Kyberbezpečnost
Nebojte se NIS2, s námi na to nejste sami
V říjnu 2024 vstoupila v platnost nová evropská směrnice NIS2, která významně upravuje pravidla kybernetické bezpečnosti. V průběhu příštího roku vstoupí v platnost nový český zákon o kybernetické bezpečnosti. Obojí se dotkne velkého počtu nejen výrobních firem u nás. Jste na to připraveni? Co můžete udělat, aby implementace NIS2 proběhla úspěšně a „bezbolestně“? Cenné rady přináší Miroslav Kuric, konzultant pro digitalizaci průmyslu a odborník na kybernetickou bezpečnost ve výrobě ze společnosti Siemens.
Autor: Siemens, s.r.o.
Evropská směrnice NIS2 přichází v době, kdy se svět potýká s extrémním nárůstem kybernetické kriminality. K útokům na kritickou infrastrukturu, státní instituce i průmyslové podniky dochází denně a z nejrůznějších stran, často s využitím umělé inteligence. Zatímco firmy z IT sektoru se již poměrně dobře naučily s touto situací vyrovnat, výrobní sektor je často zaskočen a mnohdy neví, jak se účinně bránit.
„Musíme si uvědomit, že v dnešní době se dá ‚hacknout‘ prakticky cokoliv. V relativním bezpečí už zůstává jen to, co dosud není připojeno do datové sítě. Zbytek v ohrožení je, tedy v dnešní době prakticky téměř vše.“
„Na tuto situaci reaguje evropská směrnice NIS2, která vstupuje v platnost na podzim letošního roku. Vychází z principu zabezpečení výroby jako služby a definuje výrobu jako regulovanou službu pro veřejnost, kterou je třeba chránit. Výroba dosud takto chráněna nebyla, nebyl na to kladen důraz ani plánované investice do kybernetické bezpečnosti. To se ale dnes musí zásadně změnit. I pro výrobní společnost budou platit jednoznačné standardy kybernetické bezpečnosti a firmy se jí musí začít vážně zabývat,“ dodává.
Zabezpečení IT a OT jsou dvě různé disciplíny
Výrobní podniky mají často dobře zabezpečené vlastní informační technologie (IT), ale velký problém nastává v okamžiku, kdy přijde požadavek na zabezpečení řízení výroby OT (Operational Technology). Na první pohled by se mohlo zdát, že zabezpečit výrobní technologie lze stejnými postupy jako v případě informačních technologií. Bohužel, zdání klame. Rozdíly mezi IT a OT jsou někdy obrovské. „Ve výrobních podnicích se obvykle setkáváme se třemi podstatnými aspekty z hlediska bezpečnosti v OT: Je to kontinuální provoz výroby (často v režimu 24/7, 365 dní v roce), jsou to specifické jednoúčelové stroje a také velmi dlouhý životní cyklus výrobních strojů a technologií. Kontinuální provoz výroby pochopitelně vyžaduje nepřetržitý dohled a stejně tak řízení bez jakéhokoliv výpadku. Příkladem mohou být sklárny, ve kterých se tavba skla nedá zastavit a případné zastavení představuje prakticky destrukci zařízení. Dopad na způsob práce s kybernetickou bezpečností je v tomto případě enormní. To, co je v IT světě naprostým standardem, tzn. prakticky neustálé úpravy systémů a pravidelná aktualizace prostředků, u kontinuální výroby vůbec použít nelze. Odstávky ve výrobě se musejí plánovat velmi pečlivě a dlouho dopředu. Existuje řada typů nepřetržitých výrob, ve kterých dokonce lze udělat odstávku a zásah do systému v horizontu až několika let,“ vysvětluje Miroslav Kuric.
„Dalším úskalím pro kybernetickou bezpečnost představují specifické jednoúčelové stroje, například obráběcí stroje. Jsou řízeny specifickými prvky, které obvykle mají proprietární softwarové vybavení, častou nejsou k dispozici od výrobce bezpečnostní aktualizace a není neobvyklé, že původní výrobce stroje již ani neexistuje. Takovýto prvek je standardními postupy prakticky nemožné zabezpečit a je nutné použít odlišné postupy.“
„Dalším úskalím pro kybernetickou bezpečnost představují specifické jednoúčelové stroje, například obráběcí stroje. Jsou řízeny specifickými prvky, které obvykle mají proprietární softwarové vybavení, častou nejsou k dispozici od výrobce bezpečnostní aktualizace a není neobvyklé, že původní výrobce stroje již ani neexistuje. Takovýto prvek je standardními postupy prakticky nemožné zabezpečit a je nutné použít odlišné postupy,“ pokračuje Kuric. A dodává: „Komplikace mohou nastat i v případě standardních řídicích prvků výroby – PLC, která řídí procesy s přesným taktem po sobě jdoucích procesních kroků, například u skupiny dopravníků. Výpočetní výkon PLC je plně dedikovaný pro udržení taktu řízení a zásah do softwarového vybavení může mít za následek nedodržení taktu řízení. Zde nepřipadá v úvahu, aby se některý procesní krok odchýlil od přesně daného časového úseku, například kvůli tak triviální aktivitě, jako je instalace antiviru. A k tomu si ještě přidejme fakt, že výrobní zařízení mají obecně mnohonásobně delší životní cyklus než běžná IT zařízení.
