Je páteční večer, linka ve výrobním závodě jede naplno, když se najednou zastaví. Obrazovky zčernají, řídicí systémy nereagují. Černý scénář, který nikdo nechce.S rostoucí mírou digitalizace průmyslových podniků se kybernetická bezpečnost přesouvá z okrajového tématu do centra strategického řízení.
Propojení informačních (IT) a provozních technologií (OT) přináší bezprecedentní efektivitu, ale zároveň exponenciálně zvyšuje riziko napadení. Ještě před pár lety byly výrobní technologie izolované. SCADA systémy – tedy dohledové a řídicí systémy, které sbírají a vyhodnocují data z provozu – spolu s PLC jednotkami, programovatelnými automaty ovládajícími stroje, a dalšími řídicími panely dříve fungovaly jen v lokální síti. Právě tato uzavřenost tehdy sloužila jako jejich přirozená obrana před útoky z venku.
S nástupem digitalizace a IIoT (Industrial IoT) se ale situace změnila:
Strategie zabezpečení musí vycházet z modelu defense-in-depth: multilayer (vícevrstvá) architektura, která kombinuje fyzické, síťové, aplikační a uživatelské vrstvy ochrany. Základem je důsledná segmentace sítí podle norem (např. IEC 62443), aplikace průmyslových firewallů, zónování výrobních buněk a nasazení bezpečnostních nástrojů (IDS/IPS, DPI, SIEM) specificky navržených pro OT provoz. Mnohé z dnešních řešení (např. Cisco, Claroty, Nozomi Networks, Radiflow) dokáží poskytnout granulární přehled o provozních tocích, identifikovat zranitelnosti v reálném čase a včas upozornit na anomální chování typické pro ransomwarové nebo špionážní útoky.
Jednou z často přehlížených oblastí je správa strojových identit a přístupových práv. V prostředí průmyslových systémů, kde fungují embedded zařízení a HMI panely (rozhraní mezi člověkem a strojem), není správa přístupů tak jednoduchá jako v klasickém IT. Digitální certifikáty a MFA (vícefaktorová autentizace) musí být uzpůsobeny realitě výroby – často se proto kombinují s fyzickými tokeny, biometrikou nebo izolovaným vzdáleným přístupem přes tzv. jump servery. Slabá autentizace a univerzální hesla jsou totiž pro útočníky nejčastější vstupní branou.
Další klíčovou součástí obrany je řízení aktualizací a záplat (patch management). Protože provozní systémy v průmyslu jen těžko snesou časté odstávky, je nutné nastavit pravidelný harmonogram údržby, který umožní záplaty otestovat a nasadit s minimálním dopadem na výrobu. V mnoha továrnách navíc stále běží systémy s operačními prostředími bez podpory výrobce (například Windows XP Embedded či starší Linux jádra). Tam je nutné spoléhat na síťovou kompenzaci a důsledný monitoring, aby i starší zařízení byla chráněná.
Je však dobré připomenout, že kyberbezpečnost nestojí jen na technologiích, ale také na procesech a lidech. Typickým příkladem je zaměstnanec, který předá své přístupové údaje v rámci phishingové kampaně nebo připojí povolené, avšak infikované USB zařízení. Proto je zásadní pravidelně školit pracovníky na typické hrozby; zakázat nebo omezit připojování soukromých zařízení do výrobní sítě; a mít incident response plán – tedy jasný postup, kdo co dělá při útoku, včetně kontaktů na dodavatele a kroků k rychlé obnově provozu. Nejde jen o splnění legislativních požadavků (NIS2, zákon o kybernetické bezpečnosti, GDPR atd.), ale o připravenost rychle reagovat v krizové situaci, kdy o škodách rozhodují doslova minuty.
Nové technologie, jako je AI (umělá inteligence) a pokročilá analytika, přinášejí další možnosti – dokáží sledovat odchylky v chování systému a automaticky reagovat na incidenty. Je ale potřeba si uvědomit, že jsou jen prostředkem, ne cílem. Kyberbezpečnost v průmyslu spočívá především v celkové architektuře, koncepčním řízení rizik a kontinuitě provozu.
IT a OT bezpečnost dnes nelze oddělovat. Jejich propojení je nevyhnutelné – ať už kvůli technologiím, nebo hrozbám. Každý průmyslový podnik by měl vnímat kyberbezpečnost jako nedílnou součást svého provozního modelu. Investice do technologií, lidí a procesů se zde nehodnotí pouze podle návratnosti (ROI), ale především podle toho, jak dokážou zajistit odolnost a udržet výrobu v chodu i v případě cíleného útoku.
We are in the process of finalizing. If you want to be redirected to our old version of web site, please click here.
