KYBERBEZPEČNOST VE VÝROBĚ

Kybernetická bezpečnost ve výrobě už není tématem pouze pro specialisty


Existuje celá řada důvodů, proč by podniky měly věnovat ve svých výrobních provozech větší pozornost kybernetické bezpečnosti. Digitalizace a propojení provozních a informačních technologií jsou hnacím motorem inovací a přinášejí nejen mnoho výhod, ale zároveň zvyšují zranitelnost vůči kybernetickým útokům. Druhý díl seriálu o bezpečnosti provozních technologií poukazuje na skutečnost, že zavádění bezpečnostních standardů pro provozní technologie (OT) stále ještě zaostává za podobným vývojem v oblasti informačních technologií (IT).

Autor: Siemens

Máme pro vás malou hádanku:

Na kládě sedí pět žab. Jedna z nich se rozhodne skočit. Kolik žab teď sedí na kládě? Čtyři? Nikoliv. Rozhodnout se něco udělat není totéž jako to skutečně udělat. Tento rozpor mezi plánem a vlastním činem známe z mnoha oblastí našeho života. Vezměme si například změnu klimatu: víme, že něco udělat musíme, a přesto rozhodnout se k akci pro nás není vůbec jednoduché.

Tím se dostáváme ke kybernetické bezpečnosti. V dnešní době si je většina společností vědoma, že je jen otázkou času, než se do jejich systémů dostane nějaký hacker, ale přesto mají často problém se zaváděním protiopatření. Podobně jako v případě změny klimatu, tak i u kybernetické bezpečnosti platí, že nedělat nic je nebezpečné a může se to později vymstít – proto je důležité začít konat spíše dříve nežli později.

Pro IT jsou důležitá tři písmena: CIA

Je dobré zdůraznit, že oproti provozním technologiím (OT), tj. v případě automatizace továren a budov, je situace v oblasti informačních technologií (IT) výrazně lepší – týká se to například kancelářských počítačů, sítí a datových center. O tom, že je třeba mít v počítači nainstalovaný antivirový program a pravidelně ho aktualizovat, již řadu let nikdo nepochybuje. Toto povědomí o tématech kybernetické bezpečnosti však do provozních technologií teprve pomalu proniká. Důvodem je zkratka CIA – ne, nejde o Ústřední zpravodajskou službu Spojených států amerických, ale o tři nejdůležitější bezpečnostní cíle v IT, seřazené podle důležitosti. A těmi jsou confidentiality (důvěrnost), integrity (integrita) a availability (dostupnost). Právě pořadí důležitosti bezpečnostních cílů může být pro specialisty provozních technologií zdrojem diskomfortu, jelikož není nic horšího než riziko ohrožení dostupnosti výrobních zařízení. Proto stále často uplatňují spíše opačné pořadí: A–I–C.

V r. 2021 se na Floridě v USA pokusili o útok prostřednictvím otravy dodávek vody vyšším množstvím hydroxidu sodného. Operátor však dokázal změnit nastavení systému dříve, než se toxické množství chemikálie dostalo do vody.

I z tohoto důvodu specialisté provozních technologií vždy pečlivě zvažují realizaci aktualizace automatizačních komponent. Pokud se během aktualizace něco pokazí a výroba se zastaví – zatímco během odstraňování problémů utíkají minuty – může firma přijít o tisíce, ne-li o miliony eur. Není však možné již nic nedělat, protože hackeři si jako cíl svých pokusů o vydírání vybírají automatizační systémy továren a kritickou infrastrukturu, jako jsou vodárny, ropovody či nemocnice. Útoky, které mají za následek výpadky v dodávkách, jsou toho silným důkazem – například nedávno na ropovodu Colonial Pipeline. A odborníci předpokládají, že kybernetických útoků bude po celém světě v důsledku válečných událostí na Ukrajině přibývá.

Najít odborníky na bezpečnost provozních technologií je ještě těžší než najít odborníky na IT.

