1. septembra najväčší anglický výrobca automobilov, Jaguar Land Rover (JLR), zverejnil informáciu, že bol zasiahnutý kybernetickým útokom. Krátko po zverejnení bola spoločnosť nútená zastaviť produkciu v niekoľkých továrňach po celom svete, keďže škody začali zasahovať do každej časti jej operácií.
Zastavenie výroby bol len začiatok následkov. Hoci presné čísla nie sú známe, experti špekulujú, že JLR stratil až 50 miliónov libier týždenne, kým sa pokúšal obnoviť výrobu, pričom v ohrození bolo 33 000 pracovných miest a značne zaťažený dodávateľský reťazec (supply chain). To viedlo k oneskoreným výplatám, prázdnym knihám objednávok, zrušeným zmenám a iným problémom.
Závažnosť a rozsah tohto útoku slúžia ako prísne varovanie pre podniky, že prevádzková odolnosť (operational resilience) je ako reťaz, a je len taká silná, aký je jej najslabší článok.
Detaily Kybernetického Útoku na Jaguar Land Rover
Zodpovednosť za incident prevzala skupina hrozieb (threat group) známa ako Scattered Lapsus$ Hunters. Predpokladá sa, že táto skupina celé mesiace dôkladne študovala zamestnancov továrne, pričom využívala profily na sociálnych sieťach a profesionálne siete na vytvorenie vysoko personalizovaných spear phishingových e-mailov. Len čo zamestnanec klikol na jeden odkaz, spustila sa katastrofálna reťaz udalostí, ktorá nebola objavená, kým nebolo príliš neskoro. Zahŕňala obídenie viacfaktorovej autentifikácie (multi-factor authentication - MFA), krádež prihlasovacích údajov (credentials) a zneužitie nesprávnych konfigurácií (exploited misconfigurations). Keď sa výroba úplne zastavila, skupina hrozieb vydala žiadosti o výkupné (ransom demands).
Možno najznepokojujúcejším detailom o tomto incidente je, ako sa útočníkom podarilo ticho prelomiť podnikovú sieť (breach JLR’s enterprise network) JLR a zostať tak dlho nepozorovaní. Použitím série taktík, techník a procedúr (TTPs), ktoré im umožnili preskúmať sieť zo zdanlivo legitímnej pozície, unikli tradičným bezpečnostným opatreniam zameraným na IT a sledovali sieť celé týždne.
JLR odvtedy začal pomaly obnovovať obmedzenú prevádzku v niektorých továrňach. Teraz, keď je k dispozícii viac detailov o útoku, existuje niekoľko jasných poučení, ktoré môžu línioví manažéri kybernetickej bezpečnosti použiť pri implementácii svojich vlastných bezpečnostných stratégií.
Rozšírte Viditeľnosť Aktív na Výrobnú Halu
Ak organizácia nevidí – nieto ešte nerozumie – rutinnému správaniu každého programovateľného logického kontroléra (PLC), rozhrania človek-stroj (HMI) a iných kyberneticko-fyzikálnych systémov (CPS), nebude ich vedieť chrániť. V niektorých prípadoch môžu tieto zariadenia bežať na zastaralom softvéri alebo neboli dlhší čas patchované. Preto je dôležité implementovať riešenie šité na mieru pre prostredia operačných technológií (OT), ktoré by ideálne malo monitorovanie, ktoré dokáže automaticky označiť anomálnu sieťovú aktivitu skôr, ako sa stane hrozbou.
Vynucujte Prísnu Segmentáciu Siete
Pri útoku na JLR sa útočníkom podarilo prelomiť sieť a pohybovať sa laterálne (move laterally) naprieč ňou, čo spôsobilo väčšie škody v jednotlivých vrstvách. Segmentáciou siete do izolovaných zón môžu systémoví administrátori obmedziť rozsah potenciálnych škôd tým, že účinnejšie zadržia narušenia (contain breaches). Ešte ideálnejší spôsob je použitie riešenia, ktoré dokáže automaticky odporučiť sieťové zóny na základe existujúcej bezpečnostnej infraštruktúry organizácie.
Zabezpečte Prístup Tretích Strán do OT Siete
Pri tak rozsiahlom a komplexnom dodávateľskom reťazci ako má JLR, mohli dominové efekty narušenia ovplyvniť aj tretie strany, ktoré mali prístup do siete JLR, ako sú predajcovia a dodávatelia (vendors and contractors). So správnym riešením pre bezpečný vzdialený prístup môžu organizácie izolovať pripojenia dodávateľov, vynútiť politiku prístupu s minimálnymi oprávneniami (least privilege access policy) a posilniť viacfaktorovú autentifikáciu (MFA) pre akúkoľvek externú stranu snažiacu sa získať prístup do siete.
Osvojte si Zero Trust, Predpokladajte, že Narušenie je Neodvratné
Pre OT siete je už dávno načase posunúť sa za hranice tradičnej perimetrovej bezpečnosti (perimeter security). Základ architektúry Zero Trust vyžaduje, aby si každý používateľ nezávisle overil svoju identitu pri každom pokuse o prihlásenie a funguje na predpoklade, že útočník je už vo vnútri siete. Implementácia Zero Trustu by mala byť samotnou chrbticou robustnej stratégie kybernetickej bezpečnosti, najmä keď sa OT a IT stávajú čoraz viac prepojenými.
Odolnosť sa Meria pomocou Priemerného Času na Opravu (Mean-Time-to-Repair)
Pokiaľ ide o zotavenie sa z kybernetického útoku, dobrá metrika, ktorú treba mať na pamäti, je priemerný čas na opravu (MTTR - Mean-Time-to-Repair). Ide o priemerné množstvo času, ktoré trvá dokončenie opravy alebo inej údržby kyberneticko-fyzikálneho systému od momentu, keď sa technik pripojí, až do momentu, keď je oprava dokončená a technik sa odpojí. MTTR je kľúčová metrika na meranie odolnosti a posilňuje potrebu definovaných a nacvičených plánov reakcie na incidenty (incident response plans). Vykonávajte pravidelné cvičenia, ktoré simulujú útok, ktorý spôsobí úplné zastavenie výroby, a zaistite, že proces obnovy je zdokumentovaný a ľahko dostupný v prípade skutočného bezpečnostného incidentu.
Čo Znamená Útok na JLR pre Kybernetickú Bezpečnosť vo Výrobe
Nenechajte sa mýliť – kybernetické hrozby, ktorým čelí priemyselný sektor, sú rovnako nepredvídateľné ako bezprecedentné. Keď jediný bod zlyhania môže vyústiť do straty miliárd príjmov, nie je priestor na nepripravenosť. Hoci polomer dopadu (blast radius) incidentu JLR siahal ďaleko a široko, nie je to osud, ktorý je odsúdená zopakovať každá organizácia. Udržiavanie robustných opatrení na proaktívnu detekciu, reakciu a zmiernenie hrozieb (mitigate threats) je takmer rozhodujúce pre ochranu kritickej infraštruktúry – nehovoriac o obmedzení potenciálnych následkov, ktoré by mohli čakať na širokú verejnosť.