Kybernetické hrozby pro kritické infrastruktury a ochrana před nimi z pohledu EU

Útoky, které v loňském prosinci postihly ukrajinský energetický sektor, znovu otevřely téma kybernetické zranitelnosti (nejen) evropských kritických infrastruktur. Souběžný nárůst počtu zaznamenaných incidentů, které se příslušných zařízení dotýkají, činí ze zmírňování hrozeb z kyberprostoru jednu z předních výzev, před něž jsou Evropská unie a její členové na poli této domény postaveni.

Pojem „kritické infrastruktury“ odkazuje na vzájemně propojené a na sobě závislé významné zástupce sektorů průmyslu a zajišťování služeb. Jejich typickými představiteli jsou výrobní závody a distribuční sítě elektřiny, plynu, pitné vody a dalších nezbytně důležitých produktů, dopravní systémy a jiné instituce, na nichž stojí fungování společnosti jako organizovaného celku. Z perspektivy kybernetické bezpečnosti se lze často setkat s alternativním pojetím, vymezeným přítomností určitého typu technického vybavení, které je z kyberprostoru ohroženo. Jedná se o elektronické komponenty, známé pod názvem průmyslové řídící systémy (ICS), jež slouží k monitoringu a ovládání procesů v industriální sféře. Do této kategorie spadají zařízení s označením Supervisory Control and Data Acquisition (SCADA), Distributed Control Systems (DCS), nebo Programmable Logic Controllers (PLC). Rozlišovacími kritérii těchto prvků jsou hlavně rozsah jimi spravovaných úseků a charakter funkcí, které vykonávají.

Specifikem průmyslových řídících systémů je, že vycházejí z původně izolovaných jednotek, které při svém chodu spoléhaly na speciální hardware, software a kontrolní protokoly, navrhované namísto splňování bezpečnostních kritérií především k dosažení maximální spolehlivosti. Vlivem modernizace docházelo k jejich nahrazování soustavami využívajícími klasických komunikačních protokolů a k zintenzivnění propojení s konvenční výpočetní technikou, pracující na běžných operačních platformách. 

Poslední fází vývoje ICS je přechod na koncepci typu „internet věcí“, zaváděné za účelem snižování nákladů a snadnější správy. Spřízněné produkty jako takzvané inteligentní sítě využívají na internet připojené a vzdáleně ovladatelné komponenty ve všech vrstvách systému až do úrovní příslušejících jednotlivým uživatelům. Výhody těchto řešení jsou vykoupeny nárůstem zranitelností, způsobených zařazením značného množství prvků, které z bezpečnostního hlediska nejsou na online fungování připraveny. Vzhledem k vývoji, který odvětví prodělává, není překvapivé, že počet kybernetických incidentů zasahujících industriální oblast narůstá. Tyto závěry potvrzují specializovaná pracoviště jako americký CERT pro průmyslové řídící systémy (ICS-CERT), a řada renomovaných firem, jež se tématikou ICS zabývají, včetně Dell nebo IBM X-Force. Téměř s jistotou je možno říci, že bude tento trend pokračovat  jak v podobě náhodných událostí, tak jako důsledek úmyslného jednání různých aktérů.

Zaznamenané hrozby se z hlediska závažnosti odlišují zejména podle toho, zda jsou směřovány proti počítačovému vybavení nebo samotné kritické infrastruktuře, jejíž součást zmíněná výpočetní technika představuje. První případ přibližně typově odpovídá záběru aktérů spojených s běžnou kybernetickou kriminalitou, kterým vyšší provázanost zařízení KI s internetem otevírá širší pole působnosti. Zaměření na funkci instituce kritické infrastruktury je především výsadou státních či jinak významně organizovaných útočníků charakteru APT, jako jsou zločinecké syndikáty nebo teroristické skupiny, od nichž se očekává motivace ICS zasahovat a budovat tomu odpovídající schopnosti.

I izolované a mnohdy náhodné kybernetické incidenty, jež se netýkají komponentů typu SCADA, mají potenciál provoz postižené instituce narušit, což dokládají nedávné kauzy německé jaderné elektrárny Gundremmingen a americké společnosti Lansing Board of Water & Light. Hlavní příčinu obav, které ohledně zranitelnosti kritických infrastruktur panují, však představují bezpečnostní situace, v nichž se proti průmyslovým řídícím systémům angažují státy a jejich možnostem odpovídající subjekty.

V takových případech se jedná nejčastěji o kradmé a dlouhodobé působení v napadené počítačové síti, klasifikované jako kybernetická špionáž. Toto chování zahrnuje monitoring chodu dané infrastruktury, mapování používaného hardwaru, programového vybavení, bezpečnostních prvků a získávání vyšších uživatelských práv. Nenápadnost je zde klíčová, neboť je kybernetická bezpečnost založena na principu antifragility, tedy schopnosti systému nabývat na odolnosti (přijímaná protiopatření) úměrně s tlakem, kterému je vystaven (odhalené útoky), což pachatelům ztěžuje budoucí zásahy.

