Martin Křepelka o kybernetické bezpečnosti ve Facility managementu

Jaké jsou z vašich zkušeností nejvíce zranitelné systémy v oblasti nemovitostí?

MK: Dnešní administrativní, skladové či výrobní budovy už nejsou jen pasivní stavby. Vzhledem k potřebám efektivní, ekonomické a energeticky šetrné správy jsou dnešní budovy tzv. inteligentní. To je samozřejmě skvělá příležitost pro hackery. Vše řídí informační systém. Vezměte si například elektronickou kontrolu vstupu do budovy, všude jsou kamerové systémy, každá místnost má dnes elektronické zabezpečení apod. Méně kritické, ale nepříjemné může být napadnutí systémů pro klimatizaci, otevírání oken, světel atp.

Jakým způsobem a proč dochází k napadení provozních systémů budov?

MK: Bohužel zde nebude má odpověď nijak objevná ani překvapivá. To nejjednodušší je stále překonání slabých přístupových údajů, známých zranitelností neaktualizovaných systémů a phishing. Rovněž je mylná představa, že pravděpodobnost, že se na nás hackeři zaměří, je malá. Tak jako existují vyhledávače ve světě informací (například Google či Seznam), existují i vyhledávače ve světě „internetových věcí“ (např. Shodan.io). Ty samy vyhledávají zařízení připojená do internetu. Umí rozeznat výrobce, typ zařízení, verzi systému, komunikační protokol atd. Potencionální útočník pak zadá do vyhledávače komplexní dotaz, např. vyhledej mi všechna kamerová zařízení výrobce XY v okolí Olomouce, a vyhledávač vypíše seznam odkazů. Pokud tedy jste na internetu a máte zranitelné zařízení, tak to ví celý svět. Motivace útočníků je v dnešní době zejména finanční. V případě probíhající války na Ukrajině může být motivace i poškodit významné instituce.

Je například známý případ napadení nemocnice v Horažďovicích, kdy hackeři napadli zdravotnické zařízení a vyřadili část jeho informačních systémů. Jak se má facility manažer nebo property manažer proti takovému útoku bránit?

MK: Facility manažer nebo property manažer by především měli mít na paměti, aby se nestali obětí phishingu. To podstatné pak bude spíše spočívat na IT oddělení, které musí zajistit odpovídající bezpečnostní architekturu a pravidelně aktualizovat systém.

Vyjednává se s hackery a případně jak, pokud k útoku na IT systémy dojde?

MK: Především se do této situace vůbec nesmíte dostat. Absence záloh je hrubá chyba nejen IT, ale i managementu. Zdůraznil bych, že musíte mít nejen zálohy databáze, ale třeba i konfiguraci systémových zařízení, hesla, certifikáty. Zkrátka vše, co byste potřebovali, pokud byste museli systém kompletně přeinstalovat. Důležité je i systém segmentovat, abyste nepřišli o vše najednou. Pokud přesto zálohy nemáte, vrchnostenská rada je nevyjednávat a neplatit, protože tím jen přiživíte hackery k dalším útokům. To se snadno řekne, ale pokud data chybí, můžete začít uvažovat jinak. V tomto krajním případě a s vědomím, že to nemusí vyjít, bych uvažoval jen o dešifrování databáze. Vše ostatní je potřeba zcela vymazat, kompletně přeinstalovat a znova nakonfigurovat. Pokud to neuděláte, nemáte jistotu, že si hackeři neponechají zadní vrátka, kterými se po čase vrátí.

Jak může hackerský útok ohrozit provoz budovy nebo celku budov?

MK: Obával bych se především útoku na elektronickou kontrolu vstupu. Chytré budovy mají vnější i vnitřní elektrické zámky. Dá se napadnout jak informační systém, tak odposlechnout komunikaci s přístupovými kartami. Nepříjemné by bylo i narušení soukromí při napadení kamerového systému.

Můžete uvést nějaké příklady z tuzemského prostředí, které jsou známé a publikovatelné a týkaly se napadení budov a případně jejich provozu? Zajímá nás detail a popis situace, která se může stát i našim čtenářům – facility managerům.

MK: Z tuzemského prostředí nevím, ale určitě za velmi kuriózní považuji úspěšný útok hnutí Anonymous na webové kamery v Kremlu. To je takový ten okamžik, který vás nejprve pobaví, a pak si řeknete, jak se to mohlo vůbec stát!? Zadejte si do YouTube „IP cam trolling“ a podívejte se. Možná je tam i vaše domácnost.

Jsou některá hardwarová zařízení zranitelnější než jiná? Otevřené wifi? Kamerové systémy? Vstupní systémy do objektů?

MK: Nezáleží na tom, co je více zranitelné, ale na tom, co vám způsobí větší dopad. Při investici do bezpečnosti vždy budete dělat kompromis. Některá rizika prostě budete akceptovat, protože by to bylo zbytečně drahé. Tedy konkrétní příklad. Že vám bude v místnosti zima, je nepříjemnost, ale vykradená kancelář je určitě horší.

