facebook LinkedIN LinkedIN - follow
Exkluzivní partner sekce
Tematické sekce
 
Branžové sekce
Přehledy
 
Tematické seriály
 

GDPR

General Data Protection Regulation zásadně mění zpracování osobních údajů a zavádí nové povinnosti...

články >>

 

Jak uřídit IT projekt a nezbláznit se

Užitečné tipy a nástroje pro řešení problémů řízení inovací a vývoje produktů...

články >>

 

Industry 4.0

Průmysl 4.0

Jaký vliv bude mít čtvrtá průmyslová revoluce na výrobu a výrobní firmy?

články >>

 

Komplexní svět eIDAS

O nařízení eIDAS již bylo mnoho řečeno i napsáno. A proto jediné, o čem...

články >>

 

Trendy v CRM

Systémy pro řízení vztahů se zákazníky (CRM) prochází v posledních letech výraznou změnou. Zatímco dříve...

články >>

 

Příručka úspěšného IT manažera

Dnes je řada IT manažerů opomíjena. Úspěšní bývají brouci Pytlíci a Ferdové...

články >>

 
Partneři webu
Compas automatizace
IT SYSTEMS 9/2020 , Plánování a řízení výroby

Co je připojeno, musí být chráněno

aneb Jak se zbavit nedostatků v zabezpečení průmyslových technologií

Gert Thoonen


Rockwell AutomationIncidenty v oblasti kybernetické bezpečnosti nám neustále dokazují, jak lze zneužít slabá místa v informačních a průmyslových technologiích nebo v jejich propojeních a jak významný dopad mohou mít na výrobu. Útok na jednu část vaší organizace se může jako požár rychle rozšířit i do dalších oblastí.


Průzkum institutu SANS z roku 2019 týkající se výrobních technologií a průmyslových řídicích systémů odhalil hlavní tři kategorie hrozeb v podnicích:

  • Zařízení a „věci“ (které se nemohou samy chránit) připojené do sítě
  • Vnitřní hrozby (náhodné)
  • Vnější hrozby (dodavatelský řetězec nebo partnerství)

Proč jsou průmyslové společnosti na mušce?

Průmyslové společnosti se často potýkají se zastaralou nezáplatovanou infrastrukturou a nedostatkem odborného personálu, který by jim pomohl řídit kybernetická rizika. Útočníci vědí, že tato prostředí mají mnoho slabin a že útok může mít pro napadenou společnost závažné následky.

Jan Gřunděl„Dle mého odhadu je otázkou velmi blízké doby, kdy se začnou rychle rozšiřovat organizované útoky na průmyslové řídicí a informační systémy,“ uvedl Jan Gřunděl ze společnosti Rockwell Automation. „Budou se vyskytovat útoky, které budou cílit na poškození konkrétní společnosti, či určité části technologie. Narozdíl od IT, kde útok způsobí „pouze“ zastavení práce společnosti, ztrátu nebo odcizení dat; útok na průmyslovou infrastrukturu (OT) může ve svém důsledku zapříčinit fyzické poškození strojů a zařízení i újmu na zdraví.“, dodal Gřunděl.

Otázkou je, proč mají společnosti s řešením tohoto problému potíže?

Většina prostředí průmyslové automatizace je nedostatečně spravována. Pokud nevíte, co je v daném prostředí připojeno, nemůžete to zabezpečit. Týmy zabývající se informačními a provozními technologiemi spolu musí začít spolupracovat a vyplnit tyto mezery společně s odborníky v oboru.

„Technologická infrastruktura se často ve firmách rozrůstala bez koncepce, evidence a bez bezpečnostní strategie. Jednotlivé součásti (často zastaralé a nezáplatované) byly v sítích okamžitě viditelné a dostupné komukoli. To mohlo mít i jisté výhody, například při nutnosti okamžitého zásahu a úpravy. Bezpečnostní rizika byla však bezprecedentní, a to jak z hlediska snadného útoku, tak z hlediska nemožnosti kontroly a řízení přístupů a změn. S bezpočtem podobně nebezpečných a zranitelných systémů se stále setkáváme,“ řekl Gřunděl.

Prosazují vaše týmy různé priority týkající se zabezpečení? Potýkáte se s nedostatky v bezpečnostní strategii? Nejsou role v oblasti zabezpečení jasně definované? Pracují vaši zaměstnanci kvůli koronaviru vzdáleně, a ještě více tak ohrožují vaši infrastrukturu neznámými zařízeními a nezabezpečeným připojením?

Co je připojeno, musí být chráněno

Prvořadým zájmem by mělo být zavedení prvků bezpečnostní ochrany v rámci celého výrobního ekosystému, od jednotlivých komponent až po celou stopu závodu, včetně propojení na vlastní podnik, dodavatelský řetězec a třetí strany.

