Najčastejšie poruchy nebývajú na linkách, ale na zariadeniach, ktoré sa nepodieľajú priamo na výrobe

Ak ste ešte nezachytili našu sériu rozhovorov o pokrokovom projekte v Remoske, je ten najvyšší čas. Práve čítate totiž jeho posledný diel venovaný téme IoT (Internet of Things) s Martinom Hummelom, Industry Solution Architektom. Už vieme, že Remoska vďaka technologickej transformácii výroby získala digitalizovaný a zabezpečený IT systém, ktorý zvyšuje jej konkurencieschopnosť a zachováva kontinuitu produkcie. Ako prebiehala jej priemyselná modernizácia z pohľadu komunikačnejdátovej infraštruktúry či bezpečnosti, ste sa mohli dozvedieť z predošlých interview s našimi kolegami – IT špecialistami na jednotlivé oblasti.

Martin, vieme už, že z moderného IoT má Remoska pod svojou strechou energetický monitoring, konkrétne plynu a elektriny. Ty si sa podieľal na rozbehnutí tohto riešenia. Môžeš nám k tomu povedať niečo viac?

Ide o meranie spotreby plynu a elektriny na výrobných linkách. Čiže nejde o centrálne meranie, ale o meranie per technológia na všetkých strojoch. Ide o zber dát o spotrebe v 15-minútových intervaloch a tieto dáta sú posielané do ich centrálneho systému SCADA, kde sú vyhodnocované spolu s ďalšími dátami z výrobného procesu. Spolu to boli dva vysielače, štyri plynomery a sedemnásť elektromerov.

Taktiež sme riešili monitoring hladiny kondenzátu z kompresorovne. Keď sa robí kompresorom stlačený vzduch, tak vzniká ako vedľajší efekt voda a tento kondenzát je odvádzaný do nádrže. Tú treba z času na čas vyčerpať, aby voda nepretiekla. Takže sme do nádrže dali plavákový senzor. Akonáhle je nádrž naplnená po určitú hladinu, tak to zamestnancov upozorní mailom a oni idú nádrž vyčerpať.

Čo s tými nameranými dátami? Kam sa ukladajú a ako sa ďalej využívajú?

Dáta bežia na prenosovej sieti LoRaWAN, cez ktorú komunikujú všetky senzory. Potom sa ukladajú na network server, komunikácia je šifrovaná cez protokoly. V network serveri sa dáta preložia do „ľudskej reči“. Odtiaľ idú do IoT platformy ThingsBoard, kde dochádza k ich ukladaniu do databázy. Táto platforma je cez centrálne API rozhranie prepojená so SCADA systémom Remosky. V tomto systéme si už Remoska sleduje rôzne analýzy a reporty.

Čiže Soitron zabezpečil senzorickú časť, prenos dát cez LoRaWAN sieť, ukladanie dát, ich pretransformovanie do zmysluplnej podoby a import dát do systému SCADA.

Čo myslíš pod spojením, že „dáta sa preložia do ľudskej reči“?

Dochádza k prepočtu na tzv. skutočný objem plynu a spaľovacie teplo. Čiže nemeriame, koľko kubíkov plynu pretečie, ale meriame koľko kilowatthodín (kWh) energie bolo spotrebovaných. Zobrazená je reálna spotreba plynu v prepočte na kWh energie. Na vysvetlenie uvádzam, že rôzne husté plyny sú dodávané v rôznych tlakoch. Každá technológia používa iný typ tlaku. Čím je tlak vyšší, tým je plyn hustejší a má vyššiu energetickú výhrevnosť. My robíme prepočet na kWh, aby sme sa nezaoberali kubíkmi plynu, ale reálne spotrebovanou energiou.

Dvaja muži pracujúci vo fabrike pri stroji

Plyn je problematický, lebo je výbušný?

Ani nie. Len som tým chcel povedať, že zariadenia, ktoré sme nasadili v Remoske pri plynomeroch, sú konštruované do tzv. potenciálne výbušného prostredia (tzv. Atex zóna 2 pre plyn). Teda spĺňajú všetky bezpečnostné a požiarne normy v prípade jeho úniku.

Keby si mal zhrnúť biznisový prínos pre Remosku, čo by to bolo?

V Remoske majú komplexný prehľad o spotrebe elektriny a plynu na konkrétnu výrobnú linku. Tým, že sú odbery merané priamo na technológii a nie centrálne, tak vedia, aká je energetická náročnosť toho ktorého stroja a môžu si vypočítať náklad na výrobu 1 ks, príp. 1000 ks výrobkov. Vedia presne kvantifikovať podiel energií na cene výrobku. Čiže keď plyn zdražie o 100  % a oni vedia, že plyn predstavuje napríklad 1,5  % z ceny výrobku, tak potom ľahko vypočítajú, o koľko to navýši cenu jednej kuchynskej misy. S tým súvisí efektívne plánovanie výroby a ich flexibilita. Vidia, kedy stroj bežal a kedy nie a môžu to použiť pri plánovaní využitia stroja či odstávok. Vedia si napríklad zrátať, kedy je ekonomicky výhodnejšie vyrábať, či počas prvej, druhej alebo tretej zmeny.

IoT by možno mohlo byť nápomocné aj pri odhalení nežiadúcich únikov elektriny či vody. Alebo sa mýlim?

To určite. Dá sa tak kontrolovať plytvanie energie a identifikovať isté anomálie v spotrebe vody či elektriny. Možno odhaliť napríklad únik elektriny, ak je niektorý stroj v zapnutom režime aj pri odstávkach mimo pracovného času. Prípadne, ak výrobná linka má zrazu vyššiu spotrebu elektriny, pretože niektorý komponent stroja je zle nastavený, poškodený či preťažený. Tiež sa dá napríklad zistiť, že vo fabrike ide celý víkend kompresor a uniká stlačený vzduch. Žiaľ, treba povedať, že továrne majú často tieto dáta, ale ich nepoužívajú a nesledujú. I keď často sa dá touto cestou značne ušetriť.

