Nejčastější poruchy nebývají na linkách, ale na zařízeních, která se nepodílejí přímo na výrobě

Pokud jste ještě nezachytili naši sérii rozhovorů o pokrokovém projektu v Remosce, je ten nejvyšší čas. Právě čtete totiž jeho poslední díl věnovaný tématu IoT (Internet of Things) s Martinem Hummelem, Industry Solution Architektem. Již víme, že Remoska díky technologické transformaci výroby získala digitalizovaný a zabezpečený IT systém, který zvyšuje její konkurenceschopnost a zachovává kontinuitu produkce. Jak probíhala její průmyslová modernizace z pohledu komunikační a datové infrastruktury či bezpečnosti, jste se mohli dozvědět z předešlých interview s našimi kolegy – IT specialisty na jednotlivé oblasti.

Martine, víme už, že z moderního IoT má Remoska pod svou střechou energetický monitoring, konkrétně plynu a elektřiny. Ty ses podílel na rozjetí tohoto řešení. Můžeš nám k tomu říct něco víc?

Měříme spotřebu plynu a elektřiny na výrobních linkách. Čili nejedná se o centrální měření, ale o měření per technologie na všech strojích. Zahrnuje to sběr dat o spotřebě v 15ti minutových intervalech a tato data jsou zasílána do jejich centrálního systému SCADA, kde jsou vyhodnocována spolu s dalšími daty z výrobního procesu. Celkem jsme implementovali dva vysílače, čtyři plynoměry a sedmnáct elektroměrů, které zabezpečují energy monitoring.

Také jsme řešili monitoring hladiny kondenzátu z kompresorovny. Když se provádí kompresorem stlačený vzduch, tak vzniká jako vedlejší efekt voda a tento kondenzát je odváděn do nádrže. Tu je třeba čas od času vyčerpat, aby voda neprotekla. Takže jsme do nádrže dali plovákový senzor. Jakmile je nádrž naplněna po určitou hladinu, tak to zaměstnance upozorní mailem a oni jdou nádrž vyčerpat.

Co s těmi naměřenými daty? Kam se ukládají a jak se dále využívají?

Data běží na přenosové síti LoRaWAN, přes kterou komunikují všechny senzory. Potom se ukládají na network server, komunikace je šifrována přes protokoly. V network serveru se data přeloží do „lidské řeči“. Odtud jdou do IoT platformy ThingsBoard, kde dochází k jejich ukládání do databáze. Tato platforma je přes centrální API rozhraní propojena se SCADA systémem Remosky. V tomto systému si už Remoska sleduje různé analýzy a reporty.

Soitron zajistil senzorickou část, přenos dat přes LoRaWAN síť, ukládání dat, jejich přetransformování do smysluplné podoby a import dat do systému SCADA.

Co myslíš pod spojením, že „data se přeloží do lidské řeči“?

Dochází k přepočtu na tzn. skutečný objem plynu a spalovací teplo. Čili neměříme, kolik kubíků plynu proteče, ale měříme, kolik kilowatthodin (kWh) energie bylo spotřebováno. Zobrazena je reálná spotřeba plynu v přepočtu na kWh energie. Na vysvětlení uvádím, že různé husté plyny jsou dodávány v různých tlacích. Každá technologie používá jiný typ tlaku. Čím je tlak vyšší, tím je plyn hustší a má vyšší energetickou výhřevnost. My docílíme přepočet na kWh toho, že se nezabýváme kubíky plynu, ale reálně spotřebovanou energií.

Dva muži pracující v továrně u stroje

Plyn je problematický, neboť je výbušný?

Ani ne. Jen jsem tím chtěl říci, že zařízení, která jsme nasadili v Remosce u plynoměrů, jsou konstruována do tzv. potenciálně výbušného prostředí (tzn. Atex zóna 2 pro plyn). Tedy splňují všechny bezpečnostní a požární normy v případě jeho úniku.

Kdybys měl shrnout byznysový přínos pro Remosku, co by to bylo?

V Remosce mají komplexní přehled o spotřebě elektřiny a plynu na konkrétní výrobní linku. Tím, že jsou odběry měřeny přímo na technologii a ne centrálně, tak vědí, jaká je energetická náročnost konkrétního stroje a mohou si vypočítat náklad na výrobu 1 ks, příp. 1000 ks výrobků. Umí přesně kvantifikovat podíl energií na ceně výrobku. Čili když plyn podraží o 100 % a oni vědí, že plyn představuje například 1,5 % z ceny výrobku, tak pak snadno vypočítají, o kolik to navýší cenu jedné kuchyňské mísy. S tím souvisí efektivní plánování výroby a jejich flexibilita. Vidí, kdy stroj běžel a kdy ne a mohou to použít při plánování využití stroje či odstávek. Umí si například spočítat, kdy je ekonomicky výhodnější vyrábět, zda během první, druhé nebo třetí směny.

IoT by možná mohlo být nápomocné i při odhalení nežádoucí nadměrné spotřebě  elektřiny či vody. Nebo se mýlím?

To jistě. Lze tak kontrolovat plýtvání energiemi a identifikovat jisté anomálie ve spotřebě vody či elektřiny. Lze například odhalit únik elektřiny, pokud je některý stroj v zapnutém režimu i při odstávkách mimo pracovní dobu. Případně, pokud výrobní linka má najednou vyšší spotřebu elektřiny, protože některá komponenta stroje je špatně nastavená, poškozená či přetížená. Také lze například zjistit, že v továrně jde celý víkend kompresor a uniká stlačený vzduch. Bohužel je třeba říci, že továrny mají často tato data, ale neumí je používat a nebo je nesledují. I když často lze touto cestou značně ušetřit.

Továrna pohled shora

Jaké jiné IoT technologie by ještě Soitron mohl nabídnout výrobním podnikům? Například již zmiňované měření spotřeby vody?

Ano, děláme i to. I když voda je většinou v továrnách měřena centrálně a pro výrobu není klíčová. Spíše je zajímavé sledování spotřeby stlačeného vzduchu nebo technických plynů, jako například kyslík, dusík, argon, acetylen. Jsou to všechno drahé záležitosti, je to významná nákladová položka pro podnik. Proto monitoring jejich úniku určitě má význam.

Kromě energetického monitoringu, o kterém si zde povídáme, nabízíme i prediktivní údržbu strojů, a to prostřednictvím monitoringu vibrací a teploty. Zaměřujeme se na elektromotory, tedy jde například o odsávání, pumpování, lisování. Na motor umístíme senzor, který sleduje teplotu motoru a vibrační charakteristiky. Pokud motor začne vykazovat odchylku od standardního fungování, přijde upozornění na údržbu a pracovník jde motor zkontrolovat. Takto umíme odhalit degradaci motoru – poruchu ložiska. V praxi bývá nejčastější porucha většinou mimo samotný motor. Nebo bývá porucha ne na samotném motoru, ale na tom, co ho pohání – prasklý řemen či poškozená převodovka. Tedy umíme zákazníka nasměrovat, ve které části motoru je problém. Naše řešení vychází z technické normy ISO 20816-3:2022, která hovoří o prediktivní údržbě elektromotorů o výkonu nad 15 kW na základě charakteristiky vibrací.

Také provádíme monitoring hluku. Pomocí senzorů měříme hlučnost, kontrolujeme účinnost tlumičů hluku a regulujeme zdroje hluku. Také to, aby nedocházelo k překročení povolené hranice vzhledem k zajištění pracovního prostředí neohrožujícího zdraví zaměstnanců.

Určitě bych v rámci našeho průmyslového networkingu vyzdvihl také lokalizační služby, kde je komunikační systém továrny postaven na spolehlivé a bezpečné Wi-Fi síti. Toto unikátní řešení jsme implementovali například v Mondi SCP, výrobci papíru a celulózy v Ružomberku, kde slouží k přepravě palet se zbožím z automatické balicí linky do skladu.

Senzor skenuje dveře auta

Co bylo z pohledu IoT na projektu Remoska zajímavé?

Všechna řešení, která jsme dělali v Remosce, jsou pro nás již standardní a nasazovali jsme je už i u jiných zákazníků. Zajímavá je integrální součást všeho dohromady tím, že jdou data do systému SCADA. V něm se setkávají souběžně údaje z výroby a energetického managementu, což je netypické. Pro Remosku je to důležité, neboť tato data mohou využívat nejen pro monitoring spotřeby energie, ale také pro reporty, analýzy, zpětnou kontrolu a plánování do budoucna.

Co bys poradil průmyslovým podnikům, pokud zvažují realizaci IT změn v souvislosti s modernizací chodu jejich výroby?

Nejdůležitější pro podnik je, aby fungoval. Tedy aby běžela výroba a nedocházelo k neočekávaným výpadkům výroby. Zákazník sám nejlépe ví, co mu výrobu nejvíce ovlivňuje. Z mé praxe mohu konstatovat, že většinou to, co nefunguje, nejsou samotné stroje, ale jsou to jiné komponenty, bez kterých linka neumí fungovat, například odsávání. Když odejde odsávání, stojí celá výrobní linka. A přitom “odejde jen motor” na odsávání za pár tisíc eur, ale v konečném důsledku je odstavena linka za milion eur. Čili základ je identifikovat klíčová místa, jejichž výpadek způsobí přerušení výroby.

Podnik může investovat do prvotřídní výrobní linky, ale když je před ní nebo za ní kritická komponenta, ovlivňuje to celou výrobu. V praxi to bývá právě takhle. Většina továren postupně doplňuje stroje a vyměňují staré komponenty za nové. Ne jako Remoska, že nakoupila všechno najednou a postavili továrnu na zelené louce. Je důležité myslet v rámci výroby i na ty komponenty, které nejsou přímo výrobní, ale jejich výpadek by ohrozil produkci finálních výrobků. To může být například pískovačka, lakovačka, odsávačka, ohýbačka, svářečka či kamna. Častokrát se na ně v podnicích zapomíná. Řeší novou linku, robotické ruce, ale filtry a odsávačky jsou staré 20 let a na jejich výměnu nikdo nemyslí. Nainstalují novou mašinu, ale začnou se jim kazit jiná zařízení, která mají už dlouho. Proto bych se na jejich místě snažil identifikovat z každé fáze výrobního procesu komponenty, které jsou kritické.

S čím mají podniky začít, když se rozhodly pro digitalizaci jejich výroby? Od čeho se mohou odrazit, když nechtějí provádět všechny změny najednou?

Netřeba mít velké oči a snažit se hned udělat všechno. Doporučil bych jim, aby začaly implementovat řešení postupně u věcí, které je nejvíce pálí. Potom postupně přejít na ty méně důležité záležitosti. Věci, které jsou ve firmě kritické, lze často vyřešit velmi jednoduše. S poměrně malým úsilím lze rozjet velké změny. A ty drobné dodělávky jsou už jen takové „vyšperkování“. Ne vždy to platí, ale často ano.

Děkuji za rozhovor.

Hybridní řešení dávají ve výrobě smysl. Taktéž i příprava infrastruktury na rozšiřování do cloudu

Ikonický podnik české značky Remoska prošel procesem IT transformace. Je vzorem pro jiné průmyslové výrobce. Využívá automatizaci a digitalizaci ve svůj prospěch, zefektivňuje výrobu, minimalizuje výpadky, rozšiřuje kapacity, zvyšuje konkurenceschopnost a optimalizuje spotřebu energií. Díky Soitronu získal podnik moderní a silně zabezpečenou architekturu postavenou na nejmodernějších technologiích. Série rozhovorů s našimi Soitron experty nám postupně přiblížila tento úspěšný projekt z pohledu komunikační infrastruktury a bezpečnosti. Nyní v debatě s naším specialistou Martinem Kameniarem, Infrastructure Business Unit Managerem, rozebereme digitalizaci Remosky z pohledu serverové infrastruktury.

