S ochranou aktiv začněte od začátku

S ochranou aktiv začněte od začátku

„Způsob, jakým přemýšlíme o kybernetické bezpečnosti, zahrnuje celý proces útoku,“ řekla Angela Rapko, regionální viceprezidentka služeb životního cyklu ve společnosti Rockwell Automation, v úvodu mediálního brífinku na veletrhu Automation Fair na téma kybernetické bezpečnosti. „Musíte na něj myslet předtím, během něj i po něm.“ 

K Angele Rapko se připojila také Shoshana Wodzisz, manažerka produktové bezpečnosti ve společnosti Rockwell Automation, a Ted Haschke, manažer rozvoje ve společnosti TÜV Rhineland. Probrali zde nejen hodnotu kybernetické bezpečnosti a certifikací třetí stranou, ale také podmínky, které v poslední době vedly k přechodu na digitalizaci. Angela Rapko uvedla, že jen za poslední rok zaznamenala jedna třetina průmyslových řídicích systémů škodlivou událost. Průmyslové řídicí systémy jsou cílem, protože řídí mnoho aktiv. Přitom mnohé z nich nebyly mnoho let udržovány.

V průmyslu aktuálně dochází ke sbližování informačních technologií (IT) a provozních technologií (PT) a obavy o kybernetickou bezpečnost jen zvětšily propast mezi nimi. IT již mnoho let kybernetickou bezpečnost výrazně řeší. „Provozní technologie jsou úplně jiný svět,“ tvrdí Angela Rapko. „Osvědčené postupy kybernetické bezpečnosti jsou u provozních technologií velmi odlišné od těch v IT. Neuplatňují se stejné nástroje, nepoužívají se normy.“ 

Standardy a certifikace

Naštěstí nějaké normy existují, a Shoshana Wodzisz jim chvíli věnovala. Mezi nejdůležitější patří norma Mezinárodní elektrotechnické komise (IEC) 62443 pro provozní technologie v průmyslové a kritické infrastruktuře. Shoshana Wodzisz se domnívá, že tyto normy jsou zásadní pro rozvoj postupů v oblasti kybernetické bezpečnosti v průmyslu, protože poskytují společný rámec.

Tato norma obsahuje různé části pro prodejce, systémové integrátory a vlastníky aktiv nebo koncové uživatele. Zabývá se tím, jaké technické bezpečnostní kontroly je třeba zavést do produktů nebo řešení, jako jsou např. správa hesel, digitálně podepsaný firmware a vedení protokolů auditu. Další důležitý aspekt požadavků normy řeší životní cyklus vývoje zabezpečení, nebo procesy vývoje zabezpečení. „To popisuje, jak vyvinout produkt, jak navrhnout řešení a zajistit, aby to, co děláte, bylo vybudováno od základů. Nemůžete kybernetickou bezpečnost přidat až na konci,“ říká Shoshana Wodzisz.

Ted Haschke hovořil o hodnotě certifikací prováděných třetími stranami pro kybernetickou bezpečnost, které provádějí společnosti jako TÜV Rhineland. „Akreditované certifikace třetí stranou, které vydáváme, dávají těmto certifikátům stabilitu,“ řekl Haschke. Společnosti jako Rockwell Automation každoročně podstupují audit, aby bylo zajištěno, že dodržují správné procesy a testovací postupy. TÜV Rhineland poskytuje také certifikace kybernetické bezpečnosti na produkty i řešení. Dosažení certifikace není snadné, řekla Shoshana Wodzisz, a stále více je to něco, na co se zákazníci v průmyslu ptají. Normy požadují, aby společnosti používaly principy z praxe, správné metodologie zabezpečení a testování. Musí rozumět a identifikovat, jaké hrozby pro jejich produkty nebo řešení existují, aby tato slabá místa řádně ošetřily. Certifikace pak slouží k ověření splnění požadavků norem.

Normy poskytují určité vodítko, ale mnoho společností se stále topí v tom, kde a jak začít. Haschke zjistil, že největší slabinou v úsilí společností o kybernetickou bezpečnost je otázka, jak správně posoudit rizika a přesně určit, jaká by měla být použitelná úroveň zabezpečení pro jejich produkty nebo systémy. Angela Rapko zopakovala, že největší výzvu spatřuje v získání přesné inventury aktiv, aby společnosti porozuměly svým rizikům. 

Strategie povědomí o rizicích, opakovatelné a adaptivní strategie

Aby pomohla společnostem začít, poskytla Angela Rapko rychlý, ale podrobný nástin minimálních kroků potřebných k vytvoření programu kybernetické bezpečnosti, včetně tří úrovní strategie. Nejprve by společnosti měly přijmout strategii povědomí o kybernetických rizicích, která představují naprosté minimum, včetně základní úrovně pochopení rizik společnosti a minimální úrovně kontrol. „To pro případ, že máte omezený kapitál nebo omezené prostředky, které můžete zpočátku utratit, ale chcete alespoň začít," řekla Angela Rapko.

Dalším krokem je opakovatelná kybernetická strategie, která zahrnuje komplexnější stanovení norem a postupů v celé organizaci. „Většina programů nebo příležitostí v oblasti kybernetické bezpečnosti je skutečně řízena shora dolů napříč organizací,“ řekla Rapko. Vedení společností se snaží spíše o konzistenci mezi jednotlivými závody než o strategie jednotlivých závodů. V této fázi potřebují společnosti více investic do modernizace a aktualizace sítí a zajištění toho, aby byla zmírněna rizika u nejvíce ohrožených aktiv.

Poslední fází je adaptivní kybernetická strategie. „Zde nejen posoudíte a zmírníte své riziko, ale zavedete také kontroly řízení a monitorování hygieny kybernetické bezpečnosti,“ řekla Angela Rapko. Tento krok také zahrnuje vyhodnocení schopnosti vašich pracovníků zvládnout operace kybernetické bezpečnosti interně. 

Nové trendy v oblasti kybernetické bezpečnosti

Pandemie COVID-19 zvýšila potřebu vzdáleného přístupu a odhalila další obavy ohledně kybernetické bezpečnosti. Nejen, že společnosti rozšiřují možnosti vzdáleného přístupu, ale mnoho společností také vyhodnocuje řešení, aby zajistily, že správní lidé budou mít přístup ke správné infrastruktuře, řekla Angela Rapko. Zájem o normu 62443 a certifikací třetí stranou se projevil nejprve v ropném a plynárenském průmyslu následovaném farmacií, nicméně otázky ke kybernetické bezpečnosti si začíná klást stále více průmyslových odvětví, řekla Shoshana Wodzisz. „Zjišťujeme, že zájem se přesouvá i do odvětví potravin a nápojů,“ dodala.

„Bezpečnost je zásadní a v dnešní době se bezpečnost a zabezpečení stále více přibližují, přičemž výsledkem je funkční bezpečnost a bezpečnost produktů,“ řekla. „Jsme svědky sbližování těchto dvou aspektů, protože jsou na sobě tolik závislé." 

Vzhledem k tomu, že rizika kybernetické bezpečnosti pro průmysl stále rostou, musí výrobci rozumět normám a následně i svým vlastním rizikům. Se správnými nástroji, postupy a partnery mohou společnosti naléhavou potřebu řešení kybernetické bezpečnosti zvládnout.

Rockwell Automation

Tým Rockwell Automation se věnuje zefektivnění a ziskovosti výrobních procesů. Spolupracuje partnery, systémovými integrátory, výrobci strojů a zařízení, aby přinesli řešení, které bude nejvíce vyhovovat požadavkům trhu. Nabízí širokou škálu produktů a služeb, které pomohou při získání konkurenčních výhod na globálních trzích. Budoucnost se skrývá v propojení všech dílčích prvků v rámci celého podniku a k tomu má napomoct řešení Connected Enterprise.

www.rockwellautomation.com/cs_CZ