Průmyslová kybernetická bezpečnost dle NIS2 a nového českého Zákona o kybernetické bezpečnosti

Návrh nového českého Zákona o kybernetické bezpečnosti zahrnuje také zabezpečení průmyslových, řídicích a obdobných specifických technických aktiv, souhrnně známé pod pojmem OT. I když finální podoba nového zákona a souvisejících vyhlášek ještě není známá, pochopení této problematiky může být pro včasnou a správnou implementaci klíčové.

                      provozní technologie               kybernetická bezpečnost                              průmyslový řídicí systém               NIS2               Zákon o kybernetické bezpečnosti

Úvod

V kontextu rostoucích kybernetických hrozeb pro průmyslová prostředí a provozní technologie (Operational Technologies – OT) se stává kybernetická bezpečnost OT zásadním pilířem moderního zabezpečení průmyslových podniků. Nově aktualizovaná směrnice Evropské unie NIS2 a návrh nového českého zákona o kybernetické bezpečnosti a souvisejících vyhlášek (dále jen „nZKB“) stanovují ochranná opatření pro tyto technologie s cílem posílit bezpečnost a odolnost průmyslových podniků a infrastruktury vůči stávajícím i budoucím hrozbám.

Tento zvýšený důraz na bezpečnost OT technologií vyžaduje důkladné porozumění tématu k efektivní implementaci organizačních a technických opatření zajišťujících kybernetickou bezpečnost.

Tento článek se v první části zaměřuje na představení toho, co je to průmyslová kybernetická bezpečnost, co jsou to OT technologie, jaké jsou základní rozdíly mezi IT a OT, jakými standardy se řeší OT kybernetická bezpečnost, vztahem NIS2 a OT, tím, jak jsou OT systémy řešeny v § 28 z vyhlášky o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností, která je součástí návrhu nového českého zákona o kybernetické bezpečnosti. To vše s cílem předložit vhodný teoretický základ pro další část článku, která se bude zabývat implementačními kroky OT bezpečnosti do podniku.

Obr. 1: Dvě základní skupiny OT systémů

Provozní technologie

1.1 OT technologie
Provozní technologie (OT) zahrnují širokou škálu programovatelných systémů a zařízení, které interagují s fyzickým prostředím. Soubor OT technologií poté tvoří systémy, které zjišťují nebo přímo způsobují změny prostřednictvím monitorování a/nebo řízení zařízení, procesů a událostí1. Příkladem jsou průmyslové řídicí systémy, systémy automatizace budov, dopravní systémy, systémy kontroly fyzického přístupu, systémy kontroly fyzického prostředí, systémy monitorování prostředí a systémy měření fyzického prostředí [1]². Z tohoto popisu je patrné, že OT netvoří pouze průmyslové systémy, jak je veřejně známé, ale zahrnují celé další velké množiny systémů, které se dále dělí na další podmnožiny (viz Obr. 1 a 2).³ Představené základní dělení OT systémů vychází z autorových zkušeností a z predispozice, kdy základním smyslem OT technologií je řídit, monitorovat či vykonávat nějakou fyzickou činnost. Součástí množiny OT jsou tak systémy a zařízení které mají v rámci své činnosti jasný přesah do fyzického světa. [2]

OT systémy lze rozdělit na čtyři základní velké skupiny⁴, a to na průmyslové řídicí systémy (Industrial Control System – ICS), řídicí systémy (Control Systems – CS), kyber-fyzické systémy (Cyber-Physical System – CPS) a zařízení rozšířeného internetu věcí (Extended Internet of Things – XIoT).

Obr. 2: Vybrané množiny OT systémů

ICS systémy jsou stále pravděpodobně největší množinou OT systémů. Tyto systémy a jim přidružené OT technologie lze rozdělit do několika základních skupin dle jejich funkcionalit. ICS se dělí na systémy pro dispečerské řízení a sběr dat (SCADA – Supervisory Control and Data Acquisition), na distribuované řídicí systémy (Distributed Control System – DCS) a systémy bezpečnostní integrity (Safety Integrated System nebo také Safety Instrumented System⁵).

SCADA jsou pravděpodobně největší podmnožinou ICS systémů a stejně jako DCS a SIS se skládají z několika skupin vzájemně spolupracujících OT technologií. Do ICS množiny spadají také systémy pro řízení transportu (Transportation System – TS; např. systémy pro řízení vlakové dopravy) a systémy zaměřující se na kontrolu a monitorování fyzického prostředí (Physical Environment System – PES). U TS probíhá významný vývoj směrem k integrované bezpečnosti (např. řízení vlakové dopravy) a autonomii (např. automobilová doprava). Současně s tímto vývojem se vyvíjí také bezpečnostní standardizace. [3]

Další velkou množinou jsou samotné řídicí systémy (Control Systems), které se mohou využívat také pro jiné než čistě průmyslové účely. Pro představu jsou to systémy pro podporu komerční sféry a také systémy, které se začínají využívat v jednotlivých domácnostech. Do této skupiny patří systémy pro integrované řízení budov (Building Automation System – BAS nebo také Building Management System – BMS), které integrují různé systémy pod automatické centralizované řízení. Integrovanými systémy mohou být systémy pro řízení tepla a ventilace vzduchu (Heat, Ventilation, Air Conditioning – HVAC), řízení výroby a rozvodu elektrické energie (Building Energy Management System – BEMS), řízení osvětlení, systémy pro kontrolu fyzických přístupů v budovách (Physical Access Control System – PACS) a kamerové systémy (Closed-Circuit Television – CCTV).