Víme, že v Remosce byla vybudována kvalitní síťová infrastruktura zabezpečená proti kybernetickým incidentům. Proběhla tam implementace IP telefonie, byl zaveden IoT energetický monitoring, byly zintegrovány systémy jako ERP, MES či jiné interní systémy. Co všechno jsme realizovali v tomto podniku z pohledu datové infrastruktury?

Zjednodušeně řečeno v Remosce jsme postavili datové centrum s integrací do cloudu. Chtěl bych však zdůraznit, že do velké míry to bylo o spolupráci mezi jednotlivými technickými odděleními v rámci Soitronu. Vždy to začíná návrhem infrastruktury řešení. Při implementaci už se jedná o sladění práce jednotlivých Soitron týmů. Když se nad tím zpětně zamyslím, šlo o fyzickou instalaci serverů přímo na lokalitě, včetně UPS-ek (záložních zdrojů). Následovala implementace provozních služeb přes virtualizační platformu od vendora VMware, poté vytvoření Active Directory. Určitě nelze zapomenout na Backup řešení. Kromě virtualizace proběhla také integrace SaaS (Software as a Service) služeb.

Jakých konkrétně?

Dnes jsou to hlavně Microsoft 365 služby. Do budoucna by se mohly využívat služby ve smyslu rozšiřování ochrany virtuálních serverů a koncových stanic. Umím si představit vytváření archivů v rámci cloudového prostředí. Přicházeli by v úvahu i jiní vendoři kromě Microsoft, jako například Amazon (AWS) či Google. Dnes je multicloud nový trend. Když se vrátím ještě k předešlé otázce, tak poskytujeme také SLA (Service Level Agreement) na celé prostředí.

SLA, myslíš tím poskytování supportu nad celým řešením?

Přesně tak. Průmyslové podniky nemají často žádné IT oddělení nebo ho tvoří jen jeden IT-čkář. Právě proto může být nápomocná taková servisní smlouva uzavřená s IT poskytovatelem. To byl i případ Remosky, kde poskytujeme vše od A do Z, a tím „Z“ myslím právě SLA smlouvu. V rámci ní provádíme například monitoring prostředí. Tedy máme okamžitě přehled o tom, pokud něco vypadne a umíme hned reagovat. Také je zakoupen support na jednotlivé hardwarové komponenty. Vedeme CMDB databázi, kde máme evidovány všechny expirace licenčních klíčů. Víme, kdy je zapotřebí obnovit backup či support na hardware od vendora. Což znamená velkou pomoc a odlehčení IT oddělení fabriky, než aby toto všechno sledovali sami. Může se to zdát jako drobnost, ale když tohle všechno nikdo nesleduje a nastane nějaká kritická situace či výpadek, firma najednou zjistí, že nemá zakoupenou podporu a nemůže tedy požádat vendora o nový disk nebo výměnu čehokoli. Je to velký problém.

Robotická ruka v průmyslu

Zároveň jste dělali i podpůrné služby pro ostatní Soitron týmy.

Určitě například pro Network a Security, protože celé řešení bylo postaveno na vysoké bezpečnosti. Jelikož se jedná o výrobní podnik, tak bylo třeba komunikovat i s dodavateli výrobních strojů. Museli nám nadefinovat, jaký virtuální server potřebují či jaký má mít výkon. Také bylo potřeba vyspecifikovat celou komunikační matici nejen pro aplikační servery, ale i provozní. Během celého projektu byla velmi důležitá vzájemná kooperace a komunikace různými směry.

Mluvili jsme spolu o integraci Microsoft Office 365 služeb do cloudu. Jaké výhody přináší průmyslovému podniku cloudové řešení?

Cloudové prostředí obecně nabízí podnikům možnost rozšiřování jejich služeb či aplikací. Nemusí to být hned, ale možná za 2-3 roky, když to budou potřebovat. Dnes je zde umělá inteligence (AI) a můžeme si všimnout, že různí vendoři už začínají integrovat AI do svých řešení. Typickým příkladem je například Microsoft Azure, který začíná implementovat AI do svého prostředí. Systémák napíše „Připrav mi design na takové a takové prostředí“ a AI vygeneruje návrh. V tomto duchu by měla každá jedna společnost myslet tak trochu vizionářsky. Být do budoucna otevřena možným integracím.

Napadá tě ještě nějaké další praktické uplatnění v rámci cloudu? Ať už v Remosce nebo obecně v jiných výrobních podnicích?

Pokud vím, Remoska uvažuje v budoucnosti spustit novou, tzv. inteligentní Remosku, která se bude moci ovládat z mobilních zařízení a dokáže sbírat telemetrická data. Jelikož počet Remosek připojených v různých časech během dne bude značně kolísat, musí být kapacita serverů flexibilní. Pro pružnost ve využívání kapacity serverů je cloud ideální. Právě v takových případech, kdy společnost poskytuje zákazníkům nějakou online službu, musí v první řadě zajistit její vysokou dostupnost. Například v rámci Microsoft Azure existuje Azure Front Door, který nabízí CDN (Content Delivery Network) a v rámci světa zaručuje provoz s vysokou dostupností jednotlivých služeb. Vývojář samotné aplikace i Remoska, jako poskytovatel této služby, má v rámci cloudu podstatně širší možnosti.

Často se říká, že výhodou cloudu je škálovatelnost. Co to znamená?

Fyzické servery tvoří procesory, RAM-ky, disky, storage. Připojení jednotlivých komponentů probíhá manuálně. Zvyšování nebo snižování výkonu pak nelze realizovat zcela bez výpadku. Zároveň je tam i fyzické omezení. V rámci cloudu aplikací nám škálovatelnost umožňuje neomezeně a flexibilně pracovat se zdroji. Během nějakého období, kdy je například sezónně nízká poptávka zákazníků, lze snížit výkon relativně jednoduše. Když je naopak v nějakém období vysoká poptávka, lze navýšit výkon virtuálně zcela bez problémů. V cloudu lze celý tento proces zautomatizovat, takže nebudou zaznamenány žádné výpadky.

Pro výrobní podniky je typické on-premise prostředí, jehož protipólem je právě cloud. Jdou tyto dva přístupy dohromady?

Obecně doporučuji průmyslovým podnikům hybridní model. Ten jim dává možnosti připravit si architekturu infrastruktury tak, aby nabízela rozšiřování do cloudu tehdy, když to budou potřebovat. Moje rada je využít všech výhod hybridu – myslet otevřeně, strategicky. Samozřejmě bezpečně, to je prvořadé.

Mé dlouholeté zkušenosti mi tento trend také potvrzují. Otevřenost vůči cloudu a hybridním modelům se za poslední roky výrazně zvýšila. Začalo to už před covidovým obdobím.

Dělník v továrně

Když už jsme u bezpečnosti, jak vnímá výrobní sektor potřebu mít zabezpečené OT prostředí?

Bezpečnost dnes chápu jako standard. Je důležité, aby každá společnost vnímala hrozby z venku a útoky, které na ni číhají. Dnes jsou výrazně sofistikovanější, než byly v minulosti. Proto je důležité začít s postupným ověřováním aktuálního stavu a s nasazováním bezpečnostních opatření, pokud jsou potřeba. Praxe nám potvrzuje, že zákazníci to začínají vnímat jako prioritu. I když průmyslové podniky mají toto vnímání trošku zpožděné, až když se stanou “obětí” útoku, začnou konat.

Je důležité si uvědomit, že každá změna, ať už se jedná o zvyšování bezpečnosti nebo přechod do cloudu, znamená automaticky snížení komfortu. Avšak neznamená to snížení efektivity práce. Například zvýšení zabezpečení formou dvoufaktorové autentifikace je dnes již nezbytná věc a stává se běžně aplikovanou i ve výrobních podnicích.

Co bys poradil průmyslovým podnikům, pokud zvažují realizaci IT změn v souvislosti se zajištěním chodu jejich výroby?

Doporučil bych jim vytvořit si vyhodnocení aktuálního stavu, tedy provést analýzu stávajícího prostředí. Díky ní zjistí, kde se nacházejí a v jakém stavu mají IT infrastrukturu. Existují nástroje, pomocí kterých to umí udělat i ve vlastní režii. Ale samozřejmě jim umíme s tím pomoci i my. Získají tak nezávislý pohled na jejich IT prostředí. Zároveň bych jim radil vytvořit si i finanční analýzu. Podle ní budou vědět, jak velkou finanční investici vyžaduje daná změna. Nemusí to být realizováno hned nejbližší měsíce, klidně si to mohou rozdělit do několika let. Postupovat by měly podle prioritizace – od nejrizikovějších až po ty nejméně rizikové. Zároveň by si měli pojmenovat svá očekávání od těchto změn. Nakonec připravit reálný plán změn, tedy jak bude probíhat integrace, instalace, migrace apod.

Například v Soitronu, spolu s naší partnerskou společností Millennium, děláme tzv. Business Value Assessment. Jde o technickou a finanční analýzu, co by společnost stálo, kdyby chtěla přeprogramovat stávající on-premise „legacy” aplikace na cloudové. V rámci této analýzy se díváme pomocí různých nástrojů na infrastrukturu, to znamená na server, jaké má CPU, jaké Windowsové či Linuxové licence používá. Kolegové z Millennia se dívají na zdrojové kódy aplikací. Společně umíme vytvořit závěr – reálně vyhodnotíme, jaká bude časová, technická a finanční náročnost této změny. Firma se na základě toho může rozhodnout, zda se jí vyplatí přechod do cloudové aplikace realizovat nebo půjde do jiného řešení.

Průmyslová továrna

Co když výrobní podnik ví, že chce provést změnu, ale neví, jak a čím začít?

Každé prostředí, každý zákazník je úplně jiný, jakož i jeho požadavky a očekávání. Neexistuje jednoznačné zobecnění. Ale položme si otázku, co se stane, pokud podnik ztratí svá data nebo vypadne výroba na X hodin. Na tomto pojďme stavět. Čili začínáme u toho, že se podíváme na infrastrukturu, na jednotlivé stavební kameny, jako například na servery, síť, firewall a zda má firma vše aktualizováno. Prověřujeme, zda společnost používá segmentaci sítě, zda mají oddělené přístupy do sítě na základě oddělení nebo rolí uživatelů apod. Absolutně důležité z pohledu ochrany dat a minimalizování výpadků jsou Backup plán a Disaster Recovery plán. Je třeba mít pojmenovanou jednoznačnou posloupnost, jak se chovat při výpadku celého řešení. Také je důležité mít i záložní řešení, geograficky oddělené nebo v cloudu. To, zda to bude postaveno v jiném datacentru nebo v cloudu, je v zásadě jedno. Je vhodné mít popsáno, jak postupovat a co dělat. Když pak dojde k výpadku, začne velký chaos. Díky tomuto plánu lze postupovat pragmaticky, s chladnou hlavou, přesně podle zadefinovaných kroků.

Z pohledu provozu infrastruktury se opět vracím k aktuálnosti operačních systémů. Je to důležité oproti minulému období, protože dnes takové díry v operačních systémech jednotlivých verzí využívají stále častěji hackeři k průnikům dovnitř firmy. V konečném důsledku i koncový uživatel je bod, který je kritický. Proto doporučuji podívat se na koncovou stanici, jestli se tam ukládají data, zda lze stahovat data. Právě ve výrobních podnicích by v některých případech nemělo být umožněno stahovat data. Také je podstatné se zaměřit na to, zda jsou všechna data ukládána na server. V případě, že se přenáší notebook, je třeba zkontrolovat, zda je šifrován. Určitě je dobré mít i přístup do síťové infrastruktury přes VPN. Pokud na tohle všechno podnik nemá prostor, tak jsme tady my, Soitron. Umíme jeho prostředí zanalyzovat, navrhnout řešení a provést digitální transformací.

Pokud bys měl popsat výhody z pohledu Remosky. Co jí takové řešení přineslo?

