Zastavil rychlovlak jedním kliknutím. Vaše solární elektrárna je pro hackery ještě snazší sousto
Zastavil rychlovlak jedním kliknutím. Vaše solární elektrárna je pro hackery ještě snazší sousto
Osmnáctiletý kluk sedí v dětském pokoji v Tchaj-peji. Před ním svítí monitor a na něm běží kód, který právě našel trhlinu v systému tchajwanských rychlovlaků (THSR). Stačilo pár pokusů, trocha trpělivosti a najednou měl v ruce ovládání nouzových brzd. Žádná armáda hackerů, žádný superpočítač v podzemním bunkru. Jen jeden student a fatálně špatně zabezpečené rozhraní pro nákup jízdenek. Tento incident není jen kuriozitou z dálného východu. Je to varovný výstřel pro každého, kdo spravuje kritickou infrastrukturu, včetně té energetické.
Kybernetická bezpečnost už dávno není o tom, jestli vás někdo hackne. Je o tom, kdy se to stane a jak moc to bude bolet. Zatímco se svět soustředí na složité šifrovací algoritmy, útočníci procházejí předními dveřmi, které jim někdo nechal pootevřené. Od zfalšovaných loginů do Canvasu až po kritické chyby v Ivanti, arzenál hackerů roste rychleji než naše schopnost se bránit.
Od jízdenky k nouzové brzdě
Případ z Tchaj-wanu ukázal děsivou realitu moderních propojených systémů. Student původně jen hledal způsob, jak si koupit jízdenku za zlomek ceny. Klasický "bug bounty" lov, který se mu ale trochu vymkl z rukou. Zjistil, že API (rozhraní pro programování aplikací), které komunikuje s rezervačním systémem, nemá dostatečnou validaci vstupů. Přes tohle rozhraní se dokázal proklikat až k interním příkazům pro řízení provozu.
Vtip je v tom, že systémy, které mají být oddělené, často nejsou. IT svět (informační technologie) a OT svět (operační technologie, tedy ty fyzické stroje) jsou v zájmu efektivity srostlé. Když hacker ovládne webový server, je často jen krůček od toho, aby vypnul jistič v trafostanici nebo zastavil vlak plný lidí. Tohle není teorie. Tohle je realita, kterou v Česku pravidelně připomíná NÚKIB ve svých varováních před útoky na energetiku.
ShinyHunters a byznys s vydíráním
Zatímco tchajwanský student jednal spíše ze zvědavosti, skupina ShinyHunters jede čistý byznys. Jejich nedávná kampaň zaměřená na Canvas – platformu, kterou používají miliony studentů a učitelů po celém světě – ukazuje, jak vypadá moderní phishing ve velkém. Neposílají vám špatně česky psaný e-mail o dědictví v Nigérii. Vytvářejí identické kopie přihlašovacích portálů, které jsou k nerozeznání od originálu.
Cíl je jasný: získat přihlašovací údaje (credentials). Jakmile mají vaše heslo a obejdou (často chabě nastavené) dvoufaktorové ověření, cesta do sítě je volná. ShinyHunters se nesoustředí jen na data. Jde jim o extorsi – vydírání. Pohrozí zveřejněním citlivých informací nebo kompletním smazáním databáze, pokud nezaplatíte výkupné. Pro energetické firmy je tohle noční můra. Představte si, že útočník získá přístup k řízení vaší fotovoltaické elektrárny a pohrozí jejím dálkovým odpojením uprostřed zimy, pokud mu nepošlete pár bitcoinů.
Ivanti: Když vás zradí váš vlastní zámek
Největší ironií poslední doby jsou útoky na systémy Ivanti. Konkrétně jde o zranitelnosti v jejich VPN a EPMM (Endpoint Manager Mobile) řešeních. Tedy v nástrojích, které mají firmy chránit a umožňovat bezpečný vzdálený přístup. Útočníci začali zneužívat zero-day chyby (tedy chyby, o kterých výrobce nevěděl a neexistovala na ně záplata) dříve, než se stihla vydat varování.
Tato situace je kritická pro energetiku a správu chytrých sítí. Mnoho techniků přistupuje k rozvodnám nebo kontrolním centrům právě přes VPN od Ivanti. Pokud je tento "bezpečný tunel" kompromitován, útočník sedí přímo uprostřed vaší sítě s administrátorskými právy. Podle CISA (americká agentura pro kyberbezpečnost) byly tyto chyby aktivně zneužívány k instalaci zadních vrátek (backdoors), která umožňují návrat do systému i poté, co se hlavní díra zalátuje.
