Print

Řešení kyberprostorového zabezpečení systémů SIS: na prvním, či na posledním místě?

-- 16.07.09

Únor 2008: Firma, která se chlubila tím, že dodává „dokonalé systémy protipožární ochrany“, skončila v plamenech. Dým se vznášel nad skladištními budovami, kde sídlila společnost Atlantica Mechanical (Dartmouth, Nové Skotsko) – firma dohlížející na návrh, instalaci a údržbu protipožárních systémů. Místní hasičský sbor plameny uhasil, ale budovy a jejich zařízení lehly popelem.

               

Není to tak jednoduché

Březen 2008: „Pracovníci obsluhující pro stát kritickou infrastrukturu, jako jsou telekomunikace a doprava, potřebují lepší zaškolení v tom, jak zvládat záložní systémy v případě, že kyberprostorové útoky napadnou hlavní systémy,“ uvedl vrcholný úředník Ministerstva národní bezpečnosti USA. To byl jeden z poznatků zjištěných během cvičení Cyber Storm II, kterým toto ministerstvo simulovalo rozsáhlý koordinovaný kyberprostorový útok na sítě národní infrastruktury.

• zavírejte a zamykejte dveře – zásady, postupy a jejich vymáhání,

• identifikujte „poklady“, které musí být chráněny – proč a před kým,

• využívejte již dostupných poznatků a provádějte hodnocení rizika a analýzy vrstev ochrany, definujte úrovně zajištění bezpečnosti,

• zajistěte pravidelné provádění cvičných zkoušek detekčních a výstražných systémů a aktivit osob odpovědných za reakci na výstrahy,

• vypracujte a prakticky procvičte plán obnovy po havárii systému, včetně opětovného nahrání softwaru,

• uznejte a přijměte skutečnost, že neexistuje jediný ochranný mechanismus,

• pro vetřelce připravte trnitou cestu,

• pochopte celou architekturu hloubkové ochrany vaší firmy a využijte její infrastrukturu pro ochranu oblasti řídicích a zabezpečovacích systémů,

• v oblastech řízení a bezpečnosti aplikujte odpovídající ochranu, včetně použití zařízení průmyslové třídy,

• připojení řídicích a zabezpečovacích systémů provádějte s respektováním zásad dobré technické praxe,

• přijměte skutečnost, že nejde o jednorázovou aktivitu, ale že zdroje, cíle a vyspělost útočníků a jejich zbraně se neustále rozvíjejí, což vyžaduje, abyste průběžně přehodnocovali a v případě potřeby posilovali své ochranné vrstvy.

Zavírání a zamykání dveří Duben 2007: Lonnie Charles Denison, zaměstnanec společnosti Science Application International v San Diegu, pracoval jako smluvní správce unixového systému pro kalifornskou společnost Independent System Operator (ISO). Byl znechucen

Hardware a zásady

Listopad 2006: Federální inspektoři potvrdili prolomení zabezpečení v závodu na výrobu jaderných zbraní Y-12 v Oak Ridge, když byl do úseku s vysokým zabezpečením pronesen nepovolený přenosný počítač. Vyšetřovatelé potvrdili, že personál zabezpečení kyberprostoru závodu Y-12 po zjištění prolomení nereagoval správně a incident nahlásil do sídla Ministerstva energetiky ve Washingtonu až o šest dnů později. Zásady Ministerstva energetiky vyžadují, aby byly takové incidenty hlášeny do 32 hodin. Dotyčným pracovníkům byla odebrána přístupová práva a čeká je disciplinární řízení.

Identifikujte své poklady

Leden 2008: Polský mladík si údajně z tramvajového systému města Lodže udělal svou hračku. Pomocí upraveného televizního dálkového ovladače byl tento čtrnáctiletý chlapec schopen přehazovat výhybky a měnit řídicí signály, což mělo za následek zranění 12 lidí a vykolejení čtyř tramvají.

Každá firma má fyzická aktiva a duševní vlastnictví, které musí střežit za každou cenu:

• duševní vlastnictví zahrnuje informace o klientech u burzovních makléřů, data z výzkumu a klinických testů u biotechnologických společností a ingredience a receptury u výrobců parfémů.

• k fyzickým aktivům patří systémy pro generování, přenos a distribuci elektřiny u elektrorozvodných závodů, výrobní jednotky u specializovaných chemických závodů a rafinérií a potrubí a kompresory u přepravců ropy a zemního plynu.