V první řadě bezpečnost. Potom spolehlivost provozu a vysokou dostupnost dat. Jistotu, že kdyby to náhodou celé padlo, tak se podaří výrobu velmi rychle rozjet. Nemusí se starat o chod IT, to jim supportujeme my. Remoska se může soustředit na výrobu, což je její hlavní předmět podnikání. Díky cloudovému řešení získala neomezené možnosti rozšiřování svých služeb, čímž výrazně zvýšila svou konkurenceschopnost na trhu. Pokud firma poleví v pokroku při poskytování služeb, konkurence ji velmi rychle předčí.

Vím, že v Remosce jsme použili i původní server ze staré fabriky, který slouží k zálohování.

Samozřejmě, pokud je to možné, umíme vyhovět zákazníkovi v tom, že jeho stávající hardwarové vybavení znovu zrecyklujeme a použijeme na něco jiného, aby se nemuselo vyhazovat. Například jej lze použít v jiné lokalitě než testovací prostředí apod. Tedy, aby bylo znovu využitelné na něco, co neohrožuje provoz a výrobu.

Je ještě něco, co jsme v Remosce nerealizovali a přichází v úvahu pro jiné průmyslové podniky?

Vždy je něco, čím lze aktuální stav ještě vylepšovat. Napadá mě například správa koncových stanic, kterou v Remosce nemají. Ta umožňuje instalaci aplikací na dálku nebo vytvoření tvz. Golden Image, tzn. standardizovaného operačního systému, který se instaluje na počítač uživatele.

Vylepšovat stále více a více lze bezpečnost. V průmyslovém prostředí mi dává smysl outsourcing služeb SOC (Security Operation Centre). Fabriky často nemají dostatečně personálně pokryté interní IT oddělení. Proto mi přijde jako vhodné řešení dohledové centrum kybernetické bezpečnosti, které by je upozorňovalo na hrozby a chránilo před incidenty.

Děkuji za rozhovor.

Při výpadku linky hrozí finanční ztráty! Nepodceňujte zabezpečení průmyslové výroby 

Pokračujeme v sérii rozhovorů s našimi odborníky ze společnosti Soitron, které mají inspirovat průmyslový sektor. Na příkladu úspěšného projektu v české Remosce diskutujeme o tom, jaký je nezbytný základ a jaké další „nice to have“ věci by výrobní podnik ještě mohl mít. Poradíme, čím začít při plánování přestavby, proč se změn nebát a jak celou věc uchopit. Po prvním rozhovoru o síťové infrastruktuře jsme se tentokrát zaměřili na výrobu z pohledu bezpečnosti se Stanislavem Smolárem, vedoucím oddělení kybernetické bezpečnosti

Stano, řekni nám, co jsme v Remosce zavedli z hlediska bezpečnosti? 

Začněme tím, jak byla v Remosce navržena síťová infrastruktura. Od toho se dostaneme i k bezpečnosti. Při návrhu řešení jsme vycházeli ze dvou klíčových dokumentů. Prvním z nich je Cisco Validated Design pro bezpečnost ve výrobě. Obsahuje základní parametry, jak má být navržena síť, vzdálený přístup do sítě, jak má být řešena segmentace sítě a přestupy mezi jednotlivými částmi infrastruktury. Druhým standardem, na který jsme se zaměřili, je ISA/IEC 62443, což je soubor tzv. best practices pro průmyslovou infrastrukturu z hlediska kybernetické bezpečnosti. 

Co to znamená v praxi? 

Znamená to, že od počátku jsme mysleli na to, aby byla síť v Remosce dobře rozsegmentovaná. Při navrhování industriálních sítí je segmentace sítě mezi IT částí a průmyslovou OT částí velmi důležitá. Například z office sítě by se někdo neměl dostat jen tak do té industriální. Je důležité oddělit funkční celky, aby se potenciální malware nemohl šířit do těch částí sítě, které jsou pro továrnu nejdůležitější. Jde například o industriální síť, na které běží stroje, PLC, různí roboti atd. 

Z tohoto důvodu jsme použili průmyslové firewally a přepínače Cisco, specializované pro náročné prostředí, instalované přímo u výrobní linky v tzv. DIN lištách. Kromě toho jsme použili také klasické Cisco Firepower Threat Defense jako virtuální platformu. Celé je to rozděleno do logických celků, takže vše komunikuje jen s tím, co je nevyhnutné. Je to řízeno z jednoho management centra v rámci těchto pravidel. 

Další klíčová věc, která se v Remosce řešila, je vzdálený přístup dodavatelů. Ten byl řešen přes ověřování přístupů do sítě díky Cisco ISE spolu s cloudovým Microsoft Active Directory. Je tam zároveň i multifaktor – Microsoft Authenticator. Tím pádem umíme zajistit bezpečný přístup dodavatelů k výrobním strojům, když je potřebují servisovat. Je třeba zmínit, že právě toto bývá typický problém ve výrobních podnicích. Pokud si továrna není vědoma toho, že by to měla řešit, tak každý dodavatel si udělá vlastní přístup ve své režii. Nicméně to není standardizováno. Právě toto pak bývá „slabé místo“ při kompromitaci, kdy se útočník může dostat do infrastruktury fabriky přes nechráněný přístup některého z dodavatelů strojů. 

Pracovník pri stroji

Proč je třeba použít právě tato industriální zařízení? Nestačí klasické switche a firewally? 

Záleží na tom, kde jsou nainstalovány. Když budou nainstalovány v serverovně, tak není důvod používat industriální. Ale zase industriální firewally mají specifické vlastnosti, které ty normální firewally nemají. Tyto komponenty jsou určeny pro použití v náročných podmínkách, například tam, kde je vyšší elektromagnetické záření, vysoká prašnost nebo extrémní teploty. Čili když se podíváme na to, v jakém prostředí mohou tato zařízení fungovat, tak je vidět zásadní rozdíl mezi běžným firewallem a industriálním. Totéž platí i pro switche. 

Industriální zařízení jsou někde zcela jinde z hlediska toho, jaké bezpečnostní funkce poskytují oproti běžným komponentům. Zásadní rozdíl je například v tom, že industriální sítě většinou používají jiné protokoly než běžné sítě a industriální firewally umí filtrovat i tyto industriální protokoly. Jejich další vlastností, která je podle mě klíčová, je, že industriální firewally jsou principiálně odlišné od běžných firewallů v tom, že když takové zařízení přestane fungovat, tak neblokuje komunikaci, ale je tam tzv. Pass-through interface, tedy komunikace sice nebude kontrolována, ale bude probíhat nadále. 

V bezpečnosti se velmi často pracuje s výrazem „Crown Jewels“. Čili co je tím „rodinným zlatem“ pro výrobní podnik. Je to jednoznačně samotný provoz podniku, protože výpadek výrobní linky znamená obrovské finanční ztráty. Proto když se někdo ptá, proč by měli investovat do industriálních zařízení, je třeba se ho zeptat na jednoduchou otázku: „Co byste měli raději dobře zabezpečené – IT část nebo OT část? Co vám vydělává peníze?“ A odpověď je jasná. Bez office IT části umí továrna fungovat i nadále, ale pokud se útočník či malware dostanou do industriální OT části, tak se bavíme o ztrátě příjmu podniku a neschopnosti plnit své závazky. 

Oddělení IT od OT části ve výrobním podniku lze chápat jako novátorský přístup? Nebo je to něco, co je dnes v praxi již běžné? 

Je to standard, který zde máme 15 – 20 let, čili je relativně dlouho na světě. Historicky však nebyla motivace to ve výrobních podnicích řešit. Jedna z primárních příčin, proč tomu tak bylo, je, že tyto industriální sítě byly v minulosti brány jako air-gapped prostředí bez propojení na IT systémy. Buď byly zcela analogové nebo to nebylo nijak ošetřeno. Ale důvod, proč to už budou muset organizace řešit, je Zákon o kybernetické bezpečnosti a směrnice NIS2. Ta zásadní změna bude v tom, že několik subjektů ze soukromé sféry budou pod tyto právní normy spadat. Pro průmysl je předpoklad, že se to bude týkat všech větších výrobních podniků. Například, pokud by Remoska spadala mezi subjekty, kterých se směrnice NIS2 týká, tak je do velké míry na tuto legislativu připravena. A to i díky tomu, že jsme v ní implementovali jednotlivé bezpečnostní postupy podle validovaných designů a standardů. 

IT špecialista

Existuje něco, co ti z pohledu bezpečnosti pro průmyslový sektor ještě dává smysl? 

V dnešní době se hodně pracuje s viditelností do industriálních protokolů. To znamená, že je dobré mít nástroj, který rozumí komunikaci strojů a umí provést bezpečnostní analýzu. Zároveň lze tato data použít i pro troubleshooting provozních problémů, pokud je tam například chyba v konfiguraci. K tomu využíváme produkt Cisco Cyber Vision. 

Můžeš mi blíže popsat, jak tento nástroj funguje? 

Jak jsem již zmínil, jiné protokoly jsou využívány ve výrobní části a jiné protokoly v office části továrny. V rámci IT části máme nástroje, které zajistí tzv. viditelnost sítě. To znamená, že víme, jak probíhá komunikace jednotlivých zařízení v této IT síti, kdo s kým komunikuje, umíme se k ní zpětně vrátit. Jenže nástroje, které fungují v IT části, nerozumí komunikaci zařízení v OT části, protože výrobní stroje běží na specifických protokolech. Cisco Cyber Vision je určen právě pro „čtení“ těchto industriálních protokolů. Pokud bych to měl porovnat s něčím z Cisco portfolia, tak je to něco jako Cisco Secure Network Analytics, akorát je to určeno pro OT část. Industriální switche, které jsme použili v Remosce, slouží jako tzv. senzory pro Cisco Cyber Vision. Umí přeposílat určité informace z těchto switchů přímo do tohoto nástroje pro bezpečnostní analýzu. 

Pro zajímavost, Cisco Cyber Vision byla akvizice společnosti Cisco. Původně šlo o francouzskou firmu Sentryo a my jsme s nimi spolupracovali ještě dříve, než je Cisco akvizovalo. V podstatě jsme byli vyškoleni na tuto platformu ještě předtím, než ji Cisco oficiálně spustilo. S tímto produktem máme nejdelší zkušenosti a myslím, že jsme jeden z mála, kdo se jím seriózně zabývá. 

Je ještě něco dalšího, co by uměly výrobní podniky využít? 

Jedna věc je mít správně nastavený vzdálený přístup, to znamená přes multifaktor a nějak standardizovaný tak, že každý dodavatel vidí jen svá zařízení. Ale pokud bychom chtěli jít o úroveň výš, tak můžeme zakomponovat do vzdáleného přístupu i Privileged Access Managemet. Jedná se o řešení, které umí izolovat dodavatele od těch zařízení, která spravují. Takto pak zcela minimalizujeme riziko, že by například administrátor dodavatele způsobil nějakou škodu továrně, protože je to zcela odsegmentováno na síťové úrovni a dodavatel ani neví hesla na zařízení, která spravuje. 

Důležitá je již zmiňovaná viditelnost do industriálních protokolů. Nad ní jako bezpečnostní nástavba jsou pak tzv. Intrusion prevention systémy, které umí dělat s industriálními protokoly, ale ty se dnes ještě málo využívají. 

Budova fabriky

Vraťme se ještě na chvíli k Remosce. Měla v něčem výhodu oproti jiným podnikům? 

Určitě greenfield byl jednoznačná výhoda, jak pro samotnou továrnu, tak pro nás – Soitron, jako hlavního IT architekta celého řešení. Většinou je složitější zlepšovat stávající a dělat to postupně, jak postavit celou továrnu nově na zelené louce. Celé řešení jsme mohli navrhnout tak, jak by to ideálně mělo vypadat a nemuseli jsme bojovat s nějakými omezeními a nedokonalostmi z minulosti. 

A co podniky, které mají stávající výrobu a nezačínají na zelené louce? Máme i pro ně řešení? 