Továreň pohľad zhora

Aké iné IoT technológie by ešte Soitron mohol ponúknuť výrobným podnikom? Napríklad už spomínané meranie spotreby vody?

Áno, robíme aj to. I keď voda je väčšinou v továrňach meraná centrálne a pre výrobu nie je kľúčová. Skôr je zaujímavé sledovanie spotreby stlačeného vzduchu alebo technických plynov, ako napríklad kyslík, dusík, argón, acetylén. Sú to všetko drahé záležitosti, je to významná nákladová položka pre podnik. Preto monitoring ich úniku určite má význam.

Okrem energetického monitoringu, o ktorom sa tu rozprávame, ponúkame aj prediktívnu údržbu strojov, a to prostredníctvom monitoringu vibrácií a teploty. Zameriavame sa na elektromotory, čiže ide napríklad o odsávanie, pumpovanie, lisovanie. Na motor umiestnime senzor, ktorý sleduje teplotu motora a vibračné charakteristiky. Ak motor začne vykazovať odchýlku od štandardného fungovania, príde upozornenie na údržbu a pracovník ide motor skontrolovať. Takto vieme odhaliť degradáciu motora – poruchu ložiska. V praxi býva najčastejšia porucha väčšinou mimo samotného motora. Alebo býva porucha nie na samotnom motore, ale na tom, čo ho poháňa – prasknutý remeň či pokazená prevodovka. Teda vieme zákazníka nasmerovať, v ktorej časti motora je problém. Naše riešenie vychádza z technickej normy ISO 20816-3:2022, ktorá hovorí o prediktívnej údržbe elektromotorov s výkonom nad 15 kW na základe charakteristiky vibrácií.

Taktiež robíme monitoring hluku. Pomocou senzorov meriame hlučnosť, kontrolujeme účinnosť tlmičov hluku a regulujeme zdroje hluku. Tiež to, aby nedochádzalo k prekročeniu povolenej hranice vzhľadom na zabezpečenie pracovného prostredia neohrozujúceho zdravie zamestnancov.

Určite by som v rámci nášho priemyselného networkingu vyzdvihol aj lokalizačné služby, kde je komunikačný systém fabriky postavený na spoľahlivej a bezpečnej Wi-Fi sieti. Toto unikátne riešenie sme implementovali napríklad v Mondi SCP, výrobcovi papieru a celulózy v Ružomberku, kde slúži na prepravu paliet s tovarom z automatickej baliacej linky do skladu.

Senzor sníma dvere auta

Čo bolo z pohľadu IoT na projekte Remoska zaujímavé?

Všetky riešenia, ktoré sme robili v Remoske, sú bežné a nasadzovali sme ich už aj u iných zákazníkov. Zaujímavá je integrálna súčasť všetkého dokopy tým, že idú dáta do systému SCADA. V ňom sa stretávajú súčasne údaje z výroby a energetického manažmentu, čo je netypické. Pre Remosku je to dôležité, lebo tieto dáta môžu využívať nielen na monitoring spotreby energie, ale aj na reporty, analýzy, spätnú kontrolu a plánovanie do budúcnosti.

Čo by si poradil priemyselným podnikom, ak zvažujú realizáciu IT zmien v súvislosti s modernizáciou chodu ich výroby?

Najdôležitejšie pre podnik je, aby fungoval. Teda aby bežala výroba a nedochádzalo k neočakávaným výpadkom výroby. Zákazník sám najlepšie vie, čo mu výrobu najviac ovplyvňuje. Z mojej praxe môžem povedať, že väčšinou to, čo nefunguje, nie sú samotné stroje, ale sú to iné komponenty, bez ktorých linka nevie fungovať, napríklad odsávanie. Keď odíde odsávanie, stojí celá výrobná linka. A  pritom odíde len motor na odsávaní za pár tisíc eur, ale je odstavená linka za milión eur. Čiže základ je identifikovať kľúčové miesta, ktorých výpadok spôsobí prerušenie výroby.

Podnik môže investovať do prvotriednej výrobnej linky, ale keď je pred ňou alebo za ňou kritický komponent, ovplyvňuje to celú výrobu. V praxi to býva práve takto. Väčšina fabrík postupne dopĺňa stroje a vymieňajú staré komponenty za nové. Nie ako Remoska, že nakúpila všetko naraz a postavili fabriku na zelenej lúke. Je dôležité myslieť v rámci výroby aj na tie komponenty, ktoré nie sú priamo výrobné, ale ich výpadok by ohrozil produkciu finálnych výrobkov. To môže byť napríklad pieskovačka, lakovačka, odsávačka, ohýbačka, zváračka či pec. Častokrát sa na ne v podnikoch zabúda. Riešia novú linku, robotické ruky, ale filtre a odsávačky sú staré 20 rokov a na ich výmenu nikto nemyslí. Dajú tam novú mašinu a začnú sa im kaziť iné zariadenia, ktoré majú už dlho. Preto by som sa na ich mieste snažil identifikovať z každej časti výrobného procesu komponent, ktorý je kritický.

S čím majú podniky začať, keď sa rozhodli pre digitalizáciu ich výroby? Od čoho sa môžu odraziť, keď nechcú realizovať všetky zmeny naraz?

Netreba mať veľké oči a snažiť sa hneď urobiť všetko. Odporučil by som im, aby začali implementovať riešenia postupne pri veciach, ktoré ich najviac pália. Potom postupne prejsť na tie menej dôležité záležitosti. Veci, ktoré sú vo firme kritické, sa dajú častokrát vyriešiť veľmi jednoducho. S pomerne malým úsilím možno rozbehnúť veľké zmeny. A tie drobné dorábky sú už len také „vyšperkovania“. Nie vždy to platí, ale často áno.

