28 Listopad 2019

rockwellKybernetická bezpečnost je stále aktuálnější téma, ale širokou veřejností je často chybně chápáno. Média jsou zaplavena titulky informujícími o kybernetických hrozbách a malwaru, avšak rizika, která platí pro průmyslovou automatizaci, se zdaleka netěší takové pozornosti. Nedostatek prostoru v médiích nicméně neznamená, že bychom kybernetickou bezpečnost v průmyslu měli brát na lehkou váhu. Ačkoli se dříve jednalo pouze o drobné nepříjemnosti, v současnosti se setkáváme se závažnými, precizně zorganizovanými hrozbami, jejichž cílem je narušit ziskovost dané firmy.


Za posledních několik let došlo ke značnému počtu odhalení sítí hackerů a kybernetických útoků, které vedly k narušení chodu jednotlivých podniků. Názorným příkladem může být nedávný útok ransomwarem na společnost Norsk Hydro. Po pouhém týdnu společnost odhadovala své ztráty způsobené tímto incidentem na 40 milionů dolarů.
Ačkoli byl tento útok pro firmu devastující a musela se u mnoha procesů vrátit zpět k manuálnímu řízení, reagovala způsobem, jaký mnozí považují za zlatý standard: naprosto otevřeně sdělila, k čemu došlo, a odmítla hackerům zaplatit.
Odhaduje se, že za poslední rok podobné útoky vedly ke ztrátám v produkci po celém světě v hodnotě více než 1 miliardy dolarů. Ohrožena jsou všechna průmyslová odvětví... nikdo není imunní.
Nejčastějším malwarem byl doposud ransomware, který zašifruje data, avšak ani po zaplacení výkupného není zaručeno, že oběť obdrží dešifrovací klíč. Větší znepokojení však budí fakt, že v poslední době je jediným cílem některých malwarů zničení konkrétních prvků provozu, což může mít za následek obrovská bezpečnostní rizika, zejména v nebezpečném prostředí, kde by nesprávné přerušení provozu mohlo vést třeba i k explozi, a v důsledku toho ke ztrátám na životech či poškození vybavení.
Příkladem může být malware Triton, jenž cílí na bezpečnostní přístrojové systémy (SIS) v instalacích na těžbu ropy a zemního plynu a dalších důležitých infrastrukturách, například v jaderném průmyslu. Útokem na systémy pro nouzové zastavení může Triton způsobit katastrofickou škodu.


Výrobní průmysl je velmi konzervativní prostředí. Ke změnám technologií zde dochází velmi pomalu a firmy rády vytěží ze stávajícího majetku co nejvíce, než přejdou na nové technologie. Proto se některé z nich zdráhají zapojit své provozovny do širšího světa. To je však velmi naivní postoj. Pokud není závod připojený, ještě to neznamená, že je chráněný. Stuxnet, další nechvalně známý malware, dokázal napadnout provozovny, které nebyly připojené k internetu, a to jednoduše útokem jinými cestami – například externě nakaženými notebooky nebo USB flash disky.


Chybějící připojení má navíc pro podnik závažné důsledky. Společnost, která se domnívá, že si izolací svých systémů zajistí bezpečnost, se staví do velmi nekonkurenceschopné pozice a přichází o výhody integrovaných dodavatelských řetězců, pokročilé analytiky údržby a sdílení provozních informací v reálném čase, což jsou jen některé z mnoha výhod propojeného podniku (The Connected Enterprise). Pokud budete soutěžit s propojenými firmami – zůstanete na chvostu!


Izolace není ta správná cesta vpřed. Firmy by se namísto toho měly zaměřit na nové způsoby, jak se s riziky vypořádat. Prvním krokem je tato rizika pochopit a zamyslet se nad následujícími otázkami:
• Je vaše automatizační síť vhodná k danému účelu?
• Je vaše síť OT určena speciálně pro OT nebo je pouhou nadstavbou vaší sítě IT?
• Jak se vaše síť OT organicky vyvíjí přidáváním nových prvků?
• Disponujete nejlepší sítí ve třídě? A co je důležitější: víte, co je do vaší sítě aktuálně připojeno?
• Máte další podsítě, které sídlí pod ethernetovými systémy? Jak hluboký je váš „síťový řetězec"?
• Víte, jestli jsou vaše chytrá zařízení aktualizována na poslední opravenou verzi softwaru? Neopravený software je hlavní branou, kterou hackeři zneužívají!


