Novinky
28. července 2020

Jak na dálku odstavit IT systémy elektráren nebo pivovaru v Česku

JAN SEDLÁK, spolupracovník redakce Ekonom

Chcete se dostat do řídicích průmyslových systémů továren, elektráren a dalších libovolných subjektů a tam působit neplechu, případně se jen nenápadné dívat? Týdeník Ekonom přináší rychlokurz pro začátečníky zdarma. Zajděte na webovou stránku www.shodan.io, které se přezdívá Google pro internet věcí (IOT), využijte všemožných filtrů parametrů a je to – na dálku uvidíte zařízení připojená k internetu a díky jejich zranitelnostem se do nich lze vlomit.

Toto nemá být nabádání k trestné činnosti, ale pouze poukázání na to, že veřejně přístupných IOT přístrojů s možností jejich zneužití je obrovské množství, a že mohou znamenat značný problém v kybernetické bezpečnosti nejenom na úrovni firem a organizací, ale také států.

A problém to skutečně je. Ukazuje se, že v České republice je minimálně 1600 vysoce zranitelných řídicích systémů (takzvaná PLC nebo ICS), které je možné běžné najít na internetu, číst z nich údaje a získat k nim anonymní přístup bez znalosti jména a hesla. Ovládnutí takových jednotek pak může mít fatální dopady na fungování daných soukromých i státních společnosti.

Slovenská kyberbezpečnostní společnost Void SOC nedávno v Česku udělala technický průzkum a zjistila, že mezi zmiňovanými zranitelnými systémy jsou i výrobní linky, ovládací systémy některých elektráren nebo přistup ke kompletnímu ovládání jistého pivovaru. Tyto děravé systémy byly detekovány v 280 českých městech. Útoky na tuzemské nemocnice z posledních měsíců tak mohou potenciálně představovat jen špičku ledovce.

Jsou zde také průmyslové systémy označované jako SCADA, které jsou rovněž hojně rozšířeny a bezpečnostně podceněny. Řídicích systémů všeho druhu navíc bude přibývat. Koncept vládou vyzdvihovaného Průmyslu 4.0 je totiž postavený na chytrých strojích, které jsou připojeny do sítě a internetu, a jsou tedy zranitelné podobně jako běžné počítače nebo chytré telefony. Obecné se očekává, že trend ještě více rozvinou přicházející 5G sítě.

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) už tyto skutečnosti začal zohledňovat.

Úroveň jako z roku 1991

Mezi zranitelnými IT systémy jsou výrobní linky, ovládací systémy elektráren nebo přístup k ovládání jistého pivovaru.

V nově připraveném Národním plánu Výzkumu a vývoje v Oblasti kybernetické a informační bezpečnosti za jednu z priorit označil bezpečnost průmyslových sítí a systémů v souvislosti s rozvojem internetu věci. „S narůstající digitalizací průmyslových sítí a SCADA systémů lze očekávat zvyšující se tlak na výzkum a vývoj ochranných nástrojů, které budou schopny lépe chránit komunikační a informační sítě,“ uvádí úřad.

Aktuální situaci ale lze označit tristní. „Povědomí o kyberbezpečnosti v průmyslu je na úrovni povědomí o kyberbezpečnosti v běžném IT v roce 1991,“ nastiňuje Martin Lohnert z Void SOC. Příkladem může být jedna z fotovoltaických elektráren, k jejímuž ovládacímu systému se lze dostat přes web bez zadání jména a hesla. Ovládací rozhraní uživatele navíc vždy informuje, že žádné heslo není nastaveno a zda si skutečné přeje pokračovat bez něj. Takových případu je v rámci zmiňovaných 1600 systémů více a ignorují se tak zcela elementární bezpečnostní pravidla.

V rámci nezabezpečených systémů lze nalézt kontrolní prvky od všech předních světových společností, jako jsou Schneider Electric, ABB, Siemens, Honeywell, Rockwell Automation a další. Slabá úroveň zabezpečení ale většinou není způsobena chybami na jejich straně. Instalaci takových zařízení totiž řeší partneři, kteří ignorují bezpečnostní opatření. Útoky mohou přicházet rovněž přímo přes tyto partnery, kdy hackeři postupují tak, že napadnou jednu součást dodavatelského řetězce a pak postupují dále.

Problematických míst je více. Subjekty často k bezpečnosti přistupuji formou „co by si na nás kdo vzal“ a zároveň v jednotlivých systémech neprovádí aktualizace softwaru. Zařízení v průmyslových systémech tak bývají zastaralá a zranitelná.

