Existuje celá řada důvodů, proč by podniky měly věnovat ve svých výrobních provozech větší pozornost kybernetické bezpečnosti. Digitalizace a propojení provozních a informačních technologií jsou hnacím motorem inovací a přinášejí nejen mnoho výhod, zároveň však zvyšují zranitelnost vůči kybernetickým útokům. Druhý díl seriálu o bezpečnosti provozních technologií poukazuje na skutečnost, že zavádění bezpečnostních standardů pro provozní technologie (OT) stále ještě zaostává za podobným vývojem v oblasti informačních technologií (IT).
Máme pro vás malou hádanku: Na kládě sedí pět žab. Jedna z nich se rozhodne skočit. Kolik žab teď sedí na kládě? Čtyři? Nikoliv. Rozhodnout se něco udělat není to samé jako to skutečně udělat. Tento rozpor mezi plánem a vlastním činem známe z mnoha oblastí našeho života. Vezměme si například změnu klimatu: víme, že něco udělat musíme, a přesto rozhodnout se k akci pro nás není vůbec jednoduché.
Tím se dostáváme ke kybernetické bezpečnosti. V dnešní době si je většina společností vědoma, že je jen otázkou času, než se do jejich systémů dostane nějaký hacker, ale přesto mají často problém se zaváděním protiopatření. Podobně jako v případě změny klimatu, tak i u kybernetické bezpečnosti platí, že nedělat nic je nebezpečné a může se to později vymstít. V případě kybernetické bezpečnosti je proto důležité začít konat spíše dříve nežli později.
Je dobré zdůraznit, že oproti provozním technologiím (OT), tj. v případě automatizace továren a budov, je situace v oblasti informačních technologií (IT) výrazně lepší – týká se to například kancelářských počítačů, sítí a datových center. O tom, že je třeba mít v počítači nainstalovaný antivirový program a pravidelně ho aktualizovat, již řadu let nikdo nepochybuje. Toto povědomí o tématech kybernetické bezpečnosti však do provozních technologií teprve pomalu proniká. Důvodem je zkratka CIA – ne, nejedná se o Ústřední zpravodajskou službu Spojených států amerických – ale o tři nejdůležitější bezpečnostní cíle v IT, seřazené podle důležitosti, a těmi jsou confidentiality (důvěrnost), integrity (integrita) a availability (dostupnost). Právě pořadí důležitosti bezpečnostních cílů může být pro specialisty provozních technologií zdrojem diskomfortu, jelikož není nic horšího než riziko ohrožení dostupnosti výrobních zařízení. Proto stále často uplatňují spíše opačné pořadí: A-I-C.
V r. 2021 se na Floridě v USA pokusili o útok prostřednictvím otravy dodávek vody vyšším množstvím hydroxidu sodného. Operátor dokázal změnit nastavení systému dříve, než se toxické množství chemikálie dostalo do vody.
I z tohoto důvodu specialisté provozních technologií vždy pečlivě zvažují realizaci aktualizace automatizačních komponent. Pokud se během aktualizace něco pokazí a výroba se zastaví – zatímco během odstraňování problémů utíkají minuty – může firma přijít o tisíce, ne-li miliony eur. Není však možné již nic nedělat, protože hackeři si jako cíl svých pokusů o vydírání vybírají automatizační systémy továren a kritickou infrastrukturu, jako jsou vodárny, ropovody nebo nemocnice. Útoky, které mají za následek výpadky v dodávkách, jsou toho silným důkazem – jako například nedávno na ropovodu Colonial Pipeline. A odborníci předpokládají, že kybernetických útoků bude po celém světě v důsledku válečných událostí na Ukrajině přibývat.
Problémy přetrvávají
„V době, kdy došlo k incidentu Stuxnet, byla úroveň bezpečnosti provozních technologií deset let za informačními technologiemi,“ říká Stefan Woronka, ředitel jednotky Industrial Security Services společnosti Siemens. „Tuto propast bohužel překonáváme jen velmi pomalu.“ Za touto situací stojí několik faktorů. Jedním z nich je, že osoby odpovědné za výrobu nechtějí nést odpovědnost, pokud například v důsledku bezpečnostní aktualizace dojde k zastavení výroby.
