60 % českých průmyslových objektů nemá dostatečnou ochranu před kybernetickými útoky

„Pokud mají průmyslové společnosti v Česku kybernetickou ochranu, tak se většinou spoléhají na jedinou technologii a ochranu konkrétního řídícího systému. Důležité však je zaměřit se na ochranu systému komplexně pro celý výrobní proces. Nemít pouze ochranu IT obchodního systému, ale ochranu celé procesní výroby, která je z většiny případů nedostačující", říká specialista na kybernetickou ochranu průmyslových kontrolnich systémů Libor Čech.

Největším kybernetickým bezpečnostním rizikem je v Česku momentálně chybějící kybernetická kontrola kritické infrastruktury v oblasti, kde jsou průmyslové řídící systémy (ICS) používány. Jde zejména o výrobu a distribuční soustavy zemního plynu, elektrické energie (včetně podružné výroby, například v papírenském průmyslu), zásobování pitnou vodou, ale také o zdravotnictví a lékárenský průmysl. "Domníváme se, že úspěšně napadnout například provoz tepelné elektrárny by zkušení profesionální kyberútočníci dokázali poměrně snadno. Přípravné práce na připojení by nezabraly více než několik desítek minut a zjištění kritického procesu ( odstavovací sekvence) míň než hodinu," říká Libor Čech.Jedním z prvních útoků na kritickou infrastrukturu je z pohledu odborníků například pirátské vysílání jaderného výbuchu v Krkonoších umělecké skupiny Ztohoven v červnu 2007, která pronikla do vysílání programu ČT2.

V Česku dosud chybí zákonodárná aktivita, která by tento problém začala řešit. Německo v lednu začalo pracovat na nové směrnici zákona o bezpečnosti sítí a informací. Směrnice identifikuje společnosti, které podléhají ze zákona povinnosti, mít kybernetické zabezpečení a do budoucna bude i definovat jaké konkrétně. Česko zatím žádnou takovou zákonodárnou aktivitu nevyvíjí. Přesto nestojí zcela stranou. Například MMR v loni vypsalo dotační výzvu pro organizační složky státu s názvem Kybernetická bezpečnost v celkové hodnotě takřka 1,5 mld. Kč. O peníze lze průběžně žádat až do června 2017. "Tohle je určitě chvályhodné. Česko má akční plán k národní strategii kybernetické bezpečnosti do roku 2020, ovšem chybí zákonná povinnost a navíc se jedná pouze o organizační složky státu nikoliv o soukromé subjekty," hodnotí aktivitu státu Libor Čech.

Signály, které by měly vést k vyššímu zabezpečení průmyslových objektů i státní kritické infrastruktury, se v poslední době objevují v Evropě i po celém světě. Jak ve svém prohlášení uvedla elektrárna KGG 24.4.2016, došlo k virovému útoku na jadernou elektrárnu společnosti RWE Gundremmingen v Bavorsku, s nálezem škodlivého softwaru (Malware) ve svém řídícím a programovacím zařízení. Ve státě New York zase iránští hackeři napadli přehradu Bowman Avenue Dam, kde měli v systému přehrady možnost manipulace s výpustí vody. Při štědrovečerním blackoutu v roce 2015 na Ukrajině hackeři na několik hodin odstřihli od elektřiny přes 220 000 tisíc uživatelů. „Kybernetické útoky z poslední doby mění cíle i povahu. Nekradou pouze data, ale mají jasný cíl ohrozit bezpečnosti široké veřejnosti. A to nemluvím o škodách na majetku u soukromých společností. Například v pivovaru stačí vyřadit chladící centralu a celý proces stojí i na desítky hodin, nebo jeden článek při montáži aut v automobilce zastavi celý řetězec výroby" uzavírá jednatel společnosti Auris Libor Čech.