Určitě ano. Vždy to je jen o tom, o jak velká rizika jde. Je třeba začít těmi věcmi, které jsou nejvíce rizikové. Ideální je zmapovat celou síť přes analytický nástroj, abychom se nebavili jen o teoretických rizicích, ale také o konkrétních z praxe. My k tomu používáme například nástroj Soitron Security Sensor. Následně navrhneme, co by se mělo dělat, a poté se bavíme se zákazníkem, do čeho by měl investovat nyní, do čeho později a on si to zařadí do svého dlouhodobého plánu investic. Snažíme se k tomu přistupovat tak, že začneme s věcmi, kde umíme adresovat relativně vysoká rizika za rozumné peníze. Definujeme, kde je riziko velké a náprava není až tak bolestivá. Takto postupně odstraňujeme ta největší rizika, až se dostaneme do stavu, kdy s tím může být zákazník relativně komfortní. Přitom má určitě smysl provádět i formální analýzu rizika, Bussiness Impact analýzu, přípravy či úpravy bezpečnostních směrnic a procesů tak, aby byly v souladu se zákony. 

Co bys poradil průmyslovým podnikům, které by si chtěly zlepšit zabezpečení své výroby, ale nevědí, kde a jak začít? 

Doporučil bych začít zmapováním jejich sítě. Spousta organizací si myslí, že se jich kybernetické útoky netýkají. Když pak uděláme praktickou diagnostiku, jsou často překvapené. Nevědomost o tom, co se děje v infrastruktuře, je určitě nespasí. Ale když začnou tím, že si pomocí sady nástrojů zmapují komunikaci své fabriky, získají konkrétní data, co kde, jak a s čím komunikuje, kde jsou jaké zranitelnosti, jaká jsou rizika. Pak umí snáze navrhnout plán dalších kroků k nápravě. 

Určitě by tedy neměly začít „od stolu“ formální částí bezpečnosti v podobě zpracování bezpečnostních směrnic. Ano, i na tyto procesní normy je třeba myslet, ale mělo by to jít ruku v ruce s tím, že je to podpořeno konkrétními daty z praxe a je za tím hlubší myšlenka. 

Jako další krok přichází v úvahu bezpečnostní monitoring. Téměř žádný výrobní podnik nemá vlastní bezpečáky, a proto dává smysl držet nad těmito všemi nástroji bezpečnostní dohled, ať už prostřednictvím Security Operation Center nebo formou uzavření SLA supportní smlouvy

Děkuji za rozhovor.

Oddělení IT a OT části v průmyslové výrobě je dnes již nezbytností

Tradiční české značce Remoska jsme pomohli projít automatizací, robotizací a digitalizací. Výsledky tohoto projektu bychom vám rádi přiblížili také prostřednictvím rozhovorů s našimi kolegy z různých technických oddělení. Jako první jsme si do křesla pozvali síťového specialistu Adama Horníka, Network Senior Presales Managera z našeho pražského Soitron týmu. Věříme, že příběh legendární Remosky osloví další průmyslové podniky.

Adame, spolu s tvými kolegy jsi se aktivně účastnil rozsáhlého projektu v Remosce. Co konkrétně jste tam za network tým dělali?

Síťařina tvoří základ pro všechny ostatní technologie, protože se musí někde propojit. My jsme tam vytvořili páteřní 10-gigabitovou síť, která zajišťuje nejen připojení samotné výroby, ale také propojení serverů, firewallů a dalších komponent. Síť je tvořena dvojicí hlavních 10 Gb switchů, které poskytují dostatečný počet portů pro všechny ostatní technologie. Na tuto dvojici switchů jsou připojeny pomocí 10 Gb optickým spojem další dva přepínače ve výrobě. V Remosce se kladl velký důraz na to, aby síť fungovala nepřetržitě. Zajištění bezvýpadkovosti IT řešení je něco, co můžeme nabídnout i jiným výrobním továrnám.

Celé řešení jste postavili na rozdělení výrobní a uživatelské části provozu? Proč jste se tak rozhodli?

Jednoznačně to bylo důležité z pohledu bezpečnosti. Dnes už je přímo standard mít oddělenou IT a OT část v podniku. Jako příklad uvedu situaci, kdy by přišel opravář opravovat stroj. Přijde s notebookem, který bude zavirovaný. V nejhorším případě zaviruje stroj, ale ne celou síť. Neovlivní to negativně zbývající část výroby. Proto má každý stroj svůj vlastní switch, jelikož potřebuje komunikovat v síti. Dnes už jsou výrobní stroje s konektivitou do sítě samozřejmostí. U každého stroje se nachází také malý firewall, který slouží k tomu, aby byla zajištěna bezpečnost. To byl druhý velký požadavek našeho zákazníka.

Objasni nám více navržené síťové řešení ve spojitosti s výrobními stroji.

Ve výrobní hale jsme nepoužili klasické kancelářské komponenty, ale nasadili jsme tam switche a firewally určené výhradně do průmyslového prostředí. To znamená, že tyto prvky mají daleko větší odolnost vůči prašnosti, mechanickému poškození (např. otřesům), a jsou určeny i pro větší teplotní rozsahy, takže jsou plně funkční při velmi vysokých teplotách (např. pokud by došlo náhodou k přehřívání), a opačně mohou jít i do mínusových teplot a mrazu (např. v zimě na stožáru na parkovišti), i když to nebyl zrovna případ Remosky.

Samotná výroba je plně pokryta wifi signálem pomocí Cisco access pointů (AP), které dostatečně pokrývají celý prostor výrobní haly. Nejprve probíhalo měření prostor, návrh a samotné umístění APček, právě s ohledem na to, aby byl wifi signál naprosto všude. Především ve skladu či ve výrobě je členitost prostoru složitější, mohou tam být sloupy, mechanické překážky, regál se zbožím, a právě ve skladu vznikají úzké uličky. Jezdí tam vysokozdvižný vozík, který zakládá zboží do regálů a tam už by nějaký klasický kancelářský AP neplnil svoji funkci správně. Takže na těchto místech jsme zvolili opět speciální řešení pro průmyslové prostředí – což jsou AP s možností připojení externích antén. Externí anténa je směrová, tedy vyzařuje úzký pruh wifi signálu a tím, že anténu správně natočíme, celá ulička ve skladu mezi regály je dostatečně pokryta wifi signálem.

Muž pracující na cnc stroji ve výrobě

Mohl bys přiblížit, proč je ve skladu zapotřebí wifi signál?

Zaměstnanci se tam pohybují se čtečkami čárových kódů a skenují zboží. Například, když si někdo pípne zboží na začátku regálu, pak jde dál a další zboží pípne na konci regálu, což je běžná praxe, tak je žádoucí, aby nedocházelo ke výpadkům wifi signálu a konektivita byla zajištěna.

Co dalšího jste v Remosce řešili?

Kromě výrobní části jsme pokrývali wifi signálem také kancelářské prostory. Samozřejmě jsme také zabezpečili tzv. rooming, tedy plynulé propojování zařízení (např. notebooku, čtečky) mezi jednotlivými APčkami. Například tak, jak přechází zaměstnanec s notebookem z kanceláře přes výrobní halu až do skladu, tak má po celou dobu wifi signál a je připojen do firemní sítě. V případě Cisco zařízení je to zajištěno pomocí bezdrátového kontroleru, což je jakoby řídící jednotka celé wifi sítě. Ten jsme mohli vyřešit buď dodáním serveru, ale vzhledem k tomu, že jsme dodávali do Remosky i datacentrovou technologii, konkrétně Cisco Hyperflex, tak jsme pro řízení celé wifi zvolili právě tuto virtuální platformu – virtuální bezdrátový kontroler.

Co síťová bezpečnost? Řešili jste nějakým způsobem i ji?

Určete, a to v podobě ověřování přístupů do sítě pomocí implementovaných řešení Cisco ISE a 802.1x. Jedná se o nastavení různých úrovní práv přístupu do firemní sítě pro různé uživatele. Každý port v síti rozlišuje, zda má konkrétní člověk oprávnění do firemní sítě vstoupit či nikoli. Je to velmi důležité, protože je třeba rozlišovat, kdo je zaměstnanec, a tedy se může připojit do firemní sítě, kdo je externista, který přišel opravovat stroj nebo aktualizovat SW na tom stroji a také se potřebuje připojit do sítě, ale nemůže se dostat například k finančním datům. No a potom jsou to ti ostatní, kteří v síti Remosky nemají vůbec co hledat. Toto řešení je použito v celé Remosce, ať už jde o drátové připojení pomocí kabelu nebo bezdrátové připojení přes wifi. Samozřejmě jsme mysleli i na návštěvy, takže je vytvořen klasický Guest portál, kde se host dočasně připojí do sítě, ale připojí se jen do internetu, nikoli do prostředí Remosky.

Zřídili jsme také vzdálený přístup do sítě. VPNky, pro ty, kteří se potřebují připojovat do firemní sítě na dálku, tedy např. servisáci či kancelářští pracovníci pracující z domova. Toto není žádná sofistikovaná technologie, spíše nutnost, kterou už dnes mají všichni.

Prozraď mi prosím, jak probíhala samotná realizace takto složitého projektu?

Úplně na začátku byl záměr zákazníka postavit novou továrnu na zelené louce. Remoska měla jasnou představu, že nechce přenášet stávající technologii, ale chce začít od nuly. Bylo to takhle asi pro všechny jednodušší, protože do poslední chvíle mohli fungovat na starém místě a v okamžiku, kdy se spustila továrna na nové lokalitě, tak začali výrobu na novém řešení. Když už zákazník věděl, co potřebuje, proběhlo výběrové řízení, které jsme vyhráli jak díky naší nejlepší nabídce, tak díky našim kvalitám, zkušenostem a referencím. Potom jsme se zákazníkem začali intenzivně komunikovat a rozebírat realizaci hlouběji do detailů. A právě na základě těchto společných setkání se nám podařilo v Remosce vybudovat řešení, které je moderní, bezpečné a funkční.

Výrobní podniky v praxi často nemívají silné IT oddělení se zkušeným týmem specialistů, proto mohou ocenit jako velkou výhodu naši konzultaci a poradenství pro návrh architektury i projektové řízení. Jako integrátor máme schopnost převzít odpovědnost za harmonizaci všech systémů a technologií, čímž ulehčujeme našim zákazníkům přechod na digitalizovaný podnik. Naše doporučení jej provedou celým projektem tak, aby byl s realizací spokojen.

Ještě bych se zastavil u těch výrobních linek, protože dnes si továrna koupí stroj jako „balíček“ i s instalací. Takže do Remosky takto přijeli technici z Itálie a my jsme jim poskytovali součinnost při seřizování stroje. Byli jsme pro ně komunikační partner, jakoby „outsourcované IT“ a pomáhali jsme jim podle jejich požadavků nastavit síť tak, aby v ní připojené stroje fungovaly pro výrobu.

Pro lepší představu, jaká všechna zařízení jsou do datové sítě Remosky připojena?

Určitě jsou to počítače, výrobní linky, tiskárny. Také IP telefony, které jsme tam implementovali my. Jedná se o vnitřní komunikační systém, ať už pro potřeby recepce v podobě pevné linky nebo pro vrátnici tvz. dveřníky, což jsou něco jako zvonky s mikrofonem a kamerou, umístěné u vrat výrobního areálu, které se používají například tehdy, když dopravce přiveze zboží a personál vrátnice mu otevře bránu a vpustí nákladní automobil dovnitř. Toto zařízení ve skutečnosti nevypadá jako klasický telefon, ale v síti se chová jako IP telefon.

Na wifi se připojují také čtečky, IoT zařízení a různé senzory. Určitě také kamerový, požární či docházkový systém, ale ty jsme jako Soitron nedodávali my Remosce.

Laserový řezací stroj v průmyslu

Kromě toho, co jste za network realizovali v Remosce, jaké další zajímavé řešení byste uměli nabídnout výrobním podnikům?

