Průmyslové podniky stále častěji digitalizují svoji výrobu a stávají se tak mnohem lákavějším cílem pro hackery. Každá společnost, která investuje do kybernetické bezpečnosti, se tím nejen chrání, ale dokonce může přicházet s novými obchodními modely.
Zveřejnění fotografie z dovolené na Instagramu, kontrola bankovního účtu nebo rezervace letenky: digitálním životem žijeme my všichni. Někteří z nás by si velmi dobře dokázali představit, že stráví několik dní sami a bez partnerů, ovšem rozhodně ne bez chytrých telefonů. V práci už vůbec nepřemýšlíme nad informačními technologiemi kolem nás – firma by asi brzy čelila nepříjemným problémům, pokud by nepoužívala software pro personální řízení nebo videokonference s kolegy. Až potud je vše v pořádku. Ale jak to může vypadat v továrnách? Stačí na „továrnu“ jen pomyslet a na mysli nám vytane představa hlučných strojů, špíny a mastnoty – nikoli bitů a bajtů. Pokud se zamyslíme pečlivěji, zjistíme, že informační technologie rychle pronikají i do výrobních provozů. Odborníci tomu jednoduše říkají konvergence informačních (IT) a provozních technologií (OT – operational technology). Tato konverze se už v mnoha ohledech vyplácí: například virtuální model výrobku – digitální dvojče – pomáhá plánovat a sledovat životní cyklus produktu. Transformace rovněž usnadňuje tvorbu nových obchodních modelů, například těch, kde zákazníci již nekupují zařízení, ale platí pouze za dobu jeho používání. Celý tento proces vyžaduje data, velké objemy dat.
Je tu však jeden problém: S tím, jak se informační a provozní technologie sbližují, musí se v provozu stále častěji řešit problém, který IT odborníci znají už dlouho – hrozby kybernetických útoků. Slabá místa v obraně vznikají kvůli propojenosti jednotlivých strojů a internetu. Hackeři se mohou těmito nechráněnými místy proplížit a způsobit ničivé škody, a dokonce narušit náš běžný život, pokud se něco opravdu zvrtne. Společnost Colonial Pipeline, která provozuje největší vedení palivového potrubí ve Spojených státech, musela takovému zničujícímu útoku čelit v květnu 2021. Nakonec zaplatila miliony dolarů jako výkupné, aby mohla obnovit dodávky benzinu na čerpací stanice. Zprávy o úspěšných útocích a kybernetických rizicích se v médiích objevují každou chvíli. K dalšímu velkému útoku došlo v roce 2021, kdy se hackeři zaměřili na firmu SolarWinds a Log4j, což je malý software používaný v serverových Java aplikacích.
Podobné zprávy v médiích jsou však jen špičkou ledovce. Hackeři napadají společnosti po celém světě den co den, jejich oblíbeným nástrojem je ransomware. Mnohé z těchto firem zaplatí vyděračům výkupné jen proto, aby mohly obnovit provoz.
Společnost Colonial Pipeline musela v květnu 2021 kvůli útoku hackerů zastavil provoz, což vedlo k výpadku v dodávkách benzinu v některých částech USA.
Když provozní technologie přišly o svou nevinnost
Franz Köbinger, expert na kybernetickou bezpečnost v Siemens Digital Industries, si přesně pamatuje, kdy provozní technologie ztratily svou „nevinnost“: „Bylo to v roce 2010 a tento útok se po celém světě ‚proslavil‘ jako ,incident Stuxnet‘. Bylo to poprvé, kdy se hackeři záměrně zaměřili na provozní technologie. Od té doby se kybernetické útoky na průmyslová zařízení a automatizační systémy rozjely naplno.“
Společnost Siemens se snaží útokům bránit, vědoma si své role výrobce průmyslových automatizačních systémů. Proto se kybernetická bezpečnost stala ústředním prvkem činnosti společnosti. Do této oblasti spadá mj. i iniciativa Siemens Product & Solution Security Initiative a společné oddělení kybernetické bezpečnosti CYS. „Návrat do analogového světa, tedy do doby, kdy byly výrobní závody odříznuty od okolního světa, již není možný,“ říká F. Köbinger. Vyšší efektivita vyplývající z digitalizace výroby je zkrátka příliš výhodná na to, aby se od digitalizace upustilo. Práce s digitálními dvojčaty a umělou inteligencí vyžaduje přenos obrovského množství dat v reálném čase, a tedy i dostatečně výkonnou síť. Automatizační systémy a řídicí jednotky jsou proto již řadu let součástí internetu věcí.
Dvě třetiny nákladů na software
Rychlost změn dokládá příklad ze železničního průmyslu: Před deseti lety tvořil software pouhých 10 % nákladů na zabezpečovací zařízení. Dnes je to více než 30 % a za několik dalších let se tento podíl zvýší na 65 %. Celý proces digitalizace se železničnímu průmyslu nesmírně vyplatí. Jako příklad lze uvést digitalizaci celé železniční sítě v Norsku, kterou Siemens dopracuje do roku 2034. Instaluje zde digitální signalizační technologii na zhruba 4 200 kilometrech tratí a 375 stanicích, což zvýší bezpečnost, přesnost a kapacitu železničního systému.
