Nesplačte nad výdělkem. Řešte kybernetickou bezpečnost!

Nesplačte nad výdělkem. Řešte kybernetickou bezpečnost!

Není to příliš dlouho, co svět na chvíli ochromil další globální kybernetický útok vyděračského programu WannaCry. Znovu tak upozornil na zranitelnost současné IT infrastruktury a přílišnou laxnost při řešení kybernetických hrozeb. Ta se však netýká pouze běžných informačních systémů a struktur, protože daleko větší výzvu představuje na půdě průmyslových podniků.

Nenechme se mýlit, průmyslová kybernetická bezpečnost není ničím novým spjatým s tzv. čtvrtou průmyslovou revolucí. Ostatně v nabídce společnosti Rockwell Automation jsou produkty a koncepty pro její řešení zahrnuty již dlouhá léta. Zcela záměrně uvádím, že by tato problematika měla vždy představovat koncepční záležitost, protože na kybernetickou bezpečnost je potřeba hledět jako na vícevrstvou záležitost. Neměl by se opomíjet navíc jak její externí rozsah, ale také hrozby zevnitř organizace - viz nástroje pro různé vrstvy kybernetické ochrany od Rockwell Automation.

Přestože průmysl a kybernetická bezpečnost nepředstavují žádné překvapivé nové spojenectví, je nutné přiznat, že častější interpretace kybernetické bezpečnosti ze strany dodavatelských firem i médií není v současné době nahodilá. Průmyslová výroba se v honbě za zvyšováním pružnosti, rychlosti, propojitelnosti a cenové výhodnosti neostýchá přebírat řadu postupů a nástrojů ze světa informačních či komunikačních systémů. Pronikání koncepce průmyslového internetu věcí a častější využití cloudových služeb v průmyslu otevírá dveře k řadě dříve striktně uzavřených průmyslových informačních systémů.

Stejně jako se aktuálně množí počet zaznamenaných útoků, roste i jejich důmyslnost, včetně častějšího zacílení na klíčovou infrastrukturu, do níž patří samozřejmě také průmyslové podniky. Indikovány jsou tak již případy útoků na samotné technologické procesy či ty, jejichž záměrem bylo poškození samotných výrobních zařízení. Je tedy nepopiratelné, že Průmysl 4.0 skutečně zvyšuje operační prostor útočníků, do jejichž řad spadají i ti motivovaní neustále se zvyšujícím tlakem na konkurenční boj. 

Kdybychom se chtěli podrobněji podívat na rizikové oblasti, určitě je potřeba hovořit o nebezpečí plynoucí z otevřenosti a nešifrované komunikace současných průmyslových sítí, které se nově otevírají vnitřní integraci i vnějšímu světu. Stejně tak je ohrožený i celek dodavatelsko-odběratelského řetězce plynoucího také z integrace horizontální. V neposlední řadě tato rizika přestavují již základní průmyslové řídicí systémy (PLC, SCADA, HMI), v tuzemské výrobě často zastaralé a bez správně ošetřených operačních systémů. To vše samozřejmě systémy ohrožuje ztrátou ovladatelnosti systému či jeho dostupnosti, může zhoršit výkon, ztratit data a následkem může být i finanční ztráta, nebo ohrožení lidského zdraví. To vše je důsledkem toho, že na rozdíl od běžných informačních systémů je řada základních bezpečnostních operací v oblasti průmyslových systémů buď pomalá, nebo nedostatečná.

Není tedy pochyb o tom, že si dopady neřešených kybernetických problémů začínají ve větším měřítku uvědomovat firmy, ale i státní orgány. V červenci 2016 například vydal Evropský parlament směrnice, jak předcházet kybernetickým útokům; stále častěji se můžeme setkávat také s normou IEC 62443, která definuje nejen nejlepší řešení pro různé části sítě, ale obsahuje také doporučení, jak v oblasti kybernetické bezpečnosti postupovat. V současnosti požaduje mnoho systémových integrátorů po svých dodavatelích, aby odebírané komponenty splňovaly IEC 62443-4-2, pododdíl normy IEC 62443, který se týká bezpečnosti koncových zařízení. RockwellAutomation i v této oblasti spolupracuje se svými partnery pod dohledem CERT/CSIRT, aby byl nejen schopen dostát všem současným požadavkům na kybernetickou bezpečnost, ale aby v oblasti vývoje také definoval další možnosti jejího kontinuálního zajištění.

Pokud zvažujete, jakým prvním krokem by měla začít cesta pro zajištění kybernetické bezpečnosti vašeho podniku, vězte, že jím vždy musí být pozvednutí na úroveň firemní kultury. Práce s lidským faktorem je zde naprosto klíčová. Jako v mnoha jiných případech i zde totiž platí, že člověk je největší devizou, ale také největší slabinou bezpečnostních systémů. Je nezbytné dále posilovat celkovou vzdělanost a zvyšovat detekční schopnosti možných incidentů. A pokud by už přeci jen firma čelila kybernetickému útoku, je klíčové vypracovat kompetence, které minimalizují škody a ztráty.

Budete-li potřebovat oporu v celkovém projektu vaší průmyslové kybernetické ochrany, RockwellAutomation vám vždy bude rádcem a pomocníkem. Začít můžete třeba jen s naším Security Assessment Tool, který umožňuje vyhodnocení současných bezpečnostních rizik, ale i identifikaci a navržení metod pro snižování potenciálních hrozeb.

Tomas Babka
Zveřejněno 9 Říjen 2017 Autor Tomas Babka, Sales Manager OEM, Rockwell Automation
  • Kontakt:

Blog

Naše blogy poskytují našim zaměstnancům a externím přispěvatelům možnost udržovat aktuální přehled o tom, co se děje ve vašem průmyslovém oboru, a předkládat vám informace o nejnovějších technologických trendech.