Energetika pod palbou: Proč je FVE lákavý cíl?
Doba, kdy byla energetika doménou pár obřích elektráren, je pryč. Dnes máme tisíce malých zdrojů, chytré střídače a bateriová úložiště připojená k internetu. Každý z těchto bodů je potenciální vstupní branou. Pokud útočník dokáže ovládnout software, který řídí stabilitu sítě, může způsobit lokální blackouty jen tím, že rozkolísá frekvenci.
Tady přichází na scénu chytré řízení. Platformy jako SmartEnergyShare ukazují cestu, jak efektivně sdílet a řídit energii, ale zároveň kladou obrovské nároky na bezpečnost. Nemůžete prostě jen propojit baterii s webem a doufat v nejlepší. Bezpečnost musí být v DNA celého systému (security by design). To znamená segmentaci sítě, neustálý monitoring podezřelého provozu a především nulovou důvěru (Zero Trust Architecture).
Jak vypadá útočný řetězec (Attack Chain)?
Pochopení toho, jak útok probíhá, je klíčem k obraně. Hacker málokdy útočí přímo na bránu. Postupuje v krocích: 1. Rekognoskace: Zjistí, jaké technologie používáte (třeba právě zmíněné Ivanti nebo typ střídačů). 2. Prvotní průnik: Phishing nebo zneužití neošetřené chyby v internetovém prohlížeči zaměstnance. 3. Eskalace privilegií: Získání práv administrátora. Tady se často využívají chyby v operačních systémech. 4. Laterální pohyb: Útočník se šíří sítí. Z kancelářského počítače na server, ze serveru do řídicího systému (SCADA). 5. Exfiltrace nebo sabotáž: Ukradení dat nebo, v případě energetiky, fyzické poškození zařízení.
Proti tomuto řetězci musí stát stejně silný řetězec obranný. Jedno heslo nestačí. Potřebujete vícefaktorové ověření pomocí hardwarových klíčů (např. YubiKey), protože SMS kódy se dají snadno odchytit.
Co doporučuje NÚKIB a praxe?
Český NÚKIB mluví jasně: neignorujte aktualizace. Zní to jako klišé, ale většina úspěšných útoků zneužívá chyby, na které už dávno existuje oprava. Jen ji nikdo nenainstaloval, protože "systém přece běží a nechceme do něj sahat". V energetice je tento přístup sebevražedný.
Dalším bodem je izolace. Řídicí systémy elektrárny by neměly být na stejné síti jako počítač účetní, která si ve volném čase prohlíží recepty na Facebooku. Air-gapping (fyzické oddělení sítí) je sice v éře cloudu složitý, ale logická segmentace je naprosté minimum. Pokud se útočník dostane k e-mailům, nesmí mít cestu k ovládání ventilů nebo jističů.
Budoucnost: AI jako útočník i obránce
Vstupujeme do éry, kde AI začíná psát malware. Už dnes vidíme deepfake nahrávky hlasu ředitelů, které dávají pokyny k převodu peněz nebo k otevření portů v firewallu. Na druhé straně barikády ale AI pomáhá. Dokáže v reálném čase analyzovat miliardy logů a najít tu jednu anomálii, která signalizuje, že student z Tchaj-wanu právě zkouší štěstí u vašeho rezervačního systému.
Zabezpečení kritické infrastruktury není projekt s koncem. Je to nekonečný proces adaptace. Pokud si myslíte, že se vás kybernetická bezpečnost netýká, protože máte jen "pár panelů na střeše", mýlíte se. Jste součástí sítě. A síť je jen tak silná, jako její nejslabší článek.
Závěr je jednoduchý: buďte paranoidní. Než kliknete na odkaz v e-mailu, který vypadá jako login do vašeho energetického portálu, zastavte se. Možná právě držíte ruku na nouzové brzdě systému, který ani netušíte, že ovládáte. Nebo hůř, možná ji drží někdo jiný. Kybernetický prostor nemá hranice a ten kluk z Tchaj-peje může být virtuálně ve vaší garáži dřív, než si stihnete dopít ranní kávu.