KYBERNETICKÁ BEZPEČNOST PRŮMYSLOVÝCH SYSTÉMŮ ANEB PROČ JE POTŘEBA PŘEMÝŠLET UŽ OD ZAČÁTKU

Vydáno 11.12.2019 komerční sdělení

V dnešní době je sousloví „kybernetická bezpečnost“ krásným příkladem ukázkové floskule. Všichni o tomto tématu mluví, zejména pak ve světě klasického IT, všichni o něm všechno vědí, přesto jsou přednáškové sály plné udivených posluchačů, kteří kroutí hlavou (a očima) nad zamyšleními, která občas předkládám. Pokusím se tato zamyšlení v několika větách naznačit i vám.

V prvé řadě si musíme ujasnit, co je vlastně ono sousloví. Jedná se o celkový pohled na provozuschopnost, bezpečnost (mimo jiné i fyzickou), obnovitelnost a kontinuální hodnocení rizik jakékoliv infrastruktury, která je pro danou aplikaci kritická. To ovšem znamená, že se nejedná jen o explicitně vyjmenované položky v příslušném předpisu, ale i o mnoho jiných systémů. Zde se na ostatní systémy rádo zapomíná, přece máme ten předpis, tak co. „I tak jsou starosti i s částí jmenovanou v předpisu, tak proč bychom se dívali i jinam, máme už tak práce dost.“ To je typická odpověď na moje některé poznámky.

Kybernetická bezpečnost začíná v hlavách lidí už na úplném začátku projektu. A začíná něčím, co lidé nemají rádi – zodpovědným posouzením rizik z mnoha pohledů. Realistické posouzení rizika je z mých zkušeností pro řadu dotčených nejhorší možný bod procesu (a to je úplný začátek). Je totiž nutné si opravdu na rovinu říci, co je a co není podstatné a vyslechnout a vnímat argumenty jiných. Na jejich základě pak lze rozhodnout, jak dané riziko hodnotit. V hodnocení rizik se tedy nejedná o vypracování 200 a více stran textu, který popisuje většinou jen obecné pravdy a jejich „řešení“.

 

KAŽDÝM ROZHODNUTÍM HODNOTÍM RIZIKO

Když už se prokoušeme hodnocením rizik, nastává doba jejich studia a průzkumu opatření, která jsem nebo také nejsem schopen provést. Zde si často lidé nalhávají, jaká opatření dokážou. Rozumný pohled v sobě spojuje kombinaci všech pohledů, které jsme zhodnotili v kroku prvém. Jinak řečeno: jedná se o solidní a dobře argumentovanou sadu opatření k fyzické bezpečnosti, opatření k IT/OT

bezpečnosti, opatření k provozuschopnosti (ano, toto je také důležitý bod – bezpečná, ale nefunkční infrastruktura je k ničemu) a v neposlední řadě opatření k návratu do funkčního stavu systému po havárii (i ta může nastat, byť si to mnozí nepřipouštějí).

V tomto kroku je rozumné přejít z úvah, jak systém funguje k úvahám, co se bude dít, když systém fungovat nebude (a proč) a jakým způsobem a v jakých krocích zajistit pro daný průmyslový celek alespoň základní služby komunikačního systému v přijatelném čase. Zde se dostáváme k dalším zásadním bodům, které jsou většinou dost bolestivé – dokumentaci toho, co vlastně obsluhuji (což má být dokumentace skutečného stavu, nikoliv dokumentace poslední rekonstrukce před 25 lety se slovy: „Změny si přece pamatuji, všechno jsem to dělal sám“). A z předchozí věty plyne typický problém – nezástupnost a neznalost řešitele či jeho zástupců a náhradníků. Jsme zpátky na začátku u poctivého hodnocení rizik, neboť jedním z rizik, které je zcela zásadní, je i riziko personální a riziko potřeby uvedení systému do funkčního stavu, klidně ve fázích nebo nedokonale, ale se zajištěním (třeba nouzového) provozu.

Souhrn všech odstavců výše prakticky tvoří pohled na průmyslovou kybernetickou bezpečnost. Žádný z kroků či bodů není možné vynechat z hodnocení. Stejně tak jako hra „mě se to netýká“ nemá v kybernetické bezpečnosti svoje místo. Platí, že každým svým rozhodnutím hodnotím nějaké riziko a rozhodnutí znamená, že jsem se rozhodl, co pro mě dané riziko znamená a zda jej vidím jako důležité či nikoliv.

Závěrem lze jen konstatovat, že bohužel toto vnímání bezpečnosti je u mnoha provozovatelů průmyslové infrastruktury poměrně vzdálené.

 

 

Jiří Kasner (kasner.jiri@colaut.cz)

 

Zadejte e-mailovou adresu

a nic ze Světa průmyslu vám už neunikne!

Vaše osobní údaje budeme zpracovávat pouze za účelem zasílání newsletterů, a to v souladu s platnou legislativou a zásadami ochrany osobních údajů. Svůj souhlas se zasíláním a zpracováním osobních údajů můžete kdykoli odvolat prostřednictvím odhlašovacího odkazu v každé kampani.

Rozhovory

P-D Refractories CZ a.s. – lídr na poli žárovzdorných materiálů

P-D Refractories CZ a.s. – lídr na poli žárovzdorných materiálů

Vydáno 24.6.2022

P-D Refractories CZ a.s. je jedním z největších výrobců a dodavatelů žárovzdorných výrobků a surovin v Evropě. Na primární položky produkce, novinky a úskalí spojená s energetickou krizí a konfliktem na Ukrajině jsme se zeptali Ing. Jiřího Kyncla, generálního ředitele společnosti.     Vaší vizí jsou stále lepší výrobky a služby pro Vaše zákazníky. Můžete nám […]

Profesionálně od podlahy až po střechu

Profesionálně od podlahy až po střechu

Vydáno 24.6.2022

Polyuretanová, tedy PUR pěna je jedním z nejlehčích a nejlepších izolantů. Způsob, jakým se pěna aplikuje, řeší spoustu kritických detailů, se kterými se řemeslníci potýkají u jiných izolantů, které musí opracovat, tvarovat, spojovat či lepit. Jaké typy střech se PUR pěnou izolují? K čemu se PUR pěna používá ve filmovém a zábavním průmyslu? Jak přispívá […]

Tradiční dodavatel v netradiční době

Tradiční dodavatel v netradiční době

Vydáno 24.6.2022

Společnost Doosan Škoda Power s.r.o., výrobce parních turbín a souvisejících energetických zařízení, má za sebou dlouhou a úspěšnou historii 118 let a více než 650 dodaných strojů o souhrnném výkonu 130 GW po celém světě. Štepán Šmida, který ve společnosti působí na pozici Business Development Manager, na Dnech teplárenství a energetiky mluvil o možnostech, které […]

ESG projekty pro zdravější životní prostředí

ESG projekty pro zdravější životní prostředí

Vydáno 23.6.2022

Naše produkty vyrábíme ze surovin, které si bereme z přírody. Přetváříme je do přírodního stavebního materiálu, ze kterého umožňujeme našim zákazníkům stavět zdravé a udržitelné bydlení. Naše společnost je vedena snahou vracet přírodě, když si z ní něco bereme, a proto jsme v letošním roce zintenzivnili práci na projektech, které jsou spojené s ochranou a […]

Zobrazit Více