Určete lokalizační služby. Umíme navrhnout řešení, které s přesností na centimetry až metry může určit polohu určitého objektu či předmětu. Dávalo by smysl lokalizovat pojízdné vozíky či nějaké palety s výrobky. Takže například pak se ví, že nějaká výrobní šarže se nachází buď ještě ve skladu, nebo už v meziskladu či vnějším skladu, nebo už opustila továrnu a je na cestě k odběrateli. Dokonce si umím představit i nějaký sofistikovaný IP kamerový systém s rozpoznáváním obrazů pro účely zabránění krádežím, neoprávněným vniknutím a pod.

Zatímco v Remosce jsme řešili wifi jen ve vnitřních prostorách, pro jiné zákazníky jsme řešili zabezpečení wifi pokrytí i ve venkovních prostorách, outdoorových skladech a pod. Datovou konektivitu umíme dostat i do prostředí s nelehkými podmínkami z pohledu klimatických podmínek (déšť, vítr), vysokých či nízkých teplot, prašnosti atp. Takto jsme například dostali wifinu i do chladicí haly určené ke skladování potravin. I když přiznávám, že naši systémáci byli mírně podchlazení, než tam ty externí antény k APčkám nainstalovali. 😊

Doporučil bych také vzdálenou správu budov, chytrou budovu, úsporné osvětlení, pohybové senzory, které detekují například výskyt osob, měření teplot, spotřebu energie atp. Důležité je také sbírat IoT data z výroby, vyhodnocovat je pomocí umělé inteligence a zpětně optimalizovat produkci. Ale to se už míchám do „zelí“ mým kolegům ze Soitronu z IoT či RPA týmu, kteří ti jistě o tom prozradí víc.

Co bys doporučil průmyslovým podnikům, pokud zvažují změny v souvislosti s technickou renovací chodu jejich výroby?

Určitě, aby se poradili s někým, kdo už to dělal. Vyslechl bych si někoho, kdo už má s něčím podobným zkušenosti. Ať už nějaký odborník – dnes již běžně IT firmy nabízejí bezplatnou úvodní konzultaci. Případně jiný výrobní podnik, který již má takovou změnu za sebou.

A díval bych se daleko do budoucna, v duchu průmyslu 4.0. Neřešil bych krátkodobou změnu či problém, ale hleděl bych perspektivně do budoucnosti. Když už jdu něco měnit, bude to tak dobré i za pět let, jak je to teď? Pokud jdu kupovat nový stroj, bylo by dobré se zamyslet dopředu, zda náhodou v budoucnu nebudu chtít sbírat z tohoto stroje data (jako např. teplota, tlak, průtoky) a na základě analýzy zefektivňovat výrobu. Tedy investoval bych s ohledem na trendy a integrovatelnost s dalšími technologiemi.

Co je to nutné minimum, když podnik neví odkud je třeba začít?

Tady si trošku přihřeji networkovou „polívčičku“. Podle mě nejdůležitější je vybudovat dostatečně robustní a kvalitní komunikační síť a na ní pak lze stavět dál.

Mohl bys ze svého pohledu říci, v čem jsme se na projektu v Remosce utvrdili my?

V Remosce se podílelo na realizaci za Soitron více technických oddělení, proto jsme museli klást velký důraz na projektový management a interní komunikaci. U takto robustních projektů umíme koordinovat ostatní dodavatele či implementaci jiných technologií, jelikož dokonale známe prostředí klienta. Což se potvrdilo i v případě Remosky s italským dodavatelem výrobních linek.

Adame, děkuji za rozhovor.

Éra sémantické automatizace

Robotická procesní automatizace (RPA) a umělá inteligence (AI) společně vytvářejí mocnou symbiózu, jež může posunout firemní produktivitu a efektivitu na novou vyšší úroveň. Sémantická automatizace, založená na generativní umělé inteligenci, je hybnou technologií s potenciálem zásadně změnit způsob fungování firem.

V době, kdy digitální transformace není pouze trendem, ale nezbytností, se RPA stává významným hráčem. Díky své schopnosti automatizovat každodenní, opakující se úkoly výrazně zvyšuje produktivitu zaměstnanců. Spolu s AI tvoří synergické duo, kombinující automatizaci s kreativitou lidské mysli.

Podle společnosti IDC vlivem automatizace ve firmách dochází ke snížení provozních nákladů o 13,5 % a v průměru jim ušetří 1,9 hodiny práce týdně (zdroj: Worldwide Automation Spending Guide 2022 by IDC) na jednoho zaměstnance. Tato čísla zdůrazňují transformační potenciál RPA a AI při zvyšování produktivity a snižování nákladů.

RPA a generativní AI – spojení pro dokonalou automatizaci

Generativní umělá inteligence, jakožto podskupina AI, se zaměřuje na tvorbu obsahu nebo dat, nikoliv pouze na jejich zpracování. Využívá techniky strojového učení, jako jsou neuronové sítě a hluboké učení, k vytváření nového obsahu v různých formách. „Generativní modely umělé inteligence se učí z existujících dat a tyto znalosti využívají k tvorbě originálního, kreativního a kontextově relevantního výstupu,“ vysvětluje Viktória Lukáčová Bracjunová, vedoucí oddělení robotizace a automatizace ve společnosti Soitron.

RPA exceluje v opakujících se úkolech, dodržuje pravidla a postupy, nedělá chyby a nepotřebuje přestávky. Dominuje ve strukturovaných procesech, kde minimalizuje odchylky. Pro firmy představuje klíčovou technologickou součást snižující náklady, chybovost a urychlení rutinních úkolů.

Využití sémantické automatizace v dynamickém prostředí

V dynamickém prostředí spojení RPA a generativní umělé inteligence vytváří silnou synergii, přesahující možnosti každé technologie samostatně. „RPA úspěšně zvládá rutinní úkoly, zatímco generativní AI je silná ve zpracování složitých, nestrukturovaných dat a řešení kreativních výzev. RPA zajistí konzistenci procesů a minimalizuje chyby, zatímco generativní AI analyzuje data a přináší hlubší poznatky, zvyšující kvalitu strategických rozhodnutí,“ říká Viktória Lukáčová Bracjunová.

V oblasti AI a zpracování přirozeného jazyka hraje sémantika důležitou roli. Poskytuje totiž základ pro vytváření pokročilých systémů generativní umělé inteligence, které jsou díky ní schopny lépe porozumět lidskému jazyku a komunikovat s ním, což je klíčové pro úspěch mnoha aplikací umělé inteligence.

Implementovat lze do každé firmy

Integrace RPA s existujícími systémy a aplikacemi činí tuto technologii ideální volbou pro automatizaci úkolů v rámci stávajících pracovních postupů. Automatizace nové generace je schopna pracovat s různými datovými typy a formáty, což zajišťuje kompatibilitu s širokým spektrem procesů. Generativní integrace umělé inteligence pak zdokonaluje zákaznickou zkušenost pomocí personalizované interakce, porozuměním přirozenému jazyku a řešením složitých dotazů s empatií.

Kde může sémantická automatizace pomoci

  • Rozšířené schopnosti zpracování přirozeného jazyka (NLP) – umí porozumět a reagovat na přirozený jazyk zákazníka, což je klíčové pro automatizaci zákaznické péče, zpracování objednávek a udržování vztahů se zákazníky.
  • Strojové učení (ML) – umožňuje robotům učit se z dat a zlepšovat své výkony v průběhu času, což je klíčové pro úlohy vyžadující adaptivitu nebo rozhodování.
  • Vizuální rozpoznávání objektů (OCR) – umožňuje přečíst informace z nestrukturovaných digitalizovaných dokumentů jako PDF, obrázky atd.

Řešení výzev moderního trhu

V rychle rozvíjejícím se tržním prostředí přináší spojení RPA a generativní AI nejen precizní automatizaci, ale i kreativní inovace a při nasazení konkurenční výhodu. Ignorovat tuto technologickou symbiózu znamená zmeškat příležitost. „Je vhodný čas nechat RPA a generativní AI technologie spolupracovat a dosáhnout tak zlepšení výsledků,“ zakončuje Viktória Lukáčová Bracjunová.

Pravidla kyberbezpečnosti zpřísní, firmy ani úřady nejsou připravené

S adaptací na směrnici NIS2 pomůže nová odborná aliance NIS2READY

Odhadem 7000 českých firem a státních institucí bude muset dodržovat novou přísnější směrnici EU o kyberbezpečnosti NIS2. Mnoho podniků a úřadů ale není na změny připravených, upozornili odborníci z dnes představené aliance NIS2READY. Podle tohoto sdružení mívají dotčené subjekty nedostatky například v analýze rizik či segmentaci sítě. Nově přitom budou muset hlídat kyberbezpečnost i u svých dodavatelů. Za nesoulad s NIS2 hrozí milionové pokuty a postihy pro topmanagement.

NIS2 dopadne v různé míře na téměř všechna odvětví ekonomiky. Ukládá povinnosti až 17krát většímu počtu organizací, než které regulovala dosavadní směrnice NIS1.

Všechny dotčené subjekty budou muset vytvářet podrobné analýzy rizik a hlídat kyberbezpečnost i ve svém dodavatelském řetězci. Vyžadováno bude mimo jiné i pravidelné školení zaměstnanců, rychlé hlášení incidentů a sdílení bezpečnostního reportingu na firemní, státní i evropské úrovni. Důležitou novinkou je i nutnost použití evropského systému certifikace produktů kybernetické bezpečnosti. 

Veřejná správa bude muset zlepšit kyberbezpečnost i na komunální úrovni. Za nedodržení pravidel NIS2 budou hrozit pokuty až do výše stovek milionů Kč a zákaz výkonu funkce statutárního zástupce.  

Aliance pomůže i s dotacemi  

Aliance vznikla s cílem zvýšit povědomí o závažnosti NIS2 a pomoci s adaptací na ni. NÚKIB kvůli NIS2 dokončuje nový zákon o kybernetické bezpečnosti, jež má vstoupit v platnost během příštího roku.  

Aliance zahrnuje technické i právní experty, protože jen spolupráce obou skupin zajistí soulad s NIS2. Zároveň Aliance pomůže i s obstaráním dotačních podpor na nezbytné investice do posílení kyberbezpečnosti, které si NIS2 vyžádá.

„Z výzkumu Cybersecurity Readiness Index, který jsme uskutečnili mezi 27 000 odborníky z 21 zemí je patrné, že 82 % firem očekává, že v nejbližších dvou letech bude čelit kybernetickým útokům.  Nicméně jen 15 % z nich považuje úroveň kyberbezpečnosti ve svých podnicích za dostatečně silnou na to, aby se s těmito hrozbami vypořádali. Základní ochranu ICT infrastruktury si přitom mohou firmy zajistit za cenu, jako by každému zaměstnanci koupili měsíčně jednu kávu v globálním řetězci kaváren,“ uvedl generální ředitel české pobočky Cisco Michal Stachník.

„NIS2 bude v mnohém srovnatelná s revolučním nařízením GDPR, kterým EU plošně zpřísnila ochranu osobních údajů. Podobně jako GDPR hovoří i NIS2 o odpovědnosti nejvyššího vedení, takže budoucí kiksy už nepůjde hodit jen na bezpečnostního manažera. Proto je lepší se na NIS2 začít připravovat už nyní. Osvícené firmy už vypracovávají gap analýzy toho, co musí dohnat,“ upozornil vedoucí technologického týmu KPMG Tomáš Kudělka.

Kyberútoky jsou na vzestupu

Policie a NÚKIB loni evidovaly téměř dvojnásobný nárůst počtu kyberkriminálních aktivit oproti předloňsku. Hackeři byli úspěšní například při útocích na Ředitelství silnic a dálnic, na nemocnice a ministerstvo zahraničí. Zranitelnými se ukázala být i řada soukromých firem, ty však incidenty spíše nezveřejňují, aby si nepoškodily dobré jméno.

„Až 70 % tuzemských organizací má problém s kyberbezpečností. Zejména menší a střední podniky často nedodržují ani základní bezpečnostní opatření. Zanedbává se například řízení uživatelských identit, aktualizace softwaru i hardwaru, síťová segmentace, ochrana perimetru, zabezpečení koncových stanic a centrální logmanagement,“ shrnul specialista na kyberbezpečnost ze společnosti Soitron Petr Kocmich.

