Infrastruktura polostátního podniku ČEZ patří mezi ty s největším zastoupením v kritické informační infrastruktuře České republiky. Energetický kolos i proto musí řešit kybernetickou bezpečnost. Jen za loňský rok zaznamenal téměř dvacet tisíc kybernetických incidentů.
Ředitel informační bezpečnosti (CISO) ČEZu Pavel Hejduk a manažer integrovaného bezpečnostního operačního centra (iSOC) Pavel Hoffman v rozhovoru pro Lupu popisují, jak ČEZ začal do kyberbezpečnosti šlapat či jak některé firmy ze skupiny podlehly ransomwaru. Mluví také o tom, zda je problém, že datacentrum v Tušimicích běží na technologiích od Huawei.
Dodávku hardwaru pro vaše nové datové centrum v Tušimicích vyhrála čínská společnost Huawei. Jaké jsou vaše dosavadní zkušenosti a jak se k této situaci stavíte?
Pavel Hejduk: Datacentrum v Tušimicích je sice velmi důležité datacentrum pro IT systémy ČEZu, nicméně se prozatím nejedná o systémy regulované podle zákona o kyberbezpečnosti. Není to kritická infrastruktura. Varování NÚKIBu zde tedy přímo nefiguruje.
Věříme, že všechny technologie nehledě na dodavatele obsahují bezpečnostní chyby. V rámci architektury řešení se možné problémy snažíme minimalizovat. Máme řízenou heterogenitu a kombinujeme platformy. Kdyby jedna část – a nemusí to být Huawei, ale klidně Cisco či cokoliv jiného – měla problémy, musí být kompenzována jinou technologií. Huawei je za nás dobře vybraná a nasazená technologie, která sehrála svou historickou úlohu. V rámci obnovy je ovšem otázkou, zda se v Tušimicích objeví znovu.
Takže jste na žádné technologické a bezpečnostní problémy nenarazili?
Pavel Hejduk: Když uděláte skeny zranitelností, nejvíce jich najdete u nejvíce používaných platforem. V tomto ohledu Huawei nevybočuje. Před prvky Huawei jsou nasazeny technologie jiných výrobců, abychom vždy eliminovali rizika jednoho výrobce. Dá se říci, že na každého koukáme s nedůvěrou. Věříme, že naše infrastruktura je díky správně zvolené architektuře odolná.
Jste pro, aby se čínské technologie nepoužívaly?
Pavel Hejduk: Jsem pro, abychom uměli řídit rizika dodavatelů, kteří dodávají do kritické infrastruktury. Role státu, bezpečnostních a tajných složek by měla být ta, abychom se my jako provozovatelé kritické infrastruktury mohli pohybovat v segmentu bezpečných dodávek a nemuseli jsme nést břímě rizika, že někdo napadne námi vypsanou soutěž jenom z toho důvodu, že jsme se snažili Českou republiku ochránit před riziky.
Huawei zakázku vyhrálo díky splnění technických požadavků a zároveň díky nejnižší ceně. Měly by být zakázky vypisovány na cenu?
Pavel Hejduk: Jsme obchodní společnost a musíme se starat o svoje náklady. Potřebujeme a podle zákona se musíme chovat jako řádní hospodáři.
Ano, ale je to dobré z pohledu bezpečnosti?
Pavel Hejduk: Musíme být schopní napsat podmínky výběru tak, abychom při hodnocení měli kvalitativně srovnatelné řešení a mohli jsme s lehkým svědomím vybrat na cenu.
V datacentru máte od Huawei i servery. Huawei před pár dny divizi serverů prodalo, protože kvůli embargům nemá přístup k čipům od Intelu. Jak to na vás jako zákazníka dopadá? Například ohledně možné výměny serverů v rámci reklamace a podobně.
Pavel Hejduk: To je spíše otázka na kolegy z ČEZ ICT Services. To, že musí při správě měnit platformy, je pro ně pravděpodobně vždy složité a náročné.
Jaderné elektrárny Temelín a Dukovany jako jedny z prvních na světě prošly auditem kyberbezpečnosti. Co to pro ČEZ znamená?
Pavel Hejduk: Získání certifikace je třešničkou na dortu. Museli jsme si to odpracovat předtím a je to pro nás závazek do budoucna. V roce 2016 jsme začali budovat systém řízení kybernetické a informační bezpečnosti. Investovali jsme nemalé prostředky, nastavovali procesy a stavěli týmy. Zmiňovaná certifikace se obvykle využívá ve firmách, které dělají zakázky pro státní správu. My to z tohoto důvodu nepotřebujeme, ale díváme se na to jako na dobrou praxi, se kterou jsme zejména u jaderných elektráren chtěli srovnat stav. Vedle toho procházíme pravidelně řadou interních auditů.
