Průmyslová kybernetická bezpečnost dle NIS2 a nového českého zákona o kybernetické bezpečnosti, část II

Důraz na kybernetickou bezpečnosti provozních technologií nabírá na síle. Zabezpečení průmyslových, řídicích a obdobných specifických technických aktiv je v odpovídající vyhlášce řešeno jasně a kvalitně. Česká republika a její nový zákon o kybernetické bezpečnosti se tak v této oblasti stává jedním z evropských lídrů. Porozumění organizačním a technickým opatřením v této dříve neřešené oblasti kybernetické bezpečnosti je pro efektivní implementaci důležité.

                                  OT                            provozní technologie                           kybernetická bezpečnost
                          průmyslový řídicí systém                     NIS2                     zákon o kybernetické bezpečnosti

Úvod

Návrh nového českého zákona o kybernetické bezpečnosti a souvisejících vyhlášek (dále jen „nZKB“), vycházející z nové směrnice Evropské unie NIS2, stanovuje ochranná opatření pro provozní technologie (dále jako OT – Operational Technologies, viz Obr. 1)¹ s cílem posílit bezpečnost a odolnost průmyslových podniků a infrastruktury vůči stávajícím i budoucím kybernetickým hrozbám. Tento zvýšený důraz na bezpečnost OT technologií oproti minulým zákonným úpravám vyžaduje důkladné porozumění tématu, aby byla zajištěna efektivní implementace bezpečnostních opatření, která jsou v nZKB strukturovaně a obsáhle představena.

Tento článek navazuje plynule na svoji první část, kde bylo představeno, co lze vnímat pod pojmy průmyslová kybernetická bezpečnost a provozní technologie, jaké jsou rozdíly mezi OT technologiemi a poměrně známými IT technologiemi.² Dále v něm bylo představeno, jakými standardy se kybernetická bezpečnost OT úspěšně řeší, jaký je vztah mezi NIS2 a OT a jak je OT bezpečnost řešena v § 28 z vyhlášky o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností, která je součástí návrhu nZKB³

Tato druhá část téma rozpracovává a zabývá se relevancí ostatních organizačních a technických opatření z této vyhlášky, která se zabývají jednotlivými organizačními a technickými bezpečnostními opatřeními, a detailněji představuje možný způsob řešení těchto opatření pro zajištění bezpečnosti zmíněných OT technologií. Současně jsou v článku představeny možné kroky, které vedou k zajištění průmyslové kybernetické bezpečnosti v souladu s těmito bezpečnostními opatřeními.

Relevance a způsob řešení bezpečnosti OT dle návrhu nového zákona o kybernetické bezpečnosti

Na základě přímých informací z Národního úřadu pro informační a kybernetickou bezpečnost (NÚKIB) je jedním ze smyslů § 28 s názvem „Zabezpečení průmyslových, řídicích a obdobných specifických technických aktiv“⁴ zdůraznit důležitost kybernetické bezpečnosti OT a upozornit na nutnost jejího řešení organizacemi, které OT systémy provozují. Důraz je nutný klást především na ty, které OT systémy používají v rámci služeb přímo spadajících pod nZKB.

NÚKIB dále dodává, že vzhledem k charakteru kybernetické bezpečnosti OT je pro jejich komplexní bezpečnost nutné posoudit také všechna ostatní organizační a technická opatření ve zmíněné vyhlášce a v případě jejich aplikovatelnosti je způsobem úměrným rizikovému profilu organizace také implementovat. Pro OT systémy jsou tak platné všechny paragrafy zmíněné vyhlášky, nikoli tedy jen v předchozím článku zmíněný § 28.

Relevanci příslušné vyhlášky zkoumá tabulka⁵, která je součástí nového návrhu zákona o kybernetické bezpečnosti pro OT technologie. Z rozboru uvedeného v tabulce je patrné, že všechny oblasti organizačních a technických opatření jsou pro OT technologie relevantní. Organizace je musí posoudit a v případě nalezení nesouladu tyto oblasti zlepšit. V tabulce je zároveň uvedený stručný způsob možného řešení těchto oblastí v rámci systému řízení bezpečnosti. Způsob řešení se tak soustředí primárně na zavedení obou druhů opatření (organizačních i technických) do politik, standardů a procedur organizace (souhrnně uvedené jako směrnice).

