Roste počet útoků proti kritické infrastruktuře a pokusů o její sabotáž

Ze studie společnosti McAfee vyplývá, že provozovatelé kritické civilní infrastruktury jsou na kybernetické hrozby nedostatečně připraveni. Přitom 80 % firem z těchto sektorů již zaznamenalo rozsáhlý útok a 25 % se stalo obětí vydírání.

Praha 5. 5. 2011 – Společnost McAfee představila včera výsledky studie s názvem In the Dark: Crucial Industries Confront Cyberattacks (V temnotě: Klíčová infrastruktura vs. kybernetické útoky), na které spolupracovala s organizací CSIS (Center for Strategic and International Studies). Studie mapuje cenu a dopad kybernetických útoků na kritickou civilní infrastrukturu, například na elektrorozvodné sítě nebo na systémy pro rozvod a zpracování pitné vody, ropy a zemního plynu. Průzkum mezi 200 zaměstnanci (lidé s výkonnou pravomocí odpovědní za zabezpečení IT) firem z těchto sektorů ve 14 zemích ca celém světě vedl ke zjištění, že 40 % respondentů pokládá míru zranitelností ve svém oboru za stále se zvyšující. Téměř 30 % dotazovaných uvedlo, že jejich firma není dostatečně připravena na kybernetický útok. Více než 40 % očekává, že k masivnímu útoku dojde v průběhu následujícího roku.

Studii vypracovala na objednávku společnosti McAfee organizace CSIS. „Zjistili jsme, že přijetí bezpečnostních opatření v civilním průmyslu nestačí držet krok s nárůstem hrozeb, k němuž došlo za poslední rok,“ uvedl Stewart Baker, který řídil studii na straně CSIS. Zavádění nových bezpečnostních technologií je podle Barkera pomalé. Specialisté na zabezpečení IT jsou se svými názory téměř osamocení: 90–95 % lidí pracujících ve firmách provozujících rozvodné sítě nemá z nedostatečného zabezpečení obavy
a bezpečnost IT systémů vnímají až na posledním místě v seznamu věcí, které je třeba kontrolovat.

Provoz současné kritické infrastruktury je přitom na fungování řídicích počítačových systémů ve velké míře závislý. Tyto systémy se nejčastěji označují jako SCADA (supervisory control and data acquisitions, doslova „nadřazené řízení a sběr dat“). Kromě zranitelností samotných systémů je dalším problémem mnohdy nevhodný návrh sítí. Často fungují tak, že i relativně drobné narušení se může kaskádovitě šířit, a nakonec vyřadit

z provozu značnou část sítě (např. při výpadcích dodávek proudu – tzv. blackout).

Co se změnilo po roce

Nová studie navazuje na loňskou analýzu společnosti McAfee In the Crossfire: Critical Infrastructure in the Age of Cyberwar (V křížové palbě: Kritická infrastruktura v období kybernetické války). Vyplynulo z ní, že řada systémů kritické infrastruktury po celém světě se opírá o nedostatečně chráněné počítačové sítě. Kybernetické útoky proti těmto sítím měly velký dopad a působily obrovské škody.

Letošní studie ukazuje, že zatímco míra hrozeb se stále zvyšuje, z druhé strany na tento trend neexistuje dostatečná reakce. Oproti loňskému roku se totiž míra zabezpečení kritické infrastruktury zvýšila jen velmi málo; k relativně největšímu zlepšení situace došlo u vodárenských firem a provozovatelů kanalizací. Letošní studie se konkrétně zaměřila např. na politiku firem ve vztahu k vyměnitelným paměťovým médiím, způsoby nasazování bezpečnostních oprav, firewally (nejen mezi organizací a Internetem, ale i mezi jednotlivými sítěmi organizace), metody autentizace, možnosti vzdáleného přístupu, systémy IPS (intrusion prevention systems) a IDS (intrusion detection systems), použití šifrování, řízení aplikací pomocí whitelistů, nástroje proti úniku dat (data loss prevention)
a otázky přístupu k síti z mobilních zařízení a jejich zabezpečení. Zjištěním těchto parametrů vznikl komplexní obraz o situaci ve sledovaných odvětvích.

Výsledkem je zjištění, že současná situace je z bezpečnostního hlediska neuspokojivá. Firmy se při ochraně své infrastruktury často přednostně zaměřují na útoky „hrubou silou“ namísto ochrany před sofistikovaným malwarem provádějícím nepozorovaně sabotáž. Většina respondentů (75 %) připouští, že ve svých sítích často zaznamenává přítomnost malwaru navrženého tak, aby způsobil sabotáž systému. Téměř polovina respondentů
v elektrárenském průmyslu (46 %) objevila ve svých systémech červ Stuxnet; celkově byl tento podíl mezi respondenty průzkumu 40 %. 57 % dotazovaných firem prošlo právě kvůli červu Stuxnet speciálním bezpečnostním auditem. Nejúčinněji se výskyt červa Stuxnet podařilo potlačit v Itálii, Japonsku a Spojených arabských emirátech, tento malware je dnes rozšířen naopak hlavně v Indii.

