leden/únor 2022 | A-Z ELEKTRO | 75 KYBERNETICKÁ BEZPEČNOST Rockwell Automation s.r.o. Argentinská 1610/4, 170 00 Praha 7-Holešovice Tel.: +420 221 500 111 E-mail: raczecontact@ra.rockwell.com www.www.rockwellautomation.com „Osvědčené postupy kybernetické bezpečnosti jsou u provozních technologií velmi odlišné od těch v IT. Neuplatňují se stejné nástroje, nepoužívají se normy.“ Angela Rapko regionální viceprezidentka služeb životního cyklu ve společnosti Rockwell Automation a vlastníky aktiv nebo koncové uživatele. Zabývá se tím, jaké technické bezpečnostní kontroly je třeba zavést do produktů nebo řešení, jako jsou např. správa hesel, digitálně podepsaný firmware a vedení protokolů auditu. Další důležitý aspekt požadavků normy řeší životní cyklus vývoje zabezpečení, nebo procesy vývoje zabezpečení. „To popisuje, jak vyvinout produkt, jak navrhnout řešení a zajistit, aby to, co děláte, bylo vybudováno od základů. Nemůžete kybernetickou bezpečnost přidat až na konci,“ říká Shoshana Wodzisz. Ted Haschke hovořil o hodnotě certifikací prováděných třetími stranami pro kybernetickou bezpečnost, které provádějí společnosti jako TÜV Rhineland. „Akreditované certifikace třetí stranou, které vydáváme, dávají těmto certifikátům stabilitu,“ řekl Haschke. Společnosti jako Rockwell Automation každoročně podstupují audit, aby bylo zajištěno, že dodržují správné procesy a testovací postupy. TÜV Rhineland poskytuje také certifikace kybernetické bezpečnosti na produkty i řešení. Dosažení certifikace není snadné, řekla Shoshana Wodzisz, a stále více je to něco, na co se zákazníci v průmyslu ptají. Normy požadují, aby společnosti používaly principy z praxe, správné metodologie zabezpečení a testování. Musí rozumět a identifikovat, jaké hrozby pro jejich produkty nebo řešení existují, aby tato slabá místa řádně ošetřily. Certifikace pak slouží k ověření splnění požadavků norem. Normy poskytují určité vodítko, ale mnoho společností se stále topí v tom, kde a jak začít. Haschke zjistil, že největší slabinou v úsilí společností o kybernetickou bezpečnost je otázka, jak správně posoudit rizika a přesně určit, jaká by měla být použitelná úroveň zabezpečení pro jejich produkty nebo systémy. Angela Rapko zopakovala, že největší výzvu spatřuje v získání přesné inventury aktiv, aby společnosti porozuměly svým rizikům. Strategie povědomí o rizicích, opakovatelné a adaptivní strategie Aby pomohla společnostem začít, poskytla Angela Rapko rychlý, ale podrobný nástin minimálních kroků potřebných k vytvoření programu kybernetické bezpečnosti, včetně tří úrovní strategie. Nejprve by společnosti měly přijmout strategii povědomí o kybernetických rizicích, která představují naprosté minimum, včetně základní úrovně pochopení rizik společnosti a minimální úrovně kontrol. „To pro případ, že máte omezený kapitál nebo omezené prostředky, které můžete zpočátku utratit, ale chcete alespoň začít,“ řekla Angela Rapko. Dalším krokem je opakovatelná kybernetická strategie, která zahrnuje komplexnější stanovení norem a postupů v celé organizaci. „Většina programů nebo příležitostí v oblasti kybernetické bezpečnosti je skutečně řízena shora dolů napříč organizací,“ řekla Rapko. Vedení společností se snaží spíše o konzistenci mezi jednotlivými závody než o strategie jednotlivých závodů. V této fázi potřebují společnosti více investic do modernizace a aktualizace sítí a zajištění toho, aby byla zmírněna rizika u nejvíce ohrožených aktiv. Poslední fází je adaptivní kybernetická strategie. „Zde nejen posoudíte a zmírníte své riziko, ale zavedete také kontroly řízení a monitorování hygieny kybernetické bezpečnosti,“ řekla Angela Rapko. Tento krok také zahrnuje vyhodnocení schopnosti vašich pracovníků zvládnout operace kybernetické bezpečnosti interně. Nové trendy v oblasti kybernetické bezpečnosti Pandemie COVID-19 zvýšila potřebu vzdáleného přístupu a odhalila další obavy ohledně kybernetické bezpečnosti. Nejen, že společnosti rozšiřují možnosti vzdáleného přístupu, ale mnoho společností také vyhodnocuje řešení, aby zajistily, že správní lidé budou mít přístup ke správné infrastruktuře, řekla Angela Rapko. Zájem o normu 62443 a certifikací třetí stranou se projevil nejprve v ropném a plynárenském průmyslu následovaném farmacií, nicméně otázky ke kybernetické bezpečnosti si začíná klást stále více průmyslových odvětví, řekla Shoshana Wodzisz. „Zjišťujeme, že zájem se přesouvá i do odvětví potravin a nápojů,“ dodala. „Bezpečnost je zásadní a v dnešní době se bezpečnost a zabezpečení stále více přibližují, přičemž výsledkem je funkční bezpečnost a bezpečnost produktů,“ řekla. „Jsme svědky sbližování těchto dvou aspektů, protože jsou na sobě tolik závislé.“ Vzhledem k tomu, že rizika kybernetické bezpečnosti pro průmysl stále rostou, musí výrobci rozumět normám a následně i svým vlastním rizikům. Se správnými nástroji, postupy a partnery mohou společnosti naléhavou potřebu řešení kybernetické bezpečnosti zvládnout. Ospolečnosti Rockwell Automation Společnost Rockwell Automation Inc. (NYSE: ROK), je globálním lídremv oblasti průmyslové automatizace a digitální transformace. Propojujeme představivost lidí s potenciálem technologií, abychom rozšířili lidskémožnosti a podpořili tak produktivitu a udržitelnost světa. Společnost Rockwell Automation sídlí vMilwaukee v americkémstátěWisconsin a zaměstnává okolo 24 000 lidí, kteří řeší problémy a starají se o zákazníky ve více než 100 zemích světa. Další informace o tom, jak přivádíme koncept Connected Enterprise k životu napříč průmyslovými podniky, najdete na webuwww.rockwellautomation.com.
RkJQdWJsaXNoZXIy Mjk3NzY=