„Ve výrobních podnicích se setkávám s rozdíly v přístupu a správě IT a OT infrastruktury. Zatímco IT většinou důsledně řídí pravidla a nutná zabezpečení, oblast OT často nemá žádná pravidla, definované odpovědnosti, a dokonce není ani dostatečně mapována dokumentována.", řekl Jan Gřunděl ze zastoupení Rockwell Automation pro střední a jihovýchodní Evropu. „Výjimkou není provoz operačních systémů v OT, které už nemají ani podporu ani dostupné aktualizace. Napadení takových sítí je vyloženě časovanou bombou. Častý argument, že IT a OT sítě jsou přece důsledně oddělené ztrácí jakoukoli váhu, když vidím prvního technika s laptopem připojeným k výrobnímu zařízení.", dodal Gřunděl. „Úplným extrémem jsou integrované gatewaye pro vzdálenou správu zařízení, o kterých v závodě nikdo neví. Obvykle je implementují dodavatelé strojů pro jejich vzdálenou správu a údržbu, a protože nejsou nikde dokumentovány, zapomene se na ně. Přes tato zařízení může kdokoli vzdáleně změnit například recepturu nebo rychlost otáčení motoru, aniž by překonával jakékoli heslo, a aniž by to v podniku někdo vůbec věděl. Dále je důležité si uvědomit, že v mnoha provozech může jen několikadenní výpadek narušit i celoroční ziskovost firmy. Jeden vadný výrobek může mít za následek stahování celé výrobní šarže.", uzavřel Gřunděl.
Rockwell Automation nabízí poradenský tým, který řeší většinu těchto otázek a může firmám pomoci realizovat skutečný potenciál optimalizované sítě OT. Spolupracujeme s nejlepšími firmami v této třídě, například s Cisco, která svými znalostmi z oblasti IT doplňuje naše odborné znalosti z OT.


Odolnost vůči kybernetickým útokům vyžaduje trvalý přístup, nikoli jednorázovou akci. Po první analýze musí firmy přistoupit k sestavení plánu, jak řešit čtyři odlišné fáze kybernetické bezpečnosti:
1. Před útokem
2. Během útoku
3. Po útoku
4. Ochrana před dalšími útoky


Prvním krokem je pochopit, jaký majetek skutečně máte, jak je možné jej ochránit i spolu s příslušnou sítí a jak zajistit, aby zůstal aktuální s ohledem na případné opravy a verze OS. Musíte si rovněž sestavit akční plán pro přidávání nového hardwaru, který zajistí, že tak nevznikne nezaznamenaná trasa pro hrozby.
Firmy by také měly mít sepsané postupy pro případ útoku, jejichž cílem je hlavně předejít panice. V této fázi je důležité předcházet nesprávným rozhodnutím, jelikož některá by dokonce mohla infekci napomáhat. Softwarové služby, včetně těch, které poskytuje společnost Rockwell Automation se svými partnery, slouží ke sledování sítí v reálném čase, detekci anomálií a spuštění vhodné reakce.
Metoda zotavení po útoku by měla být detailně popsána v plánu pro případy útoků a kolapsu (který tvoří zásadní prvek procesu ochrany proti kybernetickým hrozbám). S naší pomocí a zavedenými vhodnými zálohami není kompletní zotavení nereálnou představou. V návaznosti na takovou událost je rovněž vhodné zavést zabezpečení, která posílí vaše systémy a zabrání opakování podobných útoků.
Pokud víte, odkud mohou hrozby přijít, není to komplikované a často stačí jen zavést správné procesy. Je to podobné jako u pojištění auta: doufáte, že nenabouráte, ale pokud k tomu dojde, víte, že jste chráněni.
Ačkoli se o tom příliš nemluví, společnost Rockwell Automation již asistovala s kybernetickým zabezpečením mnoha průmyslovým firmám a pomohla dominantním zavedeným firmám zotavit se po neoprávněném vniknutí.
Poskytujeme služby strategického poradce v oblasti designu sítí a zajištění kybernetické bezpečnosti. Do této oblasti i nadále značně investujeme a navyšujeme své kapacity pro konzultace v oblasti kybernetické bezpečnosti, zejména v prostoru OT. V kybernetické bezpečnosti působí celá řada firem, ale většina z nich se soustředí na IT. Sítě IT a OT jsou však velmi odlišné, každá z nich má jiné požadavky i jedinečné plány na zmírnění rizik a zotavení, které jsou upravené na míru dané směsici instalací a zařízení.
Moderní nejlepší praxí v prostoru OT je širší využití virtualizační technologie pomocí velkých serverů s cílem snížení počtu různých inteligentních zařízení, z nichž každé může vyžadovat odlišné varianty OS a opravy. Díky centralizaci softwaru na jeden centrální server nebo průmyslové datové centrum lze všechny opravné aktualizace softwaru provádět a spravovat na jednom místě. Ruku v ruce s tím jdou naše technologie, jako je platforma ThinManager™ snižující počet zařízení pro komunikaci s člověkem na stroji, z nichž každé by jinak vyžadovalo opravy.

