Kybernetická bezpečnosť prevádzkových technológií (OT)

Kybernetická bezpečnosť prevádzkových technológií (OT) zahŕňa ochranu priemyselných prostriedkov a procesov, ktoré fungujú v sieťach OT, pred kybernetickými hrozbami. Tieto siete OT riadia a monitorujú fyzické zariadenia a stroje v rôznych odvetviach, ako sú výroba, energetika, vodohospodárstvo a doprava. Často používaným súvisiacim pojmom je kybernetická bezpečnosť priemyselných riadiacich systémov (ICS), ktorá je hlavnou podmnožinou OT.

Kybernetická bezpečnosť OT sa líši od kybernetickej bezpečnosti informačných technológií (IT). Zatiaľ čo kybernetická bezpečnosť OT chráni systémy riadiace fyzické procesy, kybernetická bezpečnosť IT sa zameriava na ochranu údajov a informačných systémov v oblastiach, ako sú financie, zdravotníctvo a vzdelávanie.

Internet vecí (IoT) a priemyselný internet vecí (IIoT)

Internet vecí (IoT) označuje sieť prepojených zariadení, ktoré zhromažďujú a vymieňajú si údaje a integrujú fyzický svet s počítačovými systémami. Medzi bežné zariadenia internetu vecí v prostredí OT patria tlačiarne štítkov, ručné skenery zásob, snímače, kamery a čítačky preukazov.

Priemyselný internet vecí (IIoT) využíva technológiu internetu vecí v priemyselnom prostredí pomocou pripojených zariadení a snímačov na optimalizáciu procesov vo výrobe, dodávateľskom reťazci a prevádzke. Príkladom sú snímače údržby, diaľkové monitorovanie, autonómne roboty, inteligentné merače a sledovače majetku.

Prepojenie OT a IT

Kybernetická bezpečnosť OT a IT je čoraz viac prepojená v dôsledku viacerých trendov:

Digitálna transformácia: Zavedenie technológií, ako sú cloud computing, umelá inteligencia a internet vecí, s cieľom zvýšiť produktivitu, kvalitu a inovácie v priemyselných prevádzkach.

Biznis integrácia: Zosúladenie biznis cieľov a procesov medzi OT a IT s cieľom optimalizovať využitie zdrojov, znížiť náklady a zvýšiť spokojnosť zákazníkov.

Prostredie kybernetických hrozieb: Vznik sofistikovaných kybernetických hrozieb zameraných na OT aj IT siete, ktorých cieľom je spôsobiť fyzické, finančné alebo reputačné škody. (1)

 

Nová regulácia kybernetickej bezpečnosti OT/ICS/IIoT

Smernica o bezpečnosti sietí a informácií (Network and Information Security – NIS2)[1] a Smernica o odolnosti kritických subjektov (Critical Entities Resilience – CER)[2]

Cieľom smernice NIS2 (smernica č. 2022/2555) a smernice CER (smernica č. 2022/2557) je znížiť zraniteľnosť a posilniť odolnosť kritickej a digitálnej infraštruktúry voči hrozbám vrátane kybernetických útokov a fyzických rizík. Tieto smernice sú platné a ich transpozícia do vnútroštátnych právnych predpisov sa očakáva do októbra 2024.

Smernica NIS2 rozširuje rozsah pôsobnosti o ďalšie podniky a sektory, ako sú energetika, doprava, zdravotníctvo, potravinársky priemysel a výroba. Vyžaduje, aby tieto sektory zaviedli prísne opatrenia v kybernetickej bezpečnosti.

Smernica CER sa zameriava na ochranu kritickej infraštruktúry pred fyzickými hrozbami a definuje sektory považované za “kritické”, medzi ktoré patria najmä prevádzkovatelia OT.

Nariadenie o kybernetickej odolnosti (Cybersecurity Resilience Act – CRA)

Cieľom návrhu nariadenia o kybernetickej odolnosti (CRA), ktorý Európsky parlament schválil 12. marca 2024, je zlepšiť bezpečnosť digitálnych produktov. Stanovuje povinné požiadavky na “produkty s digitálnymi prvkami”, ktoré prispievajú k ich funkčnosti a bezpečnosti.[3]

Produktom s digitálnymi prvkami sa rozumie akýkoľvek softvérový alebo hardvérový produkt a jeho riešenia diaľkového spracovania údajov vrátane softvérových alebo hardvérových komponentov, ktoré sa uvádzajú na trh samostatne.

CRA, ktorá bude účinné od roku 2027, bude prvým globálnym predpisom stanovujúcim požiadavky kybernetickej bezpečnosti na vstup týchto produktov na trh. CRA rozširuje používanie označenia CE aj na digitálne produkty.