Kyberšpionáž zpravidla nepředstavuje bezprostřední hrozbu sama o sobě, nicméně v dlouhodobém horizontu může připravit ideální podmínky pro kybernetický úder, schopný cílovému zařízení způsobit masivní škody, srovnatelné s běžným fyzickým útokem. Výzvědné kampaně jsou v prostředí kritických infrastruktur zcela běžným jevem, a ačkoliv bývá riziko sabotážních akcí vůči těmto institucím pokládáno za nízké, je vyvažováno možnými následky napadení, využívajících takto získané informace. Na důvěrné znalosti vnitřního prostředí byly založeny nejzásadnější operace vůči kritickým infrastrukturám, jako případ viru Stuxnet, nasazeného proti íránskému závodu na obohacování uranu poblíž města Natanz, a již uvedené aktivity, které vedly k výpadku elektrické energie v Ivano-Frankovském regionu v prosinci 2015.

Z evropského hlediska je snaha o mírnění rizik z útoků na kritické infrastruktury relativně novou záležitostí. Základ iniciativ na jejich ochranu a tvorbu bezpečnostních standardů v podstatě položily teroristické činy proti USA, jež se udály 11. září 2001. Výsledkem byl soubor opatření nazývaný ''Evropský program na ochranu kritické infrastruktury'' (EPCIP), orientovaný na obecné zabezpečení příslušných zařízení. V souvislosti s implementací se však vyskytla série problémů, s nimiž se unijní orgány s různým stupněm úspěchu potýkají až do současnosti.

V prvé řadě se jedná o nejobecnější výzvy koncepčního charakteru, tj. na které hrozby by měla být ochrana zaměřena, v jaké podobě by měla být vykonávána a kdo by ji měl zajišťovat. Zmíněnou oblast rovněž provázejí úskalí týkající se kvalitativních a kvantitativních kritérií, které musí být naplněny, aby byla dotyčná infrastruktura klasifikována jako kritická. Uskutečnění libovolných závěrů je navíc podmíněno spoluprací soukromých subjektů, které se na provozování kritických infrastruktur významně podílejí, což od států jakožto garantů bezpečnosti svých obyvatel vyžaduje rozhodnutí, jakým způsobem soukromníky pobízet k dodržování náležitých standardů, nad míru, v níž je to pro ně ekonomicky přínosné. Jakkoliv jsou názory na některé postupy sdílené, pozice stran řady aspektů, jako šíření interních informací mimo organizaci nebo přizpůsobování výrobních procedur na úkor jejich efektivity, se u zástupců privátního sektoru od pohledu států logicky odlišují. Typickým příkladem je neochota hlásit bezpečnostní incidenty, jež snižují důvěryhodnost a konkurenceschopnost v tržním prostředí. Řešení často komplikuje i nezbytnost poskytovaných služeb a silná pozice, kterou subjekty KI zaujímají.

Dosavadní vývoj ochrany evropských kritických infrastruktur proti kybernetickým hrozbám je orientován na sjednocování pravidel bezpečnostních procedur a posilování spolupráce zainteresovaných stran. Uvedené principy jsou obsaženy ve Strategii kybernetické bezpečnosti EU, jejímž podstatným prvkem je nedávno přijatá Směrnice o bezpečnosti sítí a informací (NIS), jakožto první plánovaný krok k další unifikaci evropského kybernetického prostředí. Právě kyberprostor coby vymezená doména, jejíž bezpečnostní správa se opírá o praktické zkušenosti privátních, státních i nadstátních aktérů s příslušnými hrozbami, poskytuje ideální podmínky k sestavení ucelené koncepce přístupu k ochraně KI na evropské půdě. Realizovaná NIS se též do jisté míry vypořádává s definováním odvětví, na která mají být opatření aplikována, a ukládá soukromým subjektům, jež do kritických infrastruktur zasahují, povinnost sdílet informace o závažnějších incidentech a dodržovat jednotné bezpečnostní standardy. Odchylky v plnění nároků Směrnice podle pozice nestátních vlastníků a stanovisek vlád se nicméně dají předpokládat.

Lze očekávat, že nutnost mezistátní kooperace a součinnosti mezi veřejným a soukromým sektorem při naplňování požadavků NIS povede k tvorbě a posilování nových vazeb a komunikačních kanálů využitelných i pro ostatní iniciativy. Dané předpoklady by mohly státům a privátním aktérům usnadnit vzájemné přejímání osvědčené praxe, a podnítít inspiraci přístupy členských zemí se specifickou legislativou, jakou disponují například Německo a Francie. Zlepšení by prospělo zejména modelům spolupráce státního a soukromého segmentu, která je pro kritické infrastruktury z důvodu jejich zakotvení v privátní sféře zvláště důležitá. Nezanedbatelným aspektem je i rozvoj podpůrných aktivit mezi civilní a vojenskou sférou, či přenesení vyzkoušených bezpečnostních opatření do dalších odvětví.

V souvislosti s postojem EU se dá polemizovat, zda jsou pevně stanovená kritéria pro účinnou ochranu vůči dynamicky se vyvíjejícím kybernetickým hrozbám ideální. Vzhledem k tomu, že se bezpečnostní opatření v kyberprostoru odvíjejí od akcí útočníků, je při zabezpečení kritických infrastruktur (a budování kybernetické odolnosti obecně) kromě určování mantinelů nutné zohledňovat i hledisko flexibility, v čemž se nabízí využití vlastností privátního sektoru. Po této stránce je důležité i to, že se vize Bruselu orientují na určení minimálních standardů, nad jejichž rámec mají členové EU volné pole působnosti v podnikání dalších kroků.

O autorovi: Roman Šulc

Partneři

Tento web používá k analýze návštěvnosti soubory cookie. Používáním tohoto webu s tím souhlasíte. Další informace