Hlavní strana -> Časopis IT Systems -> Rok 2022 -> IT Systems 9/2022 -> Řízení kybernetických rizik v průmyslu
IT SYSTEMS 9/2022 , Plánování a řízení výroby , IT Security

Řízení kybernetických rizik v průmyslu

Vzhledem k pokračující záplavě zpráv o kybernetických útocích není divu, že se kybernetická bezpečnost stává důležitým té­ma­tem i v oblasti výroby. I když rizika pro průmyslová odvětví nejsou ničím novým, existuje důvod, proč se zde kybernetická bezpečnost stává opravdu žhavým tématem. Výrobní provoz totiž obvykle postupuje velmi pomalu a kybernetičtí útočníci naopak velmi rychle. Využívají stále nové taktiky a techniky a neustále hledají způsob, jak své aktivity rozšířit.


Zatímco „rychlejší“ sektory více zaměřené na digitální prostředí, jako jsou IT, e-commerce a fintech, jsou v otázce ochrany svých systémů a sítí před riziky hbitější, mnoho výrobních podniků je v řešení kybernetických rizik stále ve fázi příprav.

Vaše organizace ale nemusí využívat tu nejpokročilejší strategii kybernetického zabezpečení. Často je ten nejjednodušší a nejpraktičtější přístup také tím nejúčinnějším. Stačí se dostat do stavu, kdy jsou rizika dostatečně minimální, a vy přestanete být snadným cílem pro rychlé a obratné kybernetické útočníky. Pokud chcete dosáhnout odpovídajícího bezpečí, zaměřte se na rozvíjení přístupu k řízení rizik, který bude pro zaměstnance přehledný a snadno implementovatelný v celé organizaci.

Holistický přístup

Každá organizace je totiž bezpečná tak, jak je bezpečný její nejslabší článek. Stačí jediná zranitelnost, a sí může být otevřená široké škále potenciálních útoků. Hrozby se objevují z různých zdrojů od drobných chyb zaměstnanců až po nezabezpečenou sí a žádnou oblast nelze ignorovat.

Komplexita stávajícího průmyslového prostředí znamená, že závislosti a dopady může být obtížné rozpoznat. V oblasti informovanosti zaměstnanců o osvědčených postupech při ochraně heslem, zabezpečení zařízení a bezpečného používání cloudových platforem došlo k velkému pokroku. Hrozby se však mohou objevit v místech, která jsou mimo kontrolu organizace. Pokud například dojde k úniku dat u dodavatele, může to ovlivnit organizaci? Právě taková situace může vést k tomu, že celá organizace a její širší sítě budou vyžadovat zvýšení kybernetické bezpečnosti a odhalení slabých míst dříve, než se stanou příčinou potenciálních problémů.

Klíčové prvky řízení rizik v oblasti kybernetického zabezpečení

Žádné prostředí nelze zcela zabezpečit, ale existují zásadní kroky, které podnikům pomohou zásadním způsobem zlepšit kybernetickou bezpečnost nejen z hlediska provozu, ale také z hlediska rozvíjení firemní kultury s důrazem na bezpečnost. Tyto prvky mohou pomoci dosáhnout robustnosti, která je nezbytná pro zachování neustálého pokroku.

Sponzorství

Výkonní pracovníci musí stanovit směr a očekávání v oblasti kybernetické bezpečnosti. Pokud bezpečnost není považována za zásadní ani na úrovni vedení firmy, nikdy se jí nebude věnovat adekvátní pozornost a důraz na úrovni nižšího vedení a zaměstnanců. Klíčovou součástí všeho jsou zdroje a financování, stejně jako možnosti mít ve vedení odborníka na kybernetické zabezpečení, který pomůže definovat a řídit strategii.

Odpovědnost

Každý v organizaci musí kybernetickou bezpečnost vnímat jako součást své práce. Jelikož trend používání digitálních zařízení a softwarových služeb při každodenní práci neustále roste, potenciální vektory pro vznik hrozeb tak zásadně expandují a pro správce sítě jsou často nepřehledné. Pokud například zaměstnanec používá zařízení pro pracovní i osobní účely, dodržuje stejná opatření během všech online aktivit? Má k zařízení přístup někdo další? Povědomí a školení hrají důležitou roli při decentralizaci těchto odpovědností v celé síti a pomáhají zaměstnancům pochopit správně svoji roli v procesu, zapojit do své každodenní práce osvědčené postupy a vyhnout se riziku spojenému s děláním chyb.

Spolupráce

Kybernetická bezpečnost je úkolem celého podniku. Žádné oddělení ani tým nemá na starost výhradně kybernetickou bezpečnost a odpovědnost, jelikož je příliš velká na to, aby ji neslo výhradně IT oddělení. Izolování problému pouze brzdí rychlost organizace při reakci na nově vznikající hrozby. V průmyslovém prostředí můžeme vidět, jak se propast mezi IT a OT postupně zmenšuje, protože hlavním obchodním cílem se začíná stávat integrace. Vzhledem k tomu, že jsou různé části organizace integrovány na úrovni procesů a pracovních postupů, musí docházet také k integraci na úrovni zabezpečení.

Viditelnost a detekce

Zabezpečení sítě je trvalou a neustále se prohlubující prioritou každé organizace. V oblasti výroby musí být společnosti při rozeznávání rizik v interním provozu a dodavatelském řetězci velmi aktivní, aby mohly rychle přijmout opatření vedoucí k nápravě problému. Jakmile se hrozba projeví, je již příliš pozdě. Schopnosti v oblasti analytiky mohou pomoci při pohotovém odhalování neobvyklých vzorců, jako jsou první známky útoku DDoS nebo pokusy o neoprávněný přístup, stejně jako při rychlé reakci v podobě nezbytných opatření.

Konzistence

Kybernetická bezpečnost není nikdy jednorázovou událostí a vyžaduje konzistenci jak při odhodlání, tak při realizaci a začlenění do struktury fungování organizace. Je nezbytné mít jistotu, že stávající strategie a procesy kybernetického zabezpečení budou chránit organizaci i v budoucnu.

Spolupráce v oblasti zabezpečení

S rostoucími znalostmi pracovníků v oblasti digitálního světa také roste jejich pochopení důsledků nedostatečného dodržování bezpečnostních opatření. Tento vývoj pomáhá budovat kolektivní odpovědnost a přístup k zajištění bezpečnosti celé organizace.

Článek vznikl ve spolupráci se společností Rockwell Automation.

Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.