Ohrožení jaderných elektráren kybernetickými útoky

Ředitel Národního centra kybernetické bezpečnosti, Vladimír Rohel, popsal v rozhovoru pro Český rozhlas výsledky nasimulovaného cvičení kybernetického útoku na jadernou elektrárnu, který proběhl v zařízení Masarykovy Univerzity v Brně 7. října 2015, kde proti sobě dva týmy informatiků a expertů na kybernetickou bezpečnost hrály šesti hodinovou počítačovou hru.

Rohel ohodnotil 40 % úspěšnost v ubránění jaderné elektrárny jako velice dobrý výkon a hájil ho slovy, že cvičení bylo intenzivnější, než jak by v praxi útok probíhal. Na otázku moderátorky Sedláčkové, zda by tedy kybernetický útok dokázal vyřadit jadernou elektrárnu z provozu, odpověděl: „Rozhodně si nemyslíme, že by systémy elektráren na tom byly, řekněme, až tak špatně, jak my jsme připravili ty sítě do úvodního stavu, se kterými oni se seznámili, a rozhodně vůbec si nemyslíme, že ty sítě by byly vystaveny, řekněme, přímo online internetu a nebo tomu, čemu ta síť, ta cvičná síť, kterou oni bránili, vystavena byla.”

Dle zprávy, kterou 5. října 2015 publikoval britský think tank Oddělení mezinárodní bezpečnosti působící v rámci Královského institutu mezinárodních vztahů (Chatham House), by ochrana infrastruktury jaderných elektráren před kyberkriminálníky, hackery sponzorovanými státy a teroristy měla být brána se vší vážností. Zpráva vznikla na základě analýzy osmnácti měsíčního pozorování kybernetické ochrany v jaderných elektrárnách po celém světě. Mimo jiné informovala o tom, že mnoho jaderných elektráren nebylo připraveno na rozsáhlé kyberútoky, ke kterým došlo mimo pracovní dobu. A také o tom, že mnoho kontrolních opatření bylo shledáno „nejistými“ (čili nezajišťujícími bezpečnost) v důsledku stáří elektráren.

Podle britské studie je riziko kyberútoku „všudypřítomné“. V minulosti přetrvával mýtus, že počítačové systémy v jaderných elektrárnách jsou od veřejného internetu izolovány a jsou proto imunní vůči kyberútokům odehrávajícím se v jiných průmyslových odvětvích. Přitom autoři zprávy našli důkazy o virtuálních sítích a jiných připojeních k veřejnému internetu v systému jaderných elektráren, na něž správci infrastruktur buď zapomněli anebo o nich ani neměli zdání. Také zamrazí při vzpomínce na rok 2009, kdy se s pomocí obyčejného USB flash disku, který obsahoval počítačový vir Stuxnet, podařilo napadnout systém iránské jaderné elektrárny a naprogramovat 1 000 zařízení vyrábějících jaderný materiál k sebezničení.

Zpráva také zjistila, že většina jaderných elektráren po celém světě a s nimi spojené infrastruktury, včetně britských elektráren, by nebyly před kyberútokem dobře chráněné z důvodu vzrůstající digitalizace a závislosti na komerčním softwaru. Na to výkonný ředitel Asociace jaderného průmyslu (NIA) Keith Parker zareagoval tvrzením, že: „Všechny jaderné elektrárny v Británii jsou navrženy s ohledem na bezpečnost a jsou na nich prováděny zátěžové testy tak, aby vydržely širokou škálu případných mimořádných událostí.“ Vedle spolupráce s Centrem pro ochranu národní infrastruktury (CPNI) a zpravodajskými agenturami při tom vyzdvihl průběžný monitoring regulátora ONR.

Vážnost situace chápe také Mezinárodní agentura pro atomovou energii (IAEA), která v červnu 2015 uspořádala konferenci na téma zvýšené četnosti nahodilých i cílených kyberhrozeb.

 

Více informací:

http://www.bbc.com/news/technology-34423419 a http://www.rozhlas.cz/zpravy/politika/_zprava/1541086

*****
(C)  Olga Kališová, Temelín.cz podle BBC a Českého rozhlasu / Foto: archiv Calla