ShareElectric.cz
Sdílení

Proč IT experti v rozvodně pohoří (a proč na tom záleží)

Proč IT experti v rozvodně pohoří (a proč na tom záleží) - Sdílení | SmartEnergyShare

Pět vteřin od blackoutu: Jak hackeři drží českou rozvodnou síť pod krkem

Dva mladíci ze skupiny Scattered Spider dostali před pár dny u soudu pět a půl roku natvrdo. Důvod? Hackli londýnský dopravní systém TfL a způsobili škodu za 29 milionů liber. Možná si říkáte: „No a co, je to jen doprava, mně se nic nestalo.“ Jenže tihle „pavouci“ a jim podobné skupiny už dávno nekoukají jen po platebních kartách. Jejich novým hřištěm je OT – Operational Technology. Tedy ty černé skříňky, které ovládají vaše jističe, turbíny v elektrárnách a ventily v plynovodech. Pokud si myslíte, že vaše domácí fotovoltaika nebo firemní trafostanice je v bezpečí, protože máte „antivirus“, jste na nejlepší cestě k velmi temnému a studenému probuzení.

Proč IT experti v rozvodně pohoří (a proč na tom záleží)

Svět kyberbezpečnosti se dlouho dělil na dva izolované ostrovy. Na jednom seděli ajťáci v mikinách, řešili e-maily, Windows a databáze. Na druhém byli chlápci v montérkách, kteří rozuměli relé, PLC automatům a protokolům jako Modbus nebo Profinet, o kterých běžný smrtelník v životě neslyšel. Tenhle „air-gap“ – tedy fyzické oddělení sítí – už neexistuje. Všechno je propojené. A právě tady začíná problém.

Tradiční IT bezpečnost funguje na principu: „Když je problém, restartuj to nebo to odpoj.“ Zkuste tohle udělat s turbínou, která se točí tisíckrát za sekundu, nebo s jaderným reaktorem. V OT světě je prioritou dostupnost a fyzická bezpečnost. Pokud vám hacker zašifruje e-maily, je to nepříjemné. Pokud vám hacker přepíše logiku v PLC automatu a vypne chlazení transformátoru, může z toho být požár, který vyřadí proud pro celé město.

Společnost Dragos, která patří ke světové špičce v ochraně průmyslových systémů, ve své poslední zprávě varuje: útoky na průmysl vzrostly meziročně o padesát procent. Hackeři už nechtějí jen krást data. Chtějí mít prst na vypínači. A to je důvod, proč se energetická platforma SES a další moderní systémy musí soustředit na to, co se děje pod kapotou. Moderní energetika totiž stojí na datech, a kde jsou data, tam jsou i ti, kteří je chtějí zneužít.

Dragos a lekce z frontové linie: Ransomware už není jen o datech

Když se podíváte na aktualizace produktů od Dragos, vidíte jasný trend: viditelnost. Nemůžete chránit to, co nevidíte. Většina průmyslových podniků v Česku ani netuší, kolik zařízení mají v síti. Mají tam zapomenuté modemy z roku 2005, které tam nechal subdodavatel pro „vzdálenou správu“. To je pro hackera jako nechat klíče v zámku a na dveře napsat „Vstup volný“.

Nové aktualizace platformy Dragos se zaměřují na tzv. „Neighborhood Watch“. Jde o sdílení informací o hrozbách mezi firmami v reálném čase. Pokud někdo zaútočí na vodárnu v Německu, česká rozvodna o tom musí vědět během sekund, ne až si to za týden přečte v reportu. Tento přístup k bezpečnosti je kritický i pro obchodování flexibility. Pokud agregátor ovládá stovky baterií a tepelných čerpadel, stává se z něj v podstatě virtuální elektrárna. A pokud tuhle elektrárnu někdo ovládne, může rozkolísat celou síť tak, že ji ČEPS nebude stíhat regulovat.

Skupiny jako Scattered Spider nebo proslulý LockBit už pochopily, že vydírání průmyslového podniku je mnohem efektivnější než trápení e-shopu. Výrobní linka, která stojí, znamená ztráty v milionech korun za hodinu. V energetice je to ještě horší. Tady se hraje o stabilitu státu. Hackeři dnes využívají techniky jako „Living off the Land“. Nepoužívají vlastní malware, ale zneužívají legitimní nástroje, které už v systému jsou. Jak chcete detekovat útočníka, který vypadá jako váš servisní technik?

Útok na střídače: Vaše FVE jako trojský kůň?

Pojďme k něčemu, co má dnes na střeše každý druhý Čech. Fotovoltaika. Moderní střídač je v podstatě počítač s připojením k internetu. Často běží na neaktualizovaném Linuxu a komunikuje s cloudem v Číně nebo v USA. Představte si scénář, o kterém se v bezpečnostních kruzích mluví čím dál hlasitěji: hromadný útok na konkrétní značku střídačů.

Útočník nemusí nic ničit. Stačí, když ve stejnou vteřinu vypne 100 000 střídačů v celé střední Evropě. V ten moment vypadne ze sítě několik gigawattů výkonu. Síť zažije obrovský šok, frekvence prudce klesne a automatické ochrany začnou odpojovat celé oblasti, aby zabránily totálnímu kolapsu. Tohle není sci-fi, to je matematická jistota, pokud budeme bezpečnost OT podceňovat.