Ďakujem za rozhovor.

Hybridné riešenia dávajú vo výrobe zmysel. Ako aj príprava infraštruktúry na rozširovanie do cloudu

Ikonický podnik českej značky Remoska prešiel procesom IT transformácie. Je vzorom pre iných priemyselných výrobcov v tom, ako využiť automatizáciu a digitalizáciu vo svoj prospech, zefektívniť výrobu, zminimalizovať výpadky, rozšíriť kapacity, zvýšiť konkurencieschopnosť či zoptimalizovať spotrebu energií. S pomocou Soitronu získala fabrika modernú a silne zabezpečenú architektúru postavenú na najmodernejších technológiách. Séria rozhovorov s našimi Soitron expertami nám postupne priblížila tento úspešný projekt z pohľadu komunikačnej infraštruktúrybezpečnosti. Teraz sa v debate s naším špecialistom Martinom Kameniarom, Infrastructure Business Unit Managerom, naň pozrieme z pohľadu serverovej infraštruktúry.

Vieme, že v Remoske bola vybudovaná kvalitná sieťová infraštruktúra zabezpečená proti kybernetickým incidentom. Prebehla tam implementácia IP telefónie, bol zavedený IoT energetický monitoring, boli zintegrované systémy ako ERP, MES či iné interné programy. Čo všetko sme realizovali v tomto podniku z pohľadu dátovej infraštruktúry?

Zjednodušene povedané v Remoske sme postavili dátové centrum s integráciou do cloudu. Chcel by som však zdôrazniť, že do veľkej miery to bolo o spolupráci medzi jednotlivými technickými oddeleniami v rámci Soitronu. Vždy to začína návrhom infraštruktúry riešenia. Pri implementácii už ide o zladenie práce jednotlivých Soitron tímov. Keď sa nad tým spätne zamyslím, išlo o fyzickú inštaláciu serverov priamo na lokalite, vrátane UPS-iek (záložných zdrojov). Nasledovala implementácia prevádzkových služieb cez virtualizačnú platformu od vendora VMware, potom vytvorenie Active Directory. Určite nemožno zabudnúť na Backup riešenie. Okrem virtualizácie prebehla aj integrácia SaaS (Software as a Service) služieb.

Akých konkrétne?

Dnes sú to hlavne Microsoft 365 služby. Do budúcna by sa mohli využívať služby v zmysle rozširovania ochrany virtuálnych serverov a koncových staníc. Viem si predstaviť vytváranie archívov v rámci cloudového prostredia. Prichádzali by do úvahy aj iní vendori okrem Microsoft, ako napríklad Amazon (AWS) či Google. Dnes je multicloud nový trend.

Keď sa vrátim ešte k predošlej otázke, tak poskytujeme aj SLA (Service Level Agreement) na celé prostredie.

Myslíš tým poskytovanie supportu nad celým riešením?

Presne tak. Výrobné podniky nemajú často žiadne IT oddelenie alebo ho tvorí len jeden IT-čkár. Práve preto môže byť takáto servisná zmluva, uzatvorená s IT poskytovateľom, nápomocná. To bol aj prípad Remosky, kde poskytujeme všetko od A po Z a tým „Z“ myslím práve SLA zmluvu. V rámci nej robíme napríklad monitoring prostredia. Teda máme okamžite prehľad o tom, ak niečo vypadne a vieme hneď reagovať. Tiež je zakúpený support na jednotlivé hardvérové komponenty. Vedieme CMDB databázu, kde máme evidované všetky exspirácie licenčných kľúčov. Vieme, kedy je potrebné obnoviť backup či support na hardvér od vendora. Čo je určite veľké odbremenenie fabriky, aby toto všetko sledovala. Môže sa to zdať ako drobnosť, ale keď toto všetko nikto nesleduje a nastane nejaká kritická situácia či výpadok, firma zrazu zistí, že nemá zakúpenú podporu a nemôže teda požiadať vendora o nový disk alebo výmenu čohokoľvek. Je to veľký problém.

Zároveň ste robili aj podporné služby pre ostatné Soitron tímy…

Určite, napríklad pre Network a Security, pretože celé riešenie bolo postavené na vysokej bezpečnosti. Keďže ide o výrobný podnik, tak bolo potrebné komunikovať aj s dodávateľmi výrobných strojov. Museli nám zadefinovať, aký virtuálny server potrebujú či aký má mať výkon. Tiež bolo potrebné vyšpecifikovať celú komunikačnú maticu nie len pre aplikačné servery, ale i prevádzkové. Počas celého projektu bola veľmi dôležitá vzájomná kooperácia a komunikácia rôznymi smermi.

Hovorili sme spolu o integrácii Microsoft Office 365 služieb do cloudu. Aké výhody prináša priemyselnému podniku cloudové riešenie?

Cloudové prostredie všeobecne ponúka podnikom možnosť rozširovania ich služieb či aplikácií. Nemusí to byť hneď, ale možno o 2-3 roky, keď to budú potrebovať. Dnes je tu umelá inteligencia (AI) a môžeme si všimnúť, že rôzni vendori už začínajú integrovať AI do svojich riešení. Typickým príkladom je napríklad Microsoft Azure, ktorý začína implementovať AI do svojho prostredia. Systémák napíše „Priprav mi dizajn na také a také prostredie“ a AI vygeneruje návrh. V tomto duchu by mala každá jedna spoločnosť myslieť tak trochu vizionársky. Byť do budúcna otvorená možným integráciám.

Napadá ti ešte nejaké ďalšie praktické uplatnenie v rámci cloudu? Či už v Remoske alebo všeobecne v iných výrobných fabrikách?