Automatická optimalizace vybavení
Velkou výzvou současnosti je snaha firem snižovat investovaný kapitál, což je velmi běžná finanční metrika. Jednoduše nechtějí, aby jim peníze ležely ladem.
Velká část z nich se často utratí za skladování náhradních dílů napříč výrobními závody. Často se setkáváme s miliony dolarů vloženými do náhradních dílů, které jsou pro jistotu připravené na okamžitou výměnu. Takový obsáhlý inventář však stojí peníze, a právě to se snaží společnosti zredukovat. Jednoduše nám tím firmy chtějí sdělit, že si přejí mít nachystaný inventář... ale nechtějí jej kupovat.
Na tento problém se ještě nabaluje riziko zastarávání. Kvůli rychle se měnícím technologiím mohou produkty předčasně zastarávat a v důsledku toho se budou hůře vyrovnávat se současnými požadavky a trendy ve výrobě.
Společnost Rockwell Automation proto nabízí řešení, které firmám pomůže převzít nad zastaráváním kontrolu a snižovat jeho rizika. V prvním kroku provedeme objektivní hodnocení instalované základny (IBE), které nám pomůže zhodnotit množství inventáře ve skladištích. To zahrnuje i zařízení třetích stran. Po IBE provedeme analýzu životního cyklu veškerého vybavení, abychom mohli zákazníka informovat o aktuálním stavu jeho vybavení. Instalovanou základnu potom provážeme odkazy s inventářem, což zákazníkovi umožní optimalizaci zásob.


Tento typ hodnocení je přínosný zejména pro velké globální společnosti (Fortune 500) s několika provozovnami, které často mají duplicitní inventář na různých místech. Takový překryv navyšuje množství peněz, které leží ladem. Byli byste překvapeni, kolik společností nezná svou instalovanou základnu zařízení!
Jiným přístupem je naše smlouva o správě náhradních dílů (PMA), v rámci které, zákazníkům dodáváme inventář potřebný v provozovně, aniž by jej museli kupovat. Jedná se v zásadě o nájemní smlouvu krytou poplatkem za servis. V rámci tohoto přístupu nemusí zákazník vydávat kapitál – platí pouze roční poplatek. Smlouva nás rovněž zavazuje, že budeme zákazníkovi neustále upravovat inventář v závislosti na instalované základně a aktuálním vývoji technologií. V rámci tohoto programu rovněž pomáháme společnostem zvládat rizika, která souvisí s modernizací na schopnější automatizační hardware.
Zásadním prvkem je zde viditelnost dat. V rámci konceptu The Connected Enterprise a digitální transformace můžeme zákazníkům poskytnout přístup k inventáři po celém světě, kde uvidí, co vlastní, co pronajímají, jaká je jejich instalovaná základna apod. To společnostem pomáhá optimalizovat majetek na lokální i globální úrovni.
A hlavně nikoho nenutíme, aby si kupoval nové vybavení, když ho nepotřebuje. Zákazníkům pomáháme opravit automatizační vybavení, čímž typicky dosáhneme úspor 30–40 %.