Důležité je zdůraznit, že celkových způsobů řešení je mnohem více, lze je mnohem důkladněji a kvalitněji rozpracovat a při kvalitní implementaci na míru se budou pro různé organizace lišit. Zde navržený způsob řešení je jen velmi stručnou ukázkou možného řešení z manažerského pohledu a v žádném případě neobsahuje vše, co je z hlediska OT bezpečnosti možné v organizaci udělat.

Určité dílčí části mohou být standardizované, ale každá organizace je jiná a má své vlastní potřeby. V každém případě se toto manažerské řešení musí opírat o technické změny v systémech a příslušných sítích – pouhé směrnice k zajištění

Obr. 1: Příklad průmyslové automatizace v montážní lince na výrobu vozidel [zdroj O. Akande: Industrial Automation from Scratch]

bezpečnosti nestačí, stejně jako nestačí pouhý důraz na technickou stránku bez kvalitního procesního ukotvení. Pro celkový holistický přístup k řešené problematice je zároveň vhodné zajistit kontinuální školení zaměstnanců, podpořené např. integrovaným bezpečnostním drilem na kybernetický incident konkrétního kritického OT systému.

1. Směrem k průmyslové kybernetické bezpečnosti dle nového českého zákona o kybernetické bezpečnosti

Tato kapitola se zaměří na to nejpodstatnější, co by nemělo chybět pro základní řešení kybernetické bezpečnosti OT technologií (z pohledu zákona průmyslových, řídicích a obdobných specifických technických aktiv). Resp. je zde nastíněn základní rámcový postup k implementaci takových opatření, která když nejsou organizací zajištěna, tak se dle pohledu autora nejedná o kvalitní a efektivní řízení kybernetické bezpečnosti OT, které pravděpodobně nebude v souladu s výše zmíněnými organizačními a technickými opatřeními⁶.

Obr. 2: Základní kroky vedoucí k souladu s novým zákonem o kybernetické bezpečnosti pro organizace využívající OT technologie [zdroj: autor]

Jak bylo zmíněno v úvodu první části článku, na základě technologických a provozních rozdílů je z hlediska řízení OT kybernetické bezpečnosti nutno použít odlišné logiky než u IT technologií. Současně na základě všech předchozích informací v obou částech článku lze určit strategické kroky vpřed pro zajištění odpovídajícího řízení OT bezpečnosti⁷:

Krok 1: Posoudit, zda organizace spadá pod nZKB a v jakém rozsahu jsou na ni aplikovatelná organizační opatření, a posoudit jejich aktuální bezpečnostní stav.

Krok 2: Posoudit kybernetická rizika OT systémů, určit, které systémy jsou kritické, určit jejich bezpečnostní úrovně a definovat bezpečnostní zóny. Tento krok se skládá z následujících částí:

1. Zjistit, jaké má organizace systémy z hlediska funkcí: 
   • Zda jsou součástí alespoň základní inventarizace systémů.
   • Systémy lze dále rozřadit dle funkčního zařazení (funkční seskupení je možné).
   • Rozlišit OT od IT systémů a identifkovat, kde se protínají (mnohdy tzv. šedá zóna).
2. Zjistit rizikový profil OT systémů, aktuální a požadovanou bezpečnostní úroveň:
   • Které systémy, jejich komponenty či přidružené procesy jsou kritické pro daný výrobní závod, chemické zařízení, zdravotnický provoz, kritickou infrastrukturu apod.
   • Elementy konektivity (propojenost systémů s dalšími systémy, fyzická i vzdálená přístupnost, nutnost pravidelných aktualizací).
   • Identifikace nejhorších možných scénářů v případě narušení bezpečnostních atributů dostupnosti, integrity a důvěrnosti (z pohledu průmyslové bezpečnosti s důrazem na dostupnost – AIC).
   • Dle celkové kritičnosti a rizikového profilu systému určit požadovanou bezpečnostní úroveň (tzv. Security Level)⁸.
3. Definovat bezpečnostní zóny9 dle funkcí OT systémů nebo jejich částí beroucích v potaz jejich rizikový profil:
   • Dílčím výsledkem je seznam systémů rozdělených do bezpečnostních zón s hodnocením kritičnosti a nastavení tzv. bezpečnostní úrovně pro každou zónu.
   • Úroveň bezpečnosti poté nastavuje rozsah aplikovatelných bezpečnostních požadavků na OT systémy (nebo efektivněji přímo na bezpečnostní zónu).