Pokiaľ viem, Remoska uvažuje v budúcnosti spustiť novú, tzv. inteligentnú Remosku, ktorá sa bude dať ovládať z mobilných zariadení a dokáže zbierať telemetrické dáta. Keďže počet Remosiek pripojených v rôznych časoch počas dňa bude značne kolísať, musí byť kapacita serverov flexibilná. Na pružnosť vo využívaní kapacity serverov je cloud ideálny. Práve v takýchto prípadoch, keď spoločnosť poskytuje zákazníkom nejakú online službu, musí v prvom rade zabezpečiť jej vysokú dostupnosť. Napríklad v rámci Microsoft Azure existuje Azure Front Door, ktorý ponúka CDN (Content Delivery Network) a v rámci sveta zaručuje prevádzku s vysokou dostupnosťou jednotlivých služieb. Vývojár samotnej aplikácie aj Remoska, ako poskytovateľ tejto služby, má v rámci cloudu podstatne širšie možnosti.

Často sa vraví, že výhodou cloudu je škálovateľnosť. Čo to znamená?

Fyzické servery tvoria procesory, RAM-ky, disky, storage. Pripojenie jednotlivých komponentov prebieha manuálne. Zvyšovanie alebo znižovanie výkonu sa potom nedá realizovať úplne bez výpadku. Zároveň je tam aj fyzické obmedzenie. V rámci cloudu aplikácií nám škálovateľnosť umožňuje neobmedzene a flexibilne pracovať so zdrojmi. Počas nejakého obdobia, keď je napríklad sezónne nízky dopyt zákazníkov, možno znížiť výkon relatívne jednoducho. Keď je, naopak, v nejakom období vysoký dopyt, dá sa navýšiť výkon virtuálne úplne bez problémov. V cloude je možné celý tento proces zautomatizovať, takže nebudú zaznamenané žiadne výpadky.

Pre výrobné podniky je typické on-premise prostredie, ktorého protipólom je práve cloud. Idú tieto dva prístupy dokopy?

Vo všeobecnosti odporúčam fabrikám hybridný model. Ten im dáva možnosti pripraviť si architektúru infraštruktúry tak, aby ponúkala rozširovanie sa do cloudu vtedy, keď to budú potrebovať. Moja rada je využiť všetky výhody hybridu – myslieť otvorene, strategicky. Samozrejme, bezpečne, to je prvoradé.

Moje dlhoročné skúsenosti mi tento trend aj potvrdzujú. Otvorenosť voči cloudu a hybridným modelom sa za posledné roky výrazne zvýšila. Začalo to už pred covidovým obdobím.

Robotník v továrni

Keď už sme pri bezpečnosti, ako vníma výrobný sektor potrebu mať zabezpečené prostredie?

Bezpečnosť dnes chápem ako štandard. Je dôležité, aby každá spoločnosť vnímala hrozby z vonku a útoky, ktoré na ňu číhajú. Dnes sú výrazne sofistikovanejšie, ako boli v minulosti. Preto je dôležité začať s postupným overovaním aktuálneho stavu a s nasadzovaním bezpečnostných opatrení, pokiaľ sú potrebné. Prax nám potvrdzuje, že zákazníci to začínajú vnímať ako prioritu. I keď priemyselné podniky majú toto vnímanie trošku oneskorené, až keď sa stanú “obeťou” útoku.

Je dôležité si uvedomiť, že každá zmena, či už ide o zvyšovanie bezpečnosti alebo prechod do cloudu, znamená automaticky zníženie komfortu. Avšak neznamená to zníženie efektivity práce. Napríklad zvýšenie zabezpečenia formou dvojfaktorovej autentifikácie je dnes už nevyhnutná vec a stáva sa bežne aplikovanou aj vo výrobných fabrikách.

Čo by si poradil priemyselným továrňam, ak zvažujú realizáciu IT zmien v súvislosti so zaistením chodu ich výroby?

Odporučil by som im vytvoriť si vyhodnotenie aktuálneho stavu, teda vykonať analýzu existujúceho prostredia. Vďaka nej zistia, kde sa nachádzajú a v akom stave majú IT infraštruktúru. Existujú nástroje, pomocou ktorých to vedia urobiť aj vo vlastnej réžii. Ale, samozrejme, vieme im s tým pomôcť aj my. Získajú tak nezávislý pohľad na ich IT prostredie.

Zároveň by som im radil vytvoriť si aj finančnú analýzu. Podľa nej budú vedieť, akú veľkú finančnú investíciu si vyžaduje daná zmena. Nemusí to byť realizované hneď najbližšie mesiace, pokojne si to môžu rozdeliť do niekoľkých rokov. Postupovať by mali podľa prioritizácie – od najrizikovejších až po tie najmenej rizikové. Zároveň by si mali pomenovať svoje očakávania od týchto zmien. Napokon pripraviť reálny plán týchto zmien, teda ako bude prebiehať integrácia, inštalácia, migrácia a pod.

Napríklad v Soitrone, spolu s našou partnerskou spoločnosťou Millennium, robíme tzv. Business Value Assessment. Ide o technickú a finančnú analýzu, čo by spoločnosť stálo, keby chcela preprogramovať existujúce on-premise „legacy” aplikácie na cloudové. V rámci tejto analýzy sa pozeráme pomocou rôznych nástrojov na infraštruktúru, to znamená na server, aké má CPU, aké Windowsové či Linuxové licencie používa. Kolegovia z Millennia sa pozerajú na zdrojové kódy aplikácií. Spoločne vieme vytvoriť záver – reálne vyhodnotíme, aká bude časová, technická a finančná náročnosť tejto zmeny. Firma sa na základe toho môže rozhodnúť, či sa jej oplatí prechod do cloudovej aplikácie realizovať alebo pôjde do iného riešenia.

Čo ak továreň vie, že chce realizovať zmenu, ale nevie, ako a čím začať?

