SmartEnergyShare.info
Analýzy

REvil, zatykače a stín nad kritickou infrastrukturou

REvil, zatykače a stín nad kritickou infrastrukturou - Analýzy | SmartEnergyShare

Arménie, slunečný den a jeden ruský turista, který si myslel, že jeho dovolená bude jen o památkách a koňaku. Místo toho skončil v poutech. Proč? Protože na něj Spojené státy vydaly zatykač kvůli jeho údajnému napojení na nechvalně známou hackerskou skupinu REvil.META_DESCRIPTION: Kybernetické útoky na energetiku a OT sítě dramaticky rostou. Zjistěte, jak REvil a nové hrozby ohrožují kritickou infrastrukturu a jak se efektivně bránit.

Před pár dny proběhla médii zpráva, která zní jako vystřižená z špionážního thrilleru od Toma Clancyho. Arménské úřady na letišti v Jerevanu zadržely ruského turistu na základě amerického zatykače. Důvod? Údajné napojení na obávanou hackerskou skupinu REvil. Pro běžného čtenáře možná jen další „ajťácká“ kuriozita, ale pro lidi z oboru kybernetické bezpečnosti průmyslových systémů (OT – Operational Technology) je to jasný signál: lov na ty, kteří ohrožují naši energetickou stabilitu, nabral na obrátkách. Skupina REvil totiž není jen parta kluků, co kradou čísla kreditek. Jsou to architekti digitálního chaosu, kteří se specializují na ransomware útoky s potenciálem vypnout dodávky plynu, elektřiny nebo zastavit výrobní linky globálních korporací.

REvil, zatykače a stín nad kritickou infrastrukturou

Zatčení v Arménii je jen špičkou ledovce v globální válce o bezpečnost kritické infrastruktury. REvil (známý také jako Sodinokibi) se proslavil útoky, které paralyzovaly společnosti jako JBS (největší světový zpracovatel masa) nebo Colonial Pipeline, což vedlo k nedostatku paliva na východním pobřeží USA. Proč o tom mluvíme v kontextu energetiky? Protože hranice mezi „ukradenými daty“ a „vypnutým vypínačem“ v rozvodně se povážlivě tenčí.

Moderní energetika už dávno není o chlapovi v montérkách s velkým klíčem. Je to komplexní síť senzorů, PLC automatů a komunikačních protokolů. Když se hacker z REvilu nebo podobné skupiny dostane do sítě, jeho cílem není jen výkupné v bitcoinech. Často jde o demonstraci síly nebo o přípravu na budoucí konflikt. Průmyslové řídicí systémy (ICS) jsou dnes propojeny s internetem víc, než si většina manažerů připouští. Staré stroje, které měly běžet v izolovaném prostředí, jsou najednou součástí cloudu, aby bylo možné sbírat data pro prediktivní údržbu. A právě tady vzniká smrtící koktejl zranitelností.

Pokud vás zajímá, jak se dnešní energetické sítě transformují a proč je jejich ochrana tak složitá, podívejte se na to, jak funguje moderní sdílení elektřiny. Každý nový účastník sítě, každá nová fotovoltaika na střeše, to je další potenciální vstupní bod pro útočníka, pokud není systém správně zabezpečen. Útok na kritickou infrastrukturu už není otázkou „jestli“, ale „kdy“. A nejde jen o velké elektrárny. Terčem jsou i menší komunity a firmy, které se snaží o energetickou soběstačnost.

OT vs. IT: Proč váš firemní firewall v rozvodně shoří

Jednou z největších chyb, kterou české firmy dělají, je přesvědčení, že jejich IT oddělení zvládne i zabezpečení výroby. „Máme přece nejnovější firewall od Cisca, tak co by se mohlo stát?“ Jenže v OT světě platí úplně jiná pravidla. Zatímco v IT je prioritou důvěrnost (aby nikdo nečetl vaše maily), v OT je absolutním králem dostupnost. Když vám v kanceláři zamrzne Windows, zanadáváte si a restartujete. Když vám v rozvodně zamrzne řízení turbíny kvůli bezpečnostnímu skenu, můžete způsobit škodu za desítky milionů nebo někoho zabít.

Hackeři dnes využívají specializovaný malware jako Pipedream (Incontroller), který je navržen přímo pro manipulaci s průmyslovými protokoly jako Modbus nebo OPC UA. Tyto protokoly vznikaly v době, kdy se na bezpečnost nemyslelo, protože se předpokládalo, že síť je fyzicky oddělená. Dnes, v éře chytrých sítí, jsou tyto protokoly „nahé“ a zranitelné. Útočník nemusí prolomit šifrování – on prostě pošle legitimně vypadající příkaz „vypni ventil“ a PLC ho poslušně provede.

Vzdělávání v této oblasti je kritické. Doporučujeme sledovat materiály od NUKIB, který v Česku nastavuje standardy pro kyberbezpečnost. Pokud provozujete vlastní zdroje a chcete mít klidné spaní, je nezbytné implementovat robustní IoT monitoring, který dokáže detekovat anomálie v reálném čase. Nejde jen o to mít antivir, ale o hloubkovou analýzu síťového provozu, která pozná, že se vaše solární střídače najednou snaží komunikovat s IP adresou v Severní Koreji.

