ElectricShare.cz
Světové trendy

One Click, Total Shutdown: The "Patient Zero" Webinar on Killing Stealth Breaches

One Click, Total Shutdown: The "Patient Zero" Webinar on Killing Stealth Breaches

Stačí jeden klik a půlka republiky je bez proudu. Jak hackeři loví „pacienta nula“ v naší energetice

Představte si pondělní ráno v dispečinku regionální distribuční soustavy. Technik v klidu popíjí kávu a otevře e-mail, který vypadá jako standardní report o revizi trafostanic. Jeden klik na přílohu. Nic se nestane. Žádné vyskakovací okno, žádné výhružné zprávy o bitcoinech. Jenže v tu chvíli se v hlubinách řídicího systému (OT – Operational Technology) aktivoval kód, který tam bude týdny potichu sedět, mapovat topologii sítě a čekat na povel „vypnout“.

Tohle není scénář z béčkového kyber-thrilleru. Je to realita, o které se mluvilo na nedávném webináři Dragos s názvem „Patient Zero“. Zatímco my řešíme phishingové útoky na bankovní účty, profesionální státem sponzorované skupiny (APT) hrají úplně jinou ligu. Jdou po kritické infrastruktuře. A jejich největší zbraní není hrubá síla, ale nenápadnost.

Proč IT bezpečnost v elektrárně prostě nefunguje

Mezi světem kancelářských počítačů (IT) a světem turbín, jističů a ventilů (OT) zeje propast, kterou si mnoho manažerů stále neuvědomuje. V IT světě je prioritou důvěrnost dat. Když se něco pokazí, prostě to restartujete. V energetice je prioritou dostupnost. Pokud restartujete řídicí systém rozvodny v nesprávný moment, skončíte s vyhořelým transformátorem za desítky milionů a tmou v celém kraji.

Tradiční antiviry jsou v OT prostředí skoro k ničemu. Většina průmyslových zařízení běží na proprietárních protokolech jako Modbus, DNP3 nebo IEC 104, kterým běžný firewall nerozumí. Hackeři navíc čím dál častěji využívají taktiku „Living off the Land“. Nepřinášejí si vlastní škodlivý kód, ale zneužívají legitimní nástroje, které už v systému jsou – například software pro konfiguraci PLC (programovatelných automatů). Pro bezpečnostní systém to pak vypadá, že technik prostě dělá svou práci. Jenže ten „technik“ sedí v Petrohradě nebo v Pekingu.

Pipedream: Švýcarský nůž na rozvodné sítě

Pokud chceme pochopit, kam se hrozby posunuly, musíme zmínit malware Pipedream (skupina Chernovite). Dragos o něm mluví jako o nejvíce znepokojujícím objevu posledních let. Na rozdíl od starších virů, které byly ušité na míru konkrétnímu cíli (jako legendární Stuxnet), je Pipedream modulární. Je to v podstatě sada nástrojů, která dokáže automatizovaně skenovat průmyslové sítě, ovládat PLC různých výrobců a manipulovat s fyzickými procesy.

Děsivé na tom je, že Pipedream nevyužívá chyby v kódu (zero-days). On využívá nativní funkce těch zařízení. Jde tedy o „neopravitelnou“ hrozbu. Jedinou obranou je vědět, co se v síti děje každou sekundu. Pokud váš PLC najednou začne komunikovat s IP adresou, kterou nikdy předtím „neviděl“, máte problém.

Česká stopa a varování NUKIB

V našem rybníčku nejsme v bezpečí. Česká republika je díky své poloze a energetickému exportu lákavým cílem. NUKIB (Národní úřad pro kybernetickou a informační bezpečnost) pravidelně vydává varování před útoky na dodavatelské řetězce. Hackeři už totiž neútočí jen přímo na ČEZ nebo ČEPS. Útočí na malé subdodavatele, kteří spravují fotovoltaiky nebo zajišťují servis kotelen. Přes ně se pak jako parazit prokoušou až do jádra systému.