Každé prostredie, každý zákazník je úplne iný, ako aj jeho požiadavky a očakávania. Neexistuje jednoznačné zovšeobecnenie. Ale položme si otázku, čo sa stane, ak fabrika stratí svoje dáta alebo vypadne výroba na X hodín. Na tomto poďme stavať. Čiže začíname pri tom, že sa pozrieme na infraštruktúru, na jednotlivé stavebné kamene, ako napríklad servery, sieť, firewall a či má firma všetko aktualizované. Preverujeme, či spoločnosť používa segmentáciu siete, či majú oddelené prístupy do siete na základe oddelení alebo rolí užívateľov a pod.

Absolútne dôležité z pohľadu ochrany dát a minimalizovania výpadkov sú Backup plán a Disaster Recovery plán. Je potrebné mať pomenovanú jednoznačnú postupnosť, ako sa správať pri výpadku celého riešenia. Tiež je dôležité mať aj záložné riešenie, geograficky oddelené alebo práve v rámci cloudu. To, či to bude postavené v inom datacentre alebo v cloude, je v zásade jedno. Je vhodné mať popísané, ako postupovať a čo robiť. Keď dôjde k výpadku, začne veľký chaos. Vďaka tomuto plánu možno postupovať pragmaticky, s chladnou hlavou, presne podľa zadefinovaných krokov.

Z pohľadu prevádzkovej infraštruktúry sa opäť vraciam k aktuálnosti operačných systémov. Je to dôležité oproti minulému obdobiu, pretože dnes takéto diery v operačných systémoch jednotlivých verzií využívajú čoraz častejšie hackeri na prieniky do vnútra firmy.

V konečnom dôsledku aj koncový užívateľ je bod, ktorý je kritický. Preto odporúčam pozrieť sa na koncovú stanicu, či sa tam ukladajú dáta, či možno sťahovať dáta. Práve vo výrobných podnikoch by v niektorých prípadoch nemalo byť umožnené sťahovať dáta. Tiež je podstatné sa zamerať na to, či sú všetky dáta ukladané na server. V prípade, ak sa prenáša notebook, je potrebné skontrolovať, či je šifrovaný. Určite je dobré mať aj prístup do sieťovej infraštruktúry cez VPN-ku. Ak na toto všetko podnik nemá priestor, tak sme tu my, Soitron. Vieme jeho prostredie zanalyzovať, navrhnúť riešenie a previesť digitálnou transformáciou.

Ak by si mal popísať výhody z pohľadu Remosky. Čo jej takéto riešenie prinieslo?

V prvom rade bezpečnosť. Potom spoľahlivosť prevádzky a vysokú dostupnosť dát. Istotu, že keby to náhodou celé padlo, tak sa podarí výrobu veľmi rýchlo rozbehnúť. Nemusia sa starať o chod IT, to im supportujeme my. Remoska sa môže sústrediť na výrobu, čo je jej hlavný predmet podnikania. Vďaka cloudovému riešeniu získala neobmedzené možnosti rozširovania svojich služieb, čím výrazne zvýšila svoju konkurencieschopnosť na trhu. Ak firma zaspí v napredovaní pri poskytovaní služieb , konkurencia ju veľmi rýchlo predbehne.

Viem, že v Remoske sme použili aj pôvodný server zo starej fabriky, ktorý slúži na zálohovanie.

Samozrejme, ak je to možné, vieme vyhovieť zákazníkovi v tom, že jeho existujúce hardvérové vybavenie znovu zrecyklujeme a použijeme na niečo iné, aby sa nemuselo vyhadzovať. Napríklad ho možno použiť v inej lokalite ako testovacie prostredie a pod. Teda, aby bolo znovu využiteľné na niečo, čo neohrozuje prevádzku a výrobu.

Je ešte niečo, čo sme v Remoske nerealizovali a prichádza do úvahy pre iné továrne?

Vždy je niečo, čím sa dá aktuálny stav ešte vylepšovať. Napadá mi napríklad správa koncových staníc, ktorú v Remoske nemajú. Tá umožňuje inštaláciu aplikácií na diaľku alebo vytvorenie tzv.  Golden Image, t. z. štandardizovaného operačného systému, ktorý sa inštaluje na počítač užívateľa.

Vylepšovať stále viac a viac sa dá bezpečnosť. V priemyselnom prostredí mi dáva zmysel outsourcing služieb SOC (Security Operation Centre). Fabriky často nemajú dostatočne personálne pokryté interné IT oddelenie. Preto mi príde ako vhodné riešenie dohľadové centrum kybernetickej bezpečnosti, ktoré by ich upozorňovalo na hrozby a chránilo pred incidentmi.

Ďakujem za rozhovor.

S výpadkom linky hrozia finančné straty! Nepodceňujte zabezpečenie priemyselnej výroby 

Pokračujeme v  sérii rozhovorov s našimi Soitron špecialistami, určenej ako inšpirácia pre priemyselný sektor. Na príklade úspešného projektu v českej Remoske sa bavíme o tom, čo všetko je nevyhnutný základ a čo ďalšie by mohli byť „nice to have“ veci, ktoré by ešte výrobný podnik mohol mať. Radíme, s čím pri plánovanej prestavbe začať, prečo sa zmeny netreba báť a ako to celé uchopiť. Po prvom rozhovore o sieťovej infraštruktúre sme sa tentokrát zamerali na výrobu z pohľadu bezpečnosti so Stanislavom Smolárom, naším vedúcim oddelenia kyberbezpečnosti

Stano, povedz nám, čo všetko sme realizovali v Remoske z pohľadu bezpečnosti? 

Začnime tým, ako bola v Remoske navrhnutá sieťová infraštruktúra. Od toho sa dostaneme aj k bezpečnosti. Pri návrhu riešenia sme sa opierali o dva kľúčové dokumenty. Prvý z nich je Cisco Validated Design pre bezpečnosť vo výrobe. Obsahuje základné parametre, ako má byť dizajnovaná sieť, vzdialený prístup do siete, ako má byť riešená segmentácia siete a prestupy medzi jednotlivými časťami infraštruktúry. Druhým štandardom, na ktorý sme sa zamerali, je ISA/IEC 62443, čo je sada tzv. best practices pre industriálnu infraštruktúru z pohľadu kybernetickej bezpečnosti. 

