VUZ nabízí novou službu: posuzování odolnosti proti kybernetickým hrozbám

Uživatel už ani nemusí provádět neopatrné kroky v mobilním telefonu, počítači, domovním elektronickém systému, automobilech a jeho zařízení jsou permanentně vystavována útokům. Společnosti jsou vystavovány útokům permanentně. Hackeři se snaží útočit na zařízení společností buď na základě zadání, nebo obvykle za účelem zisku. Společnost Výzkumný Ústav Železniční, jakožto lídr v posuzování a hodnocení v železničním sektoru, nabízí komplexní produkt v oblasti kybernetické bezpečnosti. V této oblasti již řadu let úspěšně působíme jako akreditovaný subjekt pro posuzování procesu řízení rizik podle prováděcího nařízení Komise (EU) č. 402/2013 u technických změn strukturálních subsystémů infrastruktura, energie, kolejová vozidla, traťové i palubní řízení a zabezpečení a také jako uznaný hodnotitel bezpečnosti ve smyslu normy ČSN EN 50129. Jsme oprávněni a provádíme hodnocení bezpečnosti pro veškeré typy zabezpečovacích zařízení určených k provozu na síti železniční infrastruktury, včetně zabezpečovacích zařízení specifikovaných v TSI CCS.

Nová směrnice NIS 2
Předně vás chceme seznámit s připravovanou změnou v oblasti kybernetické bezpečnosti. V příštím roce vstoupí v platnost nová evropská směrnice NIS 2, která určuje nová pravidla při řešení kybernetické bezpečnosti uvnitř organizací a bude mít zásadní dopad na fungování tisíců českých firem, a to včetně firem působících v oblasti železniční dopravy, zavádí totiž řadu pravidel pro zajištění bezpečnosti jejich kyberprostoru proti hackerským útokům. Směrnice NIS 2 bude povinná, maximální pokuta za její nedodržení bude 10 000 000 Kč, nebo 2 % z celkového celosvětového ročního obratu společnosti. Směrnice NIS 2 dělí organizace do dvou samostatných skupin, doprava (letecká, železniční, vodní a silniční doprava) je zahrnutá mezi subjekty zásadního významu. Například v železničním sektoru vzhledem k postupnému přechodu na výhradní provoz pod dohledem ETCS stává se bezpečnost a kyberbezpečnost velmi podstatným faktorem, na který je nutné se zaměřit a bude navíc i legislativně vyžadován. 
Kybernetické útoky v Česku přibývají. Například 3. března 2021 vydal Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) upozornění na řadu kybernetických útoků. Kromě útoků například na Magistrát hlavního města Prahy a Ministerstvo práce a sociálních věcí ČR bylo významně zasaženo i bankovnictví, školství či zdravotnictví. Dle tiskových zpráv jako odstrašující případ nebezpečných kybernetických útoků lze uvést nedávné útoky na nemocnice. V roce 2020 nahlásilo dle statistických údajů NÚKIB bezpečnostní incidenty šestnáct největších tuzemských nemocnic. Další útok na kritickou infrastrukturu byl v roce 2022 na Ředitelství silnic a dálnic, který byl na profesionální úrovni. Dle NÚKIB šlo o ransomware, který zašifroval data. Podle serveru seznamzpravy.cz ŘSD stále řeší obrovské potíže, aby obnovilo data, která vyděrači zašifrovali a požadují za jejich zpřístupnění výkupné. 

