Moderní průmysl je poznamenán stále rostoucím významem trendů, jako je Průmysl 4.0, automatizace výroby a řízení procesů na základě nepřetržitého sběru dat. Avšak za těmito inovacemi se skrývá otázka, která je často posunuta do pozadí – otázka bezpečnosti těchto nových systémů. Jak můžeme zajistit bezpečné fungování v éře digitalizace a automatizace? V tomto článku se budeme věnovat právě této problematice a prozkoumáme, co představuje základ bezpečného provozu pro každý podnik. Rozhovor s panem Jiřím Kasnerem, ředitelem společnosti COLSYS – AUTOMATIK, nám poskytne cenné názory a perspektivy na tuto klíčovou tématiku.
Přibližte nám, v čem spočívá z vašeho pohledu kybernetické ohrožení dodavatelského řetězce.
Obecně řečeno, otázka řízení dodavatelského řetězce je mnohem komplexnější, než je „kyber“. Spolupráce s klíčovým dodavatelem v sobě kombinuje prvky win-win strategie, soft skills obou stran, smluvního vztahu a jeho parametrů a v neposlední řadě i ten bezpečnostní pohled – který by měl být stejný nebo alespoň podobný z obou stran.
To vypadá, že jde o běh na dlouhou trať…
Je jasné, že takový vztah se buduje léta a aby byl stabilní, musí obsahovat prvky skutečné spolupráce, a ne prezentaci síly z kterékoliv strany. Ale zpět k vaší otázce. Ohrožení dodavatelského řetězce vyplývá z nepochopení nebo nedodržování parametrů uvedených výše – tedy nekvalitní spolupráce a komunikace, nejasných vazeb a vzájemných povinností, špatných vztahů a kontaktů a podobných hrubých nedostatků. A důležitým prvkem je, pochopitelně, bezpečnostní uvědomění lidského řetězce, což se ale nedotýká jen otázky dodavatelů, ale celé (nejen kyber) bezpečnosti jako takové.
Některé firmy často nedisponují nejmodernějšími ERP systémy a softwarem, což může zvýšit jejich zranitelnost vůči kybernetickým útokům. Jaké rady byste měl pro takové firmy, které nemohou provádět kompletní technologickou inovaci, ale zároveň se chtějí účinně bránit kybernetickým hrozbám?
Otázka bezpečnostního upgrade a verzování softwaru představuje v průmyslu dlouhodobý problém. Často se stává, že informační a řídící systémy zůstávají na starších verzích bez opravných zranitelností. To je často způsobeno tím, že bezpečnostní aktualizace a upgrade nejsou dostatečně zahrnuty do bezpečnostního cyklu daného zařízení nebo technologie.
V situacích, kdy je nezbytné chránit starší technologie nebo technologie, u kterých není možné provést upgrade na nejnovější verze, je jediným řešením uzavřít celý systém do takzvaného „trezoru“. V rámci tohoto přístupu se aplikují technická opatření, jako je izolace od nevyžádaných komunikací, oddělení od ostatních systémů, minimalizace komunikačních vazeb a další bezpečnostní kroky, které jsou nutné pro dosažení maximální možné bezpečnosti, s ohledem na konkrétní rizika a hrozby.
Je však důležité mít na paměti, že tento postup vyžaduje důkladné znalosti detailních parametrů a chování daného systému. Nicméně, tato opatření by měla být samozřejmostí pro každý systém, nezávisle na jeho složitosti a verzi.
Dalším rizikovým faktorem, který jste ostatně zmiňoval, jsou lidé nebo zaměstnanci, kteří často nemají dostatečné povědomí o kybernetických hrozbách a počínají si řekněme lehkovážně. Jak se dá pracovat s tímto lidským faktorem?
Důležité je, aby všichni ve společnosti vnímali bezpečnost (a nejen kyber) jako přirozenou součást své práce. Tato bezpečnost se netýká pouze kybernetického prostředí, ale zahrnuje bezpečnost ve všech jejích aspektech. V mnoha oblastech již vnímáme bezpečnost jako samozřejmou součást naší práce, ale v případě kybernetické bezpečnosti a průmyslové bezpečnosti bude třeba ještě nějaký čas, než se toto vnímání upevní.
Takže jaké je řešení?
Řešením je efektivní vzdělávání, opakování a otevřená diskuze. Při školení a výcviku zaměstnanců je důležité nejen předávat poučky, ale také pečlivě vysvětlit, proč jsou tato pravidla důležitá. Často se stává chybou, že zaměstnavatel jednoduše stanoví určitá pravidla, aniž by vysvětlil proč. Znání důvodů a motivace za těmito bezpečnostními požadavky je pro zaměstnance klíčové, jelikož to pomáhá vytvořit přirozený návyk na dodržování těchto pravidel.
Jaké riziko představuje používání různých open source služeb a softwarů?
V současně době je na bázi open source velká řada software. Je velmi důležité vědět, komu tzv. „stojíte na zádech“, tedy jaký software (typicky knihovny) užíváte, dále velmi poctivě sledovat zranitelnosti a pracovat s nimi. Koncept open source je, samozřejmě, rozumný, jen je potřeba s ním pracovat také rozumně. V současné době se mu prakticky nelze vyhnout.
Při hodnocení rizik, hrozeb a opatření by mělo být jedním z rizik při implementaci nebo vývoji právě toto – použití open source software. Je nezbytné přijmout patřičná bezpečnostní opatření, abychom se před tímto rizikem ochránili.
Co to znamená konkrétně?
V praxi to znamená, že je nezbytné mít podrobné informace o všech open source produktech, které jsou součástí mé implementace, a zaměřit se na sledování možných zranitelností v těchto komponentách. Kromě toho je důležité provádět bezpečnostní aktualizace těchto prvků jako součást preventivních opatření.
Velmi populární je také ukládání dat do cloudů, hrozí tam nějaké riziko?
Při využívání cloudových služeb hrozí jedno zásadní riziko – nikdy nevíte, kdo se dívá, není-li cloud fyzicky (!) váš. Jinak řečeno, pokud držíte „klíčky“ ke cloudu, tak je to v pořádku. Druhou cestou jsou velcí výrobci, kteří mají cloudové služby natolik rozsáhlé, že jejich bezpečnost je prioritní věc a takovým cloudům lze technicky důvěřovat. Důležité je i spojení s cloudem, které by mělo být vždy dobře zabezpečeno…
Pokud se chce nějaká firma chránit v oblasti kyberbezpečnosti, čím by měla začít? Bezpečnostním auditem nebo rovnou nákupem nových technologií?
V první řadě je potřeba si zamést před vlastním prahem, tedy se kriticky podívat na to, čeho chci dosáhnout a v jakém jsem stavu. Základní „audit“ aktiv a rizik by měla být běžně společnost schopna provést v zásadě sama, má-li uvnitř kvalifikované zaměstnance.
V následném kroku je asi dobré zapojení kvalifikovaného konzultanta, který provede podrobnější analýzu, diskuzi, doplní informace a provede celkové zhodnocení situace.
Teprve poté, kdy budou hrozby a rizika jasně definovány, je vhodné zvažovat nákup nových technologií, služeb nebo jiných opatření. Dříve by takový krok neměl smysl, protože chybí jasný důvod a cíl pro takové investice.