Čo to v praxi znamená? 

Znamená to, že od začiatku sa myslelo na to, aby bola v Remoske sieť dobre rozsegmentovaná. Keď sa dizajnujú industriálne siete, tak veľmi dôležitá je segmentácia siete medzi IT časťou a industriálnou OT časťou. Napríklad z office siete by sa nemal len tak niekto dostať do tej industriálnej. Je dôležité oddeliť funkčné celky tak, aby sa prípadný malware nemohol šíriť do tých častí siete, ktoré sú pre fabriku najpodstatnejšie. Ide napríklad o industriálnu sieť, na ktorej bežia stroje, PLC-čka, rôzne roboty atď.  

Z tohto dôvodu sme použili industriálne Cisco firewally a switche, špecializované do ťažkého prostredia, inštalované priamo pri výrobnej linke v tzv. DIN lištách. Okrem toho sme použili aj klasické Cisco Firepower Threat Defense ako virtuálnu platformu. Celé je to rozsegmentované do logických celkov tak, aby všetko komunikovalo len s tým, čo je nevyhnutné. Je to riadené z jedného management centra v rámci tých pravidiel. 

Ďalšia kľúčová vec, ktorá sa v Remoske riešila, je vzdialený prístup dodávateľov. Ten bol riešený cez overovanie prístupov do siete vďaka Cisco ISE spolu s cloudovým Microsoft Active Directory. Je tam zároveň aj multifaktor – Microsoft Authenticator. Tým pádom vieme zabezpečiť bezpečný prístup dodávateľov ku strojom, keď ich potrebujú servisovať. Treba spomenúť, že práve toto býva typický problém vo výrobných podnikoch. Pokiaľ si fabrika nie je vedomá toho, že by to mala riešiť, tak každý dodávateľ si spraví vlastný prístup vo svojej réžii. Avšak to nie je štandardizované. Práve toto potom býva „slabé miesto“ pri kompromitácii, keď sa útočník môže dostať do infraštruktúry fabriky cez nechránený prístup niektorého z dodávateľov strojov. 

Prečo treba použiť práve tieto industriálne zariadenia? Nestačia klasické switche a firewally? 

Záleží na tom, kde sú nainštalované. Keď budú nainštalované v serverovni, tak nie je dôvod používať industriálne. Ale zasa industriálne firewally majú špecifické vlastnosti, ktoré tie normálne firewally nemajú. Tieto komponenty sú určené na použitie v náročných podmienkach, napríklad tam, kde je vyššie elektromagnetické žiarenie, vysoká prašnosť alebo extrémne teploty. Čiže keď sa pozrieme na to, v akom prostredí môžu tieto zariadenia fungovať, tak vidno zásadný rozdiel medzi bežným firewallom a industriálnym. To isté platí aj pre switche. 

Industriálne zariadenia sú niekde úplne inde z hľadiska toho, aké bezpečnostné funkcie poskytujú oproti bežným komponentom. Zásadný rozdiel je napríklad v tom, že industriálne siete väčšinou bežia na iných protokoloch ako bežné siete a industriálne firewally vedia filtrovať aj tieto industriálne protokoly. Ich ďalšou vlastnosťou, ktorá je podľa mňa kľúčová, je, že industriálne firewally sú principiálne odlišné od bežných firewallov v tom, že keď takéto zariadenie prestane fungovať, tak neblokuje komunikáciu, ale je tam tzv. Pass-through interface, čiže komunikácia síce nebude kontrolovaná, ale bude prebieha naďalej. 

V bezpečnosti sa veľmi často pracuje s výrazom „Crown Jewels“. Čiže čo je tým „rodinným zlatom“ pre výrobný podnik. Je to jednoznačne samotná prevádzka podniku, pretože výpadok výrobnej linky znamená obrovské finančné straty. Preto keď sa niekto pýta, prečo by mali investovať do industriálnych zariadení, tak sa ho treba spýtať jednoduchú otázku: „Čo by ste mali radšej dobre zabezpečené – IT časť alebo OT časť? Čo vám zarába peniaze?“ A odpoveď je jasná. Bez office IT časti vie fabrika fungovať aj naďalej, ale ak sa útočník či malware dostanú do industriálnej OT časti, tak sa bavíme o strate príjmu podniku a neschopnosti plniť si svoje záväzky. 

Oddelenie IT od OT časti vo výrobnom podniku možno chápať ako novátorský prístup? Alebo je to niečo, čo je dnes v praxi už bežné? 

Je to štandard, ktorý tu máme 15 – 20 rokov, čiže je relatívne dlho na svete. Historicky však nebola motivácia to vo výrobných podnikoch riešiť. Jedna z primárnych príčin, prečo to tak bolo, je, že tieto industriálne siete boli v minulosti brané ako air-gapped prostredie bez prepojenia na IT systémy. Buď boli úplne analógové alebo to nebolo nijako ošetrené. Ale dôvod, prečo to už budú musieť organizácie riešiť, je Zákon o kybernetickej bezpečnosti a smernica NIS2. Tá zásadná zmena bude v tom, že viaceré subjekty zo súkromnej sféry budú pod tieto právne normy spadať. Pre priemysel je predpoklad, že sa to bude týkať všetkých väčších výrobných podnikov. Napríklad, ak by Remoska spadala medzi subjekty, ktorých sa smernica NIS2 týka, tak je do veľkej miery na túto legislatívu pripravená. A to aj vďaka tomu, že sme v nej implementovali jednotlivé bezpečnostné postupy podľa validovaných dizajnov a štandardov. 

Existuje niečo, čo ti z pohľadu bezpečnosti pre priemyselný sektor ešte dáva zmysel? 