Bane NOR, norský státní úřad odpovědný za vnitrostátní železniční infrastrukturu, uzavřel se společností Siemens smlouvu na modernizaci zabezpečovacího zařízení celé železniční sítě v zemi na Evropský vlakový zabezpečovací systém (ETCS).
Vzhledem k zásadní a významné povaze digitální transformace musí být kybernetická bezpečnost schopna zajistit nepřetržitou dostupnost a integritu systémů. Raději ani nebudeme myslet na to, co by se mohlo stát, pokud by byla výsledkem hackerského útoku na zabezpečovací zařízení srážka dvou vlaků.
Navzdory závažnosti těchto hrozeb se řada firem stále staví ke svým provozním technologiím lehkomyslně. Ve studii „Stav provozních technologií a kybernetické bezpečnosti“, kterou realizoval Fortinet, jenž dodává software pro informační bezpečnost ve Spojených státech, polovina respondentů připustila, že jejich stroje nejsou před kybernetickými útoky chráněny. Celkem 91 % respondentů si přeje, aby za bezpečnost strojů odpovídaly společně informační i provozní technologie. Tento přístup však používá pouze polovina firem.
Fortinet uvedl několik různých důvodů, které vedou k nedostatečnému zabezpečení provozních technologií. Jedním z nich je dlouhý životní cyklus výrobních zařízení, který může trvat desítky let. Takto dlouhé životní cykly komplikují snahy o ochranu, pokud je například potřeba připojit výrobní zařízení k internetu. Dalším důvodem je složitost a různorodost jednotlivých provozů. Tyto dva faktory ztěžují vybudování integrované kybernetické obranné linie. Nejpodstatnějším faktorem ze všech je však vysoký důraz kladený na dostupnost. Výroba by nikdy neměla být takzvaně ‚off-line‘, a to ani v případě, že se instalují bezpečnostní aktualizace. Proto mají společnosti tendenci tyto instalace dlouho odkládat. Přitom se však vystavují riziku hackerských útoků a možnostem odstávek, kterých se tolik obávají. Nicméně naplánovat si časové okno pro instalaci bezpečnostní záplaty, která spočívá v krátkém a systematickém vypnutí (pokud se ukáže, že je skutečně nutné), je rozhodně lepší než týdny trvající odstávka kvůli ransomwaru.
Častá volba samostatných řešení
„Velké společnosti, jako jsou například firmy kótované na německém indexu blue-chip akcií DAX, se v problematice dobře orientují a slouží jako vzor,“ uvádí Saman Farsian, vedoucí oddělení kybernetické bezpečnosti a ochrany provozních technologií ve společnosti Siemens. „Situace je však mnohem horší, pokud se podíváte na firmy mimo index DAX a jejich dodavatele. Malé podniky sice často chápou, co vše je v sázce, ale chybí jim know-how na posílení obranných linií před hackery,“ dodává S. Farsian. „Obvykle se spoléhají na samostatná řešení a chybí jim ucelená celofiremní bezpečnostní strategie – pokud ji vůbec mají,“ doplňuje.
Franze Köbingera a Samana Farsiana klienti nejčastěji volají až poté, co hackeři zahájí útok, nebo když si všimnou, že se nevyhnutelná katastrofa nebezpečně blíží. Tak tomu bylo i v jedné mlékárně, která se o kybernetickou bezpečnost vůbec nezajímala, protože měla za to, že pro hackery nemůže být nijak atraktivním cílem. Vše se ale změnilo poté, co byl její konkurent zasažen masivním útokem a musel zaplatit vysoké výkupné. Najednou se před specialisty firmy Siemens rozvinul červený koberec i rozpočet na zabezpečení. Výkupné musela zaplatit i jedna evropská automobilka. Společnost Siemens původně předložila nabídku na automatizaci výrobního závodu a zvýšení kybernetické bezpečnosti. Firma však nabídku nejprve odmítla. Situace se ovšem změnila o několik měsíců později, kdy kybernetický útok vyřadil výrobní závod z provozu. S. Farsian přirovnává kybernetickou bezpečnost k pojistné smlouvě: Stojí peníze a zpočátku nepřináší žádné výhody. Ale když se něco stane, nutně ji potřebujeme.
Toto přirovnání nemusí být tak úplně pravdivé. Investice do kybernetické bezpečnosti se totiž vyplatí, i když v dané chvíli žádný útok neprobíhá. V odvětvích, jako jsou automobilový průmysl nebo kritická infrastruktura, nemohou dodavatelé zakázky získat, pokud nejsou schopni prokázat, že splňují určité standardy nebo mají konkrétní certifikace. Kybernetická bezpečnost také zvyšuje konkurenceschopnost, a dokonce otevírá cestu pro zcela nové digitální obchodní modely.
Franz Köbinger říká, že jeho mise a poslání jeho kolegů jsou vlastně teprve na začátku: „Hackeři jsou stále lepší a lepší. Ke kybernetickým útokům využívají i nové technologie. Koncepce a bezpečnostní mechanismy v oblasti provozních technologií je proto třeba neustále zdokonalovat a aktualizovat.“
Více informací najdete zde.