NEJNEBEZPEČNĚJŠÍ KONCOVÉ ZAŘÍZENÍ JE UŽIVATEL

Vydáno 10.2.2021 colsys automatikcovid-19digitalizacehome officekybernetická bezpečnostprůmysl 4.0softwarové řídící nástroje

Kybernetická bezpečnost je v průmyslu stále důležitějším aspektem, a to zejména v době, kdy firmy usilují o vyšší stupeň automatizace, robotizace nebo digitalizace. „Důležitým parametrem a limitem bezpečnosti v průmyslu je provozuschopnost a obnovitelnost zařízení,“ upozorňuje Jiří Kasner, předseda představenstva společnosti COLSYS – AUTOMATIK, a.s.

Přibližně deset let se mluví o průmyslu 4.0? Nakolik se na základě vašich zkušeností posouvají podniky k tomuto ideálu?
Moc se neposouvají. O průmyslu 4.0 se již řeklo všechno možné. Když však začínáme podobné projekty, tak narážíme na stejné chyby vyvěrající z neznalosti technologií a nekompetence lidí. Devadesát procent průmyslových podniků není na průmysl 4.0 vůbec připraveno. Když vezmeme integraci průmyslových komunikačních struktur, čímž se zabýváme, tak lidé ve firmách často vůbec netuší, co mají kde a jak implementovat. Nic není dokumentováno a neexistuje ani správce, který by tomu správně a úplně rozuměl. V tomto stavu nelze k průmyslu 4.0 seriózně přistupovat.

Mnoho firem však deklaruje, že se průmyslem 4.0 chce zabývat. Proč si společnosti počínají špatně?
Příčiny jsou dvě: kompetence lidí a návratnost investice. Řešíme komunikační záležitosti pro firmy z chemického či jaderného průmyslu nebo pro dopravní průmysl. Chceme zjistit podrobnosti a dostat se k dokumentaci. Mnohokrát se však dozvíme, že dokumentace byla v minulosti sepsána, protože představovala požadavek pro výběrové řízení. Potom se tím už nikdo nezabýval. Když se v tomto případě něco rozsype, jsme povoláni a začneme zjišťovat, co se vlastně děje, a odhalujeme mnoho problémů. Stěžejním předpokladem průmyslu 4.0 je integrace do jednotné komunikační infrastruktury. Vše dnes vyžaduje komunikovat téměř se vším, vše musí být v síti, vše připojené k internetu. Když však vezmeme například virtuální PLC, musím říci, že málokde jsem toto viděl v reálném provozu nasazené. Rozhodně se mi tedy nezdá, že bychom mílovými kroky směřovali k integraci a průmyslu 4.0.

Jaká jsou hlavní kybernetická rizika?
V průmyslu jednoznačně neznalost v oblasti provozuschopnosti systému. Řada správců neví, co a jak má provozovat. Jsou v medvědím sevřením mezi bezpečnostními požadavky, dodavatelem a jejich interními pravidly IT typu: nainstalujte si antivirus do PLC nebo měňte si patnáctkrát za měsíc heslo.
Ale pohled na celkovou provozuschopnost a obnovitelnost systému už nikdo neřeší. Málokdo má promyšleno, co se stane „když“. Covid-19 posílil tlak na digitalizaci na nejrůznějších úrovních. Mnohý manažer si teď možná více uvědomuje, že jejich sítě a zabezpečení nejsou na úrovni, která je potřebná. Přál bych si říct, že ano, ale vzhledem k tomu, jak vnímám počínání řady manažerů ve firmách i lidí na home office, kteří to spíše někdy pojali jako dovolenou, tak si myslím, že moc ne.

To, o čem se stále mluví, tedy že jsme zrychlili trend digitalizace rok, dva nebo o pět let, se z vašich zkušeností nepotvrzuje?

To nebylo zrychlení, protože jsme ještě nedoběhli dluh digitalizace z minulosti. Byli jsme hluboce pod nulou, teď se k výchozímu stavu nula teprve blížíme. Možná to někoho trochu nakoplo, ale že bych viděl fronty těch nakopnutých, to rozhodně nevidím.

Máte zkušenosti s podniky i institucemi. Existuje výrazný rozdíl mezi podnikatelskou a veřejnou sférou, jak přistupují k digitalizaci či kybernetické bezpečnosti?
Je to jednoduché. Nestátní firma má zpravidla rozumný zájem na tom, aby věci fungovaly a byly celkem dobře rozmyšlené. Toto však často neplatí ve státním. Rozumný koncepční postup v případě řady státních podniků je obvykle teprve hudbou budoucnosti. Ve státní sféře hodně rozhoduje, kdo má jaké postavení v celkové hierarchii. Funkčnost těchto společností je podstatně horší, protože se pořád čeká na vyjádření všech. Každý se ochotně vyjádří, ale zcela bez zodpovědnosti.

