Jen málo jiných průmyslových společností pracuje s tolika zcela odlišnými zařízeními a softwarovými aplikacemi jako Siemens. Ten pracuje s řadou řešení od open source softwaru pro často používané produktové komponenty, přes operační systémy pracující v reálném čase, které se používají v senzorech a robotech po Windows na stolních počítačích a aplikace pro internet věcí v kontextu s otevřeným cloudovým operačním systémem IoT Mindsphere. Asi žádná jiná firma nepoužívá digitální nástroje v tolika různých technologických odvětvích a v řešeních, u kterých se očekává, že budou bezchybně fungovat po celá desetiletí jako jsou správa budov, digitální továrny, elektrárny, železniční systémy nebo turbíny.
Ochránit vše proti hackerům není snadný úkol. Podle průzkumu z roku 2018, který provedlo Světové ekonomické fórum, považují manažeři ze zemí s vysokou úrovní industrializace kybernetické útoky za největší riziko pro své firmy. S ohledem na to společnost Siemens v říjnu 2018 zřídila novou organizační jednotku pro kybernetickou bezpečnost, která pokrývá širokou škálu aktivit na ochranu IT infrastruktury, produktů a zákazníků.
Detekce slabých míst ještě před útokem
Důležitou součástí oddělení kybernetické bezpečnosti je Siemens ProductCERT (Computer Emergency Response Team). Tento tým odhaluje místa digitální zranitelnosti v produktech Siemens v rané fázi a rychle poskytuje řešení. „Zranitelnosti se mohou objevit v každém softwaru,“ říká Klaus Lukas, vedoucí oddělení ProductCERT. „To je důvod, proč jsme vždy na pozoru před chybami zabezpečení – a jakmile je najdeme, podporujeme ty, kteří jsou zodpovědní za produkt, abychom našli řešení a informovali naše zákazníky. Pokud je vše vykonáno správně, vytváří to transparentnost a tím důvěru. Toto je vedle bezpečnosti nejdůležitějším výsledkem naší práce.“
ProductCERT vyvinul platformu, která je na trhu jedinečná a může být použita k testování bezpečnosti produktů Siemens pro známé a neznámé chyby zabezpečení. Platforma se nazývá „SiESTA®“ (Siemens Extensible Security Testing Appliance): je to kovová skříňka o velikosti bonboniéry s různými připojeními, kterou lze zapojit přímo k zařízení nebo serveru. Jakmile byl program SiESTA nakonfigurován, spustí automatický testovací program různé bezpečnostní nástroje, což skutečně umožní bezpečnostnímu expertovi „dát si siestu“.
Univerzální testovací nástroj
SiESTA byla poprvé použita v roce 2014, kdy se objevily články o chybě „Heartbleed“. Heartbleed byl slabinou OpenSSL open source knihovny používané ve společnosti Siemens pro zabezpečení komunikace mezi stroji a výrobními zařízeními. Aby bylo možné zjistit, které produkty byly touto chybou ohroženy, byl vyvinut testovací program, který byl distribuován do různých vývojových oddělení společnosti Siemens. V důsledku toho bylo možné identifikovat zasažené produkty a v krátké době přijmout protiopatření. To vedlo k myšlence vyvinout uživatelsky přívětivé testovací zařízení, které by mohlo být použito v celé řadě produktů Siemens a jejich softwarových prostředích a které by mohlo rychle a snadno provádět takové testovací postupy.
Od roku 2016 je SiESTA používána v bezpečnostních odděleních obchodních jednotek Siemens – a nyní je nově nabízena i jako služba koncovým zákazníkům. SiESTA obsahuje velké množství běžných bezpečnostních nástrojů, které jsou kombinovány v rámci jednoho snadno použitelného uživatelského rozhraní, které lze podle potřeby aktualizovat a rozšiřovat. Jeden z operačních systémů používaných platformou SiESTA je Kali Linux. Poskytuje řadu nástrojů pro testování bezpečnosti, nicméně SiESTA podporuje také řadu běžných komerčních nástrojů. To umožňuje testovacím oddělením společnosti Siemens zjistit, co by útočník viděl při pokusu proniknout do systému zvenčí.
Takovéto nástroje umožňují identifikovat zranitelnosti, jako jsou Heartbleed, Ghost, Wannacry, NotPetya a mnoho dalších. SiESTA je také schopna najít zcela nové chyby – díky takzvaným fuzzing testům, které posílají cílené, neplatné vstupy do systémů a ověřují chování testovaného zařízení. Nové verze produktů jsou také kontrolovány pomocí zátěžových testů, aby se ověřilo, zda fungují správně i při vysokém zatížení sítě. V jiných případech použití, jako je např. hodnocení bezpečnosti průmyslových sítí, síťová prověřování určují, která zařízení a verze softwaru jsou k dispozici, zda jsou bezpečně nakonfigurovány a zda existují známé chyby zabezpečení.
Mezery na první pohled
SiESTA může také kontrolovat, zda je na výrobcích instalována nejnovější aktualizace zabezpečení a zda byla provedena všechna nezbytná opatření. V případě potřeby využívá odlehčené testy, které jsou speciálně přizpůsobeny průmyslovému prostředí. Tato služba je v rámci společnosti Siemens používána již několik let a nyní je k dispozici i zákazníkům. Umožňuje bezpečnostním expertům zajistit, aby jejich systémy byly vyzbrojeny proti útokům a splňovaly mezinárodní bezpečnostní standardy.