Kyberfyzické systémy jsou systémy, v nichž jsou propojené výpočetní, komunikační a řídicí schopnosti IT s tradiční provozní infrastrukturou (OT). Operabilita těchto systémů závisí na propojenosti fyzické vrstvy (např. nosič elektrické energie) a vrstvy kybernetické (např. nosič dat a informací). Zjednodušeně lze říci, že se jedná o fyzické systémy, jež jsou řízené kyberneticky (pomocí softwaru). Vzhledem k vývoji v rámci průmyslu 4.0, autonomních vozidel a dalších CPS systémů (např. dronů) lze v blízké budoucnosti očekávat významný rozvoj této množiny.

Obr. 3: Rozdíly v bezpečnostních atributech mezi IT a OT

Zařízení rozšířeného internetu věcí (XIoT) označuje holistický termín, který zahrnuje všechna zařízení, jež jsou připojitelná k síti. Tato drobnější zařízení s jednodušším ovládacím systémem (oproti CPS, které jsou o poznání komplexnější) se používají v různých kontextech lidské společnosti. Významnou úlohu začínají hrát v průmyslu (Industrial Internet of Things – IIoT), kde se jedná o využití chytrých senzorů, aktuátorů a dalších chytrých zařízení (např. připojitelné brýle pro virtuální či rozšířenou realitu) za účelem zlepšení výrobních a průmyslových procesů. U zařízení IIoT lze často využívat výpočetní sílu a moderní analýzu v reálném čase za využití specifických dat, která produkují stroje v průmyslovém prostředí. Podniková alternativa – IoT (Enterprise Internet of Things – EIoT) obsahuje obdobná zařízení, jež jsou připojena k podnikovým sítím a zpravidla usnadňují zaměstnancům určité pracovní i nepracovní procesy (např. dálkově ovládané chytré kávovary) či rozšiřují možnosti pracovního prostředí (např. chytrá teplotní čidla). Samotná civilní IoT jsou taktéž zařízení, která jsou vybavena senzory, softwarem a dalšími technologiemi, které jim umožňují přenášet a přijímat data do a z jiných zařízení a systémů (dnes také hračky, chytré chůvičky apod.). V rámci celosvětové digitalizace počty všech XIoT zařízení dramaticky stoupají. Koncept navíc rozšiřuje tradiční IoT o začlenění dalších technologií a schopností. Kombinací IoT s umělou inteligencí (Artificial Intelligence – AI), strojovým učením (Machine Learning – ML) a velkými daty (Big Data) se v rámci XIoT objevují stále inteligentnější a efektivnější systémy.⁶

1.2 OT/IT divergence a konvergence
OT a IT mají nespočet rozdílných technologických a dalších znaků. Klíčový rozdíl mezi OT a IT je, že OT technologie se oproti technologiím IT zaměřují čistě na monitorování a řízení fyzických procesů v reálném čase. Tento fakt logicky vyvozuje podstatné rozdíly ve způsobu, jakým jsou OT technologie oproti technologiím IT řízeny a provozovány. Provoz OT technologií tak oproti technologiím IT vyžaduje velmi často obsluhu operátorem v reálném čase, a to často přímo k vykonávání a monitorování základních funkcionalit. [2]

IT technologie, data, procesy a lidské zdroje, jsou-li spojeny v logický systémový celek, tvoří informační systém (Information System – IS). Oproti tomu spojení OT technologií, dat, procesů a lidských zdrojů tvoří základ průmyslových automatizačních a řídicí systémů (Industrial Automation Control System – IACS). Tento pojem, pocházející z řady norem IEC 62443, značí holistický přístup k řešení kybernetické bezpečnosti a přímo obohacuje pojem ICS o lidské zdroje a s nimi související procesy. [2]

Z hlediska priority elementárních bezpečnostních atributů, tedy důvěrnosti, integrity a dostupnosti, je mezi OT a IT významný rozdíl v jednotlivé váze těchto atributů. Na rozdíl od IT, kde je řešena především důvěrnost dat např. z hlediska důležitosti pro organizaci či citlivosti pro uživatele, u OT záleží z podstaty jejich designu především na atributu dostupnosti. OT sítě tak nemohou často tolerovat ani výpadek v řádu milisekund. [4] Jakýkoli, byť sebemenší výpadek OT technologií s dopadem na dostupnost provozu, je velmi nežádoucí, neboť může stát podniky řádově milióny korun, či může dojít dokonce k ohrožení zdraví lidí a poškození životního prostředí. Tento rozdíl platí pro většinu systémů na bázi IT, ale i zde lze nalézt podstatné výjimky, např. telefonní nebo bankovní systémy, které také kriticky vyžadují vysokou dostupnost. [5]

