Probíhající vzdělávací akce v ARIONu: Nabídka ZDE

232 000 330

TEAMVIEWER

HELPDESK

Sdílejte:

Kybernetická bezpečnost v provozních technologiích (OT)

Zabezpečení provozu firem

Publikováno: 29. 09. 2025
Smart,Industry,Control,Concept.hands,Holding,Tablet,On,Blurred,Automation,Machine

V prostředí průmyslových podniků se kybernetická bezpečnost dlouho točila hlavně kolem IT. Servery, e-maily a uživatelské účty byly pečlivě chráněny, zatímco OT (Operational Technology) – tedy technologie zajišťující chod výrobních linek a průmyslových zařízení – zůstávaly stranou zájmu. Dnes už ale víme, že to byla chyba, a firmy za ni začínají tvrdě platit. 

OT systémy: stabilní, ale zranitelné

Systémy OT byly často navrhovány s důrazem na stabilitu a dlouhou životnost – nikoliv na obranu proti kybernetickým hrozbám. Stroje a řídicí systémy v provozech bývají v chodu klidně 10 až 30 let a i když stále fungují, jejich firmware a operační systémy jsou často dávno za hranicí podpory. Přesto zajišťují klíčové procesy a výpadek výroby by mohl znamenat obrovské ztráty. Není proto divu, že se mnohé firmy bojí jakýchkoliv změn, včetně bezpečnostních testů. 

Jenže kybernetické útoky se OT prostředí nevyhýbají. Naopak – podle dostupných statistik více než třetina organizací zažila v posledním roce šest a více bezpečnostních incidentů v oblasti OT. Přes 55 % zaznamenalo výpadek výroby a 43 % přišlo o kritická data. Vzhledem k tomu, že výrobní linka často představuje hlavní zdroj příjmů celé firmy, je důsledná ochrana OT systémů otázkou přežití. 

Zdroje dat:  

Čtvrtletní přehled

Stav kybernetické bezpečnosti v roce 2024

Prumyslova-zarizeni-scaled.jpg
problem-vyrobni-firma-scaled.jpg

Nejčastější slabiny v OT prostředí

Z konference zaměřené na kyberbezpečnost v průmyslovém prostředí vyplynulo několik zásadních slabin, které se v OT prostředích opakují: 

  • Absence monitoringu: Řada firem vůbec nesleduje, co se v OT sítích děje. 
  • Útoky skrze dodavatele: Externí servisní přístupy jsou často slabě chráněné a neřízené. 
  • Zastaralé systémy: Neprovádí se aktualizace firmwaru a operačních systémů. 
  • Nejasnosti v odpovědnosti: Není zřejmé, zda za bezpečnost OT prostředí odpovídá IT, nebo výrobní oddělení. 
 

Tato situace je velmi riziková, zvlášť v podnicích s nepřetržitým provozem, jako je například automobilový průmysl. V něm může i několikaminutový výpadek znamenat značné ekonomické ztráty.

Co s tím? Kroky k lepší ochraně

Zavedení kybernetické bezpečnosti do OT prostředí je složitý proces, ale zdaleka ne nemožný. Zásadní je nebýt reaktivní, ale proaktivní – tedy nečekat, až se něco stane. 

1. Segmentace sítí 

Základem je správná síťová architektura. Oddělit IT a OT sítě, zakázat staré a nepotřebné protokoly, využívat multivendor firewally a přístup dodavatelů směrovat pouze přes DMZ zónu a karanténní vrstvy. Tato pravidla vycházejí i z normy ISO 62443, která je dnes standardem pro bezpečné nastavení OT sítí. 

2. Řízení přístupů a vzdálené správy

Je důležité zvážit správné nastavení sdílených účtů a mít přesně nastavená pravidla pro přístupy dodavatelů – včetně VPN, časového omezení a evidence, kdo se kdy kam připojil. Fyzický přístup k systémům by měl být také důsledně řízen. V praxi může být obtížné tyto zásady realizovat, zejména ve výrobním prostředí, kde je klíčové, aby se pracovníci mohli okamžitě dostat k ovládání zařízení bez prodlev. Sdílené účty zde mohou eliminovat situace, kdy někdo zapomene heslo nebo nový pracovník ještě nemá založený účet. Na jednom pracovišti se často střídají různé směny a vytváření individuálních účtů pro každého může být administrativně náročné. 

3. Monitoring a reakce na incidenty

Pokud nelze přímo monitorovat zařízení OT (například kvůli technickým limitům starších systémů), pak je klíčové alespoň sledovat síťové toky mezi segmenty. Dále je nutné mít zajištěný plán reakce na incidenty, testovat obnovu ze záloh a provádět pravidelné penetrační testy a možnosti auditní stopy. 