V dnešnej dobe sa dosť pracuje aj s viditeľnosťou do industriálnych protokolov. To znamená, že je dobré mať nástroj, ktorý rozumie komunikácii strojov a  vie urobiť bezpečnostnú analýzu. Zároveň sa tieto dáta dajú použiť aj na troubleshooting prevádzkových problémov, ak je tam napríklad chyba v konfigurácii. Na toto využívame produkt Cisco Cyber Vision. 

Môžeš mi bližšie popísať, ako tento nástroj funguje? 

Ako som už spomínal, iné protokoly bežia vo výrobnej časti a iné protokoly v office časti továrne. V rámci IT časti máme nástroje, ktoré zabezpečia tzv. viditeľnosť siete. To znamená, že vieme, ako prebieha komunikácia jednotlivých zariadení v tejto IT sieti, kto s kým komunikuje, vieme sa k nej spätne vrátiť. Lenže nástroje, ktoré fungujú v IT časti, nerozumejú komunikácii zariadení v OT časti, pretože výrobné stroje bežia na špecifických protokoloch. Cisco Cyber Vision je určený práve na „čítanie“ týchto industriálnych protokolov. Ak by som to mal porovnať s niečím z Cisco portfólia, tak je to niečo ako Cisco Secure Network Analytics, akurát je to určené pre OT časť. Industriálne switche, ktoré sme použili aj v Remoske, slúžia ako tzv. senzory pre Cisco Cyber Vision. Čiže vedia preposielať určité informácie z týchto switchov priamo do tohto nástroja na bezpečnostnú analýzu. 

Pre zaujímavosť, Cisco Cyber Vision bola akvizícia spoločnosti Cisco. Pôvodne išlo o francúzsku firmu Sentryo a my sme s nimi spolupracovali ešte skôr, ako ich Cisco akvizovalo. Čiže sme v podstate boli vyškolení na túto platformu ešte predtým, ako ju Cisco oficiálne spustilo. S týmto produktom máme najdlhšie skúsenosti a myslím si, že sme jediní, kto sa ním seriózne zaoberá. 

Je ešte niečo ďalšie, čo by vedeli výrobné podniky využiť? 

Jedna vec je mať správne nastavený vzdialený prístup, to znamená cez multifaktor a nejako štandardizovaný tak, že každý dodávateľ vidí len svoje zariadenia. Ale ak by sme chceli ísť o úroveň vyššie, tak môžeme zakomponovať do vzdialeného prístupu aj Privileged Access Managemet. Ide o riešenie, ktoré vie izolovať dodávateľov od tých zariadení, ktoré spravujú. Takto potom úplne minimalizujeme riziko, že by napríklad administrátor dodávateľa spôsobil nejakú škodu fabrike, pretože je to úplne odsegmentované na sieťovej úrovni a dodávateľ ani nevie heslá na zariadenia, ktoré spravuje. 

Dôležitá je už spomínaná viditeľnosť do industriálnych protokolov. Nad ňou ako bezpečnostná nadstavba sú potom tzv. Intrusion prevention systémy, ktoré vedia robiť s industriálnymi protokolmi, ale tie sa dnes ešte málo využívajú. 

Vráťme sa ešte na chvíľu k Remoske. Mala v niečom výhodu oproti iným podnikom? 

Určite greenfield bol jednoznačná výhoda, tak pre samotnú fabriku, ako aj pre nás – Soitron, ako hlavného IT architekta celého riešenia. Väčšinou je zložitejšie zlepšovať existujúce a robiť to postupne, ako postaviť celú fabriku nanovo na zelenej lúke. Celé riešenie sme mohli navrhnúť tak, ako by to ideálne malo vyzerať a nemuseli sme bojovať s nejakými obmedzeniami a nedokonalosťami z minulosti. 

A čo podniky, ktoré majú existujúcu výrobu a nezačínajú na zelenej lúke? Máme aj pre nich riešenie? 

Určite áno. Vždy to je len o tom, o aké veľké riziká ide. Treba začať tými vecami, ktoré sú najviac rizikové. Ideálne je zmapovať celú sieť cez analytický nástroj, aby sme sa nebavili len o teoretických rizikách, ale aj o konkrétnych z praxe. My na to používame napríklad nástroj Soitron Security Sensor. Následne navrhneme, čo by sa malo robiť, a potom sa bavíme so zákazníkom, do čoho vie investovať teraz, do čoho neskôr a on si to zaradí do svojho dlhodobého plánu investícií. Snažíme sa k tomu pristupovať tak, že začneme s vecami, kde vieme adresovať relatívne vysoké riziká za rozumné peniaze. Zadefinujeme, kde je riziko veľké a náprava nie je až tak bolestivá. Takto postupne odstraňujeme tie najväčšie riziká až sa dostaneme do stavu, kedy s tým môže byť zákazník relatívne komfortný. Popritom má určite zmysel robiť aj formálnu analýzu rizika, Bussiness Impact analýzu, prípravy či úpravy bezpečnostných smerníc a procesov tak, aby boli v súlade so zákonmi. 

Čo by si poradil priemyselným podnikom, ktoré by si chceli zlepšiť zabezpečenie svojej výroby, ale nevedia kde a ako začať? 

Odporučil by som začať zmapovaním ich siete. Veľa organizácií si myslí, že sa ich kybernetické útoky netýkajú. Keď potom urobíme praktickú diagnostiku, sú často prekvapené. Nevedomosť o tom, čo sa deje v  infraštruktúre, ich určite nespasí. Ale keď začnú tým, že si pomocou sady nástrojov zmapujú komunikáciu svojej fabriky, získajú konkrétne dáta, čo kde, ako a s čím komunikuje, kde sú aké zraniteľnosti, aké sú riziká. Potom vedia ľahšie navrhnúť plán ďalších krokov na nápravu. 