Tou nejzásadnější prioritou u OT technologií je však bezpochyby bezpečnost obsluhy a dalších lidí (např. obyvatel v okolí elektrárny, cestujících, zaměstnanců, účastníků vodního provozu, pacientů v lékařských provozech apod.), bezpečnost technologického procesu a bezpečnost životního prostředí (viz Obr. 3). Toto je nejzásadnější rozdíl oproti IT, kde k přímému ohrožení života během několika vteřinových technologických výpadků ve významně většině nedochází. [2]

Významný rozdíl v prioritách základních bezpečnostních atributů přímo značí rozdíl v přístupu řešení kybernetické bezpečnosti. Zatímco IT bezpečnost se řeší primárně sérií standardů ISO 27001, OT bezpečnost je v organizacích obvykle zajištěna využitím některých mezinárodních metodických rámců pro řízení kybernetické bezpečnosti. Obecně platnými rámci jsou např. řady norem IEC 62443, řada NIST (konkrétně NIST SP 800-82 „Guide to Industrial Control

Systems (ICS) Security“ je hojně používaná pro ochranu různých OT systémů [6]), francouzská ANSSI a německá BSI. [7] Mezi rámce zaměřené konkrétně na určitý sektor se poté řadí NRC Regulation 5.71 pro nukleární energetiku, API 1164 pro petrochemický průmysl a CFATS pro chemická zařízení. Speciální řadu standardů představuje NERC CIP, jenž je cílený na kritickou infrastrukturu státu. [8]

Řada norem IEC 62443 v tomto bezpečnostním oboru vyniká ve své použitelnosti, IEC 62443 nabízí robustní, modulární a škálovatelný systém s konkrétními pokyny organizacím, jak vybudovat komplexní ochranný bezpečnostní program pro OT technologie, jak standardizovat jejich bezpečnostní profil [9], jak udělat návrh jejich architektury z pohledu bezpečnosti, jak na ně aplikovat konkrétní související technické bezpečnostní požadavky, jak je kompenzovat v případě nemožnosti splnění a jak současně konkrétně zlepšit bezpečnostní politiku organizace. [10]

Obr. 4: Vztah ISO27001 a IEC62443 v rámci kybernetické bezpečnosti organizace [Jindřich Janoušek, Iron OT]

Řada norem IEC 62443 tak tvoří velmi silný komplementární systém řízení kybernetické bezpečnosti (CSMS) ke známému systému řízení bezpečnosti informací (ISMS), viz Obr. 4. IEC 62443 bere kvalitně v potaz specifika OT, která umožňuje vyrovnávat tzv. kompenzačními opatřeními v rámci návrhu bezpečnosti. [4] Dle aktuálních informací z NÚKIB se navíc počítá se zakomponováním zmíněného IEC 62443 do důvodové zprávy, která by měla být součástí celého balíku předkládaného nZKB. Její použití průmyslovými i neprůmyslovými podniky v České republice se tak přímo nabízí.

NIS 2 a OT technologie

Směrnice NIS2 je novým právním předpisem Evropské unie platným od ledna 2023, který ukládá přísnější povinnosti v oblasti kybernetické bezpečnosti organizacím působícím v různých, ve směrnici přímo vyjmenovaných kritických průmyslových odvětví, která jsou klíčová pro infrastrukturu a služby v EU. Směrnice NIS2 se tak zaměřuje na zvýšení kybernetické bezpečnosti a odolnosti organizací považovaných za poskytovatele základních a digitálních služeb. V kontextu této směrnice je jako regulovaný poskytovatel služeb brána organizace, která působí v těchto vyjmenovaných kritických odvětvích a musí pro tyto služby splňovat specifické povinnosti.⁷

Důležité je zdůraznit, že NIS2 explicitně OT technologie pod touto zkratkou nezmiňuje, přesto je lze odvodit specificky z kontextu směrnice cílící mj. na organizace, které ze své podstaty OT technologie využívají v naprostém jádru svojí činnosti – nejsou v nich pouhým doplňkem, ale přímo klíčovými součástmi jejich technické infrastruktury.

I když to z konkrétního textu směrnice NIS2 nemusí být hned patrné, tak přímý výčet těchto odvětví ve směrnici současně se znalostí toho, na jakém technologickém základě organizace v těchto odvětvích působí, přímo indikuje, že jedním z hlavních cílů směrnice NIS2 je zabezpečit OT technologie. Toto zabezpečení má chránit naši evropskou společnost před následky možných kybernetických incidentů, které vzhledem k charakteru těchto odvětví mohou být při těch nejhorších možných následcích pro naši společnost katastrofické. Příklady odvětví, která jsou uvedená v NIS2 a která využívají hojně OT technologie, lze nalézt v Tab. 1.

Důležité je zdůraznit, že uvedený výčet systémů není ani zdaleka konečný. Technologií a souvisejících systémů je přirozeně násobně více. Jak je však patrné, bez těchto systémů si dnes nelze moderní fungování těchto odvětví představit. V kontextu NIS2 se související bezpečnost týká především systémů používaných pro řízení operací v jednotlivých odvětvích, a to zejména těch velmi důležitých – kritických.