Firmy mají nejrůznější softwarové řídící nástroje – MES, WMS, ERP a podobně. Umí podniky dostatečně využívat potenciál tohoto softwaru?
Firmy, které jsou integrované v rámci výrobních systémů, jsou schopné s daty nakládat relativně rozumně, protože je potřebují pro provoz a provozuschopnost vlastní technologie. Problém je, že mnoho společností má kvanta dat, se kterými ale nepracují. Mnohdy proto, že se s nimi pracovat reálně nedá. Mnoho podniků data sbírá proto, aby je sbíralo. Buď to v minulosti nadřízený chtěl nebo se tím kryje „pracovní vytížení“. Někdy se sbírají data ze všeho možného a výstupem je týdenní textová statistika. Často je to však úplně na nic, protože k žádné změně na základě dat nedochází.

Máte zkušenosti s firmami, které jsou schopny nasadit na big data algoritmus a získat z nich užitečné informace, jež mohou být prospěšné pro fungování organizace?
Do jisté míry ano. Typicky se data využívají k tomu, aby se detekovaly lokální nebo globální extrémy, jež by se neměly vyskytovat. Z kvanta dat lze zjistit běžné provozní stavy a sběrem dalších dat pak odvodit odchylky. Že bych však vnímal, že jsou ve firmách implementovány pokročilejší technologie a že by někdo třeba zpětně pracoval s procesními daty, to tedy nevnímám. Když data máte, ještě to neznamená, že jste s nimi schopen pracovat.

Vidíte pro sféru, ve které se pohybujete, možnost nasazení strojového učení nebo úzké umělé inteligence, která bude z dat preparovat hlubší souvislosti a znalosti?
Pokud k tomu budou lidé s dostatečnou kvalifikací, tak ano. Zatím chodím na vysoké školy například na státnice a z toho, co sleduji, se nedomnívám, že bychom se přibližovali k popisovanému stavu. V rámci vzdělávání jsou požadavky stále nižší a kvalifikace absolventů klesá. Rozhodně nevidím tlak na znalosti a vazbu na průmyslové prostředí. Řada projektů, které v rámci různých prací studenti ve škole dělají, jsou aktivity se zadáním typu „Sestavte létající stroj, který má super křídla, modře bliká a zpívá v D-dur“.

Z hlediska kybernetické bezpečnosti se hovoří o tom, že problémem jsou nejrůznější koncová zařízení, která nejsou dostatečně zabezpečena. Jakou s tím máte zkušenost?
Taková koncová zařízení je potřeba zabezpečit, existují k tomu dostatečné metody a postupy. Nejnebezpečnější „koncové zařízení“ je však typický uživatel, který se zabezpečuje špatně.
Většinou vidíme systémy dvou typů. Ty, které jsou mnohdy přezabezpečené, což znamená, že nakonec se v tom nikdo nevyzná nebo jsou velmi obtížně použitelné v praxi. Celková bezpečnost a spolehlivost takového systému klesá. Pokud mám pouze jednoho člověka, který je schopen se systémem vůbec něco udělat, tak to je právě ten nejkritičtější prvek v případě, že se něco vážného opravdu stane. Dále existuje druhá kategorie podniků, jež ke svým komunikačním systémům přistupuje tak, že se jich vlastně vůbec netýkají. Potom se modlí, aby systém byl někde uzavřený, neměl ideálně žádné přístupy, nikdo se k němu nemohl dostat. Takové systémy jsou relativně životaschopné, pokud jsou opravdu udrženy v izolovaném prostředí.

Množství koncových nařízení v průmyslu spíše narůstá. Vnímáte, že roste zabezpečení samotných zařízení, nebo se to nechává spíše na centrální úrovni zabezpečení?
Mnohdy ani jedno ani druhé. Dneska jsou oblíbená zařízení takzvaného internetu věcí, která obsahují čip a provádějí několik funkcí. V zásadě se čeká, že bude dodávat data a nikdo se ničím dalším moc nezabývá. Předpokládá se, že na vrchní úrovni je všemocný router s firewallem ve správě někoho a ten to všechno zachrání. Nejsem přesvědčen, že toto je správná strategie. Na druhou stranu považuji za naprosto přirozené, že počet těchto zařízení roste, ačkoliv zase neeviduji, že by v rámci nových implementací bylo tolik chytrých senzorů.

