Řešení kyberprostorového zabezpečení systémů SIS: na prvním, či na posledním místě?

-- 16.07.09 22:38

Únor 2008: Firma, která se chlubila tím, že dodává „dokonalé systémy protipožární ochrany“, skončila v plamenech. Dým se vznášel nad skladištními budovami, kde sídlila společnost Atlantica Mechanical (Dartmouth, Nové Skotsko) – firma dohlížející na návrh, instalaci a údržbu protipožárních systémů. Místní hasičský sbor plameny uhasil, ale budovy a jejich zařízení lehly popelem.

Není to tak jednoduché

Březen 2008: „Pracovníci obsluhující pro stát kritickou infrastrukturu, jako jsou telekomunikace a doprava, potřebují lepší zaškolení v tom, jak zvládat záložní systémy v případě, že kyberprostorové útoky napadnou hlavní systémy,“ uvedl vrcholný úředník Ministerstva národní bezpečnosti USA. To byl jeden z poznatků zjištěných během cvičení Cyber Storm II, kterým toto ministerstvo simulovalo rozsáhlý koordinovaný kyberprostorový útok na sítě národní infrastruktury.

• zavírejte a zamykejte dveře – zásady, postupy a jejich vymáhání,

• identifikujte „poklady“, které musí být chráněny – proč a před kým,

• využívejte již dostupných poznatků a provádějte hodnocení rizika a analýzy vrstev ochrany, definujte úrovně zajištění bezpečnosti,

• zajistěte pravidelné provádění cvičných zkoušek detekčních a výstražných systémů a aktivit osob odpovědných za reakci na výstrahy,

• vypracujte a prakticky procvičte plán obnovy po havárii systému, včetně opětovného nahrání softwaru,

• uznejte a přijměte skutečnost, že neexistuje jediný ochranný mechanismus,

• pro vetřelce připravte trnitou cestu,

• pochopte celou architekturu hloubkové ochrany vaší firmy a využijte její infrastrukturu pro ochranu oblasti řídicích a zabezpečovacích systémů,

• v oblastech řízení a bezpečnosti aplikujte odpovídající ochranu, včetně použití zařízení průmyslové třídy,

• připojení řídicích a zabezpečovacích systémů provádějte s respektováním zásad dobré technické praxe,

• přijměte skutečnost, že nejde o jednorázovou aktivitu, ale že zdroje, cíle a vyspělost útočníků a jejich zbraně se neustále rozvíjejí, což vyžaduje, abyste průběžně přehodnocovali a v případě potřeby posilovali své ochranné vrstvy.

Zavírání a zamykání dveří Duben 2007: Lonnie Charles Denison, zaměstnanec společnosti Science Application International v San Diegu, pracoval jako smluvní správce unixového systému pro kalifornskou společnost Independent System Operator (ISO). Byl znechucen

Hardware a zásady

Listopad 2006: Federální inspektoři potvrdili prolomení zabezpečení v závodu na výrobu jaderných zbraní Y-12 v Oak Ridge, když byl do úseku s vysokým zabezpečením pronesen nepovolený přenosný počítač. Vyšetřovatelé potvrdili, že personál zabezpečení kyberprostoru závodu Y-12 po zjištění prolomení nereagoval správně a incident nahlásil do sídla Ministerstva energetiky ve Washingtonu až o šest dnů později. Zásady Ministerstva energetiky vyžadují, aby byly takové incidenty hlášeny do 32 hodin. Dotyčným pracovníkům byla odebrána přístupová práva a čeká je disciplinární řízení.

Identifikujte své poklady

Leden 2008: Polský mladík si údajně z tramvajového systému města Lodže udělal svou hračku. Pomocí upraveného televizního dálkového ovladače byl tento čtrnáctiletý chlapec schopen přehazovat výhybky a měnit řídicí signály, což mělo za následek zranění 12 lidí a vykolejení čtyř tramvají.

