Jak chránit svá aktiva? Začněte od začátku

Praha  10. ledna 2022 

 „Způsob, jakým přemýšlíme o kybernetické bezpečnosti, zahrnuje celý proces útoku,“ řekla Angela Rapko, regionální viceprezidentka služeb životního cyklu ve společnosti Rockwell Automation, v úvodu mediálního brífinku na veletrhu Automation Fair na téma kybernetické bezpečnosti. „Musíte na něj myslet předtím, během něj i po něm.“

Nov 10, 2021K Angele Rapko se připojila také Shoshana Wodzisz, manažerka produktové bezpečnosti ve společnosti Rockwell Automation, a Ted Haschke, manažer rozvoje ve společnosti TÜV Rhineland. Probrali zde nejen hodnotu kybernetické bezpečnosti a certifikací třetí stranou, ale také podmínky, které v poslední době vedly k přechodu na digitalizaci. Angela Rapko uvedla, že jen za poslední rok zaznamenala jedna třetina průmyslových řídicích systémů škodlivou událost. Průmyslové řídicí systémy jsou cílem, protože řídí mnoho aktiv. Přitom mnohé z nich nebyly mnoho let udržovány.

V průmyslu aktuálně dochází ke sbližování informačních technologií (IT) a provozních technologií (PT) a obavy o kybernetickou bezpečnost jen zvětšily propast mezi nimi. IT již mnoho let kybernetickou bezpečnost výrazně řeší. „Provozní technologie jsou úplně jiný svět,“ tvrdí Angela Rapko. „Osvědčené postupy kybernetické bezpečnosti jsou u provozních technologií velmi odlišné od těch v IT. Neuplatňují se stejné nástroje, nepoužívají se normy.“

Standardy a certifikace

Naštěstí nějaké normy existují, a Shoshana Wodzisz jim chvíli věnovala. Mezi nejdůležitější patří norma Mezinárodní elektrotechnické komise (IEC) 62443 pro provozní technologie v průmyslové a kritické infrastruktuře. Shoshana Wodzisz se domnívá, že tyto normy jsou zásadní pro rozvoj postupů v oblasti kybernetické bezpečnosti v průmyslu, protože poskytují společný rámec.

Tato norma obsahuje různé části pro prodejce, systémové integrátory a vlastníky aktiv nebo koncové uživatele. Zabývá se tím, jaké technické bezpečnostní kontroly je třeba zavést do produktů nebo řešení, jako jsou např. správa hesel, digitálně podepsaný firmware a vedení protokolů auditu. Další důležitý aspekt požadavků normy řeší životní cyklus vývoje zabezpečení, nebo procesy vývoje zabezpečení. „To popisuje, jak vyvinout produkt, jak navrhnout řešení a zajistit, aby to, co děláte, bylo vybudováno od základů. Nemůžete kybernetickou bezpečnost přidat až na konci,“ říká Shoshana Wodzisz.

Ted Haschke hovořil o hodnotě certifikací prováděných třetími stranami pro kybernetickou bezpečnost, které provádějí společnosti jako TÜV Rhineland. „Akreditované certifikace třetí stranou, které vydáváme, dávají těmto certifikátům stabilitu,“ řekl Haschke. Společnosti jako Rockwell Automation každoročně podstupují audit, aby bylo zajištěno, že dodržují správné procesy a testovací postupy. TÜV Rhineland poskytuje také certifikace kybernetické bezpečnosti na produkty i řešení. Dosažení certifikace není snadné, řekla Shoshana Wodzisz, a stále více je to něco, na co se zákazníci v průmyslu ptají. Normy požadují, aby společnosti používaly principy z praxe, správné metodologie zabezpečení a testování. Musí rozumět a identifikovat, jaké hrozby pro jejich produkty nebo řešení existují, aby tato slabá místa řádně ošetřily. Certifikace pak slouží k ověření splnění požadavků norem.

