Řada výrobců strojů již myslí i na jejich bezpečné zapojení do firemní IT struktury

Máme snad každý stroj ve výrobě vnímat jako IT hrozbu? 

Dodání technologického zařízení ve většině případech znamená také integraci z pohledu IT. Stroj vyžaduje komunikaci do dalších systémů. Z tohoto pohledu se jedná o zařízení v síti a podle toho je potřeba s ním nakládat. Ideálně dle zkušeností IT týmů, avšak také dle požadavků OT týmů. OT týmy řeší především funkčnost, tedy dostupnost stroje na síti. IT týmy řeší nejen dostupnost, ale také jeho zabezpečení.  Potkává se zde svět výrobních technologií (OT) a svět informačních technologií (IT).  IT týmy jsou mnohdy přizvány k projektu až v momentě, kdy je stroj potřeba integrovat s dalšími systémy – tzn. připojit do sítě. To je však z pohledu IT velmi pozdě. 

Jak by se tato situace měla řešit? Kdo by měl ohlídat, aby byli všichni včas informováni? 

Sjednotitelem, by měl být podle mého názoru projektový manažer, který má nadhled a k projektu „nákup a spuštění nového stroje“ přizve již ve fázi výběrového řízení zástupce všech oddělení, kterých se to týká. Inspiraci, jak by to ideálně mělo fungovat, můžete načerpat například na naší stránce věnované speciálně chytrému průmylu.

Proč by se o nový stroj mělo IT oddělení zajímat už ve fázi výběru stroje? 

Představme si to na příkladu z jiné oblasti. Když si kupujete auto, je také jeho samozřejmou a nevolitelnou součástí počítač, pokud by tento počítač neumožňoval služby, které jsou pro vás zásadní, třeba propojení s navigací ve vašem telefonu, tak si to auto nekoupíte a dáte přednost jinému, které vám vyhovuje nejen po stránce výkonu motoru, ale i z hlediska IT kompatibility. 

A se strojem je to podobné, kámen úrazu je v tom, že v naprosté většině případů se stroj vybírá jen na základě výrobních parametrů a neberou se v potaz rizika, související s jeho IT stránkou. 

Je IT stránka skutečně tak podstatná, aby byla příčinou zamítnutí jinak vyhovujícího stroje? 

Mým úkolem je vidět věci tímto pohledem, ale uvědomuji si, že výroba je prvořadá. IT bezpečnost nesmí výrobu omezovat nebo zdržovat. Na druhou stranu, pokud dojde k selhání, dochází ke ztrátám kvůli zastavení výroby. Ve fázi nákupu stroje se často se setkávám s tím, že dodavatel zařízení má zákazníka více v hrsti, než si kupující uvědomuje. Mám konkrétní zkušenost, kdy jsme ve firmě kupovali 5 strojů a všech pět mělo stejnou IP adresu, kterou dodavatel nebyl ochoten změnit. Nakonec jsme to vyřešili doplněním síťového prvku s originální adresou před každý z těchto strojů, což nebyl až takový problém. Zmiňuji to jako ilustraci neochoty výrobců zabývat se něčím, co nesouvisí přímo s výrobou a z jejich pohledu je to nepodstatné.  

Máte i opačnou, tedy pozitivní zkušenost? 

Naštěstí ano, právě před dvěma týdny jsem měl schůzku s dodavatelem výrobních zařízení, s nímž plánuje NTT uzavřít partnerství, a byl jsem nesmírně příjemně překvapen jejich přístupem k IT struktuře strojů, nejen z pohledu technického řešení, ale především z hlediska, kdo a jak otevřeně mi tyto informace poskytoval. Věřím, že takových výrobců je více, a že jejich zákazníci dokáží ocenit smysluplnou IT integrovatelnost, a tedy vysokou bezpečnost jejich řešení. 

Ve chvíli, kdy je stroj připojen. Jak zajistit, aby se k němu připojovali jen oprávnění uživatelé? 

Otázka přístupu je klíčová v celém IT světě, existuje řada osvědčených metod, a není důvod, aby se plně nevyužívaly i ve výrobních podnicích. Základním principem je kategorizace uživatelů a povolení jejich přístupu na základě pracovního zařazení. Dále je třeba monitorovat, co konkrétně který uživatel v systému stroje dělá, a zda to nevybočuje z obvyklých úkonů. Celkem to jsou standardní postupy, na nichž není nic překvapivého, jen se v praxi často obcházejí a je dobré si je připomínat. 

A jak přistupovat například k externímu pracovníkovi, který u nás ve firmě nebo třeba vzdáleně provádí diagnostiku stroje? 

Ten dostane od IT oddělení přístup, který odpovídá jeho pravomocem a je časově omezený, například na 8 hodin. Z praxe vím, že je mnohem pohodlnější přístup časově neomezovat (co kdyby přišel ještě zítra), ale také vím, že potom jeho přihlašovací údaje zpravidla zůstanou platné mnoho let a představují trhlinu v bezpečnosti. 

Často říkáte, co by mělo dělat IT oddělení. Ale co když na to nemá dostatečnou kapacitu? 

Bavíme se o bezpečnosti a ta je primárně o procesech. Firma musí nejprve popsat svou denní realitu – např. ohledně vzdáleného přístupu ke strojům. Tohle je jednorázová činnost týkající se OT týmů. Bezpečnostní posouzení a doporučení může dodat již externí společnost. Stejně tak i technologie, které umožňují dodržování těchto procesů.  NTT poskytuje nejen poradenství, ale i aktivní správu jednotlivých částí IT prostředí našich klientů.

Společnost NTT vydává pravidelné reporty ze světa IT, na současný průmysl se zaměřuje „2022 Connected Industry Report“.