Proto je důležité, aby výrobci elektřiny neřešili jen to, kolik panelů dají na střechu, ale i to, jak zabezpečený je jejich monitoring. Kvalitní IoT monitoring není jen o grafících v mobilu. Je to o šifrované komunikaci, segmentaci sítí a neustálém dohledu. Pokud vám někdo nabízí „chytrou energetiku“ bez jasné bezpečnostní architektury, raději od něj dejte ruce pryč. Více o tom, jak chránit i ty nejmenší komponenty, píše například SmartEnergyShare.cz.

NUKIB a NIS2: Konec éry „to se nás netýká“

Český Národní úřad pro kybernetickou a informační bezpečnost (NUKIB) v tomto ohledu nespí. Nová evropská směrnice NIS2, která se propisuje do našeho zákona o kybernetické bezpečnosti, dopadne na tisíce českých firem. Už to nebude jen o bankách a operátorech. Do hledáčku spadnou i středně velcí dodavatelé energií, výrobci komponent a dokonce i některé obce.

NUKIB doporučuje jasnou strategii: Zero Trust v OT sítích. To znamená, že nikdo a nic v síti nemá automatickou důvěru. Chce se servisní technik připojit k PLC? Musí projít multifaktorovým ověřením. Chce senzor poslat data? Musí to být přes zabezpečený kanál. Směrnice NIS2 také zavádí osobní odpovědnost statutárních orgánů. Pokud jste jednatelem firmy v energetice a kašlete na bezpečnost, můžete za to nést osobní následky, včetně pokut, které vám zruinují rodinný rozpočet.

Je fascinující sledovat, jak se mění role CISO (Chief Information Security Officer). Dřív to byl člověk, co řešil firewally. Dnes musí rozumět fyzice energetických soustav. Musí vědět, co je to flexibilita sítě a jak může kybernetický incident ovlivnit stabilitu přenosové soustavy. Pokud chcete pochopit, jak se tyto technologie vyvíjejí i v oblasti baterií, doporučuji sledovat BESS Global Blog.

Best practices: Jak nenechat hackery vyhrát

Ochrana OT sítě není o nákupu jedné drahé krabice s nápisem „Cyber-Safe“. Je to o procesu. Tady je několik bodů, které by měl mít v malíčku každý, kdo to s průmyslovou bezpečností myslí vážně:

  1. Segmentace, segmentace a zase segmentace. IT a OT sítě musí být oddělené. Mezi nimi musí stát firewall, který propustí jen to absolutní minimum. Žádné sdílené tiskárny, žádné „připojím se z kanclu rovnou na turbínu“.
  2. Pasivní monitoring. V OT světě nemůžete dělat aktivní skeny sítě (jako Nmap), protože starší PLC by se z toho mohly zbláznit a zastavit. Používejte nástroje jako Dragos, které jen „poslouchají“ provoz a upozorní na anomálie.
  3. Správa identit. Každý přístup musí být dohledatelný. Sdílená hesla typu „admin/admin“ nebo „operator123“ jsou v kritické infrastruktuře v podstatě vlastizrada.
  4. Plán pro případ nouze. Co uděláte, když zjistíte, že máte v síti útočníka? Máte zálohy konfigurací PLC? Víte, jak systém odpojit od internetu a přejít na manuální řízení? Pokud ne, máte problém.

Bezpečnostní experti se shodují, že největší slabinou zůstává člověk. Phishing, který zasáhl Scattered Spider a umožnil jim hacknout TfL, byl v jádru jednoduchý – stačilo přesvědčit jednoho zaměstnance, aby zadal své údaje. V průmyslu to funguje stejně. Útočník nepůjde přes zeď, když mu někdo otevře branku. Proto je vzdělávání klíčové pro všechny, od ředitelů po údržbáře.

Závěr: Budoucnost je v odolnosti, ne v neprůstřelnosti

Neexistuje 100% bezpečná síť. Cílem není postavit zeď, kterou nikdo nepřekoná, ale postavit systém, který útok přežije a rychle se z něj vzpamatuje. Tomu se říká kybernetická odolnost (resilience). V éře, kdy se energetika decentralizuje a na scénu přichází sdílení elektřiny, se tato odolnost stává nejdůležitější komoditou.

Hackeři budou vždy o krok napřed. Mají víc času, víc peněz (pokud úspěšně vydírají) a žádná pravidla. My ale máme data, máme odborníky z institucí jako NUKIB a máme technologie, které se učí z každého útoku. Příští roky budou v energetice divoké. Přechod na obnovitelné zdroje a digitalizace sítě s sebou nesou obrovské příležitosti, ale i rizika, která si většina z nás zatím neumí představit. Jedno je ale jisté: ten, kdo dnes šetří na kyberbezpečnosti, zítra zaplatí mnohem víc. A možná přitom bude sedět potmě.

Zdroje

- Dragos Year in Review: ICS/OT Cybersecurity Trends - NUKIB: Zákon o kybernetické bezpečnosti a NIS2 - The Hacker News: Scattered Spider Hackers Sentence - CISA: Industrial Control Systems Joint Working Group - oEnergetice.cz: Kybernetická bezpečnost v moderní energetice

Obchodujete s batteriovými úložišti nebo hledáte partnera pro flexibilitu a day trading elektřiny? SmartEnergyShare nabízí kompletní řešení pro BESS projekty od 50 do 250 kW — obchodování flexibility, SVR služby a IoT monitoring. Zjistěte víc →

Další články na toto téma najdete na: SmartEnergyShare.info Zero-day v Ivanti: Když se klíč k vaší síti válí na darkn... Vice o more analyses