Navíc prostředí provozních technologií vyžaduje kromě různých IT specializací (architektura, komunikační infrastruktura, bezpečnost) také značné specifické znalosti související se samotnou technologií výroby nebo řízením výrobních technologických procesů společnosti.
Průmyslové IT neboli IT v oblasti OT (Operational Technologies = provozní technologie) je tedy specializovanou oblastí IT, kde se informační technologie využívají k automatizovanému monitorování a řízení strojů, výrobních linek, technologických zařízení nebo celých výrobních podniků.
Technologie automatizovaného řízení se dnes užívají prakticky bez výjimky ve všech odvětvích průmyslu a díky svým nesporným výhodám, které souvisejí hlavně s neustálým tlakem trhu na efektivitu výroby, jejich využívání přináší také bezpečnostní rizika.
Z obecně dostupných průzkumů vyplývá, že IT personál nemá dostatečné zkušenosti s provozními technologiemi. Z druhé strany pak personál zabezpečující provoz průmyslového IT nemá dostatečné zkušenosti s řízením bezpečnosti informačních technologií, jelikož jeho primárním zájmem je dostupnost a bezporuchovost.
Jak tedy tyto dva světy propojit, aby i moderně technologicky řízená výroba byla bezpečná? Řada příkladů z nedávné minulosti nás přesvědčuje, že toto propojení je nezbytné. Jinak se vystavujeme nedozírným dopadům od ovlivnění obsahu radiového vysílání přes uzavření továrny, ztráty kontroly nad řízením dopravy až třeba po energetický blackout.
Vektory útoku
V oblasti kybernetické bezpečnosti se užívá výrazu „attack surface“ čili pole/plocha pro útok. Tento pojem vyjadřuje množství softwarových služeb, různých aplikací, komponent operačních systémů, které jsou v IT řešení využity. Každá z těchto komponent má známé i zatím neznámé zranitelnosti, které mohou být zneužity k útokům. Čím je tedy „attack surface“ větší, tím je IT řešení zranitelnější.
V oblasti automatizace technologických i výrobních procesů je současným trendem minimalizace interakce operátora nebo zaměstnance se samotným procesem a preferovaná je komunikace typu stroj-stroj. Výhody jsou zřejmé – snížení chybovosti, eliminace lidského faktoru, zvýšení efektivity.
Nevýhodou je zvětšování „attack surface“ monitorovacích a řídicích technologií a s tím spojené nároky na komplexní zajištění jejich bezpečnosti, jelikož komplexita průmyslového IT nabízí daleko vetší vektory směřování útoků.
Napomáhají nám současné regulace?
V oblasti zajištění bezpečnosti IT je k dispozici několik norem, nejčastěji využívaná certifikační norma ISO27001 je v oblasti IT standardem. Situace v oblasti bezpečnosti provozních technologií (OT) je složitější a v rámci ČR lze pozorovat prakticky tři přístupy (pořadí podle výskytu v rámci průmyslu):
- Zajistíme bezpečnost, jak nejlépe umíme. Postupujeme na základě nejlepšího vědomí a svědomí, implementujeme ověřená řešení v místech a částech technologie, o kterých si myslíme, že jsou kritické.
+ rychlé řešení, použití existujících zdrojů a know-how, ekonomicky efektivní, management společnosti získá pozitivní dojem, že oblast bezpečnosti je „pokrytá“
- nekoncepční přístup, diskutabilní vhodnost opatření, nedefinovaný životní cyklus zajištění bezpečnosti, rizika jsou víc „předpokládaná“ než analyzovaná
- Využijeme soubor norem ISO2700x takovým způsobem, abychom pokryli prostředí provozních technologií. (Probíhá stálá diskuze o vhodnosti použití tohoto souboru norem v tomto prostředí.)
+ dostupnost zdrojů se zkušenostmi implementace ISO27001, koncepční přístup, definovaný životní cyklus zajištění bezpečnosti, ověřené postupy kompatibilní s IT, relativně rychlá implementace
- požadavky z prostředí IT mohou být kontraproduktivní, jestliže se aplikují v OT prostředí, implementace ISO27001 v OT prostředí vyžaduje specifické postupy, chybí odbornost potřebná pro prostředí provozních technologií
- Použijeme některou z norem, které jsou vytvořeny přímo pro prostředí provozních technologií a jež nám poskytne koncepční přístup k budování bezpečnosti provozní technologie – např. IEC/ISA62443
+ přímá aplikovatelnost na prostředí provozu, koncepční přístup, definované postupy a požadavky na bezpečnost, definovaný životní cyklus, komplexní pokrytí bezpečnosti – interní procesy, budování povědomí, fyzická bezpečnost, požadavky na použité IT/OT technologie
- relativně obtížná dostupnost vhodného (certifikovaného) odborného personálu, detailnější přístup může prodloužit čas implementace, výsledkem procesu jsou často zvýšené požadavky na investice do bezpečnosti
Jak čelit výzvě zabezpečení průmyslového IT
Existuje-li záměr, všechny výzvy jsou zvládnutelné. Je zřejmé, že pro zabezpečení průmyslového IT je třeba hledat kombinace mnoha přístupů. Tradičně prvním předpokladem je kompetentní personál. Jak na bezpečnost IT, tak pro správu průmyslového IT lze takové pracovníky nalézt, případně si je identifikovat a vychovat.
Pak je potřeba silného mediátora, který zajistí, že bude správně nastavena komunikace, že obě strany budou mluvit stejným jazykem a že si budou rozumět a podporovat se.
Prvotním mediátorem může často být externí subjekt, poradenská společnost, který využije hybnosti, s jakou organizaci ovlivní k formulaci a nastavení společných cílů a definování cesty k jejich naplnění.
Následně je potřeba, aby se bezpečnost, jak klasická, tak i bezpečnost IT v průmyslových celcích, stala pravidelnou agendou vyššího managementu, který se bude aktivně angažovat v prosazování nastavených principů.
Autoři jsou ze společnosti EY.
Petr Plecháček působí jako associate partner týmu kybernetické bezpečnosti. Zaměřuje se především na transformační projekty a programy zahrnující IT a security governance.
Andrej Hradňanský se zabývá problematikou kybernetické bezpečnosti průmyslových provozních technologií a průmyslových řídicích systémů. Vlastní certifikaci ISA/IEC 62443 Cybersecurity Expert a má zkušenosti s projekty zajištění kybernetické bezpečnosti v různých průmyslových sektorech.