Zvýšená pozornost věnovaná kritické infrastruktuře v rámci NIS2 odráží rostoucí uznání toho, že kybernetické útoky na OT systémy mohou mít vážné důsledky pro společnost a ekonomiku. Návrh nového českého zákona o kybernetické bezpečnosti tuto oblast OT dále správně rozvíjí významným způsobem.

Průmyslová kybernetická bezpečnost v návrhu nového českého zákona o kybernetické bezpečnosti

Kybernetická bezpečnost OT systémů je v nZKB primárně řešena v § 28 vyhlášky o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností, která je součástí nZKB⁸. Tento paragraf má následující znění:

§ 28 Zabezpečení průmyslových, řídicích a obdobných specifických technických aktiv.

Povinná osoba pro zajištění kybernetické bezpečnosti průmyslových, řídicích a obdobných specifických technických aktiv dále využívá nástroje a zavádí bezpečnostní opatření, která zajistí:

1. omezení fyzického přístupu k průmyslovým, řídicím a obdobným specifickým technickým aktivům,
2. omezení oprávnění k přístupu k průmyslovým, řídicím a obdobným specifickým technickým aktivům,
3. segmentaci komunikačních sítí průmyslových, řídicích a obdobných specifických technických aktiv od jiných prostředí a segmentaci těchto komunikačních sítí podle § 19⁹,
4. omezení vzdálených přístupů a vzdálené správy průmyslových, řídicích a obdobných specifických technických aktiv
5. ochranu jednotlivých průmyslových, řídicích a obdobných specifických technických aktiv před využitím známých hrozeb a zranitelností,
6. obnovu dostupnosti průmyslových, řídicích a obdobných specifických technických aktiv.

Tab. 1: Příklady NIS2 odvětví se vztahem k OT a příklady technologií

Důležité je zdůraznit, že na základě přímých informací z NÚKIB jsou pro OT systémy platné všechny paragrafy zmíněné vyhlášky. Vzhledem k charakteru kybernetické bezpečnosti OT je pro jejich komplexní bezpečnost nutné posoudit a způsobem úměrným rizikovému profilu organizace poté také implementovat všechny paragrafy zmíněné vyhlášky, nikoli jen výše zmíněný § 28 (samozřejmě jsou-li aplikovatelné)¹⁰. Tento paragraf má za úkol zdůraznit důležitost kybernetické bezpečnosti OT systémů a obzvlášť upozornit na nutnost jejich řešení organizacemi provozujícími OT systémy. Tato opatření lze nalézt jako součást dalších opatření zmíněných ve vyhlášce, § 28 tak obsahuje zdůraznění jednotlivých opatření, která jsou pro OT významněji důležitá.¹¹

Díky uvedení § 28 je však zřetelně patrné, že OT kybernetická bezpečnost je v novém zákoně přímo řešena jako jedna z hlavních bezpečnostních oblastí, což lze považovat za správné vzhledem k bezpečnosti jednotlivých systémů a organizací je provozujících. Bereme-li však v potaz charakter OT systémů a jejich možný dopad na zdraví osob a fungování celé společnosti, tak se jedná především o správný krok směrem k větší bezpečnosti celé České republiky.

3.1 § 28 a důležitost těchto opatření v kontextu OT bezpečnosti
Následující podkapitoly se stručně věnují rozboru jednotlivých bodů ze zmíněné vyhlášky. Cílem této části není dopodrobna vysvětlit jednotlivé oblasti ani nabídnout jejich komplexní řešení, ale stručně představit důležitost těchto bodů v kontextu OT technologií a zdůvodnit, proč je nutné je řešit, obhájit jejich zařazení do této vyhlášky.

3.1.1 Omezení fyzického přístupu
Jak již bylo zmíněno, OT technologie řídí nebo monitorují ze své podstaty fyzická zařízení, která jsou součástí nějakého fyzického procesu. Typicky se může jednat o elektrické pohony, motory, ventily, senzory měřící různé veličiny, jako jsou rychlost, teplota, tlak a další fyzické komponenty důležité pro vykonání a podporu konkrétního průmyslového procesu [11]. Senzory a jiné inteligentní komponenty mohou odesílat data z měření a hlášení do PLC a dalších zařízení, případně současně také do řídicích částí systému [1].

Pokud bude fyzická procesní vrstva kompromitována, mohl by operátor získat falešné údaje o stavu systému. Případně absence důležitého systémového bezpečnostního opatření (např. blokace uzavření ventilů) by mohla způsobit havárii. Rizika na této úrovni by proto mohla vést k okamžitému dopadu na bezpečnost zdraví zaměstnanců a lidí, případně na životní prostředí.

Zároveň je nutné považovat z hlediska fyzické bezpečnosti za velké riziko kompromitaci USB diskem za využití malwaru (ať již s cílem zcizit data, nebo narušit integritu či dostupnost systému). Jako reálný příklad z minulosti lze brát malware Stuxnet, kde byl jako počáteční přístup do systému spoustu let brán USB flash disk. Tato metoda je obzvláště účinná v prostředích, kde je přímý přístup k internetu omezen nebo zcela chybí. V případě íránského jaderného zařízení v Natanzu mohly být USB flash disky použity subdodavatelským personálem, což usnadnilo šíření malwaru do cílených systémů.¹² Za počáteční přístup malware Stuxnet do systému bylo po spoustu let bráno použití USB flash disku. Tato metoda je obzvláště účinná v prostředích, kde je přímý přístup k internetu omezen nebo zcela chybí. V případě íránského jaderného zařízení v Natanzu mohly být USB flash disky použity subdodavatelským personálem, což usnadnilo šíření malwaru do cílených systémů.

