Soitron s.r.o.

Lukáš Smelík: O tom, že digitalizace přináší spoustu pozitivního, rozhodně bude většina programů Smart Industry 23 a 24. 10. v Pardubicích. Nicméně, když přichází něco nového, něco pozitivního, tak někdy přijde i to negativní. A ve světě digitalizace to negativní je stále častěji spojeno s kybernetickými hrozbami. A právě kybernetická bezpečnost je tématem, kterému se věnuje společnost Soitron a stejně tak i její zástupce Zbyszek Lugsch. Byl bych rád, kdybychom si ty hrozby kybernetické a nejenom ve světě IT, ale zejména v OT, tedy v provozní technice trošku nakousli a nechceme strašit, ale bylo by dobré, abychom ukázali, že ta digitalizace opravdu má i nějaká úskalí a třeba i jak to řešit. Takže můžeme na to?

Zbyszek Lugsch: Děkuji určitě. Ano, digitalizace s sebou přináší jedno velké riziko a to je to, že vlastně spousta asetů, které společnosti doteďka drželi, řeknu, v papírové podobě. Přechází do té digitální podoby, která může být zranitelná pomoci různých kybernetických hrozeb. Ten OT svět je specifický v tom, že doteďka se hodně všechny společnosti zaměřovaly na ochranu té klasické části IT, ne té OT. A v mnoha případech v tom OT světě vlastně nejsou dodržované ty základní pravidla, které je potřeba dodržovat z hlediska kybernetické bezpečnosti. Tudíž paradoxně ten OT svět je v mnoha případech velmi zranitelný. A s mírou digitalizace dochází k tomu, že se propojují ty dva světy. Je to logické, protože chceme pro řízení těch firem využívat data, které v tom světě vznikají a propojují se s těmi systémy, které jsou v tom klasickém backofficeovém nebo IT světě. No a tím pádem vlastně přináším ten otevřený a nezabezpečený svět, který mám v OT a připojuju ho do toho IT prostředí. Takže vlastně otevírám vrátka do prostředí, které není úplně zabezpečené.

Lukáš Smelík: Jak na to pohlíží samotní lidé v provozu? Já se setkávám s tím, že často, hrají na to, že chtějí nasazovat systémy, chtějí být více digitalizování, různé ERP, CMMS, systémy, ale pak přijde bezpečák a všechno, co jde do cloudu nebo cokoli, tak jim zatrhne. A pak mě právě přijde, že taková paradoxní situace, že by se chtělo digitalizovat, ale právě z důvodu těch kybernetických hrozeb se to neděje.
Jak na to pohlížet na tu digitalizaci touhle optikou a třeba nebát se, ale přijít na to, jak zabezpečit. Tak jak teda zabezpečit, že můžu digitalizovat s klidným svědomím?

Zbyszek Lugsch: Já bych se na to podíval trošku jinak. Ono to není tak, že by se nedigitalizovalo. Ono se někdy digitalizuje hodně živelně a nemyslí se na to a pak přicházejí ti bezpečáci a ukazují na ty díry, na to riziko, které tam je. To znamená, my zastáváme názor, že prostě společnosti než se pustí do nějaké masivnější digitalizace a propojování toho OT a IT světa, tak aby se zaměřili nejprve na to nastavení správné kybernetické bezpečnosti i v tom OT světě a až potom se pouštěli do těch digitalizačních procesů. Může to znít paradoxně, ale z druhé strany – pokud si to prostředí dobře připravím, tak pak nikdo není překvapený. Ani ti lidé, vlastníci těch procesů, ani ti bezpečáci, protože jsou tak nějak sladěni. To je pohled, který se my snažíme v podstatě razit a myslím si, že spousta zákazníků už to začíná chápat. Co je spíš jako větší problém, je to, že do toho světa začínají, no, se vlastně propojujeme se systémy, které vlastně jsou jako blízko IT, ale nejsou IT, což jsou právě lidi, kteří programují PLC, jsou to ty takzvané ASŘ, bývalé, automatické systémy řízení a tak dále. Byť to je svět sám pro sebe, hodně uzavřený, který se na to dívá takovým jako způsobem. Nešahejte nám na to, my nám to funguje doteďka, ale vlastně z druhé strany jsou tam velmi cenné data, které jsou důležité pro řízení dneska té společnosti z pohledu digitalizace. A tam si troufnu říct, že dneska dochází asi k největším střetům, kdy ty týmy mezi sebou začnou bojovat a bývá někdy těžko jako najít tu společnou řeč. A my se snažíme vlastně v těch projektech na to jít trošičku z opačné strany. Nejprve těm lidem vysvětlit, jak by to mělo celé vypadat, získat na tu stranu v podstatě i ty lidi z toho řízení, z toho provozu a až pak v podstatě připravovat ty digitalizační projekty a stavět nějak ty systémy, tak aby dávaly smysl. Takže já si troufnu říct, že když se to správně uchopí, tak jako nedochází k těm bojům uvnitř, ale spíš hledání nějakého možného.

Lukáš Smelík: Jak si to mám v praxi představit? Když si vezmu kybernetické hrozby ve světě IT, vidím viry, vidím možné průniky hackerů, ale jak to funguje, když třeba se mi nahackuje skrz zařízení typu robot v průmyslu? Je to opravdu taková hrozba, že skrz toho nezabezpečeného robota mi může napadnout celý systém? Jak se to děje v praxi?

Zbyszek Lugsch: Já bych jako první věc řekl, že většina útoků, které se dneska odehrávají, nejsou cílené útoky. Je to výsledek nějakých kampaní, které vlastně jako míří plošně a hledají, kde je něco zranitelného. Málokdo je tak zajímavý pro toho útočníka, aby se soustředil pouhled na toho jednoho zákazníka a snažil se najít klienta nebo cilovou skupinu a snažil se najít. To je většinou spíš v jiné úrovni než u průmyslových podniků, ale dochází v podstatě k plošným kampaním, kdy se vyhledávají zranitelnosti a ta zranitelnost může být přesně to, že je nějaké PLC, nějaký robot nezabezpečený a vlastně ten útočník najde to nezabezpečené zařízení a pak když ho najde, tak už začíná zkoušet různé metody, jak se přes něho dostat. Když se dostane dovnitř, tak jsou v podstatě dvě možnosti. Ano. Jedna z možností je převezmu to zařízení a když ho převezmu to zařízení, tak můžu zůsob způsobit škodu. To dělám tehdy, když chcu někomu uškodit. Ale většina těchto kampaňových záležitostí není za účelem někomu uškodit. Většina těch kampaní je za účelem vydělat. Je to byznys. Prostě dneska hackerský svět v podstatě obrovský byznys a je to dneska i třeba z pohledu pojišťovacích společností vnímané jako jedno z největších rizik na stejné úrovni pomalu jako globální hrozby. A ve chvíli, kdy pronikne, tak on se snaží ne využít té zranitelnosti k tomu, aby převzal toho robota, ale ublížil té společnosti tak, aby mohl na tom vydělat, aby jim mohl vydírat. Ransomware zašifruje to prostředí. A začne v podstatě normálně klasické vydírání, které z médií všichni znáte a klasická otázka platit nebo neplatit, mám zálohy, nemám zálohy a tak dále. Takže za mě, když se k tomudle takhle postavíme, ten robot nebo to nezabezpečené prostředí je většinou jenom prostředek k tomu, aby se dostal do té společnosti a aby způsobil škodu, na které může následně vydělat a vydělá tím, že začne vydírat.

Lukáš Smelík: Mně se líbí pár věcí, které tady teďka zazněly. První je, že často firmy říkají, já nejsem ničím zajímavý, nevím, proč by mě zrovna někdo napadl. Tady jako zaznělo, že to opravdu není otázka jestli, ale spíše kdy. Ale ta druhá nezodpovězená otázka je, jestli teda zaplatit. Já jsem slyšel častější názor, neplatit nemá to smysl. Na jaké straně jste vy?

Zbyszek Lugsch: Zrovna včera na jedné akci padla tahleta otázka a my zastáváme názor jednoznačně neplatit, ale vždycky je to ale a to je to, jestli máte jiné východisko, to znamená, jestli jste na to byli dostatečně připraveni a jestli ten zákazník měl má dneska východisko vlastně jiné než zaplatit, protože ve chvíli, kdy o všechno přijdete, nemáte zálohy, nevíte, jak vlastně restaurovat, tak prostě se dostanete do existenčního rozhodování, tak jestli nezaplatím, tak to můžu zavřít. ten byznys nebo mě to na půl roku odstaví nebo něco takového. To znamená principiálně platí otázka neplatit, protože tímhle jenom podporujete tenhleten byznys, ale být připravený na to, že se do téhleté situaci můžu vždycky dostat a mít připravené východisko, jak zní ven, bez toho, abych musel zaplatit. A ve finále si troufnu říct, že ti, kteří museli nakonec zaplatit, to bylo jenom výsledek toho, že na to nebyli připraveni. To znamená, že nepracovali s tou variantou, že se do té situace jednou můžou dostat.

Lukáš Smelík: Když vezmu ty nejčastější hrozby, které v té firmě v průmyslovém podniku mám, je to pořád a často skloňovaný člověk, který je ta největší hrozba, nebo toho je víc a nedá se toho paušalizovat pouze na toho člověka, který přijde s nezabezpečenou flashkou, nahraje to do toho PLC a už to jede.

Zbyszek Lugsch: Ten člověk je na začátku a na konci jako vlastně všech těch vektorů útoku. Tím chci říct, že paradoxně to nemusí být ta fleška a ano, ten je ten nejvíc skloňovaný a ten nejčastější vektor, ale v podstatě, když si vezmem, že člověk, který je zodpovědný za chod nějakých systémů v té společnosti a nezabezpečí prostředkama to, aby někdo nemohl zneužít zranitelnosti, tak je také zodpovědný za ten útok. To znamená ve finále je to zase ten člověk. Je to ten, který zodpovídá za to. A není to ten, kterej udělal tu chybu, že si vzal někde položené USB nebo prostě něco takového, ale je to ten, který prostě neudělal ty kroky vedoucí k tomu, aby na to byl připravenej. Takže reálně ano, ten největší průšvih je ten člověk, ale v mnoha případech je to postavené o tom, že v podstatě neplnil nebo nedělal to, co by měl dělat. To znamená, nemyslel na ty varianty, ke kterým může dojít.

Lukáš Smelík: A teďka co teda jako takový třeba výrobní ředitel s kým mám dělat? Já chápu krok číslo jedna. Koupíte si vstupenku na Smart Industry do Pardubic. Krok číslo dvě přijde za Soitronem a krok
číslo tři bude co, co udělá.

Zbyszek Lugsch: To se nedá jako úplně paušalizovat, co má udělat. První věc, co si myslím, že by každý měl udělat, je to uvědomit si to, co jsem řekl tady během těch pár minut. to, že může být cílem jakéhokoliv útoku a měl by na tohleto myslet a vlastně připravovat se na ten možnou situaci, když to nastane, protože kybernetická bezpečnost vlastně je jenom o snižování rizika. Ne, nikdy ho neeliminujete na nulu, nejde to prostě z principu věci. Všechny systémy mají nějaké chyby, které jsou nějak v čase objevovány. To znamená, vy se celou dobu vlastně připravujete na to a snižujete to riziko, že to může nastat. To znamená za mě každý, kdo to myslí vážně a kdo si uvědomuje tohleto riziko, by měl hledat cesty, jak být na tuhletu situaci připravený. A vlastně je to jako se vším, na co máte být připraveny. Měl by to i trénovat. To znamená reálně dneska společnosti, které to myslí vážně, tak vlastně fakt dělají reálně interní tréninky, jak reagovat na takové situace, protože některé kroky můžou být
nevratné, když je někdo udělané uváženě. To znamená ten výrobní ředitel, když to takhle vezmu, pokud si uvědomuje tohleto riziko, že může být se dostat jednou do té situace, to ne, že může být cílem, ale že se do ní může dostat, tak by měl v podstatě mít připravené postupy a měl by pracovat se svým týmem, se svýma interníma lidma, kteří zodpovídají za ty jednotlivé části na to, jak se zachovat v takové situaci a jak jí předcházet té situaci, tak aby se do ní nedostal a nebo když se dostane, tak věděl, jak jak v tu chvíli reagovat. To je podle mě dneska alfa omega toho, jak být připraveny k tomu, aby ty kybernetické hrozby i minimalizovaly rizika nebo spíš dopady na tu společnost.

Lukáš Smelík: Já vás děkuji. Je vidět, že z kybernetických hrozeb se můžete bát, ale neměli byste mít strach digitalizovat. Já myslím, že k té digitalizaci vede cesta skrz konferenci Smart Industry. A pokud byste přece jenom měli ty obavy z kybernetické bezpečnosti v rámci digitalizace, bude tam s námi Soitron, bude tam s námi Zbyszek Lugsch a můžeme probrat i tyto obavy a pustit se směrem k bezpečné digitalizaci. Moc děkuju za toto povídání.

Zbyszek Lugsch: Já děkuji.