Proč je kritická infrastruktura pro útočníky tak atraktivní
Kritická infrastruktura zahrnuje systémy, jejichž výpadek má okamžitý dopad na fungování státu a společnosti: energetiku, vodárenství, dopravu, nemocnice, telekomunikace nebo finanční služby. Právě tato vysoká závislost na dostupnosti dělá z těchto cílů mimořádně lákavé terče. Útok, který vyřadí několik řídicích systémů nebo zastaví provoz dispečinku, může během hodin způsobit škody v řádu milionů eur.
Podle veřejných zpráv bezpečnostních agentur i firemních reportů roste počet incidentů dlouhodobě dvojciferným tempem. Častější jsou ransomwarové útoky, útoky na dodavatelské řetězce a průniky přes vzdálený přístup. Útočníci navíc často kombinují finanční motivaci s politickým tlakem, sabotáží nebo špionáží. V praxi to znamená, že stejný typ útoku může mít v jednom případě cílem výkupné a v jiném narušení provozu nebo sběr citlivých dat.
Co útoky pohání: zastaralé technologie, propojení systémů a lidská chyba
Jedním z hlavních důvodů růstu je digitalizace provozu. Organizace přecházejí na vzdálený dohled, průmyslový internet věcí, cloudové platformy a centrální řízení. To zvyšuje efektivitu, ale zároveň rozšiřuje útočnou plochu. Systémy, které dříve fungovaly odděleně, jsou dnes propojené přes VPN, API nebo dodavatelský přístup.
Další problém představují starší průmyslové systémy, které nebyly navržené pro internetové prostředí. V energetice, výrobě nebo dopravě stále běží zařízení s životností 15 až 25 let. Často používají protokoly bez šifrování, slabou autentizaci nebo výrobce už pro ně nevydává aktualizace. Zranitelnost pak nemusí být jen v samotném softwaru, ale i v konfiguraci, zálohách nebo vzdálené správě.
Bezpečnostní incidenty navíc často začínají obyčejným phishingem. Stačí jedno ukradené heslo, jedna špatně nastavená služba nebo jeden kompromitovaný účet dodavatele. V prostředí kritické infrastruktury je to obzvlášť nebezpečné, protože i menší chyba může otevřít cestu do systémů, které řídí fyzický provoz.
Jaké techniky útočníci používají nejčastěji
Nejčastějším scénářem zůstává ransomware. Útočníci se snaží zašifrovat data, přerušit provoz a následně vynutit platbu. V posledních letech se ale rozšířil model dvojitého a trojitého vydírání: kromě šifrování hrozí i zveřejnění dat nebo útok na partnery a zákazníky. U kritické infrastruktury je to zvlášť účinné, protože každá hodina odstávky zvyšuje tlak na rychlé řešení.
Výrazně roste také počet útoků na dodavatelský řetězec. Místo přímého útoku na silně chráněnou firmu se útočník zaměří na menšího partnera, servisní firmu nebo poskytovatele softwaru. Když má dodavatel přístup do interní sítě, může se útočník dostat dál mnohem snáz. Tento model ukázaly i známé incidenty posledních let v energetice, logistice a veřejných službách.
U státem podporovaných skupin se často objevuje i dlouhodobá špionáž. Ta nemusí být viditelná hned. Útočník se snaží zůstat v síti týdny nebo měsíce, mapovat prostředí, sbírat přihlašovací údaje a čekat na vhodný moment. V době geopolitického napětí pak může být připravený způsobit výpadek přesně ve chvíli, kdy má útok největší dopad.
Jak jsou státy připravené a kde zůstávají slabiny
Státy v posledních letech investují do obrany výrazně víc než dřív. V Evropě i v USA vznikají specializovaná centra pro sdílení informací o hrozbách, posilují se národní CERT týmy a zpřísňují se povinnosti provozovatelů klíčových služeb. Evropská směrnice NIS2 například rozšiřuje okruh regulovaných subjektů a vyžaduje přísnější řízení rizik, hlášení incidentů i kontrolu dodavatelů.
Na úrovni praxe to znamená více auditů, povinné vícefaktorové ověřování, segmentaci sítí a důraz na zálohování. Některé státy také budují cvičení podobná krizovému řízení, kde se testuje reakce nemocnic, energetických firem nebo dopravních uzlů na simulovaný útok. Tyto testy ukazují, že technická obrana sama o sobě nestačí. Rozhodující je i schopnost rychle koordinovat policii, regulátory, armádu a soukromé firmy.
Slabiny ale přetrvávají. Mnoho organizací stále nemá přesný přehled o všech aktivech, starých účtech a napojených systémech. Jinde chybí dost lidí, kteří rozumějí zároveň IT i průmyslovému provozu. To je problém zejména v menších státech a regionech, kde je bezpečnostní tým poddimenzovaný a provozní systémy běží bez modernizace dlouhé roky.
Co mohou provozovatelé udělat hned teď
Provozovatelé kritické infrastruktury se nemohou spoléhat jen na centrální stát. Základní obrana začíná u přehledu o majetku a přístupech. Pokud organizace neví, jaké servery, PLC, vzdálené přístupy a cloudové účty používá, nemůže je efektivně chránit. Praktickým minimem je pravidelný inventář aktiv, klasifikace systémů podle důležitosti a oddělení kancelářské a provozní sítě.
- Zavést vícefaktorové ověřování pro všechny vzdálené přístupy, administrátory i dodavatele.
- Segmentovat sítě tak, aby průnik do kancelářské části neznamenal automatický přístup k provozním systémům.
- Pravidelně testovat zálohy včetně obnovy, nikoli jen jejich vytváření.
- Monitorovat anomálie pomocí SIEM, EDR a log managementu; u průmyslových provozů i specializovaných OT nástrojů.
- Omezit dodavatelský přístup časově, technicky i smluvně a logovat každou akci.
V praxi se osvědčuje také pravidlo „least privilege“, tedy minimálních oprávnění. Zaměstnanec nebo externista má mít přístup jen k tomu, co skutečně potřebuje. Pokud je to možné, mají být správní účty oddělené od běžných účtů a citlivé akce schvalované dvěma osobami. U kritických provozů je vhodné mít i offline zálohy a připravené manuální postupy pro případ, že digitální řízení dočasně selže.
Jak poznat, že obrana funguje, a co bude rozhodovat dál
Úspěšná obrana kritické infrastruktury se nepozná podle počtu nainstalovaných nástrojů, ale podle schopnosti odolat, detekovat a rychle obnovit provoz. Důležité jsou konkrétní metriky: čas detekce incidentu, čas izolace napadeného systému, čas obnovy z záloh a počet systémů, které mají aktuální patch management. Organizace, které tyto údaje sledují, reagují rychleji a s menšími ztrátami.
Rozhodovat bude i schopnost sdílet informace mezi státem a soukromým sektorem. Kybernetické útoky na energetiku nebo dopravu už nejsou jen technický problém, ale otázka bezpečnosti státu. Proto roste význam společných cvičení, rychlého hlášení incidentů a standardů pro dodavatele. Bez toho budou i dobře chráněné firmy zranitelné přes slabší články v řetězci.
Do dalších let navíc vstupuje umělá inteligence. Útočníkům pomáhá s automatizací phishingu, průzkumu sítí i tvorbou škodlivého kódu. Obránci ji naopak využívají ke korelaci logů, detekci anomálií a rychlejší analýze incidentů. Rozdíl bude v tom, kdo dokáže AI zapojit dřív a přesněji. U kritické infrastruktury tak už nejde jen o prevenci, ale o schopnost fungovat i v prostředí, kde útok je spíš otázkou času než náhody.