Dědictví českého předsednictví

Aliance NIS2READY je složená z expertů technologických a poradenských firem a advokátních kanceláří Cisco, KPMG, Soitron, Alef Nula, enovation a eLegal. Aliance nabízí ucelenou odbornou podporu při implementaci NIS2. Na začátek příštího roku chystá tři osvětové a diskusní semináře, také s cílem bojovat proti zavádějícím interpretacím (více na webu www.nis2ready.cz).

NIS2 (Směrnice o síťové a informační bezpečnosti) byla schválena loni v prosinci v závěru českého předsednictví v Radě EU. Nový zákon o kybernetické bezpečnosti chce NÚKIB předložit vládě na začátku příštího roku.

SOITRON NIS2

Informace naleznete i na našich webových stránkách, které se věnují NIS https://www.soitron.cz/nis2/.

Použité zdroje:  

NÚKIB. “ZPRÁVA O STAVU KYBERNETICKÉ BEZPEČNOSTI ČESKÉ REPUBLIKY ZA ROK 2022.” Národní úřad pro kybernetickou a informační bezpečnost, https://www.nukib.cz/download/publikace/zpravy_o_stavu/Zprava_o_stavu_kyberneticke_bezpecnosti_CR_za_rok_2022.pdf. Accessed 14 November 2023.

Absencí energetického managementu přicházejí tuzemské firmy ročně o stovky tisíc korun

České firmy spotřebu energií monitorují, ale ne pečlivě. Zbytečně tak přicházejí každý měsíc o podstatnou část financí na zajištění provozu. Přestože v průzkumu společnosti Soitron polovina respondentů uvedla, že ceny energií výrazně ovlivňují jejich marži, a dalších 5 % respondentů přiznalo, že ceny energií vůbec finančně nezvládají, málokdo svou spotřebu sleduje důkladně. Přitom již pouhé sledování spotřeby a rozpad nákladů na konkrétní zdroj energie může vést k odstranění neefektivit a ušetřit tak až desetinu provozních nákladů.

Vysoká inflace a nejasné vyhlídky do budoucnosti trápí české firmy už přes rok. Jedním z nejefektivnějších řešení, jak ušetřit, je monitorovat vlastní spotřebu. „Už jen pouhé pozorování spotřeby motivuje společnosti přemýšlet o tom, kudy jim drahé energie zbytečně utíkají,“říká Martin Hummel, IoT specialista a produktový manažer společnosti Soitron, která je předním integrátorem IoT působícím v Čechách a na Slovensku.

Stačilo by přitom vypínat momentálně nepoužívané stroje a do budoucna zvážit volbu nových zařízení. Anebo si vypomoci automatikou, která se o snížení spotřeby energie postará sama.

Z průzkumu společnosti Soitron, kterého se účastnilo 86 firem, vyplývá, že téměř každá společnost (92 %) své výdaje na energie sleduje. Ti, kteří spotřebu nemonitorují, buď tato data podle svých slov nepotřebují nebo na měření nemají vybavení.

Sledování dat spotřeby mezi firmami, které se jím zabývají, není jednotné – některé firmy se dívají především na data za celou firmu (47 %), více než třetina (35 %) spotřebu kontroluje pomocí podružného měření na úrovni budov nebo jednotlivých hal a pouze 9 % monitoruje pomocí podružného měření na úrovni jednotlivých linek a strojů. Zbylí respondenti se o detailní přehled nestarají. Zbytečně tak přicházejí – podle velikosti a typu firmy – až o vyšší stovky tisíc korun ročně. Tyto neadekvátně vynaložené finance by mohly využít pro svůj další rozvoj, který by přinesl jak úsporu, tak zjednodušení každodenní práce.

Řešením může být zavedení systému energetického managementu, který se v moderních provozech používá k řízení a optimalizaci spotřeby energie. První kroky ke sledování a řízení spotřeby přitom nejsou finančně náročné. „Systém měření sleduje v reálném čase spotřebu ve výrobě, vytápění, chlazení nebo osvětlení. Je tak schopen rychle odhalit konkrétní místa, kde se plýtvá, jako třeba svícení v prázdné budově. U několika implementací snížily firmy spotřebu jen díky získání těchto dat o 5 až 10 %. Investice se jim tak vrátila prakticky v řádu týdnů,“vysvětluje Martin Hummel.

Bez vstupních dat lze optimalizovat jen obtížně

Klíčovým faktorem pro většinu firem je právě ušetření nákladů na výrobu. Pro 60 % respondentů je rozhodující výše celkové spotřeby energií, případně pak v kombinaci s cenou za energie na spotovém trhu a možnými pokutami za překročení čtvrthodinových maxim. Podle výše spotřeby a cen energií se firmy řídí a na jejich základě optimalizují své výrobní procesy. Rentabilita výroby, tedy to, aby výroba nestála více, než za kolik je možné výrobek prodat, je pro třetinu respondentů (34 %) podstatným ukazatelem, že vše funguje tak, jak má.

Většina firem (74 %) však konkrétní systém na sběr a analýzu dat spotřeby nepoužívá. Ti, kteří sběr dat používají, věří, že data, která mají k dispozici, jsou nápomocná. „Každý software, který umožňuje přesnou analýzu dat, se vyplatí,“deklaruje Martin Hummel. Pět procent respondentů, kteří uvedli, že si neporadí bez externí pomoci, zároveň přiznali, že netuší, kolik procent z celkových nákladů na výrobek tvoří energie. Dalších 5 % firem nedokáže posoudit, jaký vliv mají vysoké ceny energií na rentabilitu jejich výroby. Právě těm by sběr dat poskytl nejsnazší pomoc.

Srovnejte datové centrum do latě! Díky automatizaci

Automatizaci používáme desítky let a pronikla prakticky do všech oblastí podnikání. Není proto nic divného na faktu, že se automatizuje i provoz něčeho tak složitého, jako je datové centrum. I když se pohybujeme ve světě jedniček a nul, přináší automatizace stejné výhody jako třeba v průmyslu: zrychlení všech operací, odstranění rutinních manuálních činností, zvýšení bezpečnosti či vyřešení nedostatku specialistů

Proč do systému, kde na první pohled procesy běží bez zásahu člověka, zavádět automatizací? Laikovi se může zdát, že pokud vše běží hladce, datové centrum přece manuální zásahy nepotřebuje a lidský faktor nastupuje většinou až v případě krize, havárie, výpadku.

Ale filozofie a architektura dnešního IT světa se v posledních letech natolik proměnila, že to bez automatizace skoro nejde. „Mohou“ za to cloudy, konzumace služeb v režimu SaaS a především nové přístupy k vývoji a nasazování všudypřítomných aplikací. Každá firma, která to myslí s digitalizací vážně, musí zavést automatické postupy, protože se starou infrastrukturou prostě v byznysu neuspěje.

Automatizace datového centra je zajištěna softwarem, který zajišťuje centralizovaný přístup ke konfiguraci většiny zdrojů. Díky tomu lze tyto technologií a zdroje ovládat a spravovat jednoduše, a mnohdy bez znalosti technických detailů. Zpřístupňování požadovaných služeb je pak mnohem jednodušší a rychlejší. Z řádu dní a týdnů, které si požadavky na nové aplikace obvykle vyžádaly v minulosti, se posunujeme k jednotkám minut.

Moderní aplikace potřebují automatizaci

K využití automatizačních nástrojů firmy nejčastěji „donutí“ přechod do cloudu nebo do hybridního prostředí, snaha rychle vyvíjet a nasazovat aplikace, či potřeba zrychlit implementaci nových prostředí a snížit závislost na lidských zdrojích.

Doba, kdy se aplikace vyvíjela a testovala v řádu týdnů, či dokonce měsíců je nenávratně pryč. Dnešní aplikace se staví z velkého množství menších celků (tzv. mikroservices), z nichž každý lze nezávisle měnit či upgradovat. A vývoj, testování i nasazování vyžaduje automatizovanou infrastrukturu, která dovoluje rychlé změny a úpravy.

Dalším častým scénářem, který vyžaduje automatizaci, je přechod firmy do cloudu nebo ještě častěji do hybridního prostředí, které kombinuje využití cloudu a on-premise infrastruktury. Zatímco cloudy jsou již na automatizaci připraveny, je třeba i prostředí vlastního datacentra automatizovat a obě prostředí propojit vztahy mezi oběma světy.

A konečně, k nasazení automatizace motivuje snaha o zrychlení implementace nových prostředí a vyřešení problému lidského faktoru. Nedostatek špičkových expertů v IT je dnes všeobecný, takže se ukazuje jako strategicky výhodné, pokud je datové centrum co nejméně závislé právě na tom, jestli někdo firmu opustí či neopustí, zda dělá či nedělá chyby.

Infrastruktura jako kód

Cesta k automatizaci v podání Soitronu vede přes budování platforem pro automatizaci, prostřednictvím kterých se danému prostředí datacentra (cloud, hybridní, on-premise) definují automatizační postupy. Jde vlastně o uplatnění podobného principu, jakým se vytvářejí zdrojové kódy u aplikací. Přepsání celé infrastruktury do kódu (Infrastructure as a code) přináší oproti manuálnímu vytváření prostředí mnoho výhod.

Ve chvíli, kdy je definována pomocí skriptů, se při každém nasazení vytváří stejné prostředí. Tento postup se nejlépe uplatňuje, pokud má zákazník prostředí, které potřebuje centrálně řídit a chce dynamicky měnit jednotlivá aplikační prostředí. Pomocí skriptů lze jednoduchým způsobem provádět změny napříč celou infrastrukturou. Například firma pro všechny databáze definuje, že se budou zálohovat 10 x denně a že ke každé z nich mohou přistupovat předem určení administrátoři. Pak ovšem založí novou pobočku a změní se podmínky. V takovém případě může společnost jednoduše s pomocí skriptů nastavit například zvýšení počtu denních záloh nebo přidat další administrátory s přístupem.

Dokumentace vytváří zálohu infrastruktury

Další výhodou automatizace představuje dokumentace. Prostředí je definováno pomocí kódu, což umožňuje snadno vyčíst, co je v něm nasazeno a jak je vše konfigurováno. Nasazení lze kdykoliv znovu opakovat (jde vlastně o zálohu infrastruktury) třeba v případě havárie nebo lze vytvořit paralelní testovací prostředí.

„Dokumentace navíc řeší i problém personální nahraditelnosti či závislosti, protože ve chvíli, kdy máte kódově definovanou infrastrukturu, může s ní pracovat podstatně širší okruh lidí než jediný ajťák, který si zrovna pamatuje, jak jste to kdysi dělali,“ vysvětluje Zbyszek Lugsch, business development director Soitronu.

Prostředí standardizované pomocí skriptů dovoluje pracovat s ním dalším lidem, kteří mohou zadávat parametry specifické pro konkrétní stroj nebo aplikaci. Skriptování současně dovoluje aplikovat stejnou bezpečnost v celém systému například i při instalaci nových serverů.

Automatizace je projektem na míru

Automatizace datového centra je vždy do značné míry unikátním projektem, protože každá firma používá trochu jiné technologie a nachází se v různém stádiu podpory automatizace. Další postup určuje záměr, například potřeba vytvářet vhodné prostředí pro vývojáře nebo snaha z on premise centra postavit hybridní architekturu apod. Následuje návrh na výměnu, doplnění funkcí, komponent či vrstev datového centra, na což navazuje implementace automatizační platformy a vytvoření skriptů. Vlastní nasazení probíhá tak, že se postupně překlápějí stávající systémy do nového prostředí až do chvíle, kdy je možné „staré“ prostředí vypnout.

A rozjet práci v prostředí, které umožňuje rychlý vývoj a nasazování aplikací, má nižší nároky na personální obsazení a zároveň nabízí vysokou míru bezpečnosti.

