54
služby l podpora výroby
Bezpečnost IT v průmyslu
V průmyslových, a zejména výrobních firmách je bezpečnost informačních technologií
svázána s podstatou jejich podnikání komplexněji než v jiných oborech. Stav kybernetické
bezpečnosti v některých průmyslových firmách odpovídá přibližně stavu před deseti lety
v ostatních odvětvích. Příčinou tohoto odstupu je masivní nárůst připojených výrobních
strojů do sítě teprve v posledních letech. Kde nebylo IT, nebylo třeba řešit IT bezpečnost.
Nyní průmyslové firmy, které prochází rychlým rozvojem digitalizace, stojí před nelehkým
úkolem, a to dotažením pomyslného manka v kybernetické bezpečnosti. Cestu, kterou
ostatní odvětví procházela přes dvě dekády, musí průmysl dohnat mnohem rychleji.
Výpadky a ztráty
d
Průmyslové firmy netrápí špatný stav kybernetické bezpečnosti jako takové, ale
dopady na klíčové procesy, tedy zejména
na výrobu. Obrovským problémem bývají
výpadky výrobních linek – časově náročné je nejen odhalení příčiny, ale také následná náprava. Jakýkoli větší výpadek přitom znamená významné finanční ztráty,
o ztrátě reputace u odběratelů ani nemluvě.
Dopady kybernetického útoku nemusí
být patrné na první pohled. Může jít o cílenou změnu výrobních parametrů, které
zvýší míru zmetkovosti. Odhalení skutečné příčiny může trvat mnoho dní a zajištění
nápravy klidně i týdny. A v případě poškození některého ze zařízení kvůli špatnému
procesu i mnohem déle.
Většina kybernetických útoků na průmysl je spíše otázkou náhody než konkrétního cílení. Jde o plošné útoky, které firmy
zasáhnou kvůli špatné shodě okolností.
Cílené útoky nicméně existují, ale obvykle
se týkají více krádeží know-how a vyděračství prostřednictvím ransomwaru než ovlivnění výroby jako takové. Ovšem i takové
T+T T e c h n i k a a t r h 1 - 2 / 2 0 2 2
případy existují – případně jsou jednotlivá
napadená výrobní zařízení zneužita pro
další nelegální aktivity vůči firmě.
Interní záležitost
d
Bezpečnost by měla být v rukou dané firmy
bez ohledu na to, zda pro tuto oblast využije své vlastní zdroje nebo služeb třetí
strany. A možná i zde je jedna z příčin, proč
průmyslové firmy zaostávají například za
bankovním sektorem – bankám a finančním institucím řadu bezpečnostních pravidel určuje legislativa a regulační opatření,
zatímco průmyslová odvětví mají v tomto
ohledu relativní volnost.
Jednotlivá výrobní zařízení připojená do
síťové infrastruktury sestavují firmy, které
nejsou specializované na IT, natož na
kybernetickou bezpečnost. Obvykle jde
o kombinaci univerzálního počítače s univerzálním operačním systémem a konkrétního výrobního zařízení, případně o specializovaná zařízení vyvinutá na míru. Mnohdy
jde o celek proměnlivý v čase, dochází
k přidávání nových rozhraní, zapojování
nových senzorů, rozšiřování o nové funkce,
propojování s dalšími zařízeními apod. A za
těchto okolností bývá obtížné uvažovat
o kybernetické bezpečnosti by design.
IT oddělení či externí IT správa by měla
zařízení chápat jako blackboxy, o kterých
nic neví. Připojí je na základě doporučených postupů, ale mají prakticky nulové
možnosti, jak bezpečnost přímo na úrovni
zařízení ovlivnit. Další skupinou jsou výrobní stroje, které jsou sice pod správou
dané firmy, avšak z různých příčin nejsou
pravidelně aktualizované, či záplatované
proti novým hrozbám.
Zařízení jsou tedy často zastaralá, neaktualizovaná, či bez jakékoli skutečné správy.
Není výjimkou stáří i několik desítek let, kdy
ve firmě již nepracuje nikdo, kdo by věděl,
jak a co případně změnit. A vzhledem k tomu, že jde o výrobní prostředek, tak bohužel stále platí pravidlo „co funguje, na to se
nesahá”. Uzavřenost zařízení nemusí ale
znamenat, že jsou nebezpečná či přímo
škodlivá od okamžiku dodání. K nakažení
může dojít až během následujících let, například i kvůli zneužití zranitelností, které již
v moderních systémech vlastně nejsou.