Kybernetická bezpečnost OT

Kybernetická bezpečnost v průmyslu: technologie nestačí, rozhodují lidé

Kybernetická bezpečnost se v posledních letech stala jedním z klíčových témat průmyslové praxe. Rostoucí digitalizace a propojování výrobních systémů sice přináší vyšší efektivitu, ale zároveň zvyšuje zranitelnost podniků. Ukazuje se přitom, že skutečný problém často neleží v technologiích samotných, ale v tom, jak jsou používány. Zvláště v prostředí průmyslových podniků, kde se propojují informační (IT) a provozní technologie (OT), se kybernetická bezpečnost stává nejen technickou, ale především organizační a lidskou otázkou.

Autor:

doc. Ing. Bohuslav Peterka, Ph.D., prof. Ing., Martin Pexa, Ph.D., doc. Ing. Zdeněk Aleš, Ph.D.

Česká zemědělská univerzita v Praze, Technická fakulta a Česká společnost pro údržbu

Zkušenosti z praxe ukazují, že podniky dnes čelí stále širšímu spektru problémů a s nimi spojených rizik – od legislativních požadavků až po obtížnou implementaci konkrétních opatření.

Dopady evropské směrnice NIS2 prostřednictvím české legislativy (zákona č. 264/2025 Sb.) jednoznačně ukazují, že podniky musí nově systematicky řídit rizika nejen v oblasti IT, ale i v provozních technologiích, a to včetně dodavatelských řetězců.[1][2] Kybernetická bezpečnost se tak posouvá z podpůrné funkce do role strategické priority.

Pokud se zaměříme na průmyslové řídicí systémy, ukazuje se, že samotné technologie bývají často relativně dobře zabezpečeny. Problémy však vznikají při jejich provozu, údržbě a správě přístupů. Právě zde se nejčastěji objevují slabá místa. Společným jmenovatelem většiny problémů je lidský faktor. Řada incidentů nevzniká jako cílený útok, ale jako důsledek běžné provozní činnosti. Typickými situacemi jsou zásahy během údržby, kdy dochází ke změnám konfigurace nebo aktualizacím systémů bez dostatečného plánování, dokumentace a kontroly. Podobně problematické je nastavení pracovních rolí – například když jedna osoba vykonává i kontroluje stejnou činnost, nebo když dochází ke sdílení přístupů mezi pracovníky. Rostoucí počet systémů navíc vede k tomu, že zaměstnanci volí jednodušší, ale méně bezpečné postupy. V kombinaci s externími dodavateli nebo údržbářskými zásahy tak vzniká prostředí, kde se rizika kumulují.

Významnou roli hraje také bezpečnostní kultura organizace. Pokud je bezpečnost vnímána jako překážka, dochází k jejímu obcházení – a to i v případech, kdy jsou technická opatření nastavena správně. Je zřejmé, že kybernetická bezpečnost už dnes není jen otázkou technologií, ale především řízení, procesů a práce s lidmi (Obr. 1). Tento posun odpovídá i doporučením evropské agentury ENISA, která dlouhodobě zdůrazňuje význam řízení rizik a lidského faktoru v oblasti kybernetické bezpečnosti.[3]

Moderní přístupy proto zdůrazňují potřebu:

jasně definovaných rolí a odpovědností,
kontrolních mechanismů, řízení změn a rizik,
systematického řízení přístupů,
a především dlouhodobé práce s lidskými zdroji.

Obr. 1 Kybernetická bezpečnost: technologie, procesy a lidé jako neoddělitelný celek (zdroj: vlastní zpracování)

Bez těchto kroků zůstávají i technicky kvalitní řešení nedostatečná. Zásadní roli v této oblasti hraje vzdělávání. Management firem musí pochopit, že nestačí jednorázové školení, ale že jde o dlouhodobý proces, který formuje přístup zaměstnanců k bezpečnosti – a to jak fyzické, tak kybernetické. Téma kybernetické bezpečnosti se proto stále více promítá i do vzdělávacích programů. Na České zemědělské univerzitě v Praze je součástí výuky v technických oborech a zároveň se objevuje i v rámci odborných kurzů zaměřených na praxi, například v aktivitách České společnosti pro údržbu.

Současný vývoj ukazuje, že kybernetická bezpečnost v průmyslu bude stále více spojena s lidským faktorem. Technologie budou nadále pokročilé, ale jejich skutečná efektivita bude vždy záviset na tom, jak s nimi lidé pracují.

Právě propojení technologií, procesů a vzdělávání tak představuje klíč k bezpečnému a spolehlivému provozu průmyslových podniků v podmínkách moderní výroby.

Podniky investují do systémů, ale často zapomínají investovat do těch, kteří je obsluhují. Přitom právě zde vzniká většina problémů. Pokud management nezačne vnímat vzdělávání v oblasti kybernetické bezpečnosti jako klíčovou součást řízení, zůstane bezpečnost pouze formální deklarací – nikoli reálnou ochranou provozu.

REFERENCE:

[1] ČESKO. Zákon č. 264/2025 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů. In: Sbírka zákonů České republiky. Praha: Ministerstvo vnitra, 2025.

[2] EVROPSKÁ UNIE. Směrnice Evropského parlamentu a Rady (EU) 2022/2555 ze dne 14. prosince 2022 o opatřeních pro vysokou společnou úroveň kybernetické bezpečnosti v Unii (NIS2). Úřední věstník Evropské unie. 2022, L 333, s. 80–152.