Výrobky sa líšia na základe ich kritickosti. Najprísnejšie požiadavky, predovšetkým povinnosť preukázať splnenie požiadaviek kybernetickej bezpečnosti vykonaním posúdenia zhody treťou stranou, sa vzťahujú len na „dôležité produkty s digitálnymi prvkami“ a „kritické produkty s digitálnymi prvkami“. Tieto požiadavky sa nachádzajú v prílohách nariadenia CRA a vzťahujú sa na tri typy produktov:

Základná IT infraštruktúra: prehliadače, operačné systémy, smerovače, modemy, prepínače, systémy správy sietí, správcovia spúšťania, sieťové rozhrania a virtualizačná infraštruktúra.

Produkty s bezpečnostnými funkciami: autentifikačné systémy, správcovia hesiel, ochrana proti vírusom, VPN, SIEM, PKI, mikroprocesory, mikroradiče a iné vstavané systémy s bezpečnostnými funkciami, firewally, IDS a IPS, produkty pre inteligentné domácnosti s bezpečnostnými funkciami (najmä inteligentné zámky dverí, bezpečnostné kamery, systémy na monitorovanie detí a poplašné systémy), prístroje smart meter gateway v inteligentných meracích systémoch a hardvérové zariadenia s bezpečnostnými schránkami, čipové karty alebo podobné zariadenia s bezpečnostnými prvkami.

Produkty, ktoré môžu zaznamenávať osobné údaje: Hračky pripojené na internet s funkciami na spoločenskú interakciu (napr. hovorenie alebo filmovanie) alebo s funkciami sledovania polohy, nositeľné zariadenia na účely zdravotného monitorovania (napríklad sledovanie), alebo produkty na nosenie na tele určené na použitie deťmi a pre deti. (2)

Smernica o rádiových zariadeniach (Radio Equipment Directive – RED)[4]

Smernica RED (smernica č. 2014/53) stanovuje regulačný rámec pre rádiové zariadenia, ktorý zabezpečuje bezpečnosť, elektromagnetickú kompatibilitu a efektívne využívanie rádiového spektra. Týka sa aj ochrany súkromia, osobných údajov, prevencie podvodov, interoperability a prístupu k záchranným službám. To je kľúčové pre internet vecí a prepojené produkty, ktoré integrujú bezdrôtové rádiové zariadenia a siete, ako je WiFi.

Tieto otázky je potrebné riešiť v harmonizovaných normách, ktoré sa pripravujú na podporu základných požiadaviek smernice RED. Pôvodný dátum implementácie bol predĺžený o jeden rok na 1. augusta 2025 (https://eur-lex.europa.eu/legal-content/SK/TXT/HTML/?uri=OJ:L_202302444)

Akt o údajoch (Data Act – DA)[5]

S uplatňovaním od 12. septembra 2025 Akt o údajov (Nariadenie č. 2023/2854) zlepšuje dostupnosť a použiteľnosť údajov, najmä priemyselných údajov. Používateľom prepojených produktov poskytuje väčšiu kontrolu nad údajmi, ktoré vytvárajú, a stanovuje podmienky pre zdieľanie údajov. Nariadenie obsahuje aj opatrenia na zvýšenie spravodlivosti a hospodárskej súťaže na európskom trhu s cloudovými službami a chráni spoločnosti pred nespravodlivými zmluvnými podmienkami súvisiacimi so zdieľaním údajov. (3)

 

V PETERKA PARTNERS je náš tím pre kybernetickú bezpečnosť a ochranu osobných údajov pripravený pomôcť vašej OT organizácii pochopiť a dodržiavať tieto nové predpisy. Ak chcete získať viac informácií, obráťte sa na nás.

________________________________________________________________________________________________________________________________________________________

(1) https://www.dragos.com/blog/what-is-ot-cybersecurity/?utm_content=293354801&utm_medium=social&utm_source=linkedin&hss_channel=lcp-11050198

(2) https://industrialcyber.co/expert/what-the-cyber-resilience-act-requires-from-manufacturers/

(3) https://digital-strategy.ec.europa.eu/en/policies/data-act

 

[1] Text smernice NIS2 je dostupný na: https://eur-lex.europa.eu/legal-content/SK/TXT/HTML/?uri=CELEX:32022L2555&qid=1717961098242 

[2] Text smernice CER je dostupný na: https://eur-lex.europa.eu/legal-content/SK/TXT/HTML/?uri=CELEX:32022L2557      

[3] Text nariadenia schválený Európskym parlamentom je dostupný na: https://www.europarl.europa.eu/doceo/document/TA-9-2024-0130_SK.html 

[4] Konsolidovaný text smernice je dostupný na: https://eur-lex.europa.eu/legal-content/SK/TXT/HTML/?uri=CELEX:02014L0053-20231001

[5] Text nariadenia (Aktu o údajov) je dostupný na: https://eur-lex.europa.eu/legal-content/SK/TXT/?uri=CELEX:32023R2854 

 

* Obrázok bol vygenerovaný pomocou programu DALL-E.