S rostoucí mírou digitalizace průmyslových podniků se kybernetická bezpečnost přesouvá z okrajového tématu do centra strategického řízení. Propojení informačních (IT) a provozních technologií (OT) přináší bezprecedentní efektivitu, ale zároveň exponenciálně zvyšuje riziko napadení. Ještě před pár lety byly výrobní technologie izolované. SCADA systémy – tedy dohledové a řídicí systémy, které sbírají a vyhodnocují data z provozu – spolu s PLC jednotkami, programovatelnými automaty ovládajícími stroje, a dalšími řídicími panely dříve fungovaly jen v lokální síti. Právě tato uzavřenost tehdy sloužila jako jejich přirozená obrana před útoky z venku. S nástupem digitalizace a IIoT (Industrial IoT) se ale situace změnila:
- OT sítě jsou dnes propojené s ERP (podnikovým informačním systémem pro plánování a řízení zdrojů.), MES (systémem pro řízení výroby v reálném čase) a cloudovými platformami.
- Často obsahují kombinaci starých zařízení a nových senzorů, které jsou připojené k internetu.
- Slabá segmentace a univerzální hesla potom otevírají útočníkům cestu.
Proč jsou OT sítě snadným cílem
Strategie zabezpečení musí vycházet z modelu defense-in-depth: multilayer (vícevrstvá) architektura, která kombinuje fyzické, síťové, aplikační a uživatelské vrstvy ochrany. Základem je důsledná segmentace sítí podle norem (např. IEC 62443), aplikace průmyslových firewallů, zónování výrobních buněk a nasazení bezpečnostních nástrojů (IDS/IPS, DPI, SIEM) specificky navržených pro OT provoz. Mnohé z dnešních řešení (např. Cisco, Claroty, Nozomi Networks, Radiflow) dokáží poskytnout granulární přehled o provozních tocích, identifikovat zranitelnosti v reálném čase a včas upozornit na anomální chování typické pro ransomwarové nebo špionážní útoky.
Petr Kocmich, bezpečnostní expert skupiny Soitron
IT ≠ OT: slabiny, které hackeři milují
Jednou z často přehlížených oblastí je správa strojových identit a přístupových práv. V prostředí průmyslových systémů, kde fungují embedded zařízení a HMI panely (rozhraní mezi člověkem a strojem), není správa přístupů tak jednoduchá jako v klasickém IT. Digitální certifikáty a MFA (vícefaktorová autentizace) musí být uzpůsobeny realitě výroby – často se proto kombinují s fyzickými tokeny, biometrikou nebo izolovaným vzdáleným přístupem přes tzv. jump servery. Slabá autentizace a univerzální hesla jsou totiž pro útočníky nejčastější vstupní branou.
Další klíčovou součástí obrany je řízení aktualizací a záplat (patch management). Protože provozní systémy v průmyslu jen těžko snesou časté odstávky, je nutné nastavit pravidelný harmonogram údržby, který umožní záplaty otestovat a nasadit s minimálním dopadem na výrobu. V mnoha továrnách navíc stále běží systémy s operačními prostředími bez podpory výrobce (například Windows XP Embedded či starší Linux jádra). Tam je nutné spoléhat na síťovou kompenzaci a důsledný monitoring, aby i starší zařízení byla chráněná.
Je však dobré připomenout, že kyberbezpečnost nestojí jen na technologiích, ale také na procesech a lidech. Typickým příkladem je zaměstnanec, který předá své přístupové údaje v rámci phishingové kampaně nebo připojí povolené, avšak infikované USB zařízení. Proto je zásadní pravidelně školit pracovníky na typické hrozby; zakázat nebo omezit připojování soukromých zařízení do výrobní sítě; a mít incident response plán – tedy jasný postup, kdo co dělá při útoku, včetně kontaktů na dodavatele a kroků k rychlé obnově provozu. Nejde jen o splnění legislativních požadavků (NIS2, zákon o kybernetické bezpečnosti, GDPR atd.), ale o připravenost rychle reagovat v krizové situaci, kdy o škodách rozhodují doslova minuty.
AI a prediktivní detekce: budoucnost obrany
Nové technologie, jako je AI (umělá inteligence) a pokročilá analytika, přinášejí další možnosti – dokáží sledovat odchylky v chování systému a automaticky reagovat na incidenty. Je ale potřeba si uvědomit, že jsou jen prostředkem, ne cílem. Kyberbezpečnost v průmyslu spočívá především v celkové architektuře, koncepčním řízení rizik a kontinuitě provozu.
IT a OT bezpečnost dnes nelze oddělovat. Jejich propojení je nevyhnutelné – ať už kvůli technologiím, nebo hrozbám. Každý průmyslový podnik by měl vnímat kyberbezpečnost jako nedílnou součást svého provozního modelu. Investice do technologií, lidí a procesů se zde nehodnotí pouze podle návratnosti (ROI), ale především podle toho, jak dokážou zajistit odolnost a udržet výrobu v chodu i v případě cíleného útoku.
