Získejte bezplatnou cenovou nabídku

Náš zástupce vám brzy zavolá.
E-mail
Jméno
Název společnosti
Zpráva
0/1000

Architektonická odolnost: Nasazení principů zabezpečeného připojení v provozních technologiích (OT)

Jun 24, 2026

Tradiční obranný model ochrany provozních technologií (OT) prostřednictvím fyzické izolace – tzv. „vzdušného rozdílu“ – již není udržitelný. Podněcován průmyslovou revolucí 4.0 se sloučení informačních technologií (IT) a systémů provozních technologií (OT) promítá do obrovských efektivit, jako je například extrakce telemetrických údajů v reálném čase a prediktivní údržba. Tato propojenost však výrazně rozšířila průmyslový útokový povrch.

 

K zmírnění těchto systémových zranitelností vydal britský Národní centrum kybernetické bezpečnosti (NCSC) spolu s mezinárodními agenturami, jako je americká Agentura pro kybernetickou bezpečnost a bezpečnost kritické infrastruktury (CISA) a FBI, Zásady bezpečného připojení pro provozní technologie (OT). Dodržování těchto požadavků již není volitelnou výhodou, ale základním předpokladem pro ochranu odolnosti infrastruktury, ekonomické stability a lidského života.

 

1. Strategický význam Zabezpečené OT připojení Konstrukce

 

Zatímco porušení bezpečnosti v IT prostředí ohrožují především soukromí s daty, zranitelnosti v prostředích operačních technologií (OT) ohrožují fyzická aktiva. Úspěšné napadení průmyslového řídicího systému (ICS) může způsobit okamžitou fyzickou devastaci, vyvolat poruchy strojů, ohrozit bezpečnost pracovníků, způsobit toxické úniky do životního prostředí nebo zastavit kritickou národní infrastrukturu (CNI), jako jsou například elektrické sítě.

 

Nedávná empirická data zdůrazňují tento rostoucí rizikový faktor. Globální zprávy o kybernetické inteligenci ukazují, že počet útoků ransomwarem zaměřených na průmyslové organizace vzrostl o více než 50 % meziročně. Významným příkladem z reálného života je útok hacktivistické skupiny na společnost Stryker. Tato skupina využila správcovské konfigurace v rámci služby Microsoft Intune a smazala data na více než 200 000 propojených zařízeních. Protože mnoho zařízení závisí na starších hardwarových komponentách navržených před desítkami let – tedy ještě před vznikem moderních kybernetických hrozeb – je pro blokování bočního šíření hrozeb a předcházení katastrofálnímu provoznímu výpadku nezbytný rizikově orientovaný rámec pro připojení.

 

2. Základní význam Zásady bezpečného připojení

 

Zásady zabezpečeného připojení poskytují technický návod k dosažení  digitální transformace bez ohrožení provozní spolehlivosti. Místo absolutní izolace tento rámec stanovuje, jak mají být připojení strukturována tak, aby bylo riziko minimalizováno:

 

Vyvážení založené na riziku: Provádějte modelování hrozeb založené na důkazech, mapujte vzájemné závislosti zařízení a implementujte oddělené důvěryhodné zóny kolem křehkého staršího hardware.

 

Minimalizace expozice: Zmenšete viditelný perimetr vystavený internetovému skenování vynucením komunikace pouze směrem ven a přijetím paradigmatu přístupu „jen v potřebném čase“ (Just-In-Time, JIT).

 

Standardizace přístupových kanálů: Odstraňte ad-hoc nastavení vzdálené plochy a nahraďte je jednotnými, centralizovanými a důkladně auditovanými přístupovými kanály.

 

Zpevnění protokolů: Aktualizujte komunikaci v prostém textu na ověřené a šifrované protokoly a využívejte hlubokou inspekci paketů k blokování škodlivých datových zátěží.

 

Praktické implementace  v průmyslových prostředích

 

Scénář A: Zabezpečená vzdálená údržba od dodavatelů

 

Zařízení často vyžadují, aby externí výrobci originálního vybavení (OEM) řešili problémy se specializovaným strojním zařízením. Tradiční „vždy zapnuté“ virtuální privátní sítě (VPN) způsobují vážné bezpečnostní riziko; jediné ukradené přihlašovací údaje umožňují útočníkovi pohyb po celé výrobní hale.

 

Použitím opatření ke snížení expozice a standardizaci přístupu zařízení úplně eliminuje přímé směrování příchozích portů. Externí připojení jsou zprostředkována prostřednictvím zabezpečené brány umístěné v izolované průmyslové demilitarizované zóně (iDMZ). Zaměstnanci získávají dočasný přístup výhradně podle pravidel JIT (Just-in-Time), ověřených odolnou proti phishingu vícefaktorovou autentizací (MFA). Po navázání připojení softwarově definované seznamy řízení přístupu (ACL) omezují viditelnost pouze na cílový stroj, zatímco nepřetržité protokolování relací okamžitě signalizuje neočekávané chování.

 

Scénář B: Zabezpečení staršího průmyslového řídicího hardware

 

Zvažte kritickou výrobní linku řízenou programovatelným logickým automatem (PLC) starým 15 let. Zařízení funguje dokonale, ale obsahuje zranitelnosti ve firmwaru, které nelze napravit.

