Po deseti letech, kdy se společnosti po celém světě snaží vylepšit své fungování s pomocí digitální transformace, může znít slovo digitalizace poněkud oposlouchaně. Digitální transformace ale znamená flexibilitu, lepší odezvu, schopnost softwarových řešení optimalizovat a modernizovat procesy a poskytnout nové způsoby, jak pracovat. Horizonty digitalizace se rozšiřují, a proto je potřeba s tímto tématem dále pracovat. V současné době navíc vidíme změny, které digitalizace formou Průmyslu 4.0 přinese do oblasti provozu (OT).
Sbližování tradičního IT a OT bude ale pokračovat a my můžeme být svědky kulturních neshod mezi IT a OT profesionály. Posun k větší digitalizaci znamená, že si IT jako prioritu klade větší aktivity při hledání nových způsobů, jak chránit a užívat data. Pro OT jsou ale zásadní faktory dostupnost, kontinuita a spolehlivost: pro kritické procesy mohou i krátké přestávky přinášet nákladné (a někdy i nebezpečné) následky. Hlavním úkolem tak bude nalezení shody mezi agilitou a spolehlivostí.
Nalezení takové shody je určitě možné, ale je to, jako když vytváříte návrh letadla. Zatímco se na první pohled zdá, že pro letadla budou zásadní stabilita a spolehlivost, inženýři již delší dobu zkoumají situace, kde může být výhodou přesný opak. Stabilnější letadlo může znamenat bezpečnější letadlo, ale také letadlo, se kterým se hůře manipuluje – a to je hlavně pro některá letadla, jako třeba vojenská, skutečný problém.
S tím, jak Průmysl 4.0 sbližuje IT a OT, bude zapotřebí, aby profesionálové z obou oborů hledali nové cesty, jak si lépe rozumět a tím pádem, jak porozumět celému systému a zajistit to potřebné pro oba světy – agilitu a stabilitu. IT a OT mají jednu společnou věc, a to jsou data.
Jednou z nejpalčivějších otázek pro budoucnost je bezpečnost. Na pozadí propojování IT a OT stojí snaha uchopit OT skrze data, jako to děláme v mnoha jiných oblastech. Tím pro oblast OT přinášíme výhody softwarových řešení – rychlost, agilitu, vzdálenou kontrolu – a také nové systémové a procesní schopnosti.
Znamená to ale také, že do světa OT přinášíme rizika spojená se softwarem. Je důležité si uvědomit, že každý benefit s sebou většinou přináší nějaké následky, a všichni si tak musí být vědomi toho, že digitalizace s sebou přinese nová a větší rizika. Pokud se dostatečně nebudeme zabývat řízením, jsou kybernetické útoky na výrobní linky, infrastrukturu nebo elektrické a distribuční sítě nevyhnutelné.
Existuje několik reálných příkladů kybernetických útoků na provoz. V roce 2013 byl cílem americký řetězec Target. Napadení provedené prostřednictvím vzdáleného přístupu k HVAC systému upozornilo na nebezpečí kybernetické bezpečnosti v dodavatelských řetězcích. Loni jsme byli svědky několika útoků na operační systémy v továrnách a vodárenských společnostech (např. Oldsmar, Florida v USA). Udály se také další útoky (např. ransomware), které vedly k uzavření plynovodu a následnému nedostatku plynu ve východních státech USA.
Jak je z těchto příkladů vidět, IT a OT jsou úzce provázané, i když si to třeba inženýři v jednotlivých oblastech zatím neuvědomují. A jak se tyto dvě infrastruktury budou nadále přibližovat, možnost takových útoků bude narůstat. A proto potřebujeme novou vizi kybernetické bezpečnosti, která bude fungovat ve virtuálním i reálném světě a pokryje jak potřebu stability, tak i agility.
Pro technologické problémy hledáme vždy nejdříve technologické řešení. Samozřejmě existují bezpečnostní nástroje a systémy, které známe, jako jsou firewall a monitorovací systémy pro OT. Technologie ale sama nestačí. Nabízí nám nástroje, které ale musí být správně aplikovány a užívány odborníky v procesu, který kybernetické bezpečnosti rozumí.
A to je důvod, proč by kybernetická bezpečnost OT neměla záviset pouze na technologiích. Aplikace technologií, které vyřeší problémy v oblasti OT, bude postupná a týmy, které byly dříve samostatné, budou muset daleko více spolupracovat. První krok bude tedy o lidech. Bude zapotřebí specifické vyškolení různých skupin zaměstnanců, aby se dosáhlo společného porozumění, zavedl se jazyk, který bude všem srozumitelný, a nastavila se metodika založená na fungujících příkladech. Poté bude možná diskuse o těchto nových hrozbách a řešeních.
Druhým krokem bude nutnost zjistit, jaké změny procesu budou potřeba. Systémy řízení, monitorování a kontroly budou pravděpodobně v IT a OT velmi rozdílné – budou shromažďovat různá data, využívat jiné metriky a následovat jiné plány. Ze zkušeností víme, že reakce na kybernetický útok musí být soudržná, aby byla efektivní, a to vyžaduje společné plánování. A je potřeba, aby to zahrnovalo i partnery a dodavatele: unifikované přihlašovací postupy, standardy pro přístup a další organizační pravidla.
A zde se dostáváme k třetímu kroku. Je důležité provést audit celé architektury a zařízení, rozumět tomu, co vše bude do sítě společnosti zahrnuto, a ověřit, že skutečná situace odpovídá očekáváním. S jasnou představou o budoucí architektuře pak můžeme aplikovat vhodné autorizační a hraniční zabezpečení. Zařízení by také měla být pořizována od dodavatelů, kteří reflektují bezpečnostní standardy specifické pro konkrétní oblast, jako je například IEC 62443 pro systémy průmyslové kontroly.
Agilitu a stabilitu budou různé organizace integrovat svým vlastním způsobem. Spojení, která tato integrace vytvoří, budou ale vždy vyžadovat kompletní informovanost o možném místě útoku. Pokud tuto oblast budeme dobře řídit, může Průmysl 4.0 nabídnout jak větší bezpečnost, tak také flexibilitu.