4. Patch management a hardening

Průmyslová zařízení by měla být pravidelně aktualizována – i když v praxi často narážíme na problémy s kompatibilitou a dostupností aktualizací. Patch management zahrnuje proces identifikace, testování a instalace aktualizací softwaru, který pomáhá zajistit, že systémy zůstanou bezpečné a funkční. Firmy by měly mít jasný plán, jak tyto aktualizace zavádět, a to i v prostředích, kde je provoz kriticky závislý na stabilitě systémů. I zde však lze alespoň minimalizovat rizika pomocí hardeningu – vypínání nepotřebných služeb, uzavření portů, zakázání USB apod. 

5. Školení a spolupráce

Bez vyškoleného personálu nebudou žádná technická opatření fungovat. Je nutné lidem nejen zakazovat nebezpečné chování, ale hlavně jim vysvětlovat „proč“. Důležitá je také spolupráce mezi IT a OT odděleními – odpovědnost za bezpečnost musí být jasně stanovena, a ne přehazována mezi týmy. 

6. Řízení dodavatelů

Dodavatelský řetězec je v oblasti OT často největší slabinou. Audity dodavatelů by měly být pravidlem – ať už jde o certifikované audity (např. dle ISO 62443) pro energetický sektor nebo vlastní kontroly, ideálně podpořené dodatky ve smlouvách. 

upozorneni-OT-scaled.jpg

Závěr

Z pohledu legislativy je klíčovým tématem směrnice NIS2, která nově stanovuje bezpečnostní požadavky i pro výrobní podniky. Důležitý je zejména paragraf 28, který ukládá povinnost přijmout a udržovat odpovídající technická a organizační opatření. 

Firmy, které chtějí uspět v moderním, digitalizovaném průmyslu, si musí uvědomit, že OT už dávno není „něco bokem“. Je to kritická součást infrastruktury společnosti a zároveň stále častější cíl útoků. Ignorovat tuto realitu už dnes opravdu není možné. Máte-li zájem o více informací z kybernetické bezpečnosti, využijte možnost bezplatné 30minutové konzultace s naším odborníkem ZDE.

Starší příspěvky:

Arion_2025_Nahled-newsletter-web

ARION News – Září 2025

Číst více
Document,Management,System,Concept,,Software,System,For,Managing,Documents,,Information,

Efektivní správa přístupů a sdílení dokumentů na SharePointu

Díky aplikaci SharePoint zajistíte, aby měli jen správní lidé přístup ke správným informacím. SharePoint umožňuje snadné sdílení dokumentů napříč týmy,

Číst více
Confidential,Document,,Privacy,Protection,Or,Secret,Secured,Lock,,Safety,Or

Microsoft Purview

Každá firma či organizace dnes pracuje s osobními údaji a citlivými informacemi, a proto je adekvátní správa dat nejen zákonnou povinností, ale i klíčovým

Číst více

Kybernetická bezpečnost v provozních technologiích (OT)

Smart,Industry,Control,Concept.hands,Holding,Tablet,On,Blurred,Automation,Machine

V prostředí průmyslových podniků se kybernetická bezpečnost dlouho točila hlavně kolem IT. Servery, e-maily a uživatelské účty byly pečlivě chráněny, zatímco OT (Operational Technology) – tedy technologie zajišťující chod výrobních linek a průmyslových zařízení – zůstávaly stranou zájmu. Dnes už ale víme, že to byla chyba, a firmy za ni začínají tvrdě platit. 

OT systémy: stabilní, ale zranitelné

Systémy OT byly často navrhovány s důrazem na stabilitu a dlouhou životnost – nikoliv na obranu proti kybernetickým hrozbám. Stroje a řídicí systémy v provozech bývají v chodu klidně 10 až 30 let a i když stále fungují, jejich firmware a operační systémy jsou často dávno za hranicí podpory. Přesto zajišťují klíčové procesy a výpadek výroby by mohl znamenat obrovské ztráty. Není proto divu, že se mnohé firmy bojí jakýchkoliv změn, včetně bezpečnostních testů. 

Jenže kybernetické útoky se OT prostředí nevyhýbají. Naopak – podle dostupných statistik více než třetina organizací zažila v posledním roce šest a více bezpečnostních incidentů v oblasti OT. Přes 55 % zaznamenalo výpadek výroby a 43 % přišlo o kritická data. Vzhledem k tomu, že výrobní linka často představuje hlavní zdroj příjmů celé firmy, je důsledná ochrana OT systémů otázkou přežití. 

