Novodobý průmysl: jak jej zabezpečit a využít internet věcí naplno

Čím více připojených zařízení, tím větší riziko

S pojmem Průmysl 4.0 přišlo spojení trendů a technologií, které přetvářejí způsob výroby a přinášejí revoluci ve fungování výrobních podniků. Spadají sem nejen průmyslové řídicí systémy a IoT zařízení, ale i samoučící se stroje, robotika, umělá inteligence a analýza (tzv. big data).  

Bohužel právě tento pokrok v propojování zařízení, služeb a systémů vytváří nové mezery a bezpečnostní rizika. Ohrožena jsou všechna zařízení či stroje, protože útočníci se nezaměřují pouze na kritické centrální systémy, ale často i na malá bezvýznamná zařízení. Skrze ně se útočníci mohou dostat dále až ke kompromitaci větších zařízení a systémů. Každé připojené zařízení tak může představovat riziko. 

Průmyslové firmy již mají své zkušenosti

Že se nejedná pouze o plané poplašné zprávy dokládají příklady z nedávné minulosti. Terčem se stalo například náchodské družstvo Sněžka či pobočky nadnárodní společnosti Mölnlycke Health Care v Karviné a Havířově. Ve světě jmenujme například firmy ASCO (belgický výrobce leteckých komponent), Honda, Nissan a Renault (automobilky), TSMC (tchajwanský výrobce polovodičů a tištěných spojů) nebo Hayward Tyler (britský výrobce elektrických motorů) a seznam by mohl být mnohem delší. 

Nové bezpečnostní výzvy Průmyslu 4.0

Před příchodem Průmyslu 4.0 bylo smyslem kybernetické bezpečnosti chránit důležité informační systémy, zpravidla privátní počítačovou síť jako celek. Hlavní nástroje boje proti útočníkům jsou firewally, ochrana proti malwaru a IDS systémy. Tento přístup je ale každým dnem zastaralejší, zejména v průmyslovém kontextu. Smyslem Průmyslu 4.0 je totiž stírat hranice mezi digitálním a fyzickým světem. Integrovaná a distribuovaná povaha Průmyslu 4.0 tedy přináší nové bezpečnostní výzvy: 

Masové sdílení dat 

S Průmyslem 4.0 dochází ke sdílení dat a duševního vlastnictví napříč dodavatelskými řetězci a všemi zúčastněnými stranami. Systémy jsou integrovány mezi sebou, což vyžaduje větší rozsah zabezpečení.

Více bodů průniku 

Jelikož všechny jmenované systémy zahrnují řadu zúčastněných stran, výrazně se zvyšuje počet bodů průniku – tedy možných zranitelných míst. Čím více bodů je třeba pokrýt, tím těžší (a dražší) je zabezpečení celého systému.     

Sjednocování informačních a operačních technologií 

Hranice hardwaru a softwaru se překrývají. K zabezpečení systémů Průmyslu 4.0 je důležité vzít v úvahu jak digitální, tak fyzické komponenty. Dřívější, již zmíněné a používané metody (anti-malware, IDS a firewall) tu mohou zaostávat.     

Hra na kočku a myš 

Od počátku internetu byly kybernetičtí zločinci o krok napřed před těmi, kteří bezpečnost chránili. Vzhledem k tomu, že současné zabezpečované systémy čítají někdy i tisíce různých zařízení a další sítě vzájemně spolupracujících, možnost úspěšného napadení se exponenciálně zvyšuje. Útok může cílit pouze na jedno konkrétní zařízení z tisíce možných a nikdo dopředu neví na které.

Některé systémy zůstávají bez jakékoliv ochrany

Aby tedy útočník mohl do vybrané výrobní společnosti proniknout, často mu stačí překonat stávající tradiční technologie, na které je dobře naučen již z korporátní sféry. Není neobvyklé, že v rozsáhlém množství připojených zařízení a systémů jsou některé ponechány zcela bez ochrany, prostě se na ně zapomnělo. 

Kde je nejbezpečnější místo?

Dobré je také zamyslet se nad tím, jak a odkud jsou technologie Průmyslu 4.0 ovládány – kde dochází k setkání jejich systémů a infrastruktury. Tradiční pojetí on-premise se v dnešní době přesouvá do cloudu, což může u kritických výrobních systémů znamenat další zvýšené riziko – třeba jen z důvodu, že některé části nikdy „připojeny“ nebyly a ani nemají být (typicky SCADA). Pokud je tím společným bodem i nadále interní infrastruktura a systémy, je nutné volit taková řešení zabezpečení, která dokáží monitorovat různé typy zařízení a hlídat jejich stavy a vzájemnou komunikaci. 

Kolik stojí čekání na hackery?

Kybernetické bezpečnosti se ve výrobních a průmyslových řídicích systémech přiřadila vysoká priorita. Hodnocení rizik, identifikace neustále se měnícího prostředí hrozeb a zavádění preventivních opatření je ale pro podniky velmi nákladné. Vynaložené prostředky proaktivního přístupu se těžko obhajují, zvláště v situaci, kdy k žádnému útoku nedojde. Je ale třeba mít na paměti, že opačný, reaktivní přístup může být ve výsledku mnohem dražší, a to právě vzhledem k povaze napadených výrobních systémů. Při poruše stroje se může zranit jeho obsluha, zničit výrobní zařízení, může být odcizeno výrobní tajemství podniku. K negativním důsledkům můžeme připočíst i poškozenou reputaci společnosti nebo soudní spory. To vše jsou dnes reálné scénáře. 

Co můžeme a musíme udělat

Zabezpečení všech zařízení a systémů musí být stejně rychlé jako proces jejich digitalizace. Zmíněná rizika ale nesmí vést k tomu, že malé a střední podniky budou ze strachu o svou bezpečnost digitální transformaci oddalovat. Úspěšné budou ty podniky, které identifikují slabá místa a nasadí řešení, jež umí zabezpečit výše vyjmenované oblasti. 

V praxi se jedná především tři oblasti: O ochranu sdílení dat mezi zařízeními a systémy (včetně dodavatelů a odběratelů), tedy především DLP systémy v kombinaci s pokročilými CMS. Druhým krokem je zabezpečení nejen softwaru, ale i hardwarových prvků (například pomocí ARM TrustZone, Intel TPM). A za třetí: U velkých firem je nezbytné volit taková řešení, která dovedou podchytit rozlehlost a rozmanitost všech zařízení a systémů napříč celým odvětvím, například v podobě nových a stále se rozvíjejících bezpečnostních systémů (pokročilé IDS a EDR).