Vzpomeňte si na útok na nemocnici v Benešově nebo v Brně. To byla jen předehra. V energetice jsou sázky mnohem vyšší. Pokud útočník dokáže vyřadit frekvenční stabilitu sítě, může způsobit blackout, jehož nahození trvá dny. A to v zimě při mínus deseti stupních není situace, kterou chcete řešit v tiskové zprávě.

Decentralizace jako hrozba i příležitost

S nástupem chytrých sítí a komunitní energetiky se bitevní pole radikálně rozšiřuje. Dříve stačilo hlídat pár velkých elektráren. Dnes máme na střechách statisíce solárních střídačů, v garážích wallboxy a v technických místnostech bateriová úložiště. Každé z těchto zařízení je připojené k internetu a každé z nich má v sobě kousek kódu, který může být zranitelný.

Tady přichází na řadu koncepty jako smartenergyshare.com, které řeší efektivní sdílení a řízení energie. Moderní systémy řízení spotřeby musí mít bezpečnost v DNA od prvního řádku kódu. Už to není jen o tom „ušetřit za elektřinu“, ale o tom, aby vám někdo na dálku neodpálil baterii v domě jen proto, že jste si nezměnili defaultní heslo admin/admin.

AI zde hraje dvojí roli. Na jedné straně pomáhá útočníkům generovat dokonalý phishing a hledat slabiny v kódu. Na druhé straně je to náš jediný spojenec při obraně. Člověk nemá šanci v reálném čase analyzovat terabyty logů z tisíců senzorů. AI ano. Dokáže detekovat anomálie, které by lidskému oku unikly – například mikrosekundové zpoždění v komunikaci, které naznačuje, že mezi dispečink a jistič se vložil prostředník (Man-in-the-Middle útok).

Jak zabít „pacienta nula“?

Strategie obrany se musí změnit. Už nestačí stavět vysoké zdi (firewally). Musíme předpokládat, že útočník už uvnitř je. To je mindset „Zero Trust“.

  1. Segmentace: IT a OT musí být odděleny tak striktně, jako by šlo o dvě různé planety. Přenos dat mezi nimi musí být jednosměrný a přísně kontrolovaný.
  2. Monitoring v reálném čase: Musíte vidět každý paket na úrovni průmyslových protokolů. Pokud nevidíte do Modbusu, jste slepí.
  3. Incident Response: Mít v šuplíku plán, co dělat, když se rozsvítí červená kontrolka. A ten plán pravidelně cvičit. Ne v PowerPointu, ale na reálných trenažérech.
  4. Lidský faktor: Školení techniků. Pokud Franta z údržby strčí do servisního notebooku USB disk, který našel na parkovišti, může jít celá vaše kyberbezpečnost za miliardy do koše.

Budoucnost: Kybernetická válka v rukavičkách

Kybernetické útoky na energetiku se staly novým nástrojem diplomacie. Je to levné, anonymní a účinné. Nemusíte posílat tanky, stačí vypnout lidem topení a počkat, až vyjdou do ulic.

Můžeme očekávat, že stealth útoky budou stále sofistikovanější. Budou se schovávat za legitimní aktualizace firmwaru nebo využívat AI k tomu, aby napodobovaly chování běžných uživatelů. Obrana kritické infrastruktury už není úkol pro jedno IT oddělení, ale pro celostátní spolupráci mezi soukromým sektorem a státem, přesně podle doporučení CISA a NUKIB.

Závěr je jasný: Buď se naučíme detekovat „pacienta nula“ během několika sekund, nebo se budeme muset naučit žít ve světě, kde je elektřina luxusem, který vám může kdokoli kdykoli vypnout jedním kliknutím. A věřte mi, že svíčky v lednu nejsou tak romantické, jak se zdají.

← Zpět na všechny články