#Cisco ExpertTip Martina Diviše, systémového inženýra společnosti Cisco: Nasaďte ICO

Jedním z nejkomplexnějších automatizačních nástrojů je Cisco Intersight Cloud Orchestrator (ICO). ICO představuje platformu poskytovanou jako služba (SaaS), která dovoluje spravovat širokou škálu technologií, jako jsou servery, síťová zařízení, úložiště dat a další napříč celou infrastrukturou firmy.

Hlavní předností ICO je multidoménový a multivendorský přístup, který umožňuje nástroj používat bez ohledu na aktuální implementaci. ICO obsahuje rozsáhlou knihovnu předem připravených úloh, které lze nasadit pro opakující se úkoly nebo procesy ve spravovaných infrastrukturách. ICO pracuje v low code/no code designu a dovoluje úlohy nastavovat a spouštět pomocí drag and drop (táhnutí myší). Je navržen s maximálním důrazem na uživatelskou jednoduchost, což zpřístupňuje automatizační operace velkému okruhu členů IT týmu.

Systémy pro správu FVE se mezi veřejně dostupnými řídicími systémy na internetu stávají tikající bombou

Tuzemské podniky začaly více chránit své řídicí systémy. Jak vyplývá z dat společnosti Soitron a jejího bezpečnostního oddělení Void SOC (Security Operations Center), jen od začátku roku 2022 do dnešních dnů počet vystavených a viditelných různých zařízení na internetu klesl o 21 %. Současná situace však stále není chvályhodná. Alarmujícím nebezpečím se navíc pomalu stávají řídicí systémy fotovoltaických elektráren (FVE), a to jak průmyslových, tak těch domácích.

V meziročním srovnání (01/2022 vs. 01/2023) došlo ke snížení celkového počtu veřejně dostupných ICS (průmyslových řídicích systémů) alespoň v jednom z osmi sledovaných protokolů jako jsou Moxa, Modbus, Tridium apod. Zjistil to tým analytiků Void SOC společnosti Soitron. „Jde o mírné zlepšení, které ale v absolutních číslech znamená stále více než 1 500 zranitelných systémů v organizacích, což je stále značně velké riziko. A to hovoříme pouze o osmi nejčastěji používaných typech protokolů. Pokud si množinu rozšíříme na několik desítek druhů protokolů, najdeme jich více než 2 300,“ komentuje výsledky Martin Lohnert, ředitel dohledového centra kybernetické bezpečnosti Void SOC a dodává, že by bylo skvělé, kdyby klesající trend byl způsoben zvyšujícím se zabezpečením těchto průmyslových systémů, čímž by přestaly být „viditelné“ v tomto reportu.

Smutnou realitou je ale často opačná situace, kdy ICS z internetu „zmizí“ teprve potom, co bylo zneužito útočníky, a tak přestalo fungovat. Při jejich obnově si už provozovatelé dají větší pozor a neopakují původní chyby. Bohužel je to však často jen reakce na spáchané škody.

Díky fenoménu FVE je tu nový problém

Navzdory celkovému úbytku a mírnému zlepšení situace, prakticky stále přibývají nové zranitelné systémy. „Mezi takovými se v minulém roce nejčastěji objevovaly řídicí systémy fotovoltaických elektráren. A to nejen těch průmyslových se stovkami instalovaných solárních panelů, ale i domácích,“ vyzdvihuje Martin Lohnert. Proto by podle něj mělo být v zájmu provozovatelů zajištění zabezpečení, aby zařízení bylo chráněno před internetovými bezpečnostními hrozbami. Mezi základní kroky patří změna výchozích přihlašovacích údajů, omezení přístupů, pravidelná aktualizace firmwaru či sledování pokusů o zneužití či přihlášení.

Potenciální problém spočívá nejen v deaktivování daného systému, a tím pádem škodám například ve výpadku výroby sluneční energie, ale také v nákladech na nezbytnou opravu. Zároveň je nutné si uvědomit, že při úspěšném průniku do slabě zabezpečeného průmyslového systému podniku může útočník dále nepozorovaně napadnout často i důležitější systémy, které jsou nezbytné k jeho chodu. Potom může dojít k tomu, že organizace přestane fungovat zcela a škody jdou do milionů korun.

Česko zaostává, ale řešení existuje

Přestože dohledové centrum Void SOC společnosti Soitron zaznamenalo pozitivní trend, je velmi pravděpodobné, že počet potenciálních rizik bude v budoucnu naopak stoupat. Jak Česko, tak Slovensko totiž ještě zásadnější digitalizace průmyslu čeká. Obě země stále výrazně zaostávají za ostatními zeměmi Evropské unie, a to v mnoha dimenzích digitální transformace. Například Slovensko je až na 24. místě a Česko na 20. místě z 27 zemí EU v indexu digitální ekonomiky a společnosti (DESI), který sleduje Evropská komise od roku 2014. S postupující digitalizací je spojeno postupné zavádění nových technologií – např. řídicích systémů ve výrobě, implementace různých senzorů, programovatelných logických prvků, rozhraní mezi člověkem a strojem apod. – nebude-li se dbát na jejich zabezpečení, budou stoupat i čísla v tomto průzkumu.

Je také zřejmé, že aby v digitalizaci došlo k výraznému posunu současného stavu kybernetické bezpečnosti, mnohé průmyslové podniky budou potřebovat investovat do nástrojů, technologií a specialistů na jejich obsluhu. Ve většině organizací (zejména malých a středních podniků) to ale není možné. „Nejčastějšími důvody jsou nedostatečné finance a obecný nedostatek kvalifikovaných odborníků v oblasti kybernetické bezpečnosti. Proto očekáváme, že než nastane uvědomění a posun k lepšímu, situace se nejspíše bude zhoršovat. Jistým řešením je tak svěřit se do péče odborníků, kteří se postarají nejen o kompletní zabezpečení podnikových systémů a infrastruktury, ale díky dohledovému centru budou mít vše pod kontrolou 24 hodin denně, 365 dní v roce,“ dodává Martin Lohnert.

Bezpečnostní úroveň organizací v ČR může zvýšit směrnice NIS2

Evropská směrnice NIS2 (Network and Information Security Directive 2) může českým organizacím přidělat starosti, ale rovněž jim paradoxně pomoci vyřešit problémy v případě kybernetického zabezpečení. Konkrétně těm, které do teď tuto vážnou hrozbu neřešily nebo nemohly obhájit potřebný rozpočet na dostatečně kvalifikované zaměstnance.

Směrnice NIS2 má za cíl zvýšit odolnost digitální infrastruktury EU vůči kybernetickým útokům a zlepšit koordinaci a reakční schopnosti při incidentech. „Právě toto jsou aspekty, ve kterých celá řada subjektů nejen v Česku chybuje. Je to dáno tím, že na trhu je nedostatek IT odborníků, a ještě méně expertů na kyberbezpečnost. Protože subjekty, kterých se směrnice nově týká, budou muset zajistit, aby jejich IT sítě a informační systémy byly dostatečně chráněny proti kybernetickým hrozbám, může se tento problém ještě prohloubit,“ uvádí Petr Kocmich, Global Cyber Security Delivery Manager společnosti Soitron.

Co směrnice mění

Dotčené instituce musí implementovat opatření pro prevenci kybernetických útoků a rizik, jako jsou například pravidelné aktualizace softwaru, zabezpečení síťových zařízení a ochrana před phishingovými útoky. Navíc si musí připravit plány pro případ kybernetických incidentů a zřídit mechanismy pro jejich rychlé a účinné řešení.

Důležité incidenty bude nutné hlásit do 24 hodin od jejich zjištění a spolupracovat s národními bezpečnostními orgány. Pokud by společnosti nebyly schopny splnit tyto požadavky, hrozí jim pokuty a další sankce.

Dvě mouchy jednou ranou

Bylo by skvělé, kdyby NIS2 směrnice pomohla skoncovat s nedostatkem odborníků na kybernetickou bezpečnost. Nicméně to se nejspíš nepodaří, a na první pohled by se dokonce mohlo zdát, že se problém ještě prohloubí. Regulace je však výbornou příležitostí, jak organizace zabezpečit. S tím hravě pomohou externí dodavatelé kybernetické bezpečnosti, kteří disponují dostatečnými kapacitami tam, kde organizacím chybí. „Specializované firmy se totiž zaměřují právě na poskytování těchto služeb a mohou pomoci subjektům implementovat bezpečnostní opatření a řízení rizik, a to kompletní formou, tedy službou na klíč nebo formou dodávky řešení včetně podpory, stejně tak zajistí splnění požadavků směrnice NIS2,“ uvádí Petr Kocmich.

notebook

Specializované firmy mimo jiné mohou pomoci vyřešit nejen nový požadavek, ale i předchozí „nedotažení“ zabezpečení IT infrastruktury a informačních systémů subjektů. Nicméně, i když instituce využijí služeb těchto dodavatelských firem, odpovědnost je stále na jejich straně, proto by si měly dodavatele pečlivě vybírat a zjistit, zda mají dostatečnou kvalifikaci, zkušenosti a osvědčení.

Důležité je rovněž se postarat o správné zadání úkolů a kontrolu výkonu služeb dodavatelem. V zájmu zajištění efektivity a účinnosti tohoto modelu by měly být úkoly a odpovědnosti jasně definovány ve smlouvě mezi organizací a dodavatelem služeb kybernetické bezpečnosti. Je potřeba si totiž uvědomit, že kvalita dodávané služby mnohdy reflektuje kvalitu a schopnosti řízení dodavatele.

Koho se NIS2 týká a od kdy bude platit

Směrnice pro firmy v Česku bude znamenat větší povinnosti v oblasti kybernetické bezpečnosti a ochrany sítí a informačních systémů. Nicméně přinese i zvýšenou ochranu a odolnost proti kybernetickým hrozbám a větší spolupráci mezi evropskými státy v této oblasti. V neposlední řadě, splnění požadavků NIS2 může pomoci organizacím získat důvěru svých zákazníků a partnerů, kteří budou spokojenější s ochranou svých dat a informací. Celkově by směrnice mohla pomoci subjektům zlepšit bezpečnostní postupy a minimalizovat rizika.

NIS2 se vztahuje na výrobce elektřiny, poskytování zdravotní péče, poskytování služeb elektronických komunikací, ale také na další z více než 60 služeb roztříděných do 18 odvětví. V Česku novinka začne platit 16. října 2024 a týkat se bude až patnácti tisíc subjektů – středních a velkých firem nad 50 zaměstnanců nebo firem s ročním obratem nad 250 mil. Kč. Přestože je směrnice NIS2 platná pouze pro organizace, které splňují definovaná kritéria, a ostatní tak požadavky nejsou přímo povinné splňovat, je vhodné zauvažovat o tom, zda ji nevyužít jako doporučení pro zlepšení obecné kybernetické bezpečnosti i v dalších podnicích.

Šance i pro další subjekty

„Odhadem až 70 % tuzemských organizací má problém s kybernetickou bezpečností.Zejména menší a střední podniky nemají dostatečně zabezpečené IT systémy a nedodržují základní bezpečnostní opatření,“ říká Petr Kocmich.Častým problémem jsou například benevolentní oprávnění běžných uživatelů, chybějící dvou/více faktorové ověření v kombinaci se slabými hesly (i administrátorů), chybným řízením a decentralizací uživatelských identit, zastaralý a nezáplatovaný  hardware a software obsahující zranitelnosti, chybějící síťová segmentace, slabá nebo chybějící ochrana e-mailových služeb a přístupu k internetu, nedostatečná ochrana perimetru, nízká viditelnost v rámci síťového provozu, nízké nebo chybějící zabezpečení koncových stanic, chybějící centrální logmanagement nebo nedostatečná školení zaměstnanců. „Kybernetická bezpečnost je pro mnoho společností v Česku velkým problémem a pro útočníky mohou být snadnými cíli. Směrnice NIS2 by měla přispět ke zvýšení povědomí a ochraně proti kybernetickým hrozbám,“ dodává Petr Kocmich.