Alan Paller, ředitel pro výzkum institutu SANS, vzdělávací organizace zaměřené na kyberprostorové zabezpečení, nedávno odhalil tajemství CIA: „Podle špičkového analytika CIA pro kyberprostorové zabezpečení, Toma Donahua, se počítačoví hackeři pokusili proniknout do elektrických rozvodných sítí v několika oblastech v zahraničí a narušit je. V některých místech se jim to podařilo.“

Paller říká, že se rozhodl porušit svou dohodu o mlčenlivosti s Donahuem a CIA, „protože šéfům rozvodných závodů jejich techničtí pracovníci lžou. Technici říkají: ‚Kdepak, dovnitř se nikdo nemůže dostat! Nejsme připojeni k internetu.‘ Ale na oné schůzce s námi byli i tři lidé, kteří se živí tím, že provádějí testovací průniky do energetických závodů a každý z nich potvrdil, že se jim dovnitř podařilo dostat pokaždé, i když organizace tvrdily, že nejsou připojeny k internetu. Samy totiž nevěděly o všech připojeních, které měly.“

Záměrem zabezpečovacího systému pro nepřerušovaný provoz firmy je chránit co nejvíce aktiv, jak je jen možné. Selský rozum ale říká, že nelze chránit vše stejně. Musíte identifikovat své „poklady“, stanovit priority podle jejich hodnoty, a poté vystavět architekturu hloubkové ochrany, která poskytuje to nejlepší řešení pro zajištění nepřerušovaného chodu firmy.

Eric Byers, CEO společnosti Byres Security, říká: „Zásady a postupy znamenají rychlý úspěch. Zvládání něčeho tak jednoduchého jako jsou přenosné počítače a paměťové klíčenky, má zásadní význam. Žádná technologie na světě vám nepomůže, pokud nemáte tyto postupy zavedeny.“ Byers má pravdu, ale ani plný trezor zásad a postupů vás neochrání, pokud nebudete vyžadovat také jejich striktní dodržování. Dokud nejste připraveni své zásady a postupy podložit okamžitým propuštěním zaměstnanců, ukončením spolupráce se smluvními partnery a dodavateli apod., jsou v zásadě bezcenné. Zásady a postupy pomáhají zavírat dveře, ale jen jejich vymáhání je zamyká! nevyřešeným sporem se svým zaměstnavatelem a pokusil se narušit datové centrum firmy ISO v kalifornském Folsomu – kladívkem rozbil bezpečnostní sklo nouzového vypínače a stiskl tlačítko.

I malé dítě chápe nutnost zavírat a zamykat dveře pro ochranu před „lumpy“, a přesto firmy po celém světě v podstatě ignorují toto jednoduché bezpečnostní opatření a nechávají mnoho svých dveří otevřených. Po 11. září 2001 firmy ve zpracovatelském průmyslu utratily miliony dolarů za instalaci a modernizaci vnějšího oplocení, obehnání příkopy, postavení zemních valů, zajištění montážních otvorů, posílení vchodů do závodů a u vchodů pro zaměstnance nainstalovaly technologie zdvojené bezpečnosti. Kdybyste projížděli kolem některého z těchto chemických a farmaceutických závodů či rafinérií upravených opatřeními po 11. září, připadaly by vám téměř nedobytné. Avšak zdání může klamat, zejména, když vyzkoušíte některé ze „zadních vchodů“ závodů. Vozidla se správným označením – UPS, FedEx, dodávky firemního stravování a autobusy smluvních dodavatelů často dodavatelským vjezdem projíždějí jen na mávnutí hlídače.

I kdyby byly zastaveny, prohlídka bezpečnostními pracovníky, kteří jsou obvykle sami smluvně najímáni, je často velmi povrchní. Zdravá strategie hloubkové ochrany musí zahrnovat rozsáhlé zásady, postupy a jejich vymáhání. V tomto souboru opatření zcela jistě nesmí chybět požadavky na návštěvníky, smluvní personál, dodavatele, pracovníky veřejných sítí a další k tomu, aby mohli vstoupit do objektu. Také by měl určovat, co musejí provést dodavatelské firmy, které zajišťují personál na pracovišti, dříve, než umožní svým pracovníkům vstoupit do vašeho závodu – včetně kontrol osobní a pracovní historie, bezpečnostního školení, poučení o shromažďovacím místu, evakuačního školení, osobní komunikace a mnoho dalšího.

