Sbližování tradičního IT a OT bude ale pokračovat a my můžeme být svědky kulturních neshod mezi IT a OT profesionály. Posun k větší digitalizaci znamená, že si IT jako prioritu klade větší agilnost skrze hledání nových způsobů, jak chránit a užívat data. Pro OT jsou ale zásadní faktory dostupnost, kontinuita a spolehlivost: pro kritické procesy mohou i krátké přestávky přinášet nákladné (a někdy i nebezpečné) následky. Hlavním úkolem tak bude nalezení shody mezi agilitou a spolehlivostí.

Nalezení takové shody je určitě možné, ale je to, jako když vytváříte design pro letadlo. Zatímco se na první pohled zdá, že pro letectví budou zásadní stabilita a spolehlivost, inženýři již delší dobu zkoumají situace, kde může být výhodou přesný opak. Stabilnější letadlo může znamenat bezpečnější letadlo, ale také letadlo, se kterým se hůře manipuluje – a to je hlavně pro některá letadla, jako třeba vojenská, skutečný problém.

Kybernetické útoky ve skutečném prostředí

S tím, jak průmysl 4.0 sbližuje IT a OT, bude zapotřebí, aby profesionálové z obou oborů hledali nové cesty, jak si lépe rozumět a tím pádem, jak porozumět celému systému a zajistit to potřebné pro oba světy – agilitu a stabilitu. IT a OT mají jednu společnou věc a to jsou data.

Jednou z nejpalčivějších otázek pro budoucnost je bezpečnost. Na pozadí propojování IT a OT stojí snaha uchopit OT skrze data, jako to děláme v mnoha jiných oblastech. Tím pro oblast OT přinášíme výhody softwarových řešení – rychlost, agilitu, vzdálenou kontrolu – a také nové systémové a procesní schopnosti.

Znamená to ale také, že do světa OT přinášíme rizika spojená se softwarem. Je důležité si uvědomit, že každý benefit s sebou většinou přináší nějaké následky, a všichni si tak musí být vědomi toho, že digitalizace s sebou přinese nová a větší rizika. Pokud se dostatečně nebudeme zabývat řízením, jsou kybernetické útoky na výrobní linky, infrastrukturu nebo elektrické a distribuční sítě, nevyhnutelné.

Existuje několik reálných příkladů kybernetických útoků na provoz. V roce 2013 byl cílem americký řetězec Target. Napadení provedené prostřednictvím vzdáleného přístupu k HVAC systému upozornilo na nebezpečí kybernetické bezpečnosti v dodavatelských řetězcích. Letos jsme byli svědky několika útoků na operační systémy v továrnách a vodárenských společnostech (např. Oldsmar, Florida v USA). Udály se také další útoky (např. ransomware), které vedly k uzavření plynovodu a následující nedostatek plynu ve východních Spojených státech amerických.

Jak je z těchto příkladů vidět, IT a OT jsou úzce provázané, i když si to třeba inženýři v jednotlivých oblastech zatím tak neuvědomují. A jak se tyto dvě infrastruktury budou nadále přibližovat, možnost takových útoků bude narůstat. A proto potřebujeme novou vizi kybernetické bezpečnosti, která bude fungovat ve virtuálním i reálném světě a pokryje jak potřebu stability, tak i agility.

Lidé, procesy, technologie

Pro technologické problémy hledáme vždy nejdříve technologické řešení. Samozřejmě existují bezpečnostní nástroje a systémy, které známe, jako firewall a monitorovací systémy pro OT. Technologie ale sama nestačí. Nabízí nám nástroje, které ale musí být správně aplikovány a užívány odborníky v procesu, který kybernetické bezpečnosti rozumí.

A to je důvod, proč by kybernetická bezpečnost OT neměla záviset pouze na technologiích. Aplikace technologií, které vyřeší problémy v oblasti OT, bude postupná, a týmy, které byly dříve samostatné, budou muset daleko více spolupracovat. První krok bude tedy o lidech. Bude zapotřebí specifické vyškolení různých skupin zaměstnanců, aby se dosáhlo společného porozumění, zavedl se jazyk, který bude všem srozumitelný, a nastavila se metodika založená na fungujících příkladech. Poté bude možná diskuse o těchto nových hrozbách a řešeních.

Druhým krokem bude nutnost zjistit, jaké změny procesu budou potřeba. Systémy řízení, monitorování a kontroly budou pravděpodobně v IT a OT velmi rozdílné – budou shromažďovat různá data, využívat jiné metriky a následovat jiné plány. Ze zkušeností víme, že reakce na kybernetický útok musí být soudržná, aby byla efektivní a to vyžaduje společné plánování. A je potřeba, aby to zahrnovalo I partnery a dodavatele: unifikované přihlašovací postupy, standardy pro přístup a další organizační pravidla.

A zde se dostáváme k třetímu kroku. Je důležité provést audit celé architektury a zařízení, rozumět tomu, co vše bude do sítě společnosti zahrnuto a ověřit, že skutečná situace odpovídá očekáváním. S jasnou představou o budoucí architektuře pak můžeme aplikovat vhodné autorizační a hraniční zabezpečení. Zařízení by také měla být pořizována od dodavatelů, kteří reflektují bezpečnostní standardy specifické pro konkrétní oblast, jako je například IEC 62443 pro systémy průmyslové kontroly.

Agilitu a stabilitu budou různé organizace integrovat svým vlastním způsobem. Spojení, která tato integrace vytvoří, budou ale vždy vyžadovat kompletní informovanost o možně místě útoku. Pokud tuto oblast budeme dobře řídit, může průmysl 4.0 nabídnout jak větší bezpečnost, tak také flexibilitu.

Eric Rueda Autor článku je Business Development Manager společnosti Eaton.