Stefan Woronka vidí jako další důvod nedostatku v oblasti bezpečnosti OT i chybějící kvalifikovanou pracovní sílu: „Najít odborníky na bezpečnost provozních technologií je ještě těžší najít odborníky na IT.“ Někteří poskytovatelé bezpečnostních technologií se domnívají, že mohou tento problém vyřešit, když chybějící odborníky na OT prostě nahradí IT odborníky. Může to znít jako dobrý plán, protože provozní technologie se díky propojení strojů a sítí a složitým softwarovým funkcím stále více podobají informačním technologiím, takže i zde má smysl používat příslušné IT metody, jako jsou například antivirové programy a firewally. „Takto to ale nefunguje,“ varuje Saman Farsian, vedoucí oddělení kybernetické ochrany a poradenství OT ve společnosti Siemens. Bezpečnost provozních technologií vyžaduje odborníky na provozní a automatizační technologie.
Siemens tyto specialisty má, neboť v posledních letech investoval nemalé prostředky do zabezpečení ochrany svých továren i provozů svých zákazníků. V této oblasti sází na koncepty, jako je zabezpečení již od fáze návrhu nebo bezpečnost integrální součástí všech nastavení, což znamená, že výrobky jsou dodávány s integrovaným a aktivovaným zabezpečením již při opuštění továrny. Bohužel jen zřídkakdy dané zařízení používá výhradně technologie Siemens a řada systémů je starých několik let, ne-li desetiletí. Proto Siemens vyvíjí technologie, které vyhodnocují výrobní zařízení, jež mají být chráněna, a společně s jejich nedostatky v zabezpečení vyhodnocuje situaci. Na základě nabízí řešení na míru, kdy je možné vytvořit několik vrstev zabezpečení kolem kritických komponent, jenž jsou pro útočníky velmi komplikované na prolomení.
Odborníci Siemens přitom musí také zajistit splnění požadavků platných v jednotlivých zemích a trzích. „Vnitrostátní legislativa je různá stát od státu,“ říká S. Woronka. Tato skutečnost zavedení dobré úrovně kybernetické bezpečnosti napříč hranicemi spíše brání, než pomáhá. A právě zde přichází na řadu Charta důvěry, kterou společnost Siemens iniciovala na Mnichovské bezpečnostní konferenci v roce 2018.
Silné spojenectví: Charta důvěry je unikátní iniciativou předních světových firem a organizací, které společně usilují o bezpečnější digitální svět.
Charta v současné době sdružuje 17 společností, které utvářejí pracovní skupiny pro různá témata, jako jsou například bezpečné dodavatelské řetězce nebo bezpečnost v rámci standardního nastavení, a definují k nim minimální požadavky. Jejich práce až teprve nyní přináší první ovoce: vlády Austrálie a Japonska požádaly členy iniciativy, aby prověřili jejich koncepce kybernetické bezpečnosti a zjistili, zda odrážejí nejnovější úroveň poznatků a jsou v souladu s mezinárodními standardy.
Společnost Siemens a její partneři mají před sebou ještě dlouhou cestu – a to jak s ohledem na Chartu důvěry, tak i v oblasti produktů a služeb. Především je třeba zvyšovat informovanost zákazníků. Stefan Woronka k tomu podotýká: „Musíme konečně z kybernetické bezpečnosti provozních technologií odstranit nálepku něčeho specializovaného tím, že budeme jasněji informovat o rizicích a široké škále možností lepší ochrany.“
Vypravte se s námi do historie české energetiky, společně ale nahlédneme i do její budoucnosti. Hostem podcastu je Tomáš Hüner, ředitel divize chytré infrastruktury v českém Siemensu, který se oblasti energetiky věnuje již více než 30 let.
Průmyslové metaverzum – nový svět, který zrcadlí a simuluje skutečné stroje, továrny, města, dopravní sítě a ostatní i velmi složité systémy – nabídne svým aktérům interaktivní reprezentace a simulace skutečného světa v reálném čase. V dějinách průmyslu představuje zcela novou kapitolu, kterou začínáme společně psát.
Reprezentativní budova Opery v Dubaji, hlavním městě stejnojmenného emirátu, v sobě skrývá špičková zařízení Siemens, která symbolizují pronikání moderních technologií této společnosti nejenom do exkluzivních koncertních sálů. Jsou také příkladem pro budování inteligentních měst.
Budoucím trendem zemědělství je udržitelné pěstování plodin s méně zdroji a bez použití chemických přípravků. Aby zemědělci mohli vyhovět těmto novým nárokům a požadavkům, musejí úzce spolupracovat s průmyslem, který jim dokáže poskytnout potřebné nástroje. Jak dobře může taková spolupráce fungovat, názorně předvádí FRAVEBOT – robot, který na brněnské rodinné farmě Ráječek monitoruje a sklízí jahody.