Dragos a budoucnost obrany: Když algoritmy hlídají ventily

V oblasti OT bezpečnosti dnes udává tón americká společnost Dragos. Jejich zakladatel Robert M. Lee je v oboru legendou – byl to on, kdo vyšetřoval první úspěšný útok na ukrajinskou rozvodnou síť v roce 2015. Dragos nedávno představil zásadní aktualizace svého produktu Dragos Platform, které se zaměřují na automatizovanou detekci hrozeb a reakci na incidenty. Jejich přístup je založen na „vzdělané viditelnosti“. Nemůžete chránit to, co nevidíte.

Nové aktualizace Dragos Platform přinášejí hlubší integraci s partnery, jako je CrowdStrike nebo ServiceNow, což umožňuje propojit svět IT a OT do jednoho přehledného celku. Pro energetiky je klíčová funkce „Neighborhood Keeper“ – anonymní sdílení informací o hrozbách mezi různými provozovateli v reálném čase. Když někdo začne skenovat sítě v Německu, český energetik o tom ví dřív, než útočník stihne překročit hranice v kyberprostoru.

Tento model kolektivní obrany je přesně to, co potřebujeme i u nás. Pro pro firmy, které se zapojují do moderních energetických trhů, to znamená, že bezpečnost už není jen nákladem, ale konkurenční výhodou. Dragos také klade obrovský důraz na tzv. „Five Critical Controls for OT Cybersecurity“. Patří mezi ně ICS-specific incident response plan, segmentace sítě, monitoring, bezpečná vzdálená správa a správa zranitelností. Zní to složitě? Možná. Ale v porovnání s týdenním blackoutem je to procházka růžovým sadem.

Česká realita: NUKIB, NIS2 a strach z neznáma

Česko není žádný bezpečný ostrov uprostřed bouře. Naopak, díky naší husté energetické síti a strategické poloze jsme pro hackery (ať už státem sponzorované nebo kriminální) velmi atraktivním cílem. Evropská směrnice NIS2, která se nyní promítá do našeho zákona o kybernetické bezpečnosti, dopadne na tisíce českých firem. Už to nebude jen o ČEZu a Temelínu. Povinnosti budou mít i středně velcí výrobci elektřiny, teplárny a dokonce i některé obce.

Mnoho subjektů se teď snaží narychlo „zalepit díry“, ale bezpečnost nelze koupit v krabici. Je to proces. NUKIB pravidelně varuje před používáním technologií z rizikových zemí v kritických uzlech sítě. A má k tomu dobrý důvod. „Backdoory“ (zadní vrátka) v hardware mohou být aktivovány jedním příkazem z centrály výrobce tisíce kilometrů daleko. Pro české subjekty je proto bezpečnější sázet na prověřená řešení a lokální platformy.

Pokud jste menší výrobce a bojíte se, že vás legislativa převálcuje, řešením může být partnerství s platformou, která bezpečnost řeší za vás. Například energetická platforma SES integruje bezpečnostní protokoly přímo do svého jádra, takže se můžete soustředit na výrobu a ne na to, jestli vám někdo nehacknul terminál. Více o tom, jak se v tomto novém světě orientovat, se dočtete také na Share-Electric.cz.

Jak se bránit: Manuál pro přežití v digitální energetice

Co tedy můžete udělat hned teď? Prvním krokem je audit. Ne papírový, ale reálný test toho, co máte v síti. Budete překvapeni, kolik „zapomenutých“ Wi-Fi routerů nebo nezabezpečených terminálů ve vašich provozech najdete. Druhým krokem je důsledná segmentace. IT a OT sítě nesmí být nikdy přímo propojeny bez robustního rozhraní (např. demilitarizovaná zóna – DMZ).

Třetím a nejdůležitějším bodem je monitoring. Pokud nevyužíváte služby jako obchodování flexibility nebo SVR služby, kde je sledování toku dat nutností, měli byste o něm uvažovat čistě z bezpečnostního hlediska. Každý pokus o neautorizovaný zápis do PLC musí vyvolat alarm. Ne zítra, ne za hodinu, ale hned.

Závěrem? Kybernetická válka o energetiku už začala. Zatčení v Arménii ukazuje, že ani ti největší hráči jako REvil nejsou nedotknutelní, ale na jejich místo nastoupí deset dalších. Budoucnost patří decentralizované, zelené, ale hlavně bezpečné energetice. Ti, kteří budou ignorovat OT bezpečnost, riskují víc než jen pokuty od NUKIBu. Riskují, že jejich pýcha – moderní solární park nebo výrobní hala – skončí jako drahé těžítko po jednom úspěšném útoku z temného kouta internetu. Investice do bezpečnosti není zbytečný náklad, je to pojistka na vaši budoucnost. A pokud chcete vědět, jak na to prakticky, začněte studiem na ShareElectric.cz, kde najdete návody pro moderní energetiky.

Zdroje

- NUKIB - Národní úřad pro kybernetickou a informační bezpečnost - The Hacker News: Armenia Detains Russian Tourist on U.S. Warrant - Dragos - Industrial Cybersecurity Leadership - CISA - Cybersecurity & Infrastructure Security Agency - oEnergetice.cz - Aktuality z energetiky

Obchodujete s batteriovými úložišti nebo hledáte partnera pro flexibilitu a day trading elektřiny? SmartEnergyShare nabízí kompletní řešení pro BESS projekty od 50 do 250 kW — obchodování flexibility, SVR služby a IoT monitoring. Zjistěte víc →

Další články na toto téma najdete na: ElectricShare.cz Hackeři si našli díru do SharePointu. Energetické firmy b... Vice o sdílení elektřiny