Není žádnou výjimkou vidět ve výrobě stroje staré 20 i více let, které stále dobře plní svoji funkci, nicméně z hlediska kybernetické bezpečnosti představují výrazné riziko. Pro inspiraci, dokázali byste si představit požádat svého IT manažera o zabezpečení IT serveru, který je 20 let starý?“ Samostatnou kapitolu pak tvoří zabezpečení kritické infrastruktury, pro kterou je kybernetická bezpečnost jedním z klíčových témat naštěstí již delší dobu. Zástupci veřejného sektoru se tak podílejí na definici požadavků a specifikaci praktické aplikace NIS2 i pro průmyslové podniky. Na co oba sektory, veřejný i soukromý, v praxi narážejí, je nedostatek odborníků v této oblasti. Je proto velmi praktické využít pro implementaci požadavků NIS2 partnery, kteří již mají v této oblasti praktické zkušenosti.
Evropská Směrnice NIS2 (Network and Information Security 2)
NIS2 představuje novou, výrazně rozšířenou verzi stávající směrnice NIS, která členským státům EU ukládá povinnost přijmout a důrazně dodržovat předpisy v oblasti kybernetické bezpečnosti. Hlavním cílem nové směrnice NIS2 je zvýšit odolnost veřejného i soukromého sektoru vůči kybernetickému zločinu. Řízení kybernetické bezpečnosti řeší na evropské i vnitrostátní úrovni. Směrnice NIS2 se vztahuje na všechny subjekty (podniky i jejich dodavatele), které poskytují služby v odvětvích specifikovaných vyhláškou a splňují kritérium více než 50 zaměstnanců a obratu převyšujícího 10 milionů eur.
„Bohužel zde nemůžeme používat standardní postupy, které známe z IT světa,“ upozorňuje Miroslav Kuric.
„Vždy musíme zohlednit specifika dané výroby a tomu přizpůsobit koncept kybernetické bezpečnosti. Když nejsme schopni zajistit ochranu technologického celku, hledáme způsob, jak ochránit technologický celek zvnějšku. Hlídáme, co se děje v okolí tohoto systému, co do něho vstupuje a co z něj vystupuje. A na to pak příslušným způsobem reagujeme. Siemens prosazuje tzv. vícevrstvou obranu, které také říkáme hloubková obrana. Cílem není udělat několik jednoduchých opatření, ale mít celou řadu opatření v liniích, kterými se musí útočník postupně prolamovat, než se dostane k místu, kde má možnost zaútočit a udělat nějakou škodu.“
NIS2 se bude vztahovat na mou firmu. Co teď?
Postup je jednoduchý. Prvním krokem je začít se celé této věci aktivně věnovat a ideálně ustanovit odpovědné osoby či týmy pro bezpečnost v OT. V druhém kroku by si firma měla udělat rozdílovou analýzu, tzn. zjistit, co bude potřebovat, aby vyhověla požadavkům směrnice, a kde se v tuto chvíli nachází. Ve třetím kroku by už měla začít pracovat na odstranění všech nesouladů, ideálně vytvořením konceptu kybernetické bezpečnosti a jeho postupným doplňováním, dodržováním stanovených pravidel a implementací do praxe. „Firmy by se neměly této směrnice bát ani k ní přistupovat negativně jako k něčemu, co je zbytečné a komplikuje to život. NIS2 má dobrou myšlenku a dobrý základ – zdůrazňuje kybernetickou bezpečnost v oblasti výroby, kde bývala často opomíjena. Sleduje trend propojování IT s OT, který vidíme denně například ve formě zřizování vzdálených přístupů k ovládání strojů nebo k diagnostice. Z tohoto pohledu přichází směrnice ve správný moment,“ zdůrazňuje Miroslav Kuric.
S partnerem to jde snadněji
Dotčené firmy se ale určitě nemusí s implementací NIS2 potýkat samy. Často se ukáže jako nejlepší řešení obrátit se na některého důvěryhodného partnera, který firmu provede celým procesem a pomůže jí jak v oblasti organizační, tak i technické a lidské, protože směrnice dává velký důraz na práci s lidmi a jejich vzdělávání. V případě výrobních firem by tento partner rozhodně měl mít zkušenosti s výrobou, tedy s OT. Poněvadž se bavíme o kybernetické bezpečnosti, tak by tento partner měl být automaticky zkušený a důvěryhodný i v této oblasti. „Firmám bych dále doporučil, aby nedaly na první dojem a potenciálního partnera si dobře prověřily. V současné době registrujeme vznik řady firem, které nabízejí konzultace v oblasti organizační, nicméně nemají žádné, anebo jen velmi omezené kompetence v oblasti technické. Směrnice NIS2 je ale na rozdíl od jiných, které vznikají v rámci EU, zaměřena ryze technicky, takže její implementace bude znamenat mnohem více práce právě v technické oblasti než v té organizační,“ upozorňuje Miroslav Kuric.
Podcast: Kybernetická bezpečnost a výrobní technologie
V podcastech Technologie kolem nás se věnujeme rozhovorům s odborníky na technologie, které jsou nezbytnou součástí našeho každodenního života. Naše témata souvisí s digitalizací, automatizací i inteligentní infrastrukturou nebo s oblastí vědy a výzkumu.
V tomto díle jsme se zaměřili především na to, jak před kybernetickými útoky ochránit výrobní technologie. Hostem podcastu je Miroslav Kuric, Siemens konzultant pro digitalizaci průmyslu, odborník na kybernetickou bezpečnost ve výrobě.
Odkaz youtube: https://youtu.be/2weAhQ-46A0
Odkaz spotify: Technologie kolem nás | Podcast on Spotify