Jak by podle vás měly firmy reagovat na procesy obsahující certifikaci ISO 27001 (kybernetická bezpečnost)?

MK: Samotná certifikace ISO 27001 není nutnost ani v případě, že budova spadá do perimetru kritické infrastruktury. Je to čistě komerční věc. Na druhou stranu, pokud se chcete kybernetickou bezpečností nějak systematicky zabývat, tak ISO 27001 je určitě dobrá věc. Začněte tím, že si nejprve uvědomíte, jaká máte aktiva, která potřebuji chránit, a pak identifikujte příslušná rizika. Systém řízení bezpečnosti informací je pak možné postupně rozvíjet podle situace, dosavadních zkušeností, vůle, finančních možností atd. Je však potřeba počítat s tím, že nejde o jednorázovou, ale o kontinuální činnost. Je dobré si proto rozvrhnout tempo.

Jak často byste doporučoval provádět penetrační testy?

MK: Řada zákazníků, která u nás poprvé poptá penetrační testy, má IT infrastrukturu v takovém stavu, že penetrační test nedoporučíme. Naopak se se zákazníkem domluvíme nejprve na konzultacích. Řadu nedostatků totiž zjistíte už jen běžným rozhovorem. Je to určitě levnější a rychlejší varianta. Teprve až si zákazník napraví všechny zjevné chyby, tak přistoupíme k penetračnímu testu, který již jen potvrdí, zda vše bylo uděláno správně. Penetrační test by se měl provádět po každé větší změně v systému, která by mohla mít vliv na kybernetickou bezpečnost. Nejdéle bych však doporučoval zhruba do dvou let test opakovat v každém případě.

Jak často byste doporučoval vést odborné audity kyberbezpečnosti?

MK: Zažitá klasika je jednou ročně. Když započtete přípravu na audit a pak také zapracování připomínek z auditu, může to být někdy i tak docela dost práce. Navíc ty audity mohou být interní a externí, takže vlastně ročně krát dvě.

Jak rychle „morálně“ stárnou prvky technické bezpečnosti?

MK: Do ukončení podpory výrobcem. Pokud výrobce poskytuje v rámci servisní podpory pravidelné bezpečnostní aktualizace, tak myslím, že stáří nebude hrát až takovou roli.

Mohl byste přiblížit svůj názor na (ne)bezpečí cloudových řešení?

MK: Dříve nikdo nevěděl, co se reálně v cloudových centrech skutečně děje. Zákazník tam většinou neměl přístup, a tak byl odkázaný jen na dobrozdání provozovatele ohledně zabezpečení datového centra. Prakticky tečkou byla pro některé správce vyhláška o kybernetické bezpečnosti, která taxativně vyjmenovávala povinná technická opatření. Jenže správce, jenž měl svůj systém v cloudu, neměl jak naplnění požadavků prokázat. V této oblasti se doba rychle mění. EU vydala nařízení (EU) 2019/881 („Akt o kybernetické bezpečnosti“), která mj. řeší certifikáty kybernetické bezpečnosti. Všechny členské státy EU jsou povinny nařízení promítnout do své legislativy. Budou tři úrovně záruky: základní, významná a vysoká. Rozhodně to nelze srovnávat s ryze komerční certifikací ISO/IEC 27001. Bez dlouhého opisování to vypadá, že podmínky pro získání EU certifikátu budou velmi tvrdé. Pro zákazníka to bude mít pozitivní výsledek, protože aniž by musel sám u provozovatele cloudu cokoliv ověřovat, bude mít jistotu, že je provozovatel pod přísným dohledem a plní vše potřebné.

Jaké doporučení o zabezpečení serverů s životně důležitými daty společnosti byste našim čtenářům dal?

MK: Zde bych se spojil s někým, kdo splňuje požadavky vyhlášky o kybernetické bezpečnosti na roli architekta kybernetické bezpečnosti a poradil se s ním. Každý systém je jiný. Tam, kde na tom záleží, bych se rozhodně nepouštěl do vlastních pokusů, které většinou nekončí dobře.

Jaké jsou hlavní možnosti ochrany přístupových systémů?

MK: Pokud přístupovým systémem myslíte elektronickou kontrolu vstupu (el. zámky, čipové karty, klávesnice, biometriku apod.), tak je to jednoduché. Začal bych fyzickou bezpečností, zda elektronický zámek skutečně odolá. Například se stává, že při přestavbách příček stavebníci dveře obrátí, a jsou tak západkou zámku ven. Nebo jsou dráty zámku přístupné přes sádrokartonovou přepážku. Někdy dveře jen samy nezaklapnou. Dále bych si ověřil, zda jsou čipové karty odolné proti duplikaci a odposlechu. Odposlech je totiž velice jednoduchý a dá se udělat nepozorovaně. U biometriky bych si dal pozor na to, zda nelze snadno oklamat. Možná je to vše ale zbytečně složité, protože se stačí projít v čase oběda v parném dni po budově a zjistíte, že je vše otevřené „do průvanu“. Nebo naopak odpoledne, kdy úřadují uklízečky, a nejprve obejdou celé patro a vše poodemykají.