V roce 2016 jste začali dělat na nové koncepci kyberbezpečnosti. To souvisí i se zákonem o kybernetické bezpečnosti a rostoucím tlakem na tuto oblast?
Pavel Hejduk: Do jisté míry ano. Do té doby se kybernetická bezpečnost řešila zejména po linii ICT, u nás skrze společnost ČEZ ICT Services. Zákon o kyberbezpečnosti byl jedním z impulsů, který řekl, že vedle ICT je tady kritická infrastruktura. Z dceřiné společnosti ČEZ ICT Services přešel bezpečnostní tým do útvaru ochrany v ČEZ, a. s. Bezpečnostnímu řediteli se tak podařilo spojit oblasti fyzické ochrany, kybernetické a informační bezpečnosti.
Jak je tento tým velký?
Pavel Hejduk: V organizaci našeho typu je třeba mít jeden systém a jednu hlavu. Centrální tým čítá 15 až 17 lidí. Zároveň potřebujeme realizační týmy kyberbezpečnosti v jednotlivých částech celého Koncernu ČEZ. Oblast řešíme napříč celou skupinou. Dejme tomu, že by například společnost ČEZ ESCO měla problémy s kybernetickou bezpečností, bude se to dotýkat skupiny a bude se říkat, že ČEZ jako takový má problémy s kyberbezpečností. Zároveň se neobejdeme bez lidí, kteří v daných lokalitách znají prostředí.
Jak vypadal stav vaší kyberbezpečnosti před oním rokem 2016?
Pavel Hejduk: Před rokem 2016 jsme měli hodně roztříštěné a izolovaně fungující týmy lidí. Někde nebylo vůbec nic. Implementace firewallů, antivirů a dalších bezpečnostních technologií fungovala nekoordinovaně. Nebylo to příliš efektivní z hlediska vynaložených nástrojů a řízení. Podobných příkladů by se našlo více. Vedení na potřebné změny slyšelo, a když za nimi přišel bezpečnostní ředitel, vytvořilo odpovídající podmínky. V roce 2017 už existovala koncepce kyberbezpečnosti pro celý Koncern ČEZ.
Na další investice máte k dispozici desítky až stovky milionů korun?
Pavel Hejduk: Za celou Skupinu ČEZ finanční prostředky nejsou malé. Neznamená to, že bychom kupovali jednu technologii za takové peníze. Naše projekty obecně musí obsahovat prvky kyberbezpečnosti (security by design), což tyto aktivity zdražuje.
Jednou z viditelných investic je vybudování integrovaného Security Operations Centra (iSOC). K čemu vám slouží?
Pavel Hoffman: V roce 2020 jsme zaznamenali 19 971 případů, které lze identifikovat jako potenciální kybernetickou hrozbu. Meziročně je to 6,5krát více. To znamená, že ČEZ není izolovaný od vnějšího světa. Problém globálně narůstá, Skupinu ČEZ nevyjímaje.
V rámci útvaru Ochrana Skupiny vznikly tři oblasti řízení: kybernetická bezpečnost, fyzická bezpečnost a ochrana informací a zájmů. Tyto tři oblasti se v iSOC prolínají, doplňují a navazují na sebe, což je velmi důležité pro celkový obraz. SOC jsou jinde často zaměřeny pouze na kyberbezpečnost. Ve Skupině mají ředitel, vedení, odborné útvary jasný přehled, co se ve Skupině děje a zda existují nová rizika a jsou přijímána patřičná opatření k jejich minimalizaci. Provázanost oblastí je důležitá, často „něco souvisí s něčím“.
Váš iSOC je postavený na nástroji ArcSight?
Pavel Hoffman: Je to jedna z našich dohledových technologií. Integrovaný SOC jsou oči, ruce a tykadla jednotlivých útvarů. Využíváme i vlastní dohledové nástroje, ale i informace, které dostáváme od zaměstnanců ČEZu. K tomu máme tiketovací nástroj, jednotnou e-mailovou adresu a tak dále. Informace se rozdělují a přidělují řešitelským týmům, dohlížíme na průběh řešení tak, aby se nic nezanedbalo. Máme k dispozici nejmodernější a nejefektivnější dohledové technologie, budujeme tým, upravujeme procesy.