Vzhledem k charakteru OT systémů je její uvedení ve speciálním paragrafu velmi vhodné, neboť jak bylo výše uvedeno na základě reálného příkladu, fyzická bezpečnost je jednou z klíčových oblastí OT bezpečnosti.¹³ V případě aplikace architektury hloubkové obrany¹⁴ se opatření na fyzické vrstvě zaměřují na omezení fyzického přístupu pouze pro autorizovaný personál do fyzických prostor, použití kamerového systému, zamezení přístupu k ovládacím panelům či k zařízení v rámci budovy, ochrana kabeláže, ochrana kontrolních místností pomocí zámků, použití čipových karet, biometrie apod. To vše s cílem, aby nedošlo ke kompromitaci fyzické bezpečnosti.

3.1.2 Omezení oprávnění k přístupu
Omezení oprávnění k přístupu je jeden ze základních bezpečnostních mechanismů, při kterém se zajišťuje, aby ti správní uživatelé měli ta správná přístupová oprávnění (k systémům, do systémů i v nich samotných). Na základě charakteristik OT technologií a jejich možného stáří nemusí tyto OT technologie podporovat kvalitní logické řízení přístupů – ať již z důvodu, že tato funkce nebyla v době výroby systému dostupná, nebo z důvodu toho, jak je systém používán.

Může se jednat např. o řešení oprávnění k přístupu k samostatně dodanému PLC, u kterého není možné kvůli jeho stáří a továrnímu nastavení splnit konkrétní požadavky definované např. politikou řízení přístupu a omezit dle ní přístup na konkrétní uživatele a/nebo konkrétní činnosti v systému (např. komunikujícího pomocí protokolu Modbus bez vestavěného autentizačního mechanismu). Výše uvedený příklad se v průmyslovém prostředí opakuje nesčetněkrát v různých verzích, z tohoto důvodu je nutné na toto opatření brát speciální zřetel. Situaci lze řešit speciálními SW, které dokáží přidat další přístupovou vrstvu, takže se uživatel přihlásí do starších systémů skrze ně.

Dalším velmi vhodným institutem pro zajištění takovéto bezpečnosti jsou kompenzační opatření, která lze dle IEC 62443 implementovat do systému řízení kybernetické bezpečnosti. Při jejich správném definování lze tento požadavek spolehlivě naplnit jinými bezpečnostními opatřeními pokrývajícími příslušné riziko. Bezpečnosti lze dosáhnout např. jednoduchým uzamčením skříně, ve které se PLC nachází a ke které dostanou klíče jen ty správné osoby, instalací kamery, dalšího autentizačního mechanismu (např. čipové karty) či implementací dodatečného industriálního firewallu a/nebo speciální přístupové aplikace tvořící novou vrstvu, která řeší přístupová oprávnění, takže to poté není nutné řešit na úrovní konkrétních OT systémů. [12]

Z hlediska ochrany jednotlivých systémů nebo jednotlivých bezpečnostních zón, např. kontrolních místností, kritických systémů apod., lze uvést jako příklad plošného kompenzačního opatření zvýšení fyzické ochrany a zavedení důkladné kontroly přístupu (např. pomocí fyzické ostrahy a vstupních bran či přístupových karet) za současného omezení přístupu jen skupině autorizovaných pracovníků.

U řídicích systémů, kde operátoři potřebují přístup v reálném čase do pracovních stanic, HMI apod. a kde není možné použít obvyklé postupy pro řízení přístupů, může být přístup do systému podporován fyzickým zápisem do deníku, kde bude popsán úkon, který byl v systému proveden operátorem. Deník by měl obsahovat také informace o tom, kdo a kdy tyto úkoly provedl, a měl by být předem a zpětně kontrolován a činnosti v něm uvedené autorizovány. [12]

Pokud v OT systému není implementována funkce ověření přistupující osoby nebo ověření konkrétní systémové činnosti, lze tento systém ochránit prostřednictvím telefonního hovoru s odpovědnou osobou nebo zajištěním písemného povolení před přístupem do systému nebo před provedením úlohy. Souvisejícím kompenzačním opatřením je v určitých případech vhodné vytvořit rozsáhlé pracovní povolení pro servisní techniky třetích stran. Toto povolení musí umožňovat identifikaci osoby, která práci provádí, objednatele, datum a čas zásahu, rozsah prací, popis prováděné činnosti, seznam odstraněných nebo nahrazených zařízení s jejich identifikátory, provedené úpravy a jejich dopad na systém a související procesy. [12]

Tak či onak se tato kompenzační opatření obvykle používají pouze v případech, kdy nelze použít nebo implementovat obvyklá opatření k zamezení přístupu, jakými jsou např. ochrana heslem, automatické zamykání obrazovek a centralizované nebo lokální řízení přístupových oprávnění. Každopádně vzhledem ke zmíněným specifikům OT je jeho uvedení ve speciálním paragrafu více než vhodné. Organizace by však měla vědět a mít zdokumentované, která opatření jsou kompenzována a z jakého důvodu, a jejich užití v čase kontrolovat.