Krok 3: Zjistit rozdíl mezi aktuálně aplikovanými bezpečnostními požadavky (aktuální bezpečnostní úrovní) a požadovaným stavem (cílovou bezpečnostní úrovní) a implementovat chybějící bezpečnostní opatření:

• Vytvořit či zlepšit politiku kybernetické bezpečnosti OT a související směrnice a vhodně upravit její propojení s IT politikou kybernetické bezpečnosti, souvisejícími bezpečnostními směrnicemi a dalšími příslušnými směrnicemi organizace.
• Zajistit redesign sítí a implementovat bezpečnostní procesy na konkrétní zóny a bezpečnostní zařízení na ochranu kritických OT systémů. Zlepšit stávající, již implementované technické bezpečnostní požadavky a implementovat chybějící.

Obr. 3: Bezpečná architektura dle IEC 62443 v modelu PERA (ukázkový příklad) [zdroj: autor]

Krok 4: Zajistit dlouhodobé udržitelné řízení, monitorování a školení uplatňované bezpečnostní politiky a souvisejících směrnic, pravidelnou kontrolu technických opatření a průběžné vylepšování.

Uvedený postup zobrazuje jasnou směrovou sekvenční logiku pro implementaci OT kybernetické bezpečnosti do organizace. Vzhledem k možnému vyššímu finančnímu i lidskému úsilí je na základě posouzení organizace a systémů vhodné vytvořit akční plán a implementovat bezpečnost v čase dle rizikového profilu jednotlivých chybějících opatření (organizace by se měla zaměřit primárně na to, jaké systémy jsou pro organizaci nejkritičtější). Pokud je to možné, měly by být části s technickými implementačními kroky rozděleny podle osvědčených postupů do dvou částí:

1. modelový závod či modelová zóna¹⁰
2. zbytek závodů či zón

Z hlediska implementace OT kybernetické bezpečnosti je tak velmi vhodné použít jako základ standard IEC 62443, neboť nabízí modulární, škálovatelný a flexibilní systém, jehož cílem je segmentovat různé systémy uvnitř IT/OT sítě a vytvořit architekturu s prvky a procesy kybernetické bezpečnosti (viz Obr. 3). Konkrétní zóny mají definované konkrétní bezpečnostní úrovně, přičemž platí, že pro každou úroveň se aplikuje jinak rozsáhlá sada bezpečnostních požadavků.¹¹

Organizace, které působí ve více zemích EU, budou muset navíc brát zřetel na všechny lokální transpozice NIS2. Implementace kybernetické bezpečnosti dle IEC 62443 jim vytvoří solidní bezpečnostní základ a zůstane pouze vyřešení rozdílu jednotlivých lokálních zákonů. V tomto případě je poté vhodné ke zjištění rozdílu mezi např. jednotlivými továrnami v různých zemích udělat mapping jednotlivých lokálních zákonů a v nich obsažených bezpečnostních požadavků.

Ideálně je vhodné udělat současně mapping vůči IEC 62443 a ISO 27001 a poté jednotlivé rozdíly vyřešit jednotným centralizovaným způsobem či samostatně lokálně.¹² V rámci řešení se mohou při implementaci IEC 62443 zakomponovat právě i ona kompenzační opatření. Celkové řešení řízení kybernetické bezpečnosti je tak z hlediska praktičnosti snadno dosažitelné, a především efektivně řiditelné.

Závěr

Směrnice NIS2 a její transpozice v podobě nového nZKB je další z řady legislativních rámců řešících kybernetickou bezpečnost s důrazem na bezpečnost organizací zajišťující kritickou infrastrukturu státu a s ní související OT systémy, které jsou nedílnou součástí provozu těchto organizací. Implementace NIS2 má potenciál přinést zlepšení bezpečnosti nejen jednotlivých organizací, ale i celé společnosti. Bezpečnost těchto organizací je tak otázkou, která se dotýká nás všech, a proto je klíčové, aby se vnitřní i mezipodniková kultura zaměřila na implementaci požadavků tohoto zákona a na jejich další kontinuální zlepšování.