Vážná bezpečnostní rizika existují i ve vztahu k právě zaváděným elektrorozvodným sítím nových typů (tzv. smart grids, tedy „inteligentní sítě“, které umožňují např. v reálném čase regulovat výrobu a spotřebu elektrické energie; předpokládá se, že zavádění těchto sítí bude v roce 2015 představovat celosvětově trh o hodnotě přesahující 45 miliard dolarů).


Další hlavní zjištění letošní studie

  • Nejčastější kybernetické útoky: 80 % respondentů se setkalo s rozsáhlých útokem na dostupnost služby (DDoS, distributed denial of service). Čtvrtina respondentů uvádí, že k takovým útokům dochází denně či týdně nebo jimi vyděrači alespoň vyhrožují. Ještě větší podíl odpovídajících, 85 %, zaznamenal, že jejich síť byla infiltrována škodlivými kódy. Před rokem s žádným DDoS útokem ještě neměla zkušenosti téměř polovina firem provozujících kritickou infrastrukturu, nyní tento podíl klesl na 20 %.
  • Všudypřítomní vyděrači: Čtvrtina respondentů se v souvislosti s kybernetickými útoky setkala s vydíráním. Podíl postižených firem vzrostl meziročně o 25 %. Existují zde velké regionální rozdíly. V některých zemích, jako je Indie nebo Mexiko, je situace zvlášť závažná, vydírání zde připouští 60–80 % manažerů. Naopak mezi jednotlivými odvětvími kritické infrastruktury se situace v tomto ohledu neliší. Allan Paller, ředitel SANS Institute, pokládá vydírání za obrovskou a přitom obvykle málo zmiňovanou oblast kybernetické kriminality. Útočníci mnohdy nevyhrožují planě, ale jsou schopni fungování kritické infrastruktury narušit. Předpokládá se, že za výpadky elektrorozvodných sítí v řadě zemí světa opravdu stály kybernetické útoky, ačkoliv z oficiálních míst to bývá jako příčina incidentů obvykle popíráno.
  • Organizace selhávají při zavádění efektivního zabezpečení: Důmyslnější postupy zabezpečení jsou v menšině. Jen asi čtvrtina respondentů má implementovány nástroje pro sledování činnosti sítí a jen 26 % používá nástroje detekující anomální chování IT systémů.
  • Rozdíly mezi jednotlivými zeměmi: V zavádění bezpečnostních opatření zaostávají hlavně Brazílie, Mexiko a Francie, na opačném konci žebříčku se nacházejí Čína, Japonsko a Itálie. V Číně, Japonsku a Spojených arabských emirátech existuje největší důvěra také v to, že zabránit útokům/odstrašit zločince dokáže v jejich zemích také účinná legislativa a schopnost vynutit postih zločinců.
  • Vlády a komerční sektor: USA a Evropa jsou za asijskými zeměmi pozadu v míře zapojení vlád. V Číně a Japonsku probíhá s ohledem na zabezpečení kritické infrastruktury mezi komerčním sektorem a vládami řada formálních i neformálních kontaktů, naopak v USA, Velké Británii nebo Španělsku je takových interakcí minimum. V Číně musejí provozovatelé kritické infrastruktury procházet náročnými bezpečnostními audity.
  • Strach z cizích vlád: Více než polovina respondentů je přesvědčena, že za některým z již provedených útoků proti jejich infrastruktuře stály cizí vlády.


O studii In the Dark: Crucial Industries Confront Cyberattacks

Průzkum na objednávku společnosti McAfee realizovala konzultační společnost Vanson Bourne, jež se zaměřuje na marketingový výzkum v technologickém sektoru. Průzkum byl proveden mezi více než 200 zaměstnanci s rozhodovací pravomocí odpovědnými za bezpečnost IT v energetickém, vodárenském, ropném nebo plynárenském průmyslu. Průzkum se uskutečnil ve 14 zemích (USA, Velká Británie, Německo, Francie, Itálie, Španělsko, Rusko, Spojené arabské emiráty, Japonsko, Čína, Indie, Brazílie, Mexiko, Austrálie). Organizace Centre for Strategic and International Studies (CSIS) poté provedla analýzu kvantitativních výsledků, doplnila ji dalším kvalitativním výzkumem a potvrdila výsledky této studie.

Počet 200 respondentů je nižší než obvykle – důvodem je, že v některých zemích existuje jen 1 nebo 2 provozovatelé příslušné sítě/infrastruktury, takže by bylo obtížné získat větší počet relevantních odpovědí. Výsledky studie jsou nicméně statisticky významné.

O CSIS

Center for Strategic and International Studies (CSIS) je nezisková organizace založená v roce 1962. Její ústředí se nachází ve Washingtonu. Cílem organizace je podporovat globální bezpečnost a ekonomickou prosperitu. Lidem s rozhodovaní pravomocí nabízí CSIS své strategické analýzy.