Kybernetická bezpečnost OT

Průmysl 4.0 posouvá v OT laťku kybernetické bezpečnosti výš.

Autor: David Tůma, Specialized Sales Executive pro oblast kybernetické bezpečnosti české pobočky společnosti Atos

OT prostředí: Cíl, který se hůře brání
 

Průmyslové řídicí systémy vznikaly s jediným cílem: spolehlivě vyrábět. Kybernetická bezpečnost nebyla v době jejich vzniku podstatným tématem. Zařízení s životností 15 až 30 let nelze záplatovat za provozu — každý zásah vyžaduje souhlas výrobce a riskuje narušení výroby. Výrobní sítě přitom často trpí nedostatečnou segmentací a strojové identity nejsou systematicky spravovány.

Díky Průmyslu 4.0 a digitálním dvojčatům se OT a IT prostředí stále více propojují – a s tím přicházejí hrozby, které dříve nebyly myslitelné. Že nejde o teorii, dokládají reálné případy. Útoky Industroyer (2016) a Industroyer2 (2022) ochromily ukrajinskou energetickou soustavu. Ransomware kampaň proti Colonial Pipeline v roce 2021 ukázala něco ještě závažnějšího: útočníci zasáhli pouze IT a fakturační systémy – samotné OT řízení potrubí zůstalo nedotčené. Přesto ho společnost preventivně odstavila sama. Výsledek? Výpadek dodávek paliva na východním pobřeží USA. IT a OT prostředí zkrátka sdílejí osud, ať chceme nebo ne.

Výroba se navíc stala oblíbeným cílem kybernetických zločinců. Zastavení výrobní linky a poškození reputace je účinnější pákou k vydírání než „pouhé" smazání CRM nebo ERP. S příchodem NIS2 a novelou českého zákona o kybernetické bezpečnosti přestalo být zabezpečení OT pro velkou část průmyslového sektoru dobrovolnou volbou.

Nelze chránit to, co nevidíte
 

Základem každé smysluplné ochrany je přehled o tom, co v síti vůbec máte. V IT prostředí to dnes řeší skoro každý. V OT prostředích výrobních podniků tomu tak zdaleka není.

Specializované platformy pro správu OT aktiv sledují síťový provoz pasivně — z průmyslových protokolů jako Modbus nebo Profinet automaticky sestavují inventář všech zařízení včetně verzí firmwaru a vzájemných závislostí. Některé platformy umožňují i aktivní dotazování, ale v provozech s nulovou tolerancí k výpadkům se k tomu přistupuje opatrně — aktivní dotaz může v krajním případě ovlivnit chování starších PLC.

Na takovém inventáři pak stojí kontinuální hodnocení zranitelností — s ohledem na realitu výroby: ne každou zranitelnost lze záplatovat hned, a vždy se musí vážit dopad na dostupnost linky. Pro firmy spadající pod NIS2 má tato viditelnost navíc regulatorní rozměr: norma IEC 62443 se v Česku stává referenčním rámcem pro OT bezpečnost a schopnost prokázat soulad s ní je součástí plnění zákonných povinností.

Detekce útoku: Klíčová otázka není „jestli", ale „kdy"
 

Inventář a správa zranitelností jsou nezbytnou prevencí — nestačí však samy o sobě. Sofistikovaný útočník pronikne i do dobře chráněného prostředí. Klíčovou otázkou pak přestává být, jak útoku zabránit, a stává se jí: jak ho co nejdříve odhalit?

Platformy XDR (Extended Detection and Response) sbírají telemetrii z endpointů, síťových prvků i průmyslových senzorů a korelují ji v jediné analytické platformě. Modely strojového učení rozpoznají neobvyklý vzdálený přístup k PLC, anomální sekvence příkazů SCADA systémů nebo pohyb útočníka mezi IT a OT segmentem. Integrace se SIEM/SOAR platformami pak umožňuje automatizovanou reakci — izolaci kompromitovaného zařízení, blokaci podezřelé komunikace nebo eskalaci k operátorovi SOC (Security Operation Centre).

Pro firmy, které nemají vlastní bezpečnostní analytiky, je praktickou cestou řízený SOC formou služby — tzv. MDR (Managed Detection and Response). Odbornost tak není podmínkou pro solidní ochranu.

AI jako analytik, který nikdy nespí
 

Moderní výrobní prostředí generuje obrovské množství dat — síťový provoz, stavové informace strojů, záznamy z průmyslových firewallů. Žádný člověk to v reálném čase nezvládne zpracovat. AI modely trénované na normálním provozu průmyslové sítě tuto mezeru zaplňují. Dokáží zachytit i takzvané low-and-slow útoky — kdy útočník prostředí tiše průzkumně prochází týdny nebo měsíce, aniž by spustil klasický alarm.

Generativní AI přidává další vrstvu: místo nepřehledných technických logů dostane analytik vysvětlení incidentu v přirozeném jazyce a návrh postupu reakce. To výrazně snižuje nároky na seniorní expertízu při prvotní triáži.

Je ale fér říct i to: AI v OT bezpečnosti má své limity. Každá větší změna sítě nebo zavedení nové výrobní linky může způsobit tzv. drift modelu – a s ním nárůst falešných poplachů. Slib dramatického snížení chybných hlášení se naplňuje až po několika cyklech ladění, ne od prvního dne provozu.

Bezpečnost není projekt. Je to proces.
 

Komplexní ochrana OT prostředí se skládá z několika vzájemně provázaných vrstev: inventarizace aktiv, zónová segmentace sítě s principem Zero Trust, detekce a reakce napříč IT i OT a SOC pro lidský dohled v kontextu výroby. Referenční architektura by měla vycházet z normy IEC 62443, která definuje zónový model přizpůsobený specifikům průmyslových prostředí.

Stejně důležitá a často podceňovaná je organizační rovina. Bez funkční spolupráce IT, OT, bezpečnosti, výroby a údržby zůstanou i sebelepší technologie drahým nástrojem bez reálného dopadu. Ideálním základem je společné řídící fórum se zástupci všech čtyř oblastí.

Pro podniky, které teprve začínají, jsou rozumnými prvními kroky: vybudování inventáře OT aktiv, návrh zónové segmentace, ustavení společného IT/OT fóra a zjištění, zda organizace spadá pod nové povinnosti dle ZoKB. Regulatorní tlak NIS2 bude narůstat a hrozby se budou sofistikovat.