Zdroje dat:  

Čtvrtletní přehled

Stav kybernetické bezpečnosti v roce 2024

Prumyslova-zarizeni-scaled.jpg
problem-vyrobni-firma-scaled.jpg

Nejčastější slabiny v OT prostředí

Z konference zaměřené na kyberbezpečnost v průmyslovém prostředí vyplynulo několik zásadních slabin, které se v OT prostředích opakují: 

  • Absence monitoringu: Řada firem vůbec nesleduje, co se v OT sítích děje. 
  • Útoky skrze dodavatele: Externí servisní přístupy jsou často slabě chráněné a neřízené. 
  • Zastaralé systémy: Neprovádí se aktualizace firmwaru a operačních systémů. 
  • Nejasnosti v odpovědnosti: Není zřejmé, zda za bezpečnost OT prostředí odpovídá IT, nebo výrobní oddělení. 
 

Tato situace je velmi riziková, zvlášť v podnicích s nepřetržitým provozem, jako je například automobilový průmysl. V něm může i několikaminutový výpadek znamenat značné ekonomické ztráty.

Co s tím? Kroky k lepší ochraně

Zavedení kybernetické bezpečnosti do OT prostředí je složitý proces, ale zdaleka ne nemožný. Zásadní je nebýt reaktivní, ale proaktivní – tedy nečekat, až se něco stane. 

1. Segmentace sítí 

Základem je správná síťová architektura. Oddělit IT a OT sítě, zakázat staré a nepotřebné protokoly, využívat multivendor firewally a přístup dodavatelů směrovat pouze přes DMZ zónu a karanténní vrstvy. Tato pravidla vycházejí i z normy ISO 62443, která je dnes standardem pro bezpečné nastavení OT sítí. 

2. Řízení přístupů a vzdálené správy

Je důležité zvážit správné nastavení sdílených účtů a mít přesně nastavená pravidla pro přístupy dodavatelů – včetně VPN, časového omezení a evidence, kdo se kdy kam připojil. Fyzický přístup k systémům by měl být také důsledně řízen. V praxi může být obtížné tyto zásady realizovat, zejména ve výrobním prostředí, kde je klíčové, aby se pracovníci mohli okamžitě dostat k ovládání zařízení bez prodlev. Sdílené účty zde mohou eliminovat situace, kdy někdo zapomene heslo nebo nový pracovník ještě nemá založený účet. Na jednom pracovišti se často střídají různé směny a vytváření individuálních účtů pro každého může být administrativně náročné. 

3. Monitoring a reakce na incidenty

Pokud nelze přímo monitorovat zařízení OT (například kvůli technickým limitům starších systémů), pak je klíčové alespoň sledovat síťové toky mezi segmenty. Dále je nutné mít zajištěný plán reakce na incidenty, testovat obnovu ze záloh a provádět pravidelné penetrační testy a možnosti auditní stopy. 

4. Patch management a hardening

Průmyslová zařízení by měla být pravidelně aktualizována – i když v praxi často narážíme na problémy s kompatibilitou a dostupností aktualizací. Patch management zahrnuje proces identifikace, testování a instalace aktualizací softwaru, který pomáhá zajistit, že systémy zůstanou bezpečné a funkční. Firmy by měly mít jasný plán, jak tyto aktualizace zavádět, a to i v prostředích, kde je provoz kriticky závislý na stabilitě systémů. I zde však lze alespoň minimalizovat rizika pomocí hardeningu – vypínání nepotřebných služeb, uzavření portů, zakázání USB apod. 

5. Školení a spolupráce

Bez vyškoleného personálu nebudou žádná technická opatření fungovat. Je nutné lidem nejen zakazovat nebezpečné chování, ale hlavně jim vysvětlovat „proč“. Důležitá je také spolupráce mezi IT a OT odděleními – odpovědnost za bezpečnost musí být jasně stanovena, a ne přehazována mezi týmy. 

6. Řízení dodavatelů

Dodavatelský řetězec je v oblasti OT často největší slabinou. Audity dodavatelů by měly být pravidlem – ať už jde o certifikované audity (např. dle ISO 62443) pro energetický sektor nebo vlastní kontroly, ideálně podpořené dodatky ve smlouvách. 

upozorneni-OT-scaled.jpg

Závěr

Z pohledu legislativy je klíčovým tématem směrnice NIS2, která nově stanovuje bezpečnostní požadavky i pro výrobní podniky. Důležitý je zejména paragraf 28, který ukládá povinnost přijmout a udržovat odpovídající technická a organizační opatření. 

Firmy, které chtějí uspět v moderním, digitalizovaném průmyslu, si musí uvědomit, že OT už dávno není „něco bokem“. Je to kritická součást infrastruktury společnosti a zároveň stále častější cíl útoků. Ignorovat tuto realitu už dnes opravdu není možné. Máte-li zájem o více informací z kybernetické bezpečnosti, využijte možnost bezplatné 30minutové konzultace s naším odborníkem ZDE.

Sdílet aktualitu:

Nejnovější příspěvky

Nezmeškejte novinky

Neodkládejte řešení technologických problémů.
Spojte se se zkušeným partnerem, který je vyřeší za vás.
REGISTROVAT NEWSLETTER