Celá tato problematika je samozřejmě složitější. Především omezení nebo uvolnění přístupů do OT systémů na základě jejich charakteristik by si zasloužilo většího rozboru. Toto opatření je však ve vyhlášce správně uvedeno, protože k této oblasti často schází v organizacích ucelený přístup, který je z hlediska kvalitního zajištění kybernetické bezpečnosti potřebný.

3.1.3 Segmentace komunikačních sítí
Segmentace sítí je základním bezpečnostním prvkem, proto je správně uvedena také pro ochranu OT technologií. Hlavním smyslem je rozčlenění nebo seskupení systémů a souvisejících sítí na části (zóny), kdy může být pro útočníka složité dostat se z jednoho segmentu do druhého. Tím spíše, jsou-li spojení mezi zónami kontrolována (tzv. konduity), na kterých lze případný útok zachytit. [3] Vyjma oddělení IT systémů od OT systémů, které by mělo být hlavním architektonickým cílem, by mělo být zajištěno oddělení jednotlivých OT systémů či jejich částí funkčně od sebe. V tomto případě, zasáhne-li útok např. jednu výrobní robotickou linku, tak se nerozšíří dále.¹⁵

3.1.4 Omezení vzdálených přístupů a vzdálené správy
V kontextu kybernetické bezpečnosti OT systémů je zásadní pečlivě řídit, to znamená povolovat, kontrolovat a omezovat vzdálené přístupy a vzdálenou správu systémů. Toto opatření je zvlášť důležité, protože vzdálený přístup představuje významný vektor útoků, který může být zneužit k neoprávněnému přístupu do systému a jeho následného narušení nebo poškození.

Vzdálená správa umožňuje administrátorům provádět údržbu, aktualizace a diagnostiku bez fyzické přítomnosti u zařízení, což je obzvláště užitečné v rozsáhlých nebo geograficky rozptýlených operačních prostředích. Nicméně bez adekvátních bezpečnostních opatření může být vzdálený přístup zneužit k získání neautorizovaného ovládání nad kritickými systémy.

Pro zajištění bezpečnosti je nezbytné implementovat silné autentizační mechanismy, jako jsou vícefaktorová autentizace a silná hesla, a zároveň omezit vzdálený přístup pouze na nezbytně nutné služby a osoby. Zavedení šifrování všech vzdálených komunikací je také klíčové pro ochranu dat přenášených mezi operátorem a OT systémem. Síťová segmentace a použití firewalů a VPN může dodatečně chránit tyto vzdálené přístupy tím, že omezuje možnosti přístupu k síti pouze na oprávněné uživatele.

3.1.5 Ochrana před využitím známých hrozeb a zranitelností
Uvedení tohoto opatření je velmi logické, a to i přes to, že je definováno poměrně obecně. Na OT systémy stejně jako na systémy IT působí kybernetické hrozby a jsou k nim současně nacházeny neustále nové a nové zranitelnosti. Stručně to znamená, že by organizace měla být schopna zajistit pro své OT systémy nějaký způsob, jakým vyhodnocovat hrozby na ně působící a znát a starat se také o jejich zranitelnosti (v reálném čase či alespoň pravidelně, např. pomocí skenů a následných záplat). [3]

Zde je nutné brát opět v potaz specifika OT, kde často není možné tyto systémy jednoduše pravidelně záplatovat, skenovat, využívat často penetračního testování apod. Velkou roli hraje využití kompenzačních opatření: segmentace sítě,

tzn. identifikace OT systémů, jejich rozdělení do zón a konduitů, tudíž zajištění ochrany perimetru a spojení mezi zónami pro zabránění přístupu hrozeb ke chráněným systémům. Je-li to možné a vhodné, lze také zahrnout automatizované systémy pro detekci kybernetických hrozeb (v síti i na koncových zařízeních), které mohou včas odhalit pokusy o zneužití známých zranitelností a zamezit možné škodě. [3]

3.1.6 Obnova dostupnosti
Jak bylo v článku uvedeno, z hlediska priority elementárních bezpečnostních atributů, tedy důvěrnosti, integrity a dostupnosti, je mezi OT a IT významný rozdíl v jednotlivé váze těchto atributů. [2] Ať se jedná o OT systémy důležité pro výrobu elektřiny, těžbu uhlí, zabezpečení železničních přejezdů nebo řízení vlaku, všechny tyto systémy mají v rámci zajištění své funkčnosti jeden společný cíl. A tím je přenést systémová data z jednoho místa na druhé při zachování dostupnosti těchto systémů. To znamená, aby byla přenesena především včas.¹⁶

