English version
Ještě nedávno se kybernetická kriminalita soustředila především na banky a internetové bankovnictví firem, kde se hackeři po prolomení hesla snažili odsát z účtů podnikové peníze. Nově se však stále více zaměřují na vydírání výrobních firem. S rostoucím propojováním různých technologií s internetem totiž roste zranitelnost průmyslových i energetických společností.
Terčem podobného útoku se loni v srpnu stalo například náchodské družstvo Sněžka. Hackeři zablokovali firemní počítačové systémy a vymáhali po družstvu výpalné ve virtuální měně bitcoin. Podnik se tak na vlastní kůži setkal s moderním zločinem.
Ve Sněžce tak museli improvizovat. A fungovali jako za socialismu – všechno se psalo ručně na papír, příchody a odchody z práce, účetnictví. Počítačový výpadek trval tři dny, zaměstnanci podniku pak museli zhruba další týden za provozu doplňovat do systému data ze zablokovaného období.
Loni v říjnu napadli hackeři systémy nadnárodní společnosti Mölnlycke Health Care (MHC), včetně jejích poboček v Havířově a Karviné. Její tuzemské provozy se zastavily a téměř všichni zaměstnanci zůstali doma.
Bez útoků už je menšina podniků
Podle expertů nejsou podobné útoky zdaleka ojedinělé a s podobnými útoky se setkává stále více firem. Jak je v současnosti riziko závažné? „Odpověď na tuto otázku přinesl náš nedávný průzkum. V něm jsme se letos na jaře ptali 282 průmyslových firem z celého světa včetně České republiky na otázky spojené s jejich kybernetickým zabezpečením. Čtyři firmy z deseti, přesně 41 procent, uvedly, že se za posledních 12 měsíců nesetkaly s žádným kybernetickým útokem. To je o 10 procent méně, než tomu bylo v předešlém roce, kdy to bylo 51 procent,“ uvedl Miroslav Kořen, generální ředitel společnosti Kaspersky pro střední a východní Evropu.
Podle něj se narůstající digitalizací výrazně komplikuje situace s kyberbezpečností v celém průmyslu. „Uvedená statistická data tuto situaci dostatečně ilustrují, a to i když vezmeme v úvahu, že společnosti nemusely v roce 2018 identifikovat všechny incidenty. Navíc 70 procent dotázaných společností uvedlo, že útok na svou infrastrukturu považují za pravděpodobný,“ doplňuje v Miroslav Kořen. Pokusy o kybernetický útok zaznamenalo v prvním pololetí letošního roku také například 41 procent počítačů v energetickém sektoru.
Výpalné za odšifrování dat
Rozsah a rozmanitost vyděračských, takzvaných ransomwarových útoků podle něj v letech 2015 až 2017 výrazně vzrostly. „Většinou se snaží zašifrovat data a zablokovat počítače. Za jejich opětovné zpřístupnění následně požadují vysoké peněžní částky. V důsledku takových incidentů se může na poměrně dlouhou dobu zastavit celá výrobní linka, čímž firma utrpí výrazné ztráty. Jako příklad může posloužit další incident, který se stal tento rok: metalurgická společnost musela na celý týden pozastavit svůj provoz kvůli útoku ransomwarem. Z finanční zprávy této firmy následně vyplynulo, že kvůli přerušení provozu a nákladům na obnovení systémů musela vynaložit 50 milionů eur,“ popisuje Miroslav Kořen.
Podobný útok potkal také belgickou společnost ASCO, výrobce leteckých komponent, která byla nucena kvůli ransomwarovému útoku zastavit na týden výrobu a poslat přes 1000 pracovníků na placené volno. Podobně vyděračské útoky napadly automobilky Nissan a Renault, společnost Norsky Hydro nebo tchajwanského výrobce polovodičů TSMC.
„Výrobní podniky se staly mezi počítačovými vyděrači populární pro vysoké náklady, které platí společnost v případě stojící výrobní linky. Podle nedávné studie firmy Ponemon činí průměrná hodinová ztráta 22 000 dolarů. To vytváří na oběti ransomwaru obrovský tlak na rychlé zaplacení a obnovu provozu. Výrobní firma si nemůže dovolit stát dlouho bez výroby a pokud není schopna rychle obnovit výrobní data, raději riskne zaplacení výkupného,“ vysvětluje Zdeněk Bínek, ředitel společnosti Zebra systems.
Od plynárenství po papírny
Také podle dalších odborníků útoky na firmy rostou. „Tento trend je viditelný. Už viry jako Wannacry, nebo Petya způsobily zásadní škody v mnoha českých firmách, a je to vidět i na medializaci. Když už se něco začíná řešit veřejně, tak to znamená, že stokrát tolik problémů nikdo zveřejnit samozřejmě ani nechtěl,“ říká Ondřej Ševeček z Počítačové školy Gopas.