Základní myšlenka strategie jednotné hloubkové ochrany je jednoduchá – žádný samostatný mechanismus nenabízí adekvátní ochranu proti nejrůznějším útočníkům a jejich stále dokonalejším zbraním. Proto je nejlepší vytvořit sérii ochranných vrstev, které mají zadržet útočníky v naději, že je pak lze detekovat a odrazit anebo se prostě vzdají a půjdou jinam, kde opevnění není tak silné. To jistě zní jednoduše, ale jak se říká, nic není tak snadné, jak se na první pohled zdá. Vypracovat strategii jednotné hloubkové ochrany není lehké a, aby byla efektivní, její vývoj a návrh vyžaduje značné úsilí a přispění zkušených zástupců všech oblastí vaší firmy. Dále v tomto článku se zaměříme na oblasti řídicích a zabezpečovacích systémů, ale, jak jsme již uvedli, nejúspěšnější strategie hloubkové ochrany jsou ty, které zahrnují celou firmu a obsahují následující pokyny:

Zeptejte se skupiny laiků, co si představuje pod pojmem bezpečnost. Dostane se vám zřejmě různých odpovědí zahrnujících finanční bezpečnost, protipožární ochranu, ochranu před přírodními katastrofami, před neoprávněným přístupem k majetku, počítačům a osobním údajům, ochranu proti nepojištěným motoristům a mnoho dalších podobných koncepcí, které se většinou točí kolem fyzických objektů. Proveďte podobný průzkum u vedoucích pracovníků firem a nejspíš uslyšíte o zabezpečení kyberprostoru, ochraně duševního vlastnictví, kritických obchodních informacích, ochraně zaměstnanců, firemních objektů, výrobních prostředků a životního prostředí.

Tyto a mnoho dalších odpovědí jsou dokladem toho, že pro většinu lidí je bezpečnost synonymem ochrany – ochrany před neočekávaným přerušením našich každodenních aktivit. Firmy k bezpečnosti často přistupují po jednotlivých oblastech – ochrání vnější hranice, ochrání pracovníky, ochrání duševní vlastnictví, životní prostředí atd. Podíváte-li se však na situaci s odstupem, zjistíte, že podstatou bezpečnosti je ve skutečnosti zajištění nepřerušeného chodu firmy. Toho se dá nejlépe dosáhnout vypracováním jednotné strategie a architektury hloubkové ochrany („defense-in-depth“), která dokáže ochránit před nesčetným množstvím možných přerušení činnosti.

Firmy se posledních 20 let intenzivně věnovaly vybudování odolné ochrany před neoprávněným přístupem ke svým informačním systémům. Dnes tyto ochranné aktivity obecně označujeme jako zabezpečení kyberprostoru. I když je ochrana před útočníky využívajícími internet důležitým faktorem, zabezpečení kyberprostoru představuje jen jednu část robustní strategie hloubkové ochrany.

Bob Huba je vedoucí produktový manažer společnosti Emerson Process Management a koordinuje iniciativy bezpečnosti a kyberprostorového zabezpečení pro produkty DeltaV. Chuck Miller je manažer pro rozvoj obchodu s bezpečnostními přístrojovými systémy společnosti Emerson Process Management.

Autor: Bob Huba a Chuck Miller, Emerson Process Management


Sponzorované odkazy

 
Aktuální vydání
Reklama

Navštivte rovněž

  •   Události  
  •   Katalog  

Události

Trendy v robotizaci 2020
2020-01-28 - 2020-01-30
Místo: Best Western Premier / Avanti, Brno
DIAGO 2020
2020-01-28 - 2020-01-29
Místo: Orea Resort Devět Skal ***, Sněžné - Milovy
Trendy automobilové logistiky 2020
2020-02-20 - 2020-02-20
Místo: Parkhotel Plzeň
Úspory v průmyslu
2020-03-03 - 2020-03-03
Místo: Ostrava
AMPER TOUR 2020
2020-03-17 - 2020-03-19
Místo: Brno

Katalog

BALLUFF CZ s.r.o.
BALLUFF CZ s.r.o.
Pelušková 1400
19800 Praha
tel. 724697790

EWWH, s. r. o.
EWWH, s. r. o.
Hornoměcholupská 68
102 00 Praha 10
tel. 734 823 339

B+R automatizace, spol. s r.o.
B+R automatizace, spol. s r.o.
Stránského 39
616 00 Brno
tel. +420 541 4203 -11

Schneider Electric CZ, s. r. o.
Schneider Electric CZ, s. r. o.
U Trezorky 921/2
158 00 Praha 5
tel. 00420737266673

COGNEX
COGNEX
Emmy-Noether-Str. 11
76131 Karlsruhe
tel. 720 981 181

všechny firmy
Reklama


Tematické newslettery




Anketa


Na internetu
V tištěných médiích
Na veletrzích a výstavách
Jinde

O nás   |   Reklama   |   Mapa stránek   |   Kontakt   |   Užitečné odkazy   |   Bezplatné zasílání   |   RSS   |   
Copyright © 2007-2019 Trade Media International s. r. o.
Navštivte naše další stránky
Trade Media International s. r. o. Trade Media International s. r. o. - Remote Marketing Továrna - vše o průmyslu Control Engineering Česko Řízení a údržba průmyslového podniku Inteligentní budovy Almanach produkce – katalog firem a produktů pro průmysl Konference TMI