Dojde-li k porušení některých částí systému, může dojít v lepším případě k zastavení procesu např. výroby. To může být zpravidla velmi nákladné.17 V horším případě může dojít k ohrožení zdraví zaměstnanců nebo např. cestujících, což je naprosto nepřípustné. Nejsou výjimkou ani incidenty významně narušující životní prostředí, např. zamoření mořské vody surovou ropou na základě selhání OT systému v rámci kybernetického incidentu, zastavení mořské těžby ropy a zemního plynu s potenciálním narušením schopnosti nakupovat benzín v celém Norsku, nefunkčnost větrných turbín na základě wiper útoku na pozemní stanice, výpadky dodávek proudu a další. [1] Procesy navázané na OT systémy tak nemohou často tolerovat ani výpadek v řádu milisekund. Z tohoto důvodu je obnova dostupnosti systému pro organizace kritická. Jakýkoli sebemenší výpadek OT technologií s dopadem na dostupnost provozu je velmi nežádoucí. Uvedení tohoto opatření pro ochranu OT systémů, je tak velmi důležité.

Závěrem

Tento článek se v první části zaměřil na představení toho, co je to průmyslová kybernetická bezpečnost, co jsou to OT technologie a OT systémy, jaké jsou základní rozdíly mezi IT a OT, jakými standardy se řeší OT kybernetická bezpečnost, vztah NIS2 a OT a jak je OT bezpečnost řešena v § 28 z vyhlášky o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností, která je součástí návrhu nového českého zákona o kybernetické bezpečnosti.

V druhé části se bude článek zabývat relevancí ostatních paragrafů z vyhlášky o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností, možným způsobem řešení pro OT systémy a kroky vedoucími k zajištění průmyslové kybernetické bezpečnosti dle této vyhlášky.

Poznámky pod čarou: 

1. OT systémy jsou dnes obohacovány samozřejmě také o IT technologie, což lze považovat za součást iniciativy průmysl 4.0. – digitalizace průmyslu. V kontextu se tyto IT prvky považují za součást OT systému.
2. Mezinárodní standard kybernetické bezpečnosti NIST, konkrétně ve své poslední verzi NIST SP 800-82: Guide to Operational Technology (OT) Security, aktuálně v návrhové třetí verzi, byl v rámci evoluce oboru kybernetické bezpečnosti v poslední aktualizaci významně rozšířen na OT technologie. První dvě verze měly limitující aplikovatelnost pouze na průmyslové řídicí systémy. Tento standard nabízí zatím nejpokročilejší popis OT: „Provozní technologie (OT) zahrnují širokou škálu programovatelných systémů a zařízení, které interagují s fyzickým prostředím (nebo řídí zařízení, která interagují s fyzickým prostředím). Tyto systémy a zařízení zjišťují nebo přímo způsobují změny prostřednictvím monitorování a/nebo řízení zařízení, procesů a událostí. Příkladem jsou průmyslové řídicí systémy, systémy automatizace budov, dopravní systémy, systémy kontroly fyzického přístupu, systémy kontroly fyzického prostředí, systémy monitorování prostředí a systémy měření fyzického prostředí. [1]
3. Představené základní dělení OT systémů vychází z autorových zkušeností a z predispozice, kdy základním smyslem OT technologií je řídit, monitorovat či vykonávat nějakou fyzickou činnost.
4. Autor tuto problematiku a skupiny systémů neustále rozvíjí a zpřesňuje na základě nových projektů souvisejících s OT systémy v různých průmyslových i neprůmyslových odvětvích.
5. SIS jsou opakem řídicích systémů a jsou řešeny především sérií standardů IEC 61508.
6. Důležité je zmínit, že daný výčet OT systémů není konečný a dané skupiny systémů ve svých verzích mohou prolínat (SCADA systémy se objevují např. ve skupině TS) nebo dále dělit na další podskupiny. ICS mohou obsahovat ve svém designu IIoT zařízení apod. Náhledy na problematiku, kategorizace a definice těchto množin se mnohdy liší i mezi jednotlivými dodavateli. Samozřejmě se mnoho CS nachází také v množině ICS, PLC jsou pod množinami SCADA, DCS apod. Autorovým cílem je vnést na problematiku jednoduchý strukturovaný náhled, na jehož základě si lze problematiku OT systémů lépe představit a díky tomu posléze kvalitněji řídit kybernetickou bezpečnost podniku.
7. Mezi tyto klíčové povinnosti patří např. schopnost rychlého hlášení kybernetického incidentu včetně podrobného zdokumentování události, zavedení řízení kybernetických rizik, odolnost proti incidentům a další organizační a technická opatření.
8.  nZKB je aktuálně po mezirezortním připomínkovém řízení (červen 2024). Struktura zákona, jakožto i číslování jednotlivých paragrafů tak může doznat ještě určitých změn.
9. § 19 Bezpečnost komunikačních sítí
10. Rozbor aplikovatelnosti ostatních paragrafů bude uveden v druhé části článku.
11. Je vhodné upozornit, že autor článku není právníkem. Na základě svých zkušeností a rozboru uvedeného v tomto článku lze odvodit, že zabezpečením průmyslových, řídicích a obdobných specifických technických aktiv rozumí především zabezpečení právě oněch OT technologií. Z hlediska své zkušenosti se v článku věnuje především konkrétním organizačním a technickým bezpečnostním opatřením v podobě implementace systému řízení kybernetické bezpečnosti pro tyto technologie či jejich integraci do již existujících systémů řízení bezpečnosti. Z tohoto důvodu nejsou v článku rozebrány další částí zákona, takže mohou chybět některé další souvislosti. Vždy je nutné poté ke každé organizaci přistupovat zvlášť a brát kontext celého zákona, nikoli jen pouze v článku zmíněné vyhlášky.
12. V poslední době se objevují informace, že infiltrace byla provedena pomocí holandského technika, který dovezl do zařízení infikované měniče s proměnnou frekvencí (tzv. Variable Frequency Drives – VFD). V odborných kruzích stále probíhá diskuze, jak se mohl tento malware v případě pravdivosti této informace dostat dále do sítě.
13. To vše jen podporuje zkušenost autora, kdy fyzická bezpečnost bývá často podceněna, kabinety a PLC skříně nezamčeny a procesy související např. se ztrátou vstupních karet do prostor s OT systémy vykazují značné nedostatky.
14. Tzv. Defense-in-Depth koncept. Další vrstvy tohoto konceptu jsou Řídicí vrstva, Síťová vrstva, Počítačová vrstva, Aplikační vrstva a Ochrana koncového zařízení (aktiva).
15. Pro hlubší pochopení tohoto opatření v kontextu OT autor tuto problematiku podrobně rozpracoval v článcích nazvaných Koncept zón a konduitů pro zabezpečení provozních technologií, 1., resp. 2. část, které vyšly v odborném časopise DSM – Data Security Management.
16. Samozřejmě také, aby data byla přesná – atribut integrity. Integrita dat je pro16 Samozřejmě také, aby data byla přesná – atribut integrity. Integrita dat je proOT systémy také velmi důležitá. K mnoha neštěstím může dojít i jen tím, žedata ze senzorů jsou nepřesná, jsou čtena operátorem či jiným integrovanýmsystémem špatně. Zákon zde upozorňuje však pouze na obnovu dostupnosti.
17. Každá hodina zastavené výroby je zpravidla přesně vyčíslitelnou škodou,kterou nelze vzít zpět (čas nelze po obnovní dostupnosti vrátit).

