V průběhu letošního roku bude Česko implementovat do své legislativy evropskou směrnici o kybernetické bezpečnosti NIS 2. Ta se nově vztahuje také na řadu výrobních firem a zavádí osobní zodpovědnost jejich nejvyšších představitelů. Kybernetická bezpečnost ve výrobě ale má určitá specifika a liší se od kyberbezpečnosti běžných IT systémů. Zásadní rozdíl spočívá třeba v tom, že výrobu často nelze okamžitě zastavit. Buď to neumožňují samotné technologie a stroje, nebo jde o provoz zásadní pro zajištění nezbytných potřeb obyvatel.
„Zkuste si představit, jak dlouho by vaše firma dokázala fungovat bez dodávek energií, odvodu splaškových vod anebo bez dopravy? Dodavatelé jsou pod velkým tlakem udržet provoz za každou cenu v chodu. Proto je potřeba zavádění jakýchkoliv nových technologií, instalace bezpečnostních záplat nebo dalších programů dopředu velmi pečlivě naplánovat na dobu odstávky,“ vysvětluje Miroslav Kuric, odborník pro oblast digitalizace výrobních podniků ze společnosti Siemens.
V mnohých průmyslových podnicích navíc fungují stroje i desítky let a instalovat antivir na stroj třeba dvacet let starý je téměř nemožné. „Zároveň se u těchto technologií jedná o zásadní investice, často jsou stroje součástí kompletní linky, kterou by bylo nutné celou vyměnit. Hledají se proto vždy řešení na míru konkrétnímu provozu,“ konstatuje Kuric.
Kybernetickou bezpečnost ve výrobě musí řešit technolog, ne ajťák
Pokud samotný stroj nelze zabezpečit proti útoku, je třeba ho zajistit tak, aby útok ze stroje nikam dál nepokračoval. K tomu je obvykle nutná úzká spolupráce technologa, který zná daný stroj a technologii výroby, a experta na kyberbezpečnost. Ví, v jakém okamžiku lze výrobu zastavit a kdy naopak je nutné nechat linku běžet, díky tomu může přicházet s návrhy na vhodné načasování potřebných prací. Zároveň zná limity jednotlivých strojů i celé technologie a tím nastavuje mantinely, ve kterých má expert na kyberbezpečnost hledat řešení.
„Existují řešení i pro velmi staré stroje běžící na zastaralých operačních systémech, pro které už není k dispozici aktuální verze softwaru. Sahá se po hloubkových opatřeních, takový výrobní stroj je možné například oddělit od ostatních anebo ho zabezpečit zvenčí, například uzamčením portů,“ říká Miroslav Kuric. V Siemensu se otázkám kybernetické bezpečnosti ve výrobě věnuje denně a podotýká, že klíčové je sestavit tým, který rovnovážně naslouchá odborníkům z IT i výroby.
Implementace směrnice NIS 2 si vedle technických a organizačních změn vyžádá také pozornost věnovanou lidským zdrojům. Pro optimální zavedení prevence kybernetických hrozeb ve výrobě je vhodné sestavit tým v čele s odborníkem, který zodpovídá za kybernetickou bezpečnost výroby, úzce spolupracuje s experty na kyberbezpečnost IT a zároveň je garantem celé koncepce. Důležitou osobou je pak expert na řízení kybernetických rizik, kterým může v některých případech být i externí specialista.
Trutnovský závod lídrem v kyberbezpečnosti
Průkopníkem mezi českými výrobními závody, který se otázkami kyberbezpečnosti výrobních provozů detailně zabývá již řadu let, je Siemens nízkonapěťová spínací technika Trutnov. „Problematice rozdílu mezi operačními a informačními technologiemi se u nás věnujeme od vzniku oddělení Digitalizace v roce 2019,“ říká Lukáš Adamec, ředitel závodu. Podnik se zaměřuje na výrobu elektromechanických spínacích a signalizačních prvků, elektronických spínacích přístrojů a relé a na osazování plošných spojů.
„Vzhledem ke kladeným požadavkům, zodpovědnostem a požadovaným expertizám na výrobní zařízení se nám velice osvědčilo striktní rozdělení týmu na část IT a na část OT. Tyto týmy však spolu úzce spolupracují, aby si vzájemně sdílely svá know‑how, získané zkušenosti a best practice,“ doplňuje Adam Petráč, vedoucí oddělení Business Excellence v trutnovském závodě.