Jak dokážete pracovat s historickými legacy technologiemi? Obecně se například ví, že SCADA systémy někdy nejsou příliš dobře zabezpečeny.
Pavel Hoffman: To, že je někde 60 let stará turbína, neznamená, že ji řídí čtyřicet let starý počítač. Systémy na různých lokalitách jsou velice rozdílné, proto musíme komunikovat s kolegy, kteří je znají. Budeme se snažit, abychom nejlepší praxi šířili ve všech lokalitách ČEZu. Ještě nejsme zdaleka na konci.
Pavel Hejduk: Debaty o nezabezpečení SCADA mi často přijdou jako lobby dodavatelů. Aniž bychom od nich museli hned kupovat nové technologie, dokážeme odpracovat řadu důležitých věcí. Začínáme u zaměstnanců. Motivujeme je k tomu, aby měli bezpečnostní zásady a povědomí. Stejným způsobem se staráme o dodavatelský řetězec – aby se, zjednodušeně řečeno, k PLC nepřipojoval notebook, na kterém technik o víkendu brouzdal po internetu. To bezpečnost SCADA systémů významně posiluje. Když už „otevřeme skříňku“, často do daného systému nejde zasáhnout nebo to ekonomicky nedává smysl. Přistupujeme k tomu na úrovni řízení rizik. Někdy stačí systém izolovat, třeba i za pomoci nejnovějších „SCADA security“ řešení.
U izolovaných ostrovních instalací máte postupy, které zamezují tomu, aby k nim někdo nepřišel se Stuxnetem na flash disku?
Pavel Hejduk: Máme organizační opatření zaměstnanců a dodavatelů. Dále máme řízený přístup do objektů a konkrétních skříní, což lze dále zlepšovat například detekcí otevírání dveří a dvířek nebo kamerovým systémem. Díky řízení prací víme věci, jako že ve čtvrtek má být daná skříňka zavřená (nikdo na systému v ní nemá pracovat) a podobně.
Zmiňované senzory mohou být připojeny například na síť internetu věcí a privátní 5G?
Pavel Hejduk: Schopnosti komponent, které se připojují přes 5G síť, jsou dnes už velké. Jeden čip v malém zařízení má často větší schopnosti než starý řídicí systém elektrárny. Je důležité, aby jednotlivé prvky byly odolné samy o sobě. Zde je nutná decentralizace zajištění bezpečnosti. Lidově řečeno – když nám někdo hackne systém na řízení rolet, je to nepříjemné, ale důležité je, že nám pak nezvládne ovládat zámky, světla a tak dále.
Když už se něco stane, je to o postupu zvládání kybernetického incidentu. Je nutné si připustit, že kyberútok může mít úspěch. Je nutné mít postupy, co dělat. Zde těžíme z havarijní připravenosti, která v elektroenergetice tradičně existuje. Čety v distribuci a elektrárnách byly vždy zvyklé trénovat havarijní situace. Historicky jde o požáry, spadlá vedení, únik chemikálií a podobně, nyní k tomu přidáváme kybernetickou oblast.
ČEZ kybernetické aktivity trénoval s Israel Electric Company (IEC). Tedy firmou z Izraele, která řeší neustále útoky svých nepřátel. Bylo to v něčem přínosné?
Pavel Hejduk: V rámci cvičení se nám kromě technických scénářů podařilo zapojit další role, jako jsou tiskoví mluvčí. Ukazuje se, že při zvládání bezpečnostních incidentů jsme závislí na spolupráci a že kybernetické incidenty nejsou pouze záležitostí IT anebo OT světa. Jinak trénování scénářů v rámci konceptu vyvinutého IEC (pro Izrael) pro nás úplně nedávalo v detailu smysl. Musíme řešit zejména ty scénáře, které jsou relevantní pro Českou republiku.
Zároveň je třeba říci, že ČEZ je obchodní společnost generující byznys. Nejsme složka armády nebo tajné služby. Jedním z důvodů, proč řešíme kybernetickou bezpečnost, je ochrana našeho byznysu. Dalším důvodem jsou regulace a legislativa. Musíme být připraveni na řadu věcí. Třeba na vtipálky, kteří se na YouTube podívají na video a pak se pokouší útočit na ČEZ. Pak bychom se měli pokusit úspěšně čelit kybernetické kriminalitě. Jakmile by mělo dojít na organizovaný zločin, kyberterorismus, působení cizí státní moci, tam už není úplně naše role a spoléháme na státní aktéry. Ani dle zákona tuto tenkou linii nikdy nemůžeme překračovat.
