Ransomvér nikam neodchádza ani v roku 2025 – naopak, stáva sa efektívnejším, cielenejším a deštruktívnejším, najmä v prostrediach prevádzkovej technológie (OT). Ak vaša organizácia prevádzkuje kritickú infraštruktúru alebo priemyselné prostredie, už ste v hľadáčiku.
Prečo je OT obzvlášť ohrozené
Priemyselné siete sú vysoko hodnotné ciele. Sú nevyhnutné pre chod podnikov, no často zaostávajú za IT, pokiaľ ide o úroveň zabezpečenia. Kombinácia kritickej dôležitosti a slabšej ochrany z nich robí ideálny cieľ pre ransomvérové skupiny, ktoré hľadajú maximálny vplyv a rýchlu výplatu.
Útočníci sa zvyčajne nezameriavajú na programovateľné logické automaty (PLC) alebo zariadenia na nižšej úrovni. Namiesto toho cielia na systémy vyššej úrovne, ako sú rozhrania medzi človekom a strojom (HMI), servery SCADA (systémy riadenia a zberu dát), alebo inžinierske pracovné stanice – teda všetko, čo zabezpečuje prehľad a kontrolu nad procesmi. Keď sú tieto systémy zablokované alebo zašifrované, operácie sa zastavia.
Napriek vážnosti situácie mnohé organizácie stále nemajú jasný plán, čo robiť v prípade útoku ransomvérom. Práve na túto medzeru reaguje navrhovaný rámec.
Začnite od základov: Spoznajte svoje prostredie
Skôr ako vytvoríte plán reakcie, potrebujete základné pochopenie vášho OT prostredia: jeho architektúry, zariadení, tokov komunikácie, kľúčového personálu a existujúcich kontrolných mechanizmov. Nejde o dokonalosť, ale o zosúladenie. OT, IT a tímy kybernetickej bezpečnosti musia mať spoločné pochopenie toho, čo beží, čo je ohrozené a kto má akú úlohu počas incidentu.
Kľúčové otázky:
Ako sa detekuje a eskaluje incident ransomvéru?
Aký vzdialený prístup existuje a kto ho spravuje?
Ktoré systémy sú spravované dodávateľmi, sú zastarané alebo ťažko obnoviteľné?
Existujú aktuálne zálohy? Kto ich vlastní?
Boli otestované?
Tieto diskusie zároveň pomáhajú identifikovať miesta, kde môže počas krízy dôjsť k zlyhaniu komunikácie alebo zodpovednosti.
Odstráňte nesúlad medzi IT a OT
Jedna z opakujúcich sa tém je, že tímy OT a kybernetickej bezpečnosti si často nerozumejú. Nezladené ciele, odlišná terminológia a chýbajúca spoločná vízia môžu potopiť plánovanie ešte predtým, než začne.
Sústreďte diskusiu na bezpečnosť a dopad na procesy, nielen na techniky kyberochrany.
Vytvorte spoločný slovník pojmov, aby sa predišlo nedorozumeniam.
Zavedenie tieňovania pracovných miest môže pomôcť bezpečnostným špecialistom pochopiť priemyselné operácie.
Zaveďte pravidelnú komunikáciu medzi tímami, aby ste znížili trenice a zabránili obchádzaniu pravidiel alebo vytváraniu tzv. „tieňového IT“.
Bez spolupráce nevytvoríte funkčný plán reakcie. Toto je skvelý bod, kde začať.
Čo by mal plán obsahovať
Príprava
Toto obdobie zahŕňa všetko – od stanovenia rozpočtu a právomocí pre núdzové nákupy až po plánovanie a vykonávanie simulovaných cvičení. Plán musí byť pravidelne aktualizovaný a testovaný, ideálne viac ako raz ročne.
Identifikácia
Detekcia v OT sa často spolieha viac na ľudské pozorovanie a pasívne monitorovanie než na pokročilé nástroje pre koncové zariadenia. Plán musí zohľadniť tieto špecifiká, dokumentovať metódy detekcie, eskalačné postupy a spôsob zberu a spracovania forenzných dôkazov.
Izolácia (Containment)
V OT prostredí často znamená izolácia odpojenie celých segmentov siete, čo síce nie je ideálne, ale niekedy nevyhnutné. Plán musí určiť, kto má právomoc rozhodnúť, aké nástroje sú k dispozícii a aký bude dopad izolácie na prevádzku.
Odstránenie (Eradication)
Odstraňovanie nástrojov útočníka a zadných vrátok je náročné, najmä ak sú systémy staré, spravované dodávateľmi alebo kľúčové pre výrobu. Plán musí určiť, kto je za čo zodpovedný, a obsahovať odkazy na zálohy konfigurácií, resetovanie hesiel a akúkoľvek externú podporu.
Obnova (Recovery)
Či už ide o obnovenie zo záloh alebo (vo výnimočných prípadoch) zváženie zaplatenia výkupného, plán musí organizáciám pomôcť robiť informované a rizikovo orientované rozhodnutia. Ak obnova závisí od dodávateľov, hypervízorov alebo offline záloh, tieto cesty musia byť jasne zdokumentované a vopred otestované.
Poučenie sa (Lessons Learned)
Zhodnotenie po incidente je kľúčové. Plán musí nariadiť vykonanie spätnej analýzy so zameraním na dopad na prevádzku, nielen na technickú stránku. Cieľom je aktualizovať reakčné plány, sieťové schémy, inventáre a komunikačné procesy.
Začnite sa pripravovať už teraz
Toto je pracovný model, ktorý vychádza z reality OT: zastarané systémy, zložité vzťahy s dodávateľmi a vážne následky výpadkov alebo nesprávnych rozhodnutí. Navrhnutý pre prostredia ICS/OT, ktoré musia byť pripravené čeliť ransomvéru – a to okamžite.
Zhrnutie: Mať špecifický plán pre ICS/OT už nie je voliteľné – je to nevyhnutnosť. Dobre štruktúrovaný, pravidelne testovaný a spoločne vytvorený plán reakcie na ransomvér môže znamenať rozdiel medzi niekoľkými hodinami výpadku a niekoľkými dňami či týždňami krízy.
Ak pracujete v oblasti OT, tento rámec je povinné čítanie a jasná výzva k činom.