.

9. Regulační rámec

Podporujte mnohostrannou spolupráci v oblasti regulace a standardizace s cílem vytvořit rovné podmínky odpovídající globálnímu dosahu Světové obchodní organizace; zahrňte pravidla pro kybernetickou bezpečnost do dohod o volném obchodu.

10. Společné iniciativy

Podporujte společné iniciativy zahrnující všechny příslušné zúčastněné strany s cílem bez zbytečného odkladu zavést výše uvedené zásady v různých částech digitálního světa.

Líbil se vám článek?