Kybernetika ve VUZ
Naše společnost se zaměřuje na testování odolnosti nejenom v oblasti železnice. Už bylo provedeno bezpočet testů na infrastruktuře, testovali jsme například Pendo­lina, vozy Sysel, komplexní komunikační  testy kybernetické odolnosti. Součástí tohoto testu je také kompletní prohlídka vozidla (napojení do sítě přes vstupy na řadě míst ve vozidlech, např. na WC nebo přes wi-fi vlaku, pod vozem). 
Jeden z testů byl zaměřený na systém Telerail, kde jsme se pokusili penetrovat systém přímo ze stojícího a jedoucího vozu. Testování probíhalo několik dnů a několik dalších dnů jsme zpracovávali výsledky testů a doporučení. Testováním jsme přišli na mnoho bodů k nápravě. Výsledky jsme předali mateřské společnosti České dráhy, která pracuje na jejich nápravě a zlepšení v této oblasti.
Například při znalosti IP adres jednotlivých vlaků je možné se připojit ze sítě do vlakových jednotek. Následující zranitelnosti v jednotlivých jednotkách jsou určující pro závažnost možných škod.  Velice zajímavý výsledek testu byl u systémů řídícího vozu Bfhpvee295, kde bylo možné penetrovat tuto síť.  
V rámci testování sítí velkých společností jsme odhalili řadu odchylek od standardů. Servery, které jsme nalezli v rámci skenování, běží i na OS s ukončenou podporou. Například u Windows server 2008 (SP1) ukončil Microsoft prodlužovanou podporu 14. 1. 2020. Obdobný problém se vyskytnul i u některých aplikačních serverů (jako Lotus notes). Veškeré nálezy byly po testování odstraněny.
Při každém testu se odhalí slabé stránky a možné chyby, přes které se hacker může dostat do sítě a zaútočit. Na základě testů se může zajistit zlepšování a odstraňování potenciálních kritických míst. Jestliže sítě nejsou řádně zabezpečeny, mohou být bránou pro kybernetické útoky, které mohou mít katastrofální důsledky – od krádeže citlivých informací až po rozsáhlé výpadky služeb.
Kybernetičtí zločinci mohou využít slabých míst v síťové infrastruktuře, nedostatečně zabezpečených zařízení nebo dokonce neaktualizovaného softwaru k tomu, aby se dostali dovnitř a provedli svůj připravený útok. Proto je nezbytné provádět pravidelné testování a aktualizace, aby byla síť chráněna před těmito hrozbami. Neudržování sítě v optimálním stavu může mít negativní dopady na celou organizaci, včetně ztráty dat, nižší produktivity a možných bezpečnostních hrozeb. Je v zájmu každé společnosti chránit svá aktiva a zajišťovat, že její technologická infrastruktura je bezpečná a funkční. Ten, kdo pravidelně netestuje vlastní síť, vystavuje společnost obrovskému riziku a tím ji poškozuje. Standardizace v oblasti IT (směrnice, předpisy, rizika, proces zlepšování, standardizace zálohování a jiné) je dnes základní kámen k ochránění aktiv a know-how společnosti. Není potřeba hledat viníky, ale je potřeba hledat řešení, jak se zlepšit! Bohužel častokrát pracovníci místo zlepšování čekají, až problém nastane.
V  oblasti Kybernetické bezpečnosti jsme rozšířili portfolio našich služeb o nový produkt posuzování odolnosti proti kybernetickým hrozbám v oblasti železniční dopravy, ve kterém jsme za poslední roky získali mnoho zkušeností, jež chceme nabídnout našim zákazníkům:

*Konzultace IT architektury z pohledu kybernetické bezpečnosti.
*Oponenturu IT architektury z pohledu kybernetické bezpečnosti.
*Posouzení dokumentace z pohledu kybernetické bezpečnosti.
*Posouzení odolnosti proti kybernetickým hrozbám u stojícího vozidla.
*Posouzení odolnosti proti kybernetickým hrozbám u jedoucího vozidla.
*Přejímku vozidel z pohledu kybernetické bezpečnosti.

Kybernetickou bezpečnost testujeme na základě vlastních standardů a také podle technického standardu CENELEC 50701. Výstupem posouzení je hodnoticí zprava a certifikát vydaný naší společností na základě standardu VUZ, v souladu s ISO 27000, IEC 62443 a případně TC 50701.
Nálezy zjištěné při výše uvedených testech byly kritického rázu. Nejsme však schopni pouze problémy identifikovat, jsme připraveni navrhnout i řešení vedoucí k jejich odstranění.