Problémy přetrvávají

„V době, kdy došlo k incidentu Stuxnet, byla úroveň bezpečnosti provozních technologií deset let za informačními technologiemi,“ říká Stefan Woronka, ředitel jednotky Industrial Security Services společnosti Siemens. „Tuto propast bohužel překonáváme jen velmi pomalu.“ Za touto situací stojí několik faktorů. Jedním z nich je, že osoby odpovědné za výrobu nechtějí nést odpovědnost, pokud například v důsledku bezpečnostní aktualizace dojde k zastavení výroby.

Stefan Woronka ví, co by firmy měly udělat z technického i organizačního hlediska, aby zabezpečily své složité výrobní provozy. Podívejte se na naše video a zjistíte více.

Stefan Woronka vidí jako další příčinu nedostatku v oblasti bezpečnosti OT i chybějící kvalifikovanou pracovní sílu: „Najít odborníky na bezpečnost provozních technologií je ještě těžší než najít odborníky na IT.“ Někteří poskytovatelé bezpečnostních technologií se domnívají, že mohou tento problém vyřešit, když chybějící odborníky na OT prostě nahradí IT odborníky. Může to znít jako dobrý plán, protože provozní technologie se díky propojení strojů a sítí a složitým softwarovým funkcím stále více podobají informačním technologiím, takže i zde má smysl používat příslušné IT metody, jako jsou například antivirové programy a firewally. „Takto to ale nefunguje,“ varuje Saman Farsian, vedoucí oddělení kybernetické ochrany a poradenství OT ve společnosti Siemens. Bezpečnost provozních technologií vyžaduje odborníky právě na provozní a automatizační technologie.

Siemens tyto specialisty má, neboť v posledních letech investoval nemalé prostředky do zabezpečení ochrany svých továren i provozů svých zákazníků. V této oblasti sází na takové koncepty, jako je zabezpečení už ve fázi návrhu nebo bezpečnost jako integrální součást všech nastavení, což znamená, že výrobky jsou dodávány s integrovaným a aktivovaným zabezpečením již při opuštění továrny. Bohužel jen zřídkakdy dané zařízení používá výhradně technologie Siemens a řada systémů je stará několik let, ne-li desetiletí. Proto Siemens vyvíjí technologie, které kontrolují výrobní zařízení, jež mají být chráněna, a společně s jejich nedostatky v zabezpečení vyhodnocuje situaci. Na základě toho pak nabízí řešení na míru, kdy je možné vytvořit několik vrstev zabezpečení kolem kritických komponent, jež jsou pro útočníky velmi komplikované na prolomení.

Standardizovaná pravidla díky Chartě důvěry

Odborníci v Siemensu přitom také musí zajistit splnění požadavků platných v jednotlivých zemích a trzích. „Vnitrostátní legislativa je různá stát od státu,“ říká S. Woronka. Tato skutečnost zavedení uspokojivé úrovně kybernetické bezpečnosti napříč hranicemi spíše brání, než pomáhá. A právě zde přichází na řadu Charta důvěry, kterou společnost Siemens iniciovala na Mnichovské bezpečnostní konferenci v roce 2018.

Silné spojenectví: Charta důvěry je unikátní iniciativou předních světových firem a organizací, které společně usilují o bezpečnější digitální svět.

Charta v současné době sdružuje 17 společností, které utvářejí pracovní skupiny pro různá témata, jako jsou například bezpečné dodavatelské řetězce nebo bezpečnost v rámci standardního nastavení, a definují k nim minimální požadavky. Jejich práce až teprve nyní přináší první ovoce: vlády Austrálie a Japonska požádaly členy iniciativy, aby prověřili jejich koncepce kybernetické bezpečnosti a zjistili, zda odrážejí nejnovější úroveň poznatků a jsou v souladu s mezinárodními standardy.

Společnost Siemens a její partneři mají před sebou ještě dlouhou cestu – jak s ohledem na Chartu důvěry, tak i v oblasti produktů a služeb. Především je třeba zvyšovat informovanost zákazníků. Stefan Woronka k tomu podotýká: „Musíme konečně z kybernetické bezpečnosti provozních technologií odstranit nálepku něčeho specializovaného tím, že budeme jasněji informovat o rizicích a široké škále možností lepší ochrany.“

Kontakt: Miroslav Kuric, cybersec.cz@siemens.com

Více informací: https://www.siemens.cz/industrial-security