Proces implementace nZKB je podobný jakémukoli jinému projektu a ústí do manažerského systému řízení s důrazem právě na neustálé zdokonalování. Z hlediska řízení bezpečnosti v organizaci je důležité si uvědomit, že OT systémy jsou nedílnou součástí tohoto nařízení, a proto je třeba jejich bezpečnost řešit specificky a komplexně. Ačkoli řešení OT bezpečnosti se od řešení IT bezpečnosti liší, postupy jejího zavedení jsou dobře známé a je možné efektivně postupovat pomocí osvědčených standardů, jako je IEC 62443 pro OT systémy, a integrovat je se zavedeným standardem ISO 27001 pro IT systémy. Klíčové je mít k této problematice respekt a snažit se o harmonické zlepšení a sjednocení bezpečnostní kultury v organizaci.

V jednoduchosti a systematickém přístupu tkví síla úspěšného zvládnutí bezpečnostních výzev, které nový český zákon o kybernetické bezpečnosti přináší. Existuje-li kvalitní zákon, kterým nový zákon z pohledu organizačních a technických opatření bezpochyby je, existují-li kvalitní standardy a zkušení a proaktivní experti v soukromém i veřejném sektoru, které organizaci tímto procesem provedou, tak tím posledním, co organizacích může před zavedením bezpečnosti chybět, je vůle.

This email address is being protected from spambots. You need JavaScript enabled to view it.

Použité zdroje:

[ 1 ] DAVID, Ilja. Průmyslová kybernetická bezpečnost dle NIS2 a nového českého zákona o kybernetické bezpečnosti, část 2 (Industrial Cyber Security according to NIS2 and the new Czech Cyber Security Act, part 2.). Data Security Management. 2024, ISSN 1211-8737
[ 2 ] DAVID, Ilja a JAŠEK, Roman. Směrem k řešení OT kybernetické bezpečnosti (Towards Solution of OT Cyber Security). Data Security Management (DSM). 2023, 30.09.2023, 10. ISSN 2336-6745
[ 3 ] DAVID, Ilja a JAŠEK, Roman. Konvergence a divergence OT a ICT technologií ve vztahu ke kybernetické bezpečnosti (Convergence and divergence of OT and ICT technologies in relation to cyber security). Data Security Management (DSM). 2023, 30.06.2023, 10. ISSN 2336-6745
[ 4 ] DAVID, Ilja a LUKÁŠ Luděk. Aplikace kompenzačních opatření pro systém vnitřních vodotěsných dveří do bezpečnostní politiky lodi dle IEC 62443 (Application of compensating countermeasures for system of internal water tight doors into ship security policy). Elektrorevue [online]. 2021, 30.04.2021, 2021(23), 10. ISSN 1213–1539
[ 5 ] DAVID, Ilja a JAŠEK, Roman. Koncept zón a konduitů pro zajištění bezpečnosti provozních technologií (OT), část 1 (The concept of zones and conduits for ensuring the safety of operational technologies (OT), part 1.). Data Security Management. ISSN 1211-8737
[ 6 ] DAVID, Ilja a JAŠEK, Roman. Koncept zón a konduitů pro zajištění bezpečnosti provozních technologií (OT), část 2 (The concept of zones and conduits for ensuring the safety of operational technologies (OT), part 2.). Data Security Management (DSM). 2024, ISSN 1211-8737
[ 7 ] DAVID, Ilja a LUKÁŠ Luděk. Řešení kompenzačních opatření kybernetické bezpečnosti dle norem IEC 62443. (Cyber Security Compensating Measures according to IEC 62443). Data Security Management (DSM). 2021, 01.01.2021, XXV(1), 7. ISSN 1211-8737
[ 8 ] DAVID, Ilja a Roman JAŠEK. Purdue Enterprise Architecture Model ve vztahu k průmyslové kybernetické bezpečnosti (The Purdue Enterprise Architecture Model in relation to Industrial Cybersecurity). Data Security Management (DSM). 2023, 30.12.2023, 10. ISSN 2336-6745
[ 9 ] DAVID, Ilja, Průmyslová kybernetická bezpečnost dle NIS2: strategie a implementace. Information Security Summit IS2 2024

Poznámky pod čarou:

1. V nZKB jsou uvedeny jako „Zabezpečení průmyslových, řídicích a obdobných specifických technických aktiv“, viz první část článku.
2. Viz DAVID, Ilja. Průmyslová kybernetická bezpečnost dle NIS2 a nového českého zákona o kybernetické bezpečnosti, část 2, Data Security Management. 2024, ISSN 1211-8737
3. Je vhodné opětovně upozornit, že autor článku není právníkem. Implementace nového zákona o kybernetické bezpečnosti v České republice stále není dokončena ve své finální podobě, pravděpodobně tak může dojít v zákoně k určitým změnám. Z tohoto důvodu autor upozorňuje na nutnost sledovat aktuální stav a výslednou podobu nZKB a jí přizpůsobit konečnou bezpečnostní implementaci. Z hlediska své zkušenosti se v článku věnuje především základním principům zavedení OT kybernetické bezpečnosti do organizace a navrženým organizačním a technickým bezpečnostních opatřením ve stavu k datu vydání článku. V článku uvedené principy a postupy jsou ze své podstaty použitelné i v případě pozdější změny v těchto opatřeních. Začít se zlepšením kybernetické bezpečnosti OT systémů je tak možné co nejdříve.
4. § 28 s názvem „Zabezpečení průmyslových, řídicích a obdobných specifických technických aktiv“ byl detailně popsán v první části článku.
5. viz www.tate.cz/dsm
6. Postupů směřujících k souladu s tímto zákonem či normami samozřejmě existuje více. Z praxe autor vždy upravuje postup potřebám konkrétní organizace.
7. Cokoli mezitím může skončit pouze tzv. papírovým cvičením, např. nějakým částečným ohodnocením rizik sumarizovaných v excelu, aniž by s tím kdokoli dále správně systematicky pracoval (bohužel běžná praxe). Rozdělil jsem proto možné doplnění zákona pod tyto tři body.
8. Dle informací z NÚKIB se nemusí jednat přímo o bezpečnostní security level, nicméně vyhláška organizacím nebrání pracovat s různou terminologií a škálou při jejich hodnocení. Na základě této informace tak lze odvodit možnost přímého použití bezpečnostních úrovní na základě vyhlášky, a umožnit tak přímé propojení vyhlášky s IEC 62443
9.  Bezpečnostní zóny seskupují systémy, komponenty, zařízení, procesy atd., které sdílejí stejnou úroveň bezpečnosti. Tímto přístupem lze dosáhnout bezpečnosti pro různé systémy od více dodavatelů, pro starší systémy atd. a ideálně je vhodné pro zvýšení přehlednosti také současně vytvořit či aktualizovat nákresy těchto zón a konduitů zobrazených dle modelu PERA.
10. Lze začít např. při instalaci nové výrobní linky (zde se zavedou všechny potřebné bezpečnostní požadavky) a poté lze postupně řešit zavedení bezpečnosti snadno dosažitelnými opatřeními (tzv. low hanging fruits – např. zavedení směrnic a základního školení) v kombinaci s kompenzačními opatřeními mířenými primárně na ty nejrizikovější systémy. Další velké změny v podobě primárních bezpečnostních opatření se poté zavedou např. při dalším renovačním projektu (tzv. retrofit).
11. Bezpečnostní požadavky z návrhu nového zákona o kybernetické bezpečnosti lze snadno namapovat na IEC 62443, a trefit tak dvě mouchy jednou ranou. Šikovný architekt dokáže bezpečnost propojit současně i s ISO 27001 a vytvořit komplexní systém bezpečnosti splňující všechny tři bezpečnostní rámce najednou.
12. I když jsou v lokálních zákonech specifická opatření, na která je nutné rozhodně brát ohled, kvalitní implementace IEC 62443 pro OT systémy současně s ISO 27001 pro IT systémy vyřeší, dle současných zkušeností autora z několika evropských zemí, většinu nových požadovaných bezpečnostních opatření jednotlivými členskými zeměmi.