Na nedavnom Seminaru o industrijskoj kibernetičkoj sigurnosti razgovarali smo s Danielom Ehrenreichom, vodećim izraelskim stručnjakom za kibernetičku sigurnost koji ima više od 32 godine iskustva s projektima u industrijskim upravljačkim sustavima i operacijskoj tehnologiji, primijenjenim za srednjenaponsku električnu energiju, njezinu proizvodnju i distribuciju, elektrane, bežično upravljanje, distribuciju vode, kanalizaciju, naftu i plin, proizvodnju, javnu sigurnost i primjene u pametnim gradovima, sve na brojnim svjetskim lokacijama.
Stručni je konzultant i predavač na temu kibernetičke sigurnosti vezane uz industrijske upravljačke sustave i industrijski internet stvari. Ehrenreich je i cijenjeni govornik u svojem području što je i dokazao nedavno u Zagrebu.
Izrael, kako se čini, kibernetičku sigurnost primjenjuje u dva smjera, za vlastitu obranu, kao i za sprečavanje napada ili razvoj agresivnih tehnologija, kao što je to bilo sa Stuxnetom (malware korišten u sabotaži iranskog nuklearnog programa)?
Prije svega, da pojednostavimo, moramo znati da je kibernetički napad imao tri smjera. Prvi je što je uzrokovanje prekida rada, što znači da su ljudi ostavljeni bez struje, vode. Drugi smjer ima za cilj oštetiti strojeve bilo koje primjene. U slučaju Stuxneta cilj je bio odgoditi nuklearni program. U drugim slučajevima, ako oštetite generator, bit će poteškoća u opskrbi ljudi električnom energijom ili vodom ili nešto slično. Najteži je smjer napada rizik za ljudske živote. Nažalost, nije tako teško otrovati vodu nekim kemikalijama. Moramo se braniti protiv ovog rizika.
Razvija se znanje kako reagirati na napade, no obično se to ne objavljuje previše. Čak i Stuxnet nije objavljen, tko je uopće to učinio. Iako nije toliko važno znati tko je to učinio. Ono što jest važno je da je netko u sustav unio zlonamjerni uređaj. Mogao bi to biti pružatelj usluga, mogao bi to biti čistač koji dolazi navečer, mogao bi to biti zaposlenik, ili netko tko je to učinio upravo zbog sabotaže. To nije toliko važno. Ono što je važno je da se Stuxnet i dalje smatra najsofisticiranijim napadom koji se ikada dogodio. I to zato što je bio automatiziran.
Tako je čak i danas?
Nije bilo osobe koja je njime upravljala. Mogu pretpostaviti da je to učinjeno kako bi se došlo do određenih uređaja i postigao vrlo specifičan cilj. Znanje u Izraelu je važno, a znanje o kibernetičkoj sigurnosti širi se sve više diljem svijeta i broj napadača raste. Najpoznatija vrsta napada je ransomware jer netko zarađuje na njemu. Zatim je tu napad na pružatelje usluga, a zatim imamo napad na bolnice kojim se prikupljaju podaci o pacijentima.
Ako je napadač uspio prodrijeti u bolnicu i stotine tisuća medicinskih datoteka, možda u njoj moj ili vaš dosje nije važan, ali ako pronađu datoteku političara ili gradonačelnika ili važnih ljudi koji su sada na izborima, pa onda otkriju da je u mladosti imao zdravstveni problem, mogu ga ugroziti. To je razlog zašto se napadaju medicinske organizacije.
Kakva je situacija danas, koliko je teže izvesti takav napad?
U prošlosti bi organizacije bi mogle tvrditi da su im sustavi nepovezani i to bi bilo ono što mi u profesionalnom jeziku nazivamo zračni jaz. Daljinski niste mogli pristupiti bolnici, banci, čak ni proizvodnom pogonu. No, posljednjih godina organizacije postaju sve ovisnije o informatizaciji, o udaljenom pristupu. Pandemija je promijenila način na koji se ponašamo jer prije Covida mogli smo reći da morate doći u moj pogon i popraviti stroj. Sada tražimo da se daljinski povežete. Sada je tu broj ljudi koji održavaju pogone na daljinu, ljudi koji rade od kuće, ljudi koji servisiraju. Zamislite da ste pružatelj usluga za 15 gradova u Hrvatskoj za vodovodni sustav i ja vas pitam koje računalo koristite. Reći ćete ne, imam svoje računalo i spajam se na svaki pogon kada me pitaju.
