Kybernetická bezpečnost v energetice a kde na to vzít lidi

V rámci letošního veletrhu FOR INDUSTRY se uskutečnila také konference „Kybernetická bezpečnost v energetice a kde na to vzít lidi“.

Konferenci uspořádal Český institut manažerů informační bezpečnosti v rámci veletrhů FOR INDUSTRY 2018, JOBS 2018 a ENERGO SUMMIT 2018 a pod záštitou vládního zmocněnce pro IT a digitalizaci Ing. Vladimíra Dzurilly. Diskutovala se zde v současné době prakticky otevřené kybernetické války velmi aktuální témata bezpečnosti energetických celků, nedostatku odborníků na kybernetickou bezpečnost a cest, jak je vzdělávat a získávat, či možných dopadů kybernetického útoku na rozvodnou síť například hlavního města Prahy. S analýzou útoků na energetické a další velké ekonomické celky, které se již uskutečnily v Ukrajině, vystoupili také pracovníci ukrajinské společnosti ISSP, Oleksii Yasynskyi, Andiy Slogodyanik a Artem Mykhailov. Nemá asi smysl se podrobně zabývat jednotlivými přednáškami, spíš se pokusím maličko podtrhnout fakta, která mne zaujala.

Dnešní kybernetická kriminalita je dobře zavedený sektor ekonomiky. To je bohužel fakt. Jeho hodnota se odhaduje někde mezi 450 miliardami až 1 bilionem dolarů. Nikdo to přesně neví. Faktem je, že už v roce 2013 přesáhly příjmy z kybernetické kriminality příjmy z prodeje drog. A to jsou nějaké příjmy. Rozdíl je jen v tom, že s drogovou kriminalitou vlády povětšinou bojují, zatímco o boji s kybernetickou kriminalitou vlády zatím spíš jenom mluví. A nejen to. Některé ji skrytě či dokonce otevřeně podporují.

Současná kybernetická kriminalita je rovněž perfektně organizovaný byznys. Zaměstnává špičkové specialisty a funguje úplně stejně jako každá jiná legitimní ekonomika. Plánuje a vytváří strategie. Mnohými ekonomickými experty je dokonce paradoxně považována za velmi perspektivní jak z hlediska příjmů, tak i zaměstnanosti. Koneckonců už dnes zaměstnává na obou stranách pomyslné hranice spoustu lidí. Roste, sílí a organizuje se, zatímco její protipól, kybernetická bezpečnost, se utápí ve stereotypech, brodí bažinami nekompatibilních zákonů a vyhlášek, právních obezliček, národních specifik, politických tahanic a nezřídka (pseudo)humanistických ideálů. Prakticky tak kybernetické kriminalitě prošlapává cestu k úspěšnému rozvoji.

Kudy vede, vede-li, cesta ven? O tom a nejenom o tom byly právě přednášky specialistů ISSP. Ukazuje se, že většina globálních útoků, které byly v Ukrajině namířeny proti energetickým a industriálním systémům, napáchaly daleko menší zlo, než by ve skutečnosti napáchat mohly. Z druhé strany od roku 2014, kdy byly první velké útoky uskutečněny a analyzovány, se všechny další postupně zdokonalují a učí z vlastních chyb. Celkem logicky lze předpokládat, že většina z doposud provedených útoků nejsou nic jiného než zkoušky a testy, jejichž cílem je útoky zdokonalit, učinit je co nejničivějšími, co nejméně odhalitelnými a schopnými zaútočit na kterýkoliv industriální systém kdekoliv na světě. Cesta ven je jediná: spolupráce. Spolupráce zemí, spolupráce vlád, spolupráce odborníků, sdílení znalostí a zkušeností, sjednocování legislativy. Kybernetická kriminalita totiž už dávno není hackerství, kdy cílem hackerů bylo se dostat pokud možno do titulků na prvních stránkách novin. Kybernetická kriminalita vyžaduje obrovské investice a musí za ní stát organizace, které jimi disponují a mají z ní profit. A že jsou to i vlády některých států, je celkem nasnadě.

(jer)