Kybernetická bezpečnost je jednou z nejdůležitějších oblastí, na kterou by se firmy měly zaměřovat. A v průmyslu to platí obzvláště, protože s postupným pronikáním IoT do výroby výrazně vzrůstá i riziko útoků, zejména v podobě ovládnutí a paralýzy strojů či úniku klíčových dat z firemních serverů.
„Určité subjekty jsou vázány kybernetickým zákonem, avšak zejména pro zabezpečení řídicích systémů je vhodnější aplikovat mezinárodní standard IEC 62443, který dokáže pokrýt celý dodavatelský řetězec,“ míní Michal Hager, vedoucí laboratoře kybernetické bezpečnosti EZÚ.
Kybernetický zákon vychází ze standardu ISO/IEC 27001, v čem je tedy rozdíl mezi ním a mezinárodní normou IEC 62443? Rozdílů je několik a jako jeden z větších bych určitě zmínil působnost. Kybernetický zákon totiž působí šířeji než jen na průmysl, míří primárně do státní správy a na kritickou infrastrukturu. Další rozdíl je v tom, že zákon je zaměřen lokálně na Českou republiku, kdežto standardy jsou celosvětově uznávané a dostávají se do popředí i v oblasti průmyslu. Rozdílné je také zacílení, protože zákon míří pouze na organizace, a to i když se mluví o systémech, kdežto u norem jsou požadavky vztaženy k procesům, produktům a službám, které organizace poskytuje. Takovou službou může být integrace řídicího systému u koncového zákazníka a také jeho údržba. Se standardem IEC 62443 se však zákon sám i Vyhláška o kybernetické bezpečnosti č. 82/2018 Sb. v určitých oblastech naopak protíná, jsou v něm o zmínky o průmyslových řídicích a obdobných systémech.
Znamená to, že standard IEC 62443 je pro potřeby průmyslu vhodnější? Z určitého pohledu by se to tak dalo říci. Pod tímto označením se totiž neskrývá jen jedna norma, jsou jich tam desítky. Jde vlastně o celou rodinu norem. Část z nich se zabývá definicemi pojmů a popisem toho, jak celá rodina norem a jednotlivé části fungují. Další skupina je zaměřena na procedury, tedy popisy procesů, které je třeba aplikovat ve společnostech, aby bylo dosaženo kybernetické bezpečnosti. Následuje část, která míří na produkty — velké řídicí systémy —, a poslední balík se zaměřuje na komponenty, ze kterých se ty systémy skládají. A definuje bezpečnostní požadavky jak z pohledu procesu bezpečného vývoje, tak i z pohledu produktu, tedy jeho technických specifikací.
Pokud by výrobní firma uvažovala o certifikaci, kterou částí by měla začít? Koncový zákazník z oblasti průmyslu by měl začít s částí IEC 62443-2-1, Requirements for an IACS security management system. Tato část se v současnosti nachází v aktualizačním procesu. Předpokládané datum publikace verze 2.0 je 24. 10. 2021. Právě ona vlastně klade požadavky na dříve zmiňovaný dodavatelský řetězec. IEC 62443 tedy opravdu dokáže pokrýt celý dodavatelský řetězec od systému (IACS) přes jeho komponenty po služby. Důležitým specifikem certifikačního schématu k IEC 62443 je, že lze selektovat ze standardu relevantní (aplikovatelné) požadavky, není nutné jej aplikovat v celé šíři. Je to z důvodu toho, že portfolio produktů je velmi různorodé. Výběr aplikovatelných požadavků je právě jedním z prvních kroků realizovaných při certifikačním řízení. V certifikačním schématu, což je dokument, který určuje, jakým způsobem se přistupuje k certifikaci, jsou také pro procesně zaměřené části IEC 62443 stanoveny takzvané úrovně vyspělosti, tedy stupně toho, jak jsou požadavky plněny. Například druhá úroveň vyspělosti počítá s tím, že má firma dokumentované teoretické postupy, jak požadavky naplňovat. Třetí úroveň znamená, že se tyto postupy už použily v praxi, a tomu musí odpovídat i předávané podklady v rámci certifikačního řízení.
Jak dlouho může certifikační proces trvat? To je různé. Většina firem už má určité standardy nastavené. Sice třeba nenaplňují vše, ale rozhodně nezačínají od nuly. Dosáhnout certifikace na úrovni vyspělosti tři by v těchto případech trvalo řádově měsíce, maximálně půl roku. U firem, které se zatím plněním standardů kybernetické bezpečnosti příliš nezabývaly, se bude jednat zhruba o dvojnásobek. Vždy ale bude záležet na rozsahu posuzování, na rozsahu požadavků, které si společnost zvolí. Dá se začít s úrovní vyspělosti dva, tedy si nejprve vůbec nastavit procesy, vytvořit dokumentaci a teprve poté přejít k úrovni vyšší, která už počítá s praktickým využitím těchto procesů.
Vůči jakým hrozbám standard IEC 62443 subjekty chrání? Z obecného pohledu si to si může určit každá firma sama. Produktově zaměřené normy z IEC 62443 definují čtyři úrovně (security levels). Organizace by měla přemýšlet o tom, jakou ze čtyř úrovní zabezpečení potřebuje produkty chránit a jaký typ hrozeb je pro ně relevantní. Například třetí úroveň už počítá s tím, že útočníci používají sofistikované metody a nástroje, u čtvrté úrovně můžeme hovořit už o (cizím státem) organizovaných útocích na kritickou infrastrukturu. Právě zde se nám to prolíná s kybernetickým zákonem, tedy ochranou České republiky a její kritické informační infrastruktury (KII). Konkrétně v průmyslu nyní hodně dochází k propojení bezpečnosti a kybernetické bezpečnosti (safety a security), protože s nástupem Průmyslu 4.0 dochází k automatizaci a aplikaci IoT. Mnoho strojů a zařízení je připojeno do internetu a tím se mohou při špatném zabezpečení stát vstupní branou pro útočníka. Pro průmysl jsou tedy rizikové právě i hrozby mířící na stroje a zařízení používané ve výrobě, jelikož mohou v konečném důsledku ohrožovat i lidský život. Pokud by došlo k ovládnutí stroje, mohlo by to mít fatální následky i pro jeho obsluhu. Velkým rizikem zůstává samozřejmě i ztráta dat, a to zejména těch citlivých. Může se jednat o osobní údaje, ale i o data, která jsou předmětem průmyslového vlastnictví.
Má tento standard definované postupy, jak kritická data chránit? Touto otázkou míříme spíše k organizaci, tou se zabývá Zákon o kybernetické bezpečnosti a norma ISO/ /IEC 27001, která definuje požadavky na systém managementu bezpečnosti informací. Spíš bych řekl, že se obě normy dobře doplňují, a když se aplikují správně, měl by být podnik velmi dobře chráněn před kybernetickými útoky. I když samozřejmě stoprocentní bezpečnost neexistuje. Berme to ale tak, že je to stavba mnoha bariér, které už je opravdu těžké a/nebo příliš nákladné překonat. Navíc, hodně útoků paradoxně nebývá realizováno zvenčí, ale zevnitř organizace. Přičemž vůbec nemusí jít o úmysl, spíše o nedbalost. Správná integrace postupů podle norem věnujících se kybernetické bezpečnosti dokáže mnoha takovým bezpečnostním incidentům zabránit.
Typickým interním útokem může být třeba náhodně zapomenutý flash disk s lákavým názvem na frekventovaném místě, případně malá obezřetnost při otevírání e-mailů. Jak mohou normy zabránit útokům, které jsou iniciované takovouto léčkou a spoléháním se na lidskou zvědavost? Jsou k tomu dvě cesty. Můžete jednorázově aplikovat nějaké organizační opatření, postupy, jak se mají zaměstnanci chovat, případně (což je účinnější) zaměstnance pravidelně proškolovat. Je potřeba, aby věděli, jaké důsledky mohou mít jejich neúmyslné, ale škodlivé kroky. Druhou rovinou jsou technická opatření. Lze třeba zablokovat (automatické) otevírání externích disků a USB klíčenek na firemních počítačích a podobně.
Zmiňuje standard IEC 62443 nějaké konkrétní metody, jakými je možné zabezpečení řešit? Ne, žádná z norem z této rodiny nehovoří konkrétně, jsou obecného charakteru. Vyžadují určité zabezpečení, ale neříkají, jak k němu má subjekt dojít. Nejen, že by nebylo dobré metody taxativně vyjmenovávat, ale v této oblasti hodně záleží na tom, jak firma funguje, jaké na ni působí hrozby a rizika. Ona sama musí vědět, jaké metody zvolit, aby v jejím prostředí zabezpečení fungovalo. Normy slouží jen jako vodítko k tomu, nač se mají soustředit. Jednou z mnoha možných strategií je například sandboxing a zajímavým mechanismem je i honeypot, který simuluje operační systém a dovoluje útočníkovi přihlásit se přes SSH nebo telnet a provádět různé operace. Administrátoři mohou toto všechno v reálném čase sledovat a následně analyzovat. CZ.NIC dokonce v této oblasti spustilo výzkumný projekt — Honeypot as a service — který podpořila Technologická agentura ČR v rámci 2. výzvy programu Delta.
Definuje norma nějakou lhůtu, po kterou je certifikát platný? Péče o bezpečnost zařízení, služeb i produktů samozřejmě vyžaduje pravidelnost a dlouhodobost, ale norma žádnou lhůtu nestanovuje. V certifikačním schématu vydaném mezinárodní organizací IECEE, k němuž se EZÚ přihlásilo, nemají certifikáty žádnou platnost. Jsou vydané ke dni posouzení a jsou vztaženy k určitému produktu, službě či procesu, u kterých je identifikována konkrétní verze. Celý mechanismus je založen na tržním fungování. Firma bude sama cítit potřebu certifikaci obnovovat i k dalším verzím produktu, protože to budou vyžadovat její zákazníci a partneři. Proces certifikace už v takovém případě nemusí absolvovat celý, jde zejména o aktualizaci podkladů, zaměření na změny. Při dodávkách velkých řídicích systémů je vyžadována detailní dokumentace a zákazníci se nespokojí pouze s obecným a veřejně dostupným certifikátem. Budou vyžadovat předložení kompletní zprávy z posouzení. Tam uvidí, jaké požadavky organizace plní a jakým způsobem. Ve světě ovšem existují i jiná certifikační schémata, ta mohou ke stejným normám přistupovat jiným způsobem, takže mohou stanovovat například i povinnost absolvování ročních dohledů. /Kristina Kadlas Blümelová/