 

Aby bylo možné tento prostředek izolovat bez nákladné výměny hardwaru, zavede továrna mikrosegmentaci sítě. Zastaralý PLC je umístěn do izolované síťové zóny zabezpečené hardwarovou bránou. Použitím principu minimálních oprávnění omezují síťové ACL komunikaci PLC výhradně na jeho určené rozhraní člověk-stroj (HMI). Software pro nepřetržitou detekci anomálií sleduje tuto izolovanou oblast. V důsledku toho, pokud je korporátní IT pracovní stanice napadená škodlivým softwarem, infekce zůstává logicky omezena a nedosáhne jádra výrobní linky.

 

Závěr

Digitalizace průmyslu přináší obrovské konkurenční výhody, ale zároveň zavádí vážné bezpečnostní kompromisy. Zásady bezpečného připojení pro OT tyto rozdíly napravují a nabízejí praktickou strategii, jak využít moderní inovace bez ohrožení fyzické bezpečnosti.

 

Nasazení této vícevrstvé obrany vyžaduje specializované nástroje. Pokročilé softwarové sady, jako je portfolia architektury SecureOT, pomáhají organizacím dosahovat podrobné viditelnosti aktiv až na úrovni zařízení, zjednodušují zabezpečení sítě a automatizují mikrosegmentaci. Začlenění těchto principů do základních postupů automatizace zajistí, že kritické fyzické procesy zůstanou izolovány před nestabilním globálním hrozbami.

 

Často kladené otázky: Zásady zabezpečeného připojení v prostředí OT

 

1. Co jsou zásady zabezpečeného připojení pro OT?

Jsou to pokyny vyvinuté za účelem zabezpečení průmyslových systémů strukturováním připojení, snižováním expozice a zajištěním bezpečné integrace IT a OT bez nutnosti úplného „vzduchového prostoru“ (air-gapping).

 

2. Proč již není tradiční „vzduchový prostor“ (air gap) dostačující?

Protože moderní systémy průmyslu 4.0 vyžadují integraci IT a OT pro získávání dat v reálném čase a pro vzdálený přístup, což činí úplné izolování neproveditelným a stále častěji obcházeným.

 

3. Jaké je hlavní riziko nezabezpečeného připojení OT?

Kyberútok může přesáhnout z IT do systémů OT a potenciálně narušit fyzické procesy, poškodit vybavení nebo ohrozit kritickou infrastrukturu z hlediska bezpečnosti.

 

4. Jak zlepšuje přístup typu Just-In-Time (JIT) bezpečnost systémů OT?

Přístup JIT poskytuje dočasné a omezené oprávnění pouze v případě potřeby, čímž se snižuje riziko zneužití trvalých nebo ukradených přihlašovacích údajů útočníky.

 

5. Jak lze zabezpečit zastaralé zařízení OT bez jeho nahrazení?

Pomocí segmentace sítě, firewallů a přísných řízení přístupu k izolaci zastaralých zařízení a omezení jejich komunikace pouze na nezbytné systémy.

3500/15 106M1081-01

1746-IN16

3000510-180

3500/15 AC 127610-01

1746-INT4

3006

3500/15E

1746-IO12

3008

3500/20 125744-02

1746-IO12DC

3008N

3500/22M 138607-01

1746-IO8

3401

3500/23E

1746-ITB16

3501E

3500/25 149369-01

1746-ITV16

3502EN2

3500/32 125712-01

1746-IV16

3503E

3500/33

1746-IV32

3504E

3500/40M

1746-NI4

3510

3500/42E

1746-NI8

3511

3500/42M

1746-NIO4I

3533E

3500/42M 140734-02

1746-NIO4V

3604E

3500/42M 176449-02

1746-NO8V

3625N

3500/44M 176449-03

1746-NOI4I

3700A

3500/45

1746-NR4

3703E

3500/45 140072-04

1746-NT8

3704E

3500/45 176449-04

1746-OA16

3706A

3500/46M

1746-OAP12

3708E

3500/50

1746-OB16E

3721

3500/50 133388-02

1746-OB32

3805E

3500/50E

1746-OB8

3805EN

3500/50M 286566-02

1746-OBP16

3806E

3500/53 133388-01

1746-OG16

4000093-310

3500/53M 286566-01

1746-OV32

4000093-320

3500/60

1746-OW16

4000094-310

3500/61 136711-02

1746-OW4

4000098-510

3500/61E 285694-02

1746-OX8

4000103-510

3500/64M

1746-P5

4000103-520

3500/64M 176449-05

1746SC-CTR4

4000212-002

Zdroje:

https://www.rockwellautomation.com/en-us/company/news/blogs/secure-connectivity-principles-for-operational-technology.html

(Pokud dojde k porušení autorských práv, kontaktujte mě, abych tento článek odstranil.)

Získejte bezplatnou cenovou nabídku

Náš zástupce vám brzy zavolá.
E-mail
Jméno
Název společnosti
Zpráva
0/1000
e-mail přejít nahoru

Evolo Automation není oprávněným distributorem, pokud není uvedeno jinak, zástupcem ani přidruženou osobou výrobce tohoto produktu. Všechny obchodní známky a dokumenty jsou majetkem jejich příslušných majitelů a jsou poskytovány pro identifikační a informační účely.