Jaké jsou podíly jednotlivých typů pokusů o útoky na ČEZ?
Pavel Hoffman: Rádi bychom uvedli podrobnosti, ale nemůžeme. Jakmile bychom otevřeli karty, otevíráme dvířka někomu, kdo toho zneužije. Dostane se nám do nějakého systému, něco si „uloupne“, a i když to nemusí vůbec bolet, bude se říkat, že Skupina ČEZ nemá dobrou bezpečnost. Musíme mít na zřeteli i dobrou reputaci Skupiny.
Pavel Hejduk: Obecně jde o hrozby dvojího typu. Máme velké množství zaměstnanců, zákazníků a dodavatelů. Žijeme online a přinášíme si do práce phishing a tak dále. To dělá velké množství problémů. Menší počty tvoří útoky namířené proti našemu podnikání. Probíhají samozřejmě i takzvané utilitní útoky zaměřené na odvětví. Zde je dobré, že máme dobře fungující spolupráci s dalšími energetickými společnostmi a dokážeme si rychle vyměňovat informace.
Mediálně jsou známé případy jako Stuxnet, vypnutí elektřiny na Ukrajině nebo útoky na energetiku v USA. Jak moc jsou to pravděpodobné scénáře v širší míře?
Pavel Hejduk: V ČEZu se některé kybernetické útoky útočníkům povedly, typicky v menších firmách z naší Skupiny, které jsou výrazně byznysově orientovány. Podlehly útokům typu ransomware, to se čas od času stává. Co se týče kritické infrastruktury nebo výroby elektřiny, Česká republika ještě pro útočníky není takový cíl, abychom tomu čelili dnes a denně. NÚKIB ale jasně signalizuje, že se to mění a že klidné časy pominou.
Pavel Hoffman: V době covidu proběhly útoky na nemocnice, to českou společnost poměrně bolelo. Teď na trhu padl jeden větší dodavatel energií, existují problémy s dodávkami… Když chci udělat zle, přiložím pod kotel.
ČEZ v kyberbezpečnosti spolupracuje s NÚKIBem, policií nebo tajnými službami. Jak tato spolupráce vypadá?
Pavel Hoffman: Zachováváme domluvenou důvěrnost vyměňovaných informací. Pokud někdo v bezpečnostní komunitě začne zveřejňovat více informací, než je zdrávo, stává se nedůvěryhodným partnerem. A to není náš případ, chováme se profesionálně.
Pavel Hejduk: V oblasti prevence a plnění legislativních požadavků jsou pro nás nezbytnými partnery zejména regulátoři. Pokud je nám při nějakém incidentu způsobená škoda, spolupracujeme s policií a tak dále. Tím, že jsme jako ČEZ pro ČR důležitý podnik, s těmito složkami spíše dokážeme komunikovat efektivněji.
V Česku se mluví o vybudování kvantové sítě pro bezpečný přenos dat s tím, že by se mohly připojit i elektrárny. Budete toho součástí?
Pavel Hejduk: Naše elektrárny, natož jaderné, nebudeme v tomto smyslu připojovat nikam. Elektroenergetika je vysoce regulované odvětví a představa, že něco někam jen tak připojujeme, je iracionální. Například technologické systémy řízení jaderných elektráren jsou zcela autonomní a věřím, že tak zůstanou. S řadou institucí samozřejmě spolupracujeme na výzkumných projektech.
ČEZ je jeden ze zdejších subjektů, které se zajímají o provoz privátní 5G sítě. Jak se na to díváte?
Pavel Hejduk: Pokud bychom v našich areálech zvládli zprovoznit vysokokapacitní bezdrátovou síť, kam bychom postupně mohli připojit senzory či dílčí části nové generace řídicích systémů, byla by to zajímá věc. Mluvíme o horizontu pět až deset let, možná i více, až dojde na generační výměnu. Taková síť by ale musela být vybudována skutečně autonomně. Zatím je to spíše vize a zkoušíme si ji ohmatat skrze proof-of-concept. Vždy existuje alternativa. Prověřit to dává smysl. Dnes v rámci ověření možností používáme i Wi-Fi sítě, které mají v rozsáhlých průmyslových areálech své nevýhody včetně energetické náročnosti.