Řadu případů zná z osobní zkušenosti. „Já sám jsem to řešil v plynárenské společnosti, u výrobce kosmetiky, v papírnách, mediální agentuře a v nemocnici. Kde to bylo, a jaké to mělo dopady, vám samozřejmě nikdo neřekne. Ale můžu vám říct, že měli problémy v řádu týdnů a že se sakra lekli,“ popisuje Ondřej Ševeček.
Ransomware je vyděračský software, který ve firmě zašifruje její data a za jejich odblokování požaduje výkupné. „Domnívám se, že v blízké budoucnosti budou mít ransomwary specificky vyvinuté pro útoky na průmyslové systému nové funkce – místo šifrování dat se malware bude buď zaměřovat na narušování probíhajících úkonů nebo na blokování klíčových aktivit uvnitř společnosti,“ popisuje Miroslav Kořen. To naznačují i statistiky. Od ledna do konce června tohoto roku zablokovala bezpečnostní řešení Kaspersky na průmyslových automatizačních systémech téměř 21 tisíc malwarových modifikací. To je zhruba o 1700 modifikací více, než ve druhém pololetí 2018.
„Ransomware zpravidla napadá kancelářské počítače průmyslových firem, nejvíce škod však páchá v rámci průmyslové sítě. Následky takových infekcí mohou být vážné a zahrnovat selhání výroby – když například dojde k infikování systémů plánování a řízení,“ podotýká Miroslav Kořen.
Za útoky budou také státy
Právě šíření vyděračského softwaru podnikovou sítí pak způsobuje nárůst škod. „Výrobní provozy jsou řízeny a sledovány elektronikou, která je obvykle postavena na ‚normálních‘ počítačích propojených do sítě. Nemusí to být rovnou internet věcí nebo roboti. I čidla teploty v elektrárně, motory, které točí pásem, nebo počítačové tomografy a lůžka v nemocnici jsou propojena po běžné síti ke svým řídícím počítačům. A ty jsou propojeny s kancelářskými počítači, protože je to pro uživatele pohodlné. No, a když se po té síti rozšíří ransomware, tak se nezajímá o to, jaká data šifruje. Když zašifruje výrobní data, tak výroba nepojede,“ upozorňuje Ondřej Ševeček na zranitelnost propojených systémů.
Se zapojováním robotů a rozšiřováním internetu věcí podle něj toto riziko dál poroste. „Do budoucna to bude také čím dál více cíl útoků cizích mocností, kteří se také rádi postarají o vypnutí elektráren, vodáren a pekáren, když jim o něco půjde,“ varuje Ondřej Ševeček.
Klíčové je zálohovat a chránit poštu
Obrana proti ransomwaru není podle odborníků v součsnosti snadná. „Jeho tvůrci se poučili z toho, že se firmy zlepšily a zintenzivnily zálohování a dnešní útoky jsou rafinovanější a nebezpečnější. Stále ale platí, že zálohování je první podmínkou pro přežití ransomwarového útoku. Je proto nutné vytvářet zálohy a ukládat je na bezpečné místo – pokud bude nejhůř, data i systémy lze z těchto záloh obnovit,“ podotýká Zdeněk Bínek.
Druhým krokem je podle něj využívat aktivní ochranu proti ransomwaru. Další vrstvu obrany představuje zabezpečení vstupu do podnikové sítě. „Je proto nutné nastavit přísnější filtrování pošty, protože nejčastějším způsobem nákazy je e-mail a infikovanou přílohu nebo odkaz v emailu vedoucí na zavirovaný obsah,“ podotýká Zdeněk Bínek.
S tím také souvisí zpřísnění přidělování administrátorských práv uživatelům, kteří je nemají mít. „Největším rizikem jsou uživatelé a není složité přesvědčit nepoučeného uživatele, aby pod nějakou záminkou otevřel přílohu. Takovou přílohou může být například údajně neproplacená faktura zaslaná na fakturační oddělení, údajný životopis zaslaný na personální oddělení, údajná objednávka zaslaná na obchodní oddělení, nebo údajné potvrzení o doručování zásilky,“ popisuje Zdeněk Bínek některé z triků, pomocí nichž se ransomwar šíří. V neposlední řadě je podle něj třeba aktualizovat – v pravidelně aktualizovaných systémech je vždy nižší riziko, že bude systém ransomwarem napaden a šířen dále.
Kromě ransomwarů útočí na průmyslové počítače běžně i další škodlivé typy softwaru, jako trojští koně, viry nebo červi.
Dalibor Dostál
