Důležitou vlastností OT je důraz na spolehlivost a integritu, nikoliv na důvěrnost jako v IT. Proto komunikační protokoly OT jsou většinou nešifrované, pokud, tak s naprosto základním ověřováním a založené na tradičních a ověřených principech, kde však pro bezpečnost nezbylo moc místa. To samé platí o operačních systémech a programech výrobních jednotek i jejich řídících systémů. Spolehlivé na prvním místě, ale až nebezpečně přístupné pro realizaci možného zlého úmyslu.

V běhu času se dříve ostrovně izolované operační technologie (OT) firem stávali méně izolované a více propojené s okolním světem. Z počátku se jednalo pouze o ojedinělá napojení na ekonomické systémy organizací pro sledování a řízení efektivity výroby. Pak se objevil požadavek na úsporu nákladů za diagnostiku a servis formou vzdáleného přístupu, a úplně nově se objevují komponenty typu IIoT (Industry IoT), Industry Cloud řešení, vzdálený přístup a dohled odkudkoliv a podobné. Izolovanost OT tak mizí v nenávratnu a určit přesnou hranici perimetru OT sítě již není možné.

V protikladu k mizící izolovanosti OT se cyklus obnovy a bezpečnostních aktualizací výrobních systémů zdaleka neblíží úrovni, na kterou jste zvyklí z IT. Je naopak obvyklé, že pokud se opravuje výměnou 10 let starý řídící systém, dostanete identické řešení jako před 10 lety, včetně použitého, dnes již archaického operačního systému. Samozřejmě i plného bezpečnostních zranitelností. Vlastní OT aplikace bude možná novější verze, ale prioritou je dostupnost, nikoliv bezpečnost. Takže ani zde není „stůl“ uklizený.

Další závažný problém je dramatická změna vektoru útoku. Do roku 2021 byl hlavní potenciální útočník jiný stát (samozřejmě ne přímo, ale prostřednictvím státem podporovaných „hackerských“ skupin). To se v nedávné době podstatně změnilo zjištěním, že třeba ransomware dokáže stejně dobře, ne-li lépe, „zařádit“ v OT prostředí. Společnosti věnující se analýze kybernetické bezpečnosti dnes znají více než 12 hackerských skupin věnujících se přímo útokům na OT, včetně vývoje automatizovaných nástrojů na průnik a ovládnutí OT. Pokud Vás zajímají detaily, dobrým zdrojem informací je třeba tato pravidelná zpráva Dragos OT Cybersecurity.

Relativně nedávno (z pohledu běhu času v OT) legislativa, ale i pojišťovací společnosti zaznamenali zvýšené ohrožení OT. Důvody jsou pochopitelné. Na rovinu – v IT jde obvykle jen o peníze. Když nějaké systémy vypadnou, maximálně se zastaví ekonomické procesy firmy a bude to stát peníze. Když to hodně zjednodušíme, tak v OT jde o řízení fyzických procesů, nikoli ukládání objednávek do databáze a posílaní emailů. Změnou parametrů nastavení výrobních procesů, odstavením výrobních bezpečnostních procesů nebo odpojením řízení a kontroly se mohou odehrát scénáře, které ohrožují životy, zdraví nebo životní prostředí. To není strašení, to je bohužel realita. Proto norma NIS2 přináší jasné požadavky na „zabezpečení průmyslových, řídících a obdobných technických aktiv“. Před výzvou však nestojí jen povinné osoby a jejich aktiva dle NIS2. Proto například pojišťovací společnosti nově zahrnují do svých dotazníků pro pojišťování firem i sekci ohledně průmyslové automatizace, a hlavně jejího zabezpečení.

Každý dnes hovoří o NIS2. Pro nás to rozhodně není zásadní argument. Ale když se podíváme na NIS2 specificky, tato norma z pohledu OT požaduje následující:

Provést analýzu rizik a dopadů a využívat nástroje a zavádět bezpečnostní opatření v oblasti OT/ICT pro:

• Omezení fyzického přístupu
• Omezení oprávnění
• Segmentaci sítě
• Omezení vzdáleného přístupu a správy
• Ochranu před využitím hrozeb a zranitelností
• Zálohování a obnovu aktiv

Představte si, že jste pověřeni zajistit Vaši firmu proti rizikům. Dokážete na následující dotazník dát jasné odpovědi? Tohle je výsek části dotazníku před sjednáním firemního pojištění…