Problémem je, že mnoho lidí vnímá zabezpečení jako pojištění. Doufáte, že se nic špatného nepřihodí, ale uzavřete pojištění, aby vás to nepoložilo, kdyby se přece jen něco událo. Jak se ale pojistit proti poškození dobrého jména společnosti v důsledku útoku softwaru požadujícího výkupné?

Stejně jako v případě pojištění žádáte o peníze, abyste minimalizovali důsledky události, ke které doufáte, že nikdy nedojde. A proto může být těžké toto řešení prosadit. Zabezpečení nic nevyrábí. Zabezpečení nezvyšuje rychlost nebo účinnost.

„Avšak, kromě minimalizace bezpečnostních rizik nám správně navržená a implementovaná infrastruktura může také snížit výpadky a poskytnout potřebnou datovou propustnost a škálovatelnost. To se ve svém důsledku může pozitivně projevit na ziskovosti celého podniku,“ upřesnil Gřunděl.

Priorita digitální transformace

Kybernetická bezpečnost je pro digitalizaci podniku klíčová. Zatímco využíváte výhod digitálního světa, je třeba zároveň řídit související digitální rizika všech prvků po celou dobu jejich životního cyklu.

Cílem je vytvořit bezproblémový digitální prostor pro data – od veškerého dění přes samotnou výrobu produktu, přes výzkum a vývoj až k samotné výrobě, dodávce a provozu produktu v praxi. Jde o celý dodavatelský řetězec.

Odhalte své nedostatky

Digitalizace vyžaduje integrovaný tok dat a schopnost identifikovat nedostatky – a jak tyto nedostatky a úložiště mohou přispět k výskytu kybernetických hrozeb. Za chyby se tvrdě platí. Abyste se jim vyhnuli, je nutné investovat do lidí, strojního vybavení, znalostí a odborné přípravy:

  • Lidé: investice do odborníků, zvyšování povědomí vedoucí ke změně postoje všech zaměstnanců – kybernetická bezpečnost je odpovědností všech.
  • Strojní vybavení: například podrobné strategie pro síťové struktury, zásady vzdáleného přístupu, správa životního cyklu aktiv a mnoho dalšího.
  • Znalosti: povědomí o rizicích, ohrožení slabých míst a útočnících, představa o tom, jak útoky probíhají a jaké druhy útoků mohou nastat.
  • Odborná příprava: například simulace kybernetických incidentů, které nabízejí prostor pro realizaci výše uvedeného v adrenalinem nabitém scénáři.

Komplexní přístup

Plně propojený podnik vyžaduje komplexní přístup k průmyslovému zabezpečení.

Tento přístup zahrnuje zásady a postupy týkající se lidí, procesů a s technologiemi souvisejících rizik. Složitý propojený systém s sebou přináší jisté nástrahy. Zásadní je zde porozumět možným rizikům a začít budovat adaptivní kybernetickou strategii v rámci svých řídicích systémů průmyslové automatizace.

V případě průmyslových aktiv je nutné uplatnit hloubkové zabezpečení, které bude bojovat proti vnitřním i vnějším bezpečnostním hrozbám. Architektura hloubkového zabezpečení vychází z myšlenky, že přemoci lze kteroukoli část ochrany. Tento přístup využívá fyzické, elektronické a procesní vrstvy ochrany a uplatňuje vhodné řídicí prvky, které se zaměřují na různé druhy rizik.

„Komplexní problematika kybernetické bezpečnosti často přerůstá „In-House“ schopnosti a možnosti výrobních společností. Realizace a řízení celého souboru nutných aktivit a opatření vlastními zdroji je nákladná. Firmy se na nás stále častěji obracejí pro řešení konkrétních jednotlivých úkolů, ale také i s žádostmi na návrh, implementaci a management celé své OT infrastruktury. Zákazníci se potřebují věnovat jen aktivitám, kterými vytvářejí svůj zisk. Zejména problematiku kybernetické bezpečnosti a OT infrastruktury stále častěji svěřují nám právě proto, aby se mohli soustředit jen na své expertní dovednosti,“ uzavřel Jan Gřunděl z Rockwell Automation.

Gert Thoonen Gert Thoonen
Autor článku je Business Development Specialist společnosti Rockwell Automation.
Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.

Inzerce

Úsměv namísto podpisu a robot na místě prodavače

IT Systems 11/2020V novém vydání IT Systems se věnujeme trendům v digitalizaci bankovnictví a finančního sektoru, který je sice vnímán jako velmi konzervativní odvětví, ale ve vztahu k informačním technologiím patří naopak mezi ty nejprogresivnější. Tlak konkurence i nebankovních institucí a požadavky zákazníků totiž nutí celé odvětví, aby přijímalo nejnovější technologie.