Onda vas pitam – znate li u kakvom je stanju vaše računalo? Možda je vaše računalo već bilo zaraženo jučer kada ste se spojili na jedan od objekata ili možda kada ste naručili kartu za nogometnu utakmicu putem interneta. A sutra ujutro se spajate na taj objekt i daljinski obavite izvrstan posao, ali i zlonamjerni softver će tamo otići. Naša ovisnost o računalima i širok raspon korištenja računala povećava rizik od kibernetičkog napada. Prirodno je da se to događa. Tu su i IoT uređaji (internet stvari). Stavite senzor vjetra na brdo, on izvještava toj tvrtki o vašoj zračnoj luci, dakle, postoji komunikacija, taj uređaj je povezan. Što je više povezanih uređaja, i rizik je veći pa tako, nažalost, očekujemo lošiju situaciju. Da ne spominjemo različite vrste plaćanja, nagrada za kupnju kod kojih se traže osobni podaci, i to može otići napadačima.
Interesantna je situacija i u Ukrajini gdje hakerski jaka Rusija trpi precizne udare ukrajinskih dronova što znači da su oni nekako prikupili podatke o ruskim ciljevima.
Nisam stručnjak za ove sustave, ali na seminaru je bila prezentacija o tome da napadačko oružje postaje sve sofisticiranije. Ako se upravlja radiovezom, onda se može nešto učiniti, ali ako snimim sliku neke kuće i učitam je u računalo drona, on će je prema slici moći usporediti ako se nađe iznad nje, ometanje neće pomoći.
Ne postoji za to specifičan način ili mjera, nema “srebrnog metka” za obranu od takvih novih sustava. Trebamo slojevitu obranu, različite vrste obrane. Ali, također, ako ometate dron, to znači da ometate komunikaciju, ali možda i vlastitih ljudi. Imali smo kod nas jednu zanimljivu situaciju u ratu. I naši ljudi su ometali GPS kako bi spriječili dolazak raketa. I to ometanje pomiješalo je smjerove na navigacijama, ako biste bili u sjevernom Izraelu, pokazivali bi vam da ste blizu Beiruta.
Netko je donio odluku da je bolje stvarati probleme ljudima, nego da projektili preciznije pogađaju. Imali smo i situaciju kada je dron došao do kuće našeg premijera, a nije se moglo ništa učiniti da ga ometu. Došao je do jednog od prozora. Siguran sam da je kuću prepoznao kroz obradu slike u svojem računalu. Ako dron ima unutarnju obradu slike, vrlo malo toga možete učiniti.
Možete li podijeliti par savjeta za osobnu kibernetičku zaštitu, pa i onu kada se o kompanijama radi?
Najprije, postoji razlika između industrijske kibernetičke sigurnosti i IT-a. Na osobnoj razini, učinite sve što je moguće. Ako primite telefonski poziv s nepoznatog broja, nemojte odgovoriti, primijenite neke mjere. Možda već i imate neki uređaj koji upozorava na prijevaru. Ako dobijete reklamu koja vas poziva da pritisnete ovaj gumb pa ćete dobit čak i besplatni hamburger, nemojte odgovoriti.
Donesite neke neugodne odluke, nemojte misliti kako ste nevažni, također možete postati metom. Ponašajte se kao da ste u vremenu od prije 20 godina u kibernetičkoj sigurnosti. Kada govorimo o industrijskoj sigurnosti, nije preporuka kupiti sve skupe mjere jer, ako kupujete neki softver, odmah ste obvezani da ga održavate i plaćate. Radije nabavite mjere koje su jednostavne i pristupačne, nešto što nije preskupo, a pomoći će vam.
Obično savjetujem da se naprave četiri stvari. Broj jedan, poboljšajte fizičku sigurnost perimetra, pobrinite se da neovlaštena osoba ne može doći na vaš kat. Druga stvar koju trebate učiniti je teža, a to je odvajanje mreže. Segregacija, segmentacija ili mikrosegmentacija mreže su odvajanje uređaja, postavljanje odvojenih kontrolera za svaki uređaj.
Treća stvar koju morate učiniti je naprosto napraviti godišnji pregled, slično kao kod automobila. Četvrta mjera je da obučite svoje ljude. Vjerujte mi da je na to ulaganje najveći povrat. Napravite neke vježbe, pošaljite im neke “phishing” mailove. I uvijek zapamtite, ništa nije 100 posto, a cilj je kod kibernetičke sigurnosti kao i kod svake druge, smanjenje rizika. Pri tome je uvijek potrebno razmišljati gdje je rizik, jesu li tvrtke s kojima surađujete rizične.
Pitajte se tko je mogući napadač. Napravite i analizu utjecaja, što se može dogoditi ako do napada ipak dođe. Razmišljanje o sigurnosti organizacije nije, zapravo, bitno drugačije od razmišljanja o sigurnosti vlastitog doma.