Každá firma má fyzická aktiva a duševní vlastnictví, které musí střežit za každou cenu:

• duševní vlastnictví zahrnuje informace o klientech u burzovních makléřů, data z výzkumu a klinických testů u biotechnologických společností a ingredience a receptury u výrobců parfémů.

• k fyzickým aktivům patří systémy pro generování, přenos a distribuci elektřiny u elektrorozvodných závodů, výrobní jednotky u specializovaných chemických závodů a rafinérií a potrubí a kompresory u přepravců ropy a zemního plynu.

Alan Paller, ředitel pro výzkum institutu SANS, vzdělávací organizace zaměřené na kyberprostorové zabezpečení, nedávno odhalil tajemství CIA: „Podle špičkového analytika CIA pro kyberprostorové zabezpečení, Toma Donahua, se počítačoví hackeři pokusili proniknout do elektrických rozvodných sítí v několika oblastech v zahraničí a narušit je. V některých místech se jim to podařilo.“

Paller říká, že se rozhodl porušit svou dohodu o mlčenlivosti s Donahuem a CIA, „protože šéfům rozvodných závodů jejich techničtí pracovníci lžou. Technici říkají: ‚Kdepak, dovnitř se nikdo nemůže dostat! Nejsme připojeni k internetu.‘ Ale na oné schůzce s námi byli i tři lidé, kteří se živí tím, že provádějí testovací průniky do energetických závodů a každý z nich potvrdil, že se jim dovnitř podařilo dostat pokaždé, i když organizace tvrdily, že nejsou připojeny k internetu. Samy totiž nevěděly o všech připojeních, které měly.“

Záměrem zabezpečovacího systému pro nepřerušovaný provoz firmy je chránit co nejvíce aktiv, jak je jen možné. Selský rozum ale říká, že nelze chránit vše stejně. Musíte identifikovat své „poklady“, stanovit priority podle jejich hodnoty, a poté vystavět architekturu hloubkové ochrany, která poskytuje to nejlepší řešení pro zajištění nepřerušovaného chodu firmy.

Eric Byers, CEO společnosti Byres Security, říká: „Zásady a postupy znamenají rychlý úspěch. Zvládání něčeho tak jednoduchého jako jsou přenosné počítače a paměťové klíčenky, má zásadní význam. Žádná technologie na světě vám nepomůže, pokud nemáte tyto postupy zavedeny.“ Byers má pravdu, ale ani plný trezor zásad a postupů vás neochrání, pokud nebudete vyžadovat také jejich striktní dodržování. Dokud nejste připraveni své zásady a postupy podložit okamžitým propuštěním zaměstnanců, ukončením spolupráce se smluvními partnery a dodavateli apod., jsou v zásadě bezcenné. Zásady a postupy pomáhají zavírat dveře, ale jen jejich vymáhání je zamyká! nevyřešeným sporem se svým zaměstnavatelem a pokusil se narušit datové centrum firmy ISO v kalifornském Folsomu – kladívkem rozbil bezpečnostní sklo nouzového vypínače a stiskl tlačítko.

Autor: Bob Huba a Chuck Miller, Emerson Process Management

Sponzorované odkazy

	All for Power - odborný časopis o energetice Časopis All for Power se zaměřuje na uhelnou a jadernou energetiku, plynárenství, teplárenství a energetické strojírenství. Medium přináší i racionální pohledy na OZE.
	Řízení a údržba průmyslového podniku Redaktoři časopisu průběžně sledují nejnovější trendy ve všech aspektech výroby v průmyslových závodech a přinášejí odběratelům informace, které potřebují pro udržení své konkurenceschopnosti.
	4METAL.CZ - portál kovozpracujícího odvětví Skupina 4metal je sdružení kovozpracujících a strojírenských firem. Katalog firem, Burza strojů a materiálů, Burza práce, akce, aktuality, média. To vše na jedné adrese.