Zmiňovaný problém s lidmi se týká jejich nedostatku, kompetence i rostoucích mzdových nároků. Lze očekávat nějaká krabicová řešení či kybernetickou bezpečnost jako službu, které si firma naimplementuje po stažení ze serveru? Nebo bude vždy potřeba individuální přístup ze strany kompetentní společnosti?

Poměrně standardně poskytujeme analýzy a služby spojené s bezpečností. V životě bych si však nedovolil zákazníkovi nabídnout, že mu „zpracujeme kybernetickou bezpečnost“. Znamená to totiž, že musíte velmi detailně rozumět jeho průmyslovému prostředí, což nikdo zvenčí zpravidla nedokáže. Máme zákazníky od výrobců sedaček do aut až po jadernou elektrárnu. Firma, která by přišla a nabídla nějaké en bloc řešení shodné pro všechny, by byla velmi odvážná. Detailní znalost technologie je naprosto klíčová. A proto si nemyslím, že v průmyslu může fungovat krabicové řešení nazvané „Implementace kybernetické bezpečnosti v průmyslovém podniku“. Ledaže by to někdo řešil pouze po formální stránce a potřeboval si jen odškrtnout, že něco mají.

Všeobecná doporučení tedy nefungují?
Samozřejmě lze vzít obecné nápady, ale to jsou pak spíše doporučení pro administrativu typu: musíte mít aktualizovaný antivir nebo když přijde divný e-mail, raději jej smažte. Posouzení rizik v administrativě může být v tomto směru snadnější. Běžný pracovník v kanceláři potřebuje Word, Excel a Outlook, Zoom a informační systém. Nic dalšího. My ale řešíme zabezpečení průmyslové aplikace, například ovládání turbíny. Abyste zajistil bezpečnost a provozuschopnou aplikaci, musíte pečlivě vážit, jakým způsobem a kam s bezpečností můžete zajít, abyste neohrozil samotnou provozuschopnost. Zákon i vyhláška o kybernetické bezpečnosti u průmyslových systémů mimo jiné říká, že provozuschopnost a obnovitelnost jsou jedny ze zásadních parametrů posouzení rizik.

Zadejte e-mailovou adresu

a nic ze Světa průmyslu vám už neunikne!

Vaše osobní údaje budeme zpracovávat pouze za účelem zasílání newsletterů, a to v souladu s platnou legislativou a zásadami ochrany osobních údajů. Svůj souhlas se zasíláním a zpracováním osobních údajů můžete kdykoli odvolat prostřednictvím odhlašovacího odkazu v každé kampani.

Rozhovory

P-D Refractories CZ a.s. – lídr na poli žárovzdorných materiálů

P-D Refractories CZ a.s. – lídr na poli žárovzdorných materiálů

Vydáno 24.6.2022

P-D Refractories CZ a.s. je jedním z největších výrobců a dodavatelů žárovzdorných výrobků a surovin v Evropě. Na primární položky produkce, novinky a úskalí spojená s energetickou krizí a konfliktem na Ukrajině jsme se zeptali Ing. Jiřího Kyncla, generálního ředitele společnosti.     Vaší vizí jsou stále lepší výrobky a služby pro Vaše zákazníky. Můžete nám […]

Profesionálně od podlahy až po střechu

Profesionálně od podlahy až po střechu

Vydáno 24.6.2022

Polyuretanová, tedy PUR pěna je jedním z nejlehčích a nejlepších izolantů. Způsob, jakým se pěna aplikuje, řeší spoustu kritických detailů, se kterými se řemeslníci potýkají u jiných izolantů, které musí opracovat, tvarovat, spojovat či lepit. Jaké typy střech se PUR pěnou izolují? K čemu se PUR pěna používá ve filmovém a zábavním průmyslu? Jak přispívá […]

Tradiční dodavatel v netradiční době

Tradiční dodavatel v netradiční době

Vydáno 24.6.2022

Společnost Doosan Škoda Power s.r.o., výrobce parních turbín a souvisejících energetických zařízení, má za sebou dlouhou a úspěšnou historii 118 let a více než 650 dodaných strojů o souhrnném výkonu 130 GW po celém světě. Štepán Šmida, který ve společnosti působí na pozici Business Development Manager, na Dnech teplárenství a energetiky mluvil o možnostech, které […]

ESG projekty pro zdravější životní prostředí

ESG projekty pro zdravější životní prostředí

Vydáno 23.6.2022

Naše produkty vyrábíme ze surovin, které si bereme z přírody. Přetváříme je do přírodního stavebního materiálu, ze kterého umožňujeme našim zákazníkům stavět zdravé a udržitelné bydlení. Naše společnost je vedena snahou vracet přírodě, když si z ní něco bereme, a proto jsme v letošním roce zintenzivnili práci na projektech, které jsou spojené s ochranou a […]

Zobrazit Více