Čiže určite by nemali začať „od stola“ formálnou časťou bezpečnosti v podobe spracovania bezpečnostných smerníc. Áno, aj na tieto procesné normy treba myslieť, ale malo by to ísť ruka v ruke s tým, že je to podporené konkrétnymi dátami z praxe a je za tým hlbšia myšlienka. 

Ako ďalší krok prichádza do úvahy bezpečnostný monitoring. Takmer žiadny výrobný podnik nemá vlastných bezpečákov, a preto dáva zmysel držať nad týmito všetkými nástrojmi bezpečnostný dohľad, či už prostredníctvom Security Operation Center alebo formou uzatvorenia SLA supportnej zmluvy

Ďakujem za rozhovor. 

Senzorická AI má svoju úlohu nielen v priemysle, ale aj v odvetviach ako je medicína alebo spotrebná elektronika 

Firemná umelá inteligencia a robotizácia nie sú iba futuristickými konceptmi, ale stávajú sa neoddeliteľnou súčasťou každodenného podnikania. Umožňujú firmám zlepšiť efektivitu, produktivitu a schopnosť reagovať na zmeny. Pomáhajú tiež s inováciami produktov. Jedným z kľúčových aspektov tejto integrácie je využitie senzorickej AI, ktorá umožňuje zber a analýzu dát pomocou rôznych senzorov a zariadení. 

Pozrime sa spoločne na niekoľko príkladov, ako senzorická AI môže transformovať rôzne odvetvia a inovovať podnikanie. Nasledujúce príklady sú ukážkou už používanej praxe: 

Priemyselná automatizácia: V priemyselnej automatizácii sa senzorická AI využíva na monitorovanie a riadenie výrobných procesov. Senzory vedia sledovať základné parametre ako teplotu, tlak alebo vlhkosť, ale tiež detegovať mikroskopické zmeny v prostredí, ktoré by mohli signalizovať potenciálne problémy. Napríklad senzory na základe zmien vo vzdušnom tlaku varujú pred hroziacou poruchou zariadenia, čo umožňuje vykonať údržbu ešte pred tým, než sa problém stane závažným. 

Medicína: Senzory umožňujú sledovať srdcový tep, krvný tlak alebo hladinu glukózy. Tieto údaje je možné analyzovať umelou inteligenciou, napríklad kvôli diagnostike a sledovaniu zdravotného stavu či predikcii budúceho vývoja ochorenia alebo reakcii pacienta na liečbu. Senzorická AI deteguje vzory zmien v krvnom tlaku, ktoré môžu predvídať, kedy dôjde k ďalšej hypertenznej kríze a varovať lekára alebo pacienta s dostatočným predstihom. 

Autonómne vozidlá: Senzory sú kľúčové pre zber dát o okolitom prostredí. Okrem tradičných senzorov ako sú lidar, radar a kamery, sú v moderných vozidlách často používané aj ďalšie pokročilé senzory, ako ultrazvukové senzory na detekciu prekážok v blízkosti vozidla alebo senzory na meranie kvality vozovky. Tieto informácie sú nevyhnutné pre správne fungovanie autonómnych systémov, ktoré musia byť schopné rýchlo a presne reagovať na rôzne situácie na ceste, aby zabezpečili bezpečnú jazdu. 

Inteligentné mestá: Senzorická AI v inteligentné mestách sa využíva na monitorovanie dopravy, kvality ovzdušia, hladiny hluku a ďalších faktorov ovplyvňujúcich životné prostredie. Moderné senzory merajú nielen základné parametre, ale taktiež identifikujú konkrétne znečistenie či problémy vo verejnej infraštruktúre. Napríklad senzorická sieť v meste môže detegovať únik plynu v rozvodnej sieti a automaticky upozorniť príslušné úrady, čo umožní rýchly zásah. 

Nositeľná technológia (wearables): Senzory v elektronike, ako sú smart hodinky alebo fitness náramky zbierajú dáta o pohybe, srdcovom tepe a ďalších fyziologických parametroch. Tieto informácie nie sú používané iba na osobné monitorovanie a zlepšovanie zdravia užívateľov, ale tiež môžu byť formou anonymizovaných dát zdieľané s výskumnými inštitúciami alebo verejnými zdravotnými organizáciami na analýzu a predikciu epidémií alebo na sledovanie trendov v zdravotnom stave populácie. 

Prečo české firmy nepoužívajú AI? 

Napriek všetkým týmto potenciálnym výhodám stále mnoho českých firiem váha s implementáciou umelej inteligencie do svojich procesov. Existuje niekoľko dôvodov. 

Po prvé, v Českej republike je nedostatok kvalifikovaných expertov, ktorí by boli schopní navrhnúť a implementovať AI systémy do firemnej infraštruktúry. 

Podľa poradenskej spoločnosti RSM síce má 48 % firiem technické podmienky pre rýchlu implementáciu AI, rozvoj ale brzdia manažéri aj legislatíva. Podľa analýzy sú prekážkou špecifické výzvy, ako je nízka ochota manažérov niesť riziká spojené s priekopníckymi fázami implementácie AI, vrátane tých legislatívnych a bezpečnostných (napr. ochrana osobných údajov). Dohodnúť sa naprieč firmou o tom, ako by malo firemné AI fungovať, nemusí byť jednoduché. Navyše sú potrebné zásadné úpravy existujúcej legislatívy a aktualizácie národnej stratégie pre AI, čo je proces, ktorý sa ešte len rozbieha. 

Niektoré firmy nemajú jasnú predstavu o tom, ako by mohli využiť umelú inteligenciu na zlepšenie procesov alebo na inováciu svojich produktov a služieb. Táto slabá informovanosť môže viesť k nedostatočnej motivácii pre investície do AI technológií. 

Organizácia sa však tomuto trendu nesmie brániť. V štátoch, ako je Japonsko či USA, sