Digitalizace, automatizace, umělá inteligence, big data, robotizace nebo internet věcí (angl. IoT – Internet of Things neboli síť vzájemně propojených zařízení) – tyto pojmy a mnohé další jsou úzce spjaté s fenoménem Průmyslu 4.0, často označovaného jako čtvrtá průmyslová revoluce. Z technologického hlediska jde ale spíše o zcela přirozenou evoluci spojenou s rozvojem nejnovějších technologií a vysokorychlostním připojením k internetu.
Stěžejním pilířem moderního průmyslu budou tzv. chytré továrny postavené na vzájemně propojených strojích, úložných a logistických systémech a dalších technologických zařízeních. Sběr dat, jejich průběžné vyhodnocování a vzájemná komunikace jednotlivých zařízení v reálném čase zároveň umožňuje ve fabrikách optimalizovat výrobní procesy, eliminovat nedostatky a pozitivně tlačit na růst produktivity.
S rozvojem digitálních technologií v průmyslu, společně s propojením dříve dvou oddělených systémů – operačních technologií (OT) a informačních technologií (IT), přirozeně roste také riziko různých kybernetických hrozeb. Chytré továrny mohou obsahovat síť desítek, stovek i tisícovek vzájemné propojených zařízení, přičemž každé z nich může představovat potencionální cíl kyberzločinců, skrze který mohou způsobit značné škody nebo se dostat k citlivým firemním údajům (např. zákaznická data, výrobní data, unikátní know-how, designy produktů apod.).
Nicméně s vývojem těchto technologií jde ruku v ruce také důraz na odpovídající kybernetické zabezpečení a benefity plynoucí z automatizace a robotizace tak významně převyšují související rizika. Jaké aspekty je ale třeba zohlednit při modernizaci interních firemních systémů? Jaká plynou rizika z nedostatečného kybernetického zabezpečení? Na co se mají majitelé firem a IT manažeři připravit? Na tyto otázky a mnohé další jsme se ptali Ing. Tomáše Froňka, vedoucího jednotky Factory Automation ve společnosti Siemens Česká republika.
Průmysl 4.0 představuje velkou změnu celé koncepce stavby výroby a členění podniku. Je třeba si uvědomit, že standardní hierarchické členění není pro flexibilní výrobu optimální. Výhodnější je začít stavět celý podnik jako trojrozměrný prostor, kde se díváme v jedné ose na celý životní cyklus výrobku a výroby, v druhé ose na hierarchii podniku od produktu až po propojený svět a ve třetí ose na vrstvy od fyzických objektů až po obchodní procesy. Tuto filozofii hezky shrnuje model RAMI 4.0 (trojrozměrná mapa, která znázorňuje nejdůležitější aspekty Průmyslu 4.0, pozn. red.).
Úplně základní věcí, kterou je třeba udělat, je standardizace. Od standardizace výrobních prostředků, přes informační modely systémů až po standardizaci procesů, jako je třeba komunikace se zákazníkem a marketing. Aniž bychom si „uklidili“ a vše potřebné standardizovali, nemáme šanci se v takto složitém modelu správně orientovat. Navíc ztrácíme efektivitu na úkor flexibility, což ale tak být nemusí.
Velký nárůst zájmu o toto téma vidíme především v posledních dvou letech. Je s podivem, že v ČR většina firem začala napojením výroby na cloudové systémy. Tuto oblast přitom považuji za jednu z nejnáročnějších disciplín, především s ohledem na otázky kybernetické bezpečnosti a nalezení udržitelného obchodního modelu.
Obecně propojení OT a IT představuje naprostou nutnost pro správnou s bezešvou implementaci konceptu Průmysl 4.0. Zároveň také přináší, při dobře promyšlené aplikaci, nejvíce ovoce. Nicméně je třeba dbát na bezpečnost a nalezení správného řešení.
Bohužel není třeba zmiňovat jen hypotetické případy. Například před necelým rokem byla napadena úpravna vody na Floridě. Útočník stokrát zvýšil koncentraci hydroxidu sodného a pokud by si toho operátor včas nevšiml, vedlo by to k otravě pitné vody v celém regionu. Útočníkovi se podařilo dostat do řídicího systému přes nástroj pro sdílení plochy, který si nainstalovali operátoři z důvodu potřeby vzdáleného přístupu během pandemie.
Tento případ velmi dobře ukazuje rizika a možnosti napadení plynoucí z nedostatečného zabezpečení. Zároveň také ukazuje nejslabší článek: lidi. Pokud se budeme chovat odpovědně a přemýšlet nad každým krokem, ztížíme útočníkům práci. Zároveň je také potřeba myslet na vzdělávání v této oblasti a kompetence pracovníků, kteří by měli kybernetickou bezpečnost řešit.
Jeden případ jsem již zmiňoval, druhý, který mě napadá je starší než dva roky. Tady útočník změnil výkresovou dokumentaci dílu v nezabezpečeném úložišti vzorů, který pracovníci používali pro sdílení. Do výroby na obráběcí stroje pak šel program, který díl vyrobil s otvory o pár milimetrů menšími. Na problém se přišlo až na stavbě u koncového zákazníka, kdy do otvorů dílce nešla zasunout čidla. Opět šlo o selhání lidského faktoru.
Co se týká norem, určitě můžeme očekávat jejich legislativní úpravu, aby odpovídaly světu, ve kterém žijeme. Důležité je neusnout na vavřínech a nespoléhat na normy jako na řešení. Dnešní svět běží mnohem rychleji a odpovědnost je na každém z nás. Určitě je dobré mít pravidla a procesy kterými se řídíme, pak i člověk, který úplně nerozumí problematice, pravděpodobně neudělá chybu. Standardizace je tedy opravdu tím nejlepším základem.
Je třeba myslet na uživatelskou přívětivost. Je snadné říct: „zabezpečuji tím, že všechno zakážu“, což byl donedávna trend většiny IT oddělení. Podle mého názoru je velmi důležité myslet na scénáře, podle nichž lidé pracují a nabídnout jim alternativu. Ta musí být uživatelsky příjemná a přívětivá. Lidé pak nebudou hledat zadní vrátka a nebudou se snažit obejít systém. Jakékoliv cesty mimo systém jsou často tou největší hrozbou.
IT a bezpečnost už dávno není vnitrofiremní záležitostí, chovejte se ke svým uživatelům jako k zákazníkům a nabízejte jim nejlepší možnou službu. Uvidíte, že se vám pak odvděčí odpovědným chováním a dodržováním pravidel. Váš podnik bude jako bezpečný a spolehlivý působit i navenek a vaši koncoví zákazníci to ocení.
Ing. Tomáš Froněk, vedoucí jednotky Factory Automation, Siemens Česká republika
Autor: Michael Fanta, šéfredaktor CyberBlog.cz
Foto: Pixabay
Termín zero trust ušel od svého vzniku dlouhou cestu. Z buzzwordu je dnes respektovaný přístup ke kyberbezpečnosti, který v posledních letech implementují firmy po celém světě. V tomto článku si přiblížíme základní prvky zero trustu a důvody proč by měl mít místo v moderním zabezpečení firem a organizací.
Užitečné kvantové počítače zatím nejsou realitou. Společnost Apple však v jednom z největších nasazení postkvantového šifrování přináší tuto technologii do iMessage.
Bankovní trojský kůň Anatsa se zaměřuje na uživatele v Evropě a infikuje zařízení se systémem Android prostřednictvím malwarových dropperů umístěných na Google Play.
S nástupem digitální transformace a rostoucí závislostí podniků na digitálních službách je zabezpečení aplikací a rozhraní API (Application Programming Interfaces) důležitější než kdy dříve. S ohledem na to jsou zabezpečení aplikací a API dvě zásadní součásti komplexní bezpečnostní strategie. Využitím těchto postupů se organizace mohou chránit před škodlivými útoky a bezpečnostními hrozbami a především zajistit, aby jejich data zůstala v bezpečí.
Romantičtí chatboti shromažďují obrovské množství dat, poskytují nejasné informace o tom, jak je používají, používají slabou ochranu heslem a nejsou transparentní, tvrdí nový výzkum společnosti Mozilla.
Pokud jde o zabezpečení přístupu, jedno doporučení vyniká nad ostatními: vícefaktorové ověřování (MFA). Vzhledem k tomu, že samotná hesla jsou pro hackery jednoduchou prací, poskytuje MFA zásadní vrstvu ochrany proti narušení. Je však důležité si uvědomit, že MFA není bezchybné. Lze ho obejít, a často se tak i děje.
Na internetu jste neustále monitorováni. Hlavním viníkem je často reklamní průmysl a technologické společnosti, které jsou na reklamě silně závislé, aby vydělaly peníze ( např. Google a Meta). Na webu vás mohou sledovat neviditelné trackery a cookies vložené do webových stránek a aplikací. Přečtěte si návod, jak se stát více anonymním na internetu.
Minulý rok byl plný ničivých kybernetických útoků po celém světě, od ransomwarových útoků na kasina až po státem sponzorované narušení kritické infrastruktury.
0 Comments