„SCADA systémy jsou dramaticky nezabezpečené,“ popisuje Martin Uher ze společnosti CyberG, která v Řitce u Prahy provozuje „kybernetickou tělocvičnu“, kam firmy chodí trénovat obranu proti hackerským útokům. „Někdy společnosti používají tak staré verze systémů, že je máme problém do testovacího prostředí sehnat,“ konstatuje Uher. Upozorňuje rovněž na přístup organizací ve stylu „nesahat na to, hlavně že to funguje“ a ignorování skutečnosti. „Lidé, kteří se SCADA technologiemi pracují, byli dlouho přesvědčeni, že se jich bezpečnostní hrozby příliš netýkají, protože šlo o takzvané ostrovní instalace dříve nepřipojené k internetu,“ doplňuje Uher.

Hacknutá žárovka…

Průmyslové systémy mohou pro útočníky představovat vstupní bod, skrze který se pak dostanou do dalších částí sítě. Průměrná doba odhalení takového útoku je 214 dní, kdy je možné v síti vyčkávat, pozorovat dění a postupovat hlouběji. Řídicí jednotky jsou zároveň součástí i zcela běžného vybavení, jako jsou klimatizace, odkud lze „přeskočit“ dále.

To, jak se řídicí a IOT zařízení ke komplexním útokům využívají, nastiňuje Unicorn RedTeam. Jde o malou organizaci uvnitř české softwarové společnosti Unicorn, kterou si najímají banky a další instituce, aby vedla útoky na jejich infrastrukturu. Následné jim pak experti z „rudého týmu“ předloží, co je špatné a co je třeba zlepšit.

Hackerským útokem lze například přehrát kávovar a ve firmě tak způsobit požár. Nebo se přes chytrou žárovku nabourat do počítačové sítě. RedTeam často postupuje jako ve špionážním filmu (focení monitorů zaměstnanců z hotelového pokoje naproti kancelářím banky a spol.), zároveň ale do své přípravy zahrnuje i monitoring IOT skrze zmiňovaný Shodan a další nástroje. IOT je důležitou části vybavení útočníka. „Typicky máme zakázáno unášet děti zaměstnanců, rozbíjet okna a zámky či cíleně útočit na členy představenstva. Jinak je to ale na nás,” nastiňují členové RedTeamu, kteří nechtějí být jmenováni.

S postupným rozvojem internetu věci se tento princip bude stávat čím dál větším problémem. Izraelská kyberbezpečnostní společnost Check Point například dokázala využít zranitelnosti v chytrých žárovkách Philips Hue (chytré jsou v tom, že umožňují přes mobil změnu barvy a podobně) připojených na internet. V žárovkách bylo možné převzít kontrolní jednotku a z té se pak dostat do dalších částí počítačové sítě.

„Philips jsme si pro testy vybrali z toho důvodu, že jde o obrovskou firmu, která hodně investuje do kyberbezpečnosti. Neměli jsme čas ani kapacity zkoušet další IOT žárovky, kterých je na trhu dost, ale zranitelnosti bychom stoprocentně našli všude,“ popisuje pro Ekonom Itzik Feiglevitch z Check Pointu, který se na pokusu podílel.

… nebo kávovar

Podobný kousek se podařil českému Avastu, jehož výzkumníci hacknuli běžný kávovar. „Byli jsme schopni z něj udělat stroj, který rozesílá ransomware s žádostí o platbu. Také jsme byli schopni kávovar použít jako bránu ke sledování všech zařízení připojených v domácí síti,“ popisuje Martin Hron z Avastu s tím, že se útokem rovněž kávovar dal přehřát a šlo tak potenciálně způsobit požár.

Avast ve svém průzkumu kromě jiného zjistil, že přes 42 procent českých domácností má alespoň jedno chytré zařízení zranitelné vůči útokům. Společnost si proto ve svém sídle v Praze na Pankráci koncem loňského roku postavila vlastní IOT laboratoř a internet věcí se stal jednou z důležitých částí jejího podnikání.

Podobně se na Slovensku internetu věci věnuje společnost ESET. Té se například v rámci výzkumu podařilo odhalit zranitelnosti centrálních řídicích jednotek, pomoci, kterých bylo možné zařízení v síti ovládnout, podstrkovat viry nebo odposlouchávat síť. ESET si také od agentury Median nechal udělat průzkum mezi českými uživateli. Ten ukázal, že 71 procent z nich má zařízení internetu věci připojená do stejné sítě jako běžné počítače a telefony. Tím se zvyšuje riziko útoku a odborníci pro IOT doporučují oddělenou síť.

Původně zveřejněné v týdeníku Ekonom, 25. 6. 2020
https://ekonom.ihned.cz/c1-66782140-jak-na-dalku-odstavit-it-systemy-elektraren-ci-pivovaru-v-cesku