Klíčová otázka Industrial Security: Jak podniky zvládnou její nástup?

Simon Nutz, Consultant Industrial Security

“Kybernetická bezpečnost? To se nás netýká!“ – tak dnes stále ještě běžně odpovídají výrobci a provozovatelé strojních zařízení. „Security je záležitost našeho IT“, dodávají lehce omluvně. V praxi však pracovníci IT nemají, zejména pokud se týká sítí pro automatizovaná zařízení, potřebné specifické znalosti. Stejně tak si konstruktéři ani pracovníci pověření bezpečností (Health and Safety Manager, HSE) nejsou do značné míry jisti, jak přistupovat ke kybernetické bezpečnosti. Jak se tedy postavit k otázkám kybernetické bezpečnosti?

Od ledna 2027 musí být v EU závazně používáno nařízení o strojních zařízeních. Platí pro všechny podniky, které chtějí strojní zařízení do EU dovážet nebo je na jejím území provozovat. Nařízení o strojních zařízeních předepisuje požadavky na kybernetickou bezpečnost v podobě ochranných opatření proti poškození dat. Z tohoto pohledu je kybernetická bezpečnost kritická ekonomicky a je tedy úkolem pro management. Vedení musí zajistit, aby opatření kybernetické bezpečnosti byla v podniku zavedena.

Společná úloha
Aby se to podařilo, musí se nejdřív všichni zúčastnění sejít u jednoho stolu. U výrobců strojů to znamená účast pracovníků IT, vývoje/konstrukce a – pokud jsou jmenováni – pracovníků odpovědných za kybernetickou bezpečnost (např. CISO). U uživatelů je nutná součinnost pracovníků IT, výrobních techniků a vedoucích výroby, HSE a CISO.
Ze všeho nejdřív je nutné získat vědomosti a dosáhnout společného pochopení problematiky kybernetické bezpečnosti v průmyslu: Jaké zákonné povinnosti musí průmysl výroby strojů a zařízení splnit? Jaký je vztah mezi Safety a Security? Na kterých rozhraních se setkává IT a OT?

Ve druhém kroku pak musí tyto interdisciplinární týmy vypracovat vhodnou strategii a koncept její implementace. Jde o to, aby v rámci podniku došlo k vzájemnému porozumění a strukturalizaci. S tím souvisí další otázky. Kdo v budoucnu ponese odpovědnost? Jaká je topologie sítě vlastních strojních zařízení? Jak se shoduje s novými zákonnými požadavky?

Vlastní realizace začíná posouzením rizik
To je základním předpokladem toho, aby bylo vůbec možné téma kybernetické bezpečnosti zahrnout do života podniku. Výchozím bodem je hodnocení a kvantifikace možných událostí s následnými škodami a zpracování analýzy potřeb ochrany. V této fázi je navíc třeba identifikovat možná napadnutelná místa, potenciální útoky a manipulaci v souvislosti s propojováním, digitalizací a nástupem umělé inteligence. Důležité: Při stanovování cílů ochrany kybernetické bezpečnosti nelze kromě klasických aspektů IT jako důvěryhodnost, integrita a dostupnost opomenout ani funkční bezpečnost strojních zařízení, tedy Safety.

Výchozím bodem je vždy posouzení rizik z hlediska kybernetické bezpečnosti. Přitom je důležité posoudit i ohrožení a rizika vznikající v důsledku mezer v kybernetické bezpečnosti. To vyžaduje průběžné sledování a úpravy bezpečnostních opatření. Často bývá do posouzení nutné zahrnout i komplexní infrastrukutu IT a sítě, což si vyžádá další technické expertízy a zdroje.

Hledají se experti na problematiku Security & Safety!
Ten, kdo hledá externí podporu pro implementaci kybernetické bezpečnosti v automatizaci, by si měl být vědom toho, že know-how z oblasti IT Security představuje pouze podmíněnou pomůcku. Procesy pro zmenšení rizika kybernetických útoků na strojní zařízení (Industrial Security) jsou totiž velmi podobné procesům pro redukci rizik, jejichž zdrojem je samo strojní zařízení (Safety). V případě Industrial Security je však nutné být také expertem na strojní bezpečnost a znát související požadavky a normy, především nařízení o strojních zařízeních.

Konkrétní implementace zákonů se teprve rozbíhá. Harmonizované normy se dokonce někde teprve zpracovávají. Pilz jako expert na strojní bezpečnost se těchto procesů účastní a na tvorbě norem aktivně spolupracuje. Své know-how předává Pilz zákazníkům v podobě služeb a školení. Pro začátečníky je určeno praktické školení „Základy kybernetické bezpečnosti“. Účastníci se seznámí s terminologií a požadavky a naučí se chápat kybernetickou bezpečnost v kontextu strojní bezpečnosti a bezpečnosti sítí. K pochopení rizik souvisejících s kybernetickou bezpečností v konkrétní výrobě slouží řada příkladů z praxe.
Školení „Certified Expert for Security in Automation (CESA)“ představuje nástroj, který usnadní zavádění účinných organizačních a technických opatření pro průmyslové sítě v oblasti automatizace.

Kromě nabídky školení má Pilz pro své zákazníky k dispozici portfólio „Identification and Access Management“ (I.A.M.) Jedná se o produkty a individuální řešení pro celou řadu úkolů na téma ochrany zaměstnanců, ochrany povinné odpovědnosti, maximální produktivity a ochrany dat. K dostupným aplikacím patří například autentifikace uživatelů, bezpečná volba provozních režimů, bezpečnost dat a sítí a řízení přístupu. To vše umožňuje existenci a využívání Safety & Security v jednom systému.

Aby byli včas připraveni na řešení kybernetické bezpečnosti, měli by se výrobci a provozovatelé strojních zařízení již dnes touto problematikou zabývat. Je třeba získat potřebné vědomosti, stanovit příslušnosti a rozhraní a vypracovat konkrétní strategie. V ideálním případě tento proces zahájí vedení firem.