Použité zdroje:

[ 1 ] DAVID, Ilja a JAŠEK, Roman. Směrem k řešení OT kybernetické bezpečnosti (Towards Solution of OT Cyber Security). Data Security Management (DSM). 2023, 30. 09. 2023, 10. ISSN 2336-6745
[ 2 ] DAVID, Ilja a JAŠEK, Roman. Konvergence a divergence OT a ICT technologií ve vztahu ke kybernetické bezpečnosti (Convergence and divergence of OT and ICT technologies in relation to cyber security). Data Security Management (DSM). 2023, 30.06.2023, 10. ISSN 2336-6745
[ 3 ] DAVID, Ilja a JAŠEK, Roman. Koncept zón a konduitů pro zajištění bezpečnosti provozních technologií (OT) – část 1(The concept of zones and conduits for ensuring the safety of operational technologies (OT) – part 1.). Data Security Management. ISSN 1211-8737
[ 4 ] ACKERMAN, Pascal. Industrial Cybersecurity. Packt, 2012. ISBN 978-1788395984.
[ 5 ] MACAULAY, Tyson a Bryan SINGER. Cybersecurity for Industrial Control Systems. CRC Press, 2012. ISBN 978-1439801963.
[ 6 ] National Institute of Standards and Technology. NIST SP 800-82: Guide to Operational Technology (OT) Security. Rev. 3. NIST, 2022. [ 7 ] RIEGER, Craig, Indrajit RAY, Quanyan ZHU a Michael A. HANEY, ed. Industrial Control Systems Security and Resiliency: Practice and Theory (Advances in Information Security. Springer, 2019. ISBN ISBN 978-3-030-18213-7.
[ 8 ] KNAPP, Eric D. a Joel Thomas LANGILL. Industrial Network Security: Securing Critical Infrastructure Networks for Smart Grid, SCADA, and Other Industrial Control Systems. Syngress, 2015. ISBN 978-1597496452.
[ 9 ] IEC 62443-1-1. Industrial communication networks – Network and system security – Part 1-1: Terminology, concepts and models. International Electrotechnical Comission, 2009.
[ 10 ] IEC 62443-2-1. Industrial communication networks – Network and system security – Part 2-1: Establishing an industrial automation and control system security program. International Electrotechnical Comission, 2010.
[ 11 ] DAVID, Ilja a JAŠEK, Roman. Purdue Enterprise Architecture Model ve vztahu k průmyslové kybernetické bezpečnosti (The Purdue Enterprise Architecture Model in relation to Industrial Cybersecurity). Data Security Management (DSM). 2023, 30.12.2023, 10. ISSN 2336-6745
[ 12 ] DAVID, Ilja a LUKÁŠ, Luděk. Řešení kompenzačních opatření kybernetické bezpečnosti dle norem IEC 62443. (Cyber Security Compensating Measures according to IEC 62443). Data Security Management (DSM). 2021, 1.1.2021, XXV(1), 7. ISSN 1211-8737.