Podle jeho slov došlo k výraznému zvýšení povědomí a vnímání kybernetické bezpečnosti mezi technickými pracovníky na pracovištích. Závod pravidelně prochází bezpečnostními audity a od auditorů dostává pozitivní zpětnou vazbu. Velký důraz klade vedení i na vzdělávání všech zaměstnanců o kybernetické bezpečnosti. „Největší překážkou přitom bylo rozdělit jeden tým na dvě samostatné části a tím změnit zaběhnutý standard ve výrobní společnosti. Dnes už vše funguje tak, jak má, oba týmy skvěle spolupracují a my jsme hrdí na aktuální stav kybernetické bezpečnosti v závodě,“ dodává Adam Petráč.
Podle Lukáše Adamce stojí za odvedenou prací jejich interní tým. Ten však zároveň udržuje pravidelný kontakt s expertním týmem z centrály Siemens, aby získával korporátní znalosti a těžil i ze zahraniční zkušenosti nadnárodní firmy. „Je přínosem, když jsou lidé v týmu interní, protože znají lokální ekosystém. K sobě si pak mohou přizvat externí odborníky, kteří pomohou s nastavením koncepce, vyhodnocením rizik a implementací technických řešení,“ říká Miroslav Kuric. Vždy je však podle něho nezbytné externího konzultanta pečlivě prověřit a ujistit se, že je expertem na kyberbezpečnost ve výrobě, nejen v oblasti IT. A také myslet na to, že mu budou svěřena extrémně citlivá data.
Koho se směrnice týká
Evropská směrnice NIS 2 začala platit 27. prosince 2022. Jejím cílem je snaha dosáhnout vysokou obecnou úroveň kybernetické bezpečnosti u subjektů v rámci EU a zlepšit fungování interního trhu. NIS 2 navazuje na aktuálně platnou směrnici NIS a rozšiřuje její platnost tak, že se týká téměř všech výrobních podniků, jako například výroba motorových vozidel, výroba strojů, potravinářství nebo chemický průmysl. Jednotlivé státy jsou povinny do 18. prosince letošního roku implementovat tuto směrnici do národní legislativy.
NIS 2 rozšiřuje rozsah působnosti na řadu dalších oborů. Povinné subjekty dělí do dvou kategorií – Essential a Important. Kategorie nazvaná Essential zahrnuje firmy s ročním obratem přes 50 milionů eur a více než 249 zaměstnanci. Kontrola naplnění požadavků bude probíhat několika způsoby jako inspekce na místě, vzdálená supervize, náhodné kontroly a pravidelné audity. Při porušení povinnosti hrozí pokuta do výše deset milionů eur nebo dvě procenta celkového celosvětového ročního obratu. Podniky v kategorii nazvané Important, na které se bude vztahovat směrnice NIS 2, mají roční obrat nad 50 milionů eur a více než 50 zaměstnanců. Kontrola bude probíhat formou inspekce na místě a vzdálenou supervizí po incidentech. Pokuty mohou dosáhnout až sedm milionů eur nebo 1,7 procenta celkového celosvětového ročního obratu.
NIS 2 poměrně přísně definuje také osobní zodpovědnost představitelů nejvyššího vedení firem za vzniklé škody. „Dává jim povinnost schválit řízení rizik pro kybernetickou bezpečnost a kontrolovat shodu a stanovuje zodpovědnost za případné nedostatky,“ upozorňuje Miroslav Kuric. Vedoucí pracovníci budou povinně procházet také pravidelným školením kybernetické bezpečnosti a bezpečnostního managementu, včetně znalostí, jak tyto oblasti ovlivňují chod a výstupy jimi řízené firmy.
„Podniky také mají povinnost deklarovat na webu Národního úřadu pro kybernetickou bezpečnost, že se jich NIS 2 týká,“ dodává Kuric. Firmám doporučuje začít se kyberbezpečnosti a NIS 2 věnovat co nejdříve. Příprava včetně zpracování koncepce, sestavení týmu interních a externích odborníků a zaškolení týmu je otázkou přinejmenším několika měsíců intenzivní práce.
Připraveno ve spolupráci se společností Siemens