Normy poskytují určité vodítko, ale mnoho společností se stále topí v tom, kde a jak začít. Haschke zjistil, že největší slabinou v úsilí společností o kybernetickou bezpečnost je otázka, jak správně posoudit rizika a přesně určit, jaká by měla být použitelná úroveň zabezpečení pro jejich produkty nebo systémy. Angela Rapko zopakovala, že největší výzvu spatřuje v získání přesné inventury aktiv, aby společnosti porozuměly svým rizikům.

Strategie povědomí o rizicích, opakovatelné a adaptivní strategie

Aby pomohla společnostem začít, poskytla Angela Rapko rychlý, ale podrobný nástin minimálních kroků potřebných k vytvoření programu kybernetické bezpečnosti, včetně tří úrovní strategie. Nejprve by společnosti měly přijmout strategii povědomí o kybernetických rizicích, která představují naprosté minimum, včetně základní úrovně pochopení rizik společnosti a minimální úrovně kontrol. „To pro případ, že máte omezený kapitál nebo omezené prostředky, které můžete zpočátku utratit, ale chcete alespoň začít,“ řekla Angela Rapko.

Dalším krokem je opakovatelná kybernetická strategie, která zahrnuje komplexnější stanovení norem a postupů v celé organizaci. „Většina programů nebo příležitostí v oblasti kybernetické bezpečnosti je skutečně řízena shora dolů napříč organizací,“ řekla Rapko. Vedení společností se snaží spíše o konzistenci mezi jednotlivými závody než o strategie jednotlivých závodů. V této fázi potřebují společnosti více investic do modernizace a aktualizace sítí a zajištění toho, aby byla zmírněna rizika u nejvíce ohrožených aktiv.

Poslední fází je adaptivní kybernetická strategie. „Zde nejen posoudíte a zmírníte své riziko, ale zavedete také kontroly řízení a monitorování hygieny kybernetické bezpečnosti,“ řekla Angela Rapko. Tento krok také zahrnuje vyhodnocení schopnosti vašich pracovníků zvládnout operace kybernetické bezpečnosti interně.

Nové trendy v oblasti kybernetické bezpečnosti

Pandemie COVID-19 zvýšila potřebu vzdáleného přístupu a odhalila další obavy ohledně kybernetické bezpečnosti. Nejen, že společnosti rozšiřují možnosti vzdáleného přístupu, ale mnoho společností také vyhodnocuje řešení, aby zajistily, že správní lidé budou mít přístup ke správné infrastruktuře, řekla Angela Rapko. Zájem o normu 62443 a certifikací třetí stranou se projevil nejprve v ropném a plynárenském průmyslu následovaném farmacií, nicméně otázky ke kybernetické bezpečnosti si začíná klást stále více průmyslových odvětví, řekla Shoshana Wodzisz. „Zjišťujeme, že zájem se přesouvá i do odvětví potravin a nápojů,“ dodala.

„Bezpečnost je zásadní a v dnešní době se bezpečnost a zabezpečení stále více přibližují, přičemž výsledkem je funkční bezpečnost a bezpečnost produktů,“ řekla. „Jsme svědky sbližování těchto dvou aspektů, protože jsou na sobě tolik závislé.“

Vzhledem k tomu, že rizika kybernetické bezpečnosti pro průmysl stále rostou, musí výrobci rozumět normám a následně i svým vlastním rizikům. Se správnými nástroji, postupy a partnery mohou společnosti naléhavou potřebu řešení kybernetické bezpečnosti zvládnout.

O společnosti Rockwell Automation

Společnost Rockwell Automation Inc. (NYSE: ROK), je globálním lídrem v oblasti průmyslové automatizace a digitální transformace. Propojujeme představivost lidí s potenciálem technologií, abychom rozšířili lidské možnosti a podpořili tak produktivitu a udržitelnost světa. Společnost Rockwell Automation sídlí v Milwaukee v americkém státě Wisconsin a zaměstnává okolo 24 000 lidí, kteří řeší problémy a starají se o zákazníky ve více než 100 zemích světa. Další informace o tom, jak přivádíme koncept Connected Enterprise k životu napříč průmyslovými podniky, najdete na webu www.rockwellautomation.com.

Marcela Vylitová