Více informací o povinnosti NIS2 se nachází na speciálním webu (http://nis2.nukib.cz) Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB).

Miskonfigurace cloudových prostředí představují velkou bezpečnostní hrozbu

Podle Českého statistického úřadu 44 % tuzemských podniků v současné době využívá cloud computing a další se na něj chystají. Při migrování IT systémů však zapomínají na adekvátní zabezpečení, čímž vznikají chybné konfigurace (tzv. miskonfigurace) a ty potom podniky vystavují velkým rizikům. Kterými nejčastějšími miskonfiguracemi trpí?

Podle odborníků má průměrný podnik každý rok stovky chybných konfigurací, ale o převážné většině z nich IT oddělení vůbec netuší. Všechny chybné konfigurace jsou přitom výsledkem lidské chyby a chybějících nástrojů na kontrolu konfiguračního stavu cloudu (např. tzv. CSPM – Cloud Security Posture Management).

Jak cloudové, tak on-premise řešení nabízí jasné výhody a řeší konkrétní výzvy a potřeby organizací. Vzít a přesunout kompletně lokální IT infrastrukturu bez potřebných změn do cloudu (tzv. Lift & Shift přístup) je však častou chybou, které se organizace dopouštějí. Je potřeba si totiž uvědomit, že využívání cloud computingu může zvýšit riziko napadení organizace. Proto se tato výzva musí pojmout jako šance na přechod k modernímu a bezpečnému řešení firemní infrastruktury. Zároveň se nesmí zapomenout vše konzultovat s oddělením bezpečnosti, které by mělo být fundamentální a integrální součástí každého podobného projektu.

Metoda jedna ku jedné selhává

Jak cloudové, tak on-premise řešení nabízí jasné výhody a řeší konkrétní výzvy a potřeby organizací. Vzít a přesunout kompletně lokální IT infrastrukturu bez potřebných změn do cloudu (tzv. Lift & Shift přístup) je však častou chybou, které se organizace dopouštějí. Je potřeba si totiž uvědomit, že využívání cloud computingu může zvýšit riziko napadení organizace. Proto se tato výzva musí pojmout jako šance na přechod k modernímu a bezpečnému řešení firemní infrastruktury. Zároveň se nesmí zapomenout vše konzultovat s oddělením bezpečnosti, které by mělo být fundamentální a integrální součástí každého podobného projektu.

Je zapotřebí si uvědomit, že cloud jako takový je sdílená zodpovědnost mezi poskytovatelem cloudových služeb a zákazníkem – cloud tedy není nikdy samospasný. Lze uvažovat o výběru správného modelu (IaaS/PaaS/SaaS), ale pokud má dojít k úlevě internímu IT/SEC týmu, správnou cestou by měl být model PaaS a SaaS, kde většina zodpovědnosti spadá právě na poskytovatele cloudových služeb.

„Bohužel většina cloudových migrací mnohdy znamená jen ohýbání a přesun stávajícího stavu. Z čehož vyplývá, že je zapotřebí začít využívat ideálně nativních cloudových prostředků, což v mnoha ohledech znamená přeměnu stávajících monolitických aplikací,“ vysvětluje Petr Kocmich, Global Cyber Security Delivery Manager společnosti Soitrona dodává, že v opačném případě nic nezískají, a s největší pravděpodobností je to bude stát více finančních prostředků než původní řešení v on-premise.

cloud

V hlavní roli miskonfigurace

Chybné konfigurace cloudu představují zranitelná místa, která čekají na napadení útočníky. Jde o vstupní brány, prostřednictvím kterých je možné infiltrovat nejen cloudovou infrastrukturu, ale díky propojení a hybridnímu režimu se laterálně přesunout i do stávající on-premise části infrastruktury, kde je pak možné exfiltrovat data, přístupové údaje, telemetrická data strojů v provozním prostředí, zdravotní záznamy či osobní údaje, a to vše třeba zakončit nasazením ransomware.

Dopad chybné konfigurace cloudu na zabezpečení systému

Při migraci systémů dost často dochází i k tomu, že vybrané služby, které byly dostupné v rámci on-premise řešení jen interně, jsou po migraci vystaveny veřejně na internetu, bez filtrování a blokování externího síťového provozu. „Tímto nešvarem trpí mnoho společností, a dokonce mnoho z nich spadajících pod kritickou infrastrukturu. Nedávno jsme takto detekovali veřejně dostupnou konzoli ICS systému pro ovládání výrobní a montážní linky – bez nutnosti ověření,“ uvádí Petr Kocmich.

Proto následně dochází k desítkám až stovkám incidentů měsíčně, což statistiky dohledového centra Soitronu potvrzují. Chybné bezpečnostní konfigurace se stávají snadným cílem útočníků, kteří dobře vědí, že je má téměř každý podnik. Navíc může otevřít dveře postranním ransomware nebo cryptojacking útokům, při nichž jsou zneužívány cloudové výpočetní zdroje k podpoře kryptotěžebních aktivit.

Kroky pro minimalizaci rizik miskonfigurací

Správa, a především sledování konfigurace, vyžaduje mnohostranný přístup. Proto by organizace měly zavést osvědčené bezpečnostní postupy, jako je pravidelné hodnocení stavu zabezpečení cloudu (Cloud Security Posture Management), které pomůže odhalit řadu bezpečnostních prohřešků a miskonfigurací. Stejně tak by měly dodržovat zásady Least-Privilege a provádět průběžné monitorování a auditování cloudových systémů.

„Udržování dostatečné viditelnosti cloudových aktiv by mělo být prioritou, stejně jako v rámci on-premise řešení. Dále pomůže silný Identity & Access Management, který umožní škálovat oprávnění, aby byla zajištěna správná úroveň přístupu ke cloudovým službám,“ vysvětluje Kocmich. Identifikací různých chybných konfigurací při migraci do cloudu a jejich vyvarování se podnikům pomůže odstranit hlavní bezpečnostní problémy. S tím dokáží pomoci specializované firmy, které organizaci provedou celým procesem a vše správně nastaví.

Odkaz na článek v časopise

IT Systems

Aby se OT síť nestala zranitelnou

Zabezpečení průmyslových sítí je v současné době pro firmy zásadním tématem, a proto mu věnují více pozornosti. Dobře vědí, že kybernetické útoky na průmyslové technologie (OT, někdy též ICS) jsou stále častější a sofistikovanější, což zvyšuje nejen riziko napadnutí a ztráty dat, ale především výpadek ve výrobě, který může společnosti stát i desítky milionů korun.

V minulosti byly OT primárně zaměřeny na řízení a automatizaci průmyslových technologií a procesů. Systémy byly navrženy pro zpracování velkého množství dat v reálném čase a důraz se kladl především na to, aby byly spolehlivé a odolné vůči poruchám. Proto je stále důležitější integrovat OT s IT a vytvořit tak bezpečné propojení mezi oběma systémy. To průmyslovým firmám umožňuje lépe řídit své procesy a zlepšit produktivitu.

Moderní OT musí být schopny řídit a chránit průmyslové systémy v reálném čase a zároveň být odolné proti kybernetickým hrozbám. Proto je stále důležitější integrovat OT s IT a vytvořit tak bezpečné propojení mezi oběma systémy. To průmyslovým firmám umožňuje lépe řídit své procesy a zlepšit produktivitu. Ačkoliv to zní jako pohádka a fúze těchto dvou světů nám přináší jen samá pozitiva, tak je třeba dodat, že fúzí „IT světa“ do „OT světa“ poodkrýváme problematiku bezpečnosti z pohledu standardizace a možných plošných útoků. Běžné zranitelnosti OT světa, které jsou tu s námi od věku věků, se ve velkém tak často nezneužívaly, jako dnes. Propojením obou světů vzniká nový vektor útoku, kdy přes nezabezpečenou IT infrastrukturu můžeme napadnout zranitelnosti již zmiňovaného OT světa a proto je natolik nutné, se průmyslovou kybernetickou bezpečností o to více zabývat.

Aktuálnost Purdue modelu

Už v roce 1990 byl v USA vyvinut tzv. Purdue model (známý jako PERA). Dodnes je považován za jeden z nejrozšířenějších architektonických modelů v oblasti provozní technologie.

Purdue model poskytuje ucelený rámec pro řízení a automatizaci průmyslových procesů a umožňuje oddělit (segmentovat) funkce a odpovědnosti mezi různými úrovněmi řízení a automatizací. Kybernetické hrozby se neustále vyvíjejí a propojení továrních IT a OT systémů útočníkům nahrává do karet – mnoho výrobních a průmyslových firem se stalo terčem např. plošných ransomwarových útoků právě z důvodu nedodržení řádné segmentace. Proto je nutné průmyslové sítě segmentovat, neustále monitorovat a aktualizovat bezpečnostní opatření v souladu s nejnovějšími hrozbami a trendy v oblasti kybernetické bezpečnosti.

Mezi nejčastější hrozby v průmyslu patří:

  • ovládnutí koncové stanice v průmyslové síti a následný pivoting
  • podvržení/zneužití autorizovaného vzdáleného přístupu
  • útok na bezdrátová spojení
  • získání fyzického přístupu k výrobní síti a zařízením
  • instalace cizí fyzické komponenty za účelem získání či úpravy přenášených dat.

Pět základních bezpečnostních principů a pilířů

Existuje několik základních bezpečnostních principů a pilířů, které jsou účinné a důležité pro zajištění kybernetické bezpečnosti v průmyslu. Není novinkou, že díky fúzi IT světa do světa OT, jsou tyto pilíře převzaty právě z IT světa (avšak doplněny o specifika OT – např. proprietární ICS protokoly atp.) Mezi hlavní principy a pilíře patří:

Viditelnost – nelze chránit to, o čem se neví. Proto je vhodné udržovat aktuální seznam všech zařízení připojených k síti a provádět behaviorální analýzu jejich komunikace. Dalším předpokladem je pravidelné skenování stavu a verzí (OT/IT) zařízení. Objevené zranitelnosti je nutné záplatovat.

Segmentace – dalším pilířem je izolace, filtrování a inspekce síťového provozu. Předpokladem je nasazení NGFW (OT) pro řádnou (micro)segmentaci a filtraci sítového provozu. Využívat by se měly funkce IPS/IDS (OT) a virtuální záplatování. Zapomenout se nesmí ani na zabezpečení e-mailového a internetového provozu a kontrolu neznámých souborů.

Endpointy – EDR/XDR řešení umožní sbírat informace o tom, co se na zařízeních děje (včetně správy USB zařízení).

Access Management – vhodná je rovněž centralizovaná správa uživatelských/strojových identit, avšak za předpokladu striktně oddělené průmyslové a korporátní identity. S tím souvisí, že vzdálené přístupy by měly být zabezpečené pomocí MFA. Ke správě sítě a řízení zařízení by měly být využity Jump Servery a implementovány systémy určené k řízení přístupu k síti (NAC, 802.1x).

Auditing, Backup, Compliance, Response, Risk, SIEM/SOC – po zapojení sběru dat je vhodné centralizovat a vyhodnocovat bezpečnostní logy. Robustní backup strategií lze připravit na neočekávané situace. Zapomínat by se nemělo ani na pravidelné školení administrátorů a zaměstnanců. Stejně tak nepodceňovat analýzu rizik, což lze vyřešit zavedením nebo alespoň inspirováním se normou IEC 62443. A samozřejmostí je vyžadovat dodržování bezpečnostních zásad po dodavatelích.

Odborný přístup

Průmyslové řídicí systémy kombinují mnoho složitého hardwaru a softwaru (mnohdy bohužel i velice zastaralého). Aby si výrobní společnosti udržely nejvyšší úroveň připravenosti na kybernetickou bezpečnost v OT, musí být při implementaci ochrany proaktivní. S tím mohou pomoci specializované týmy. Proto nečekejte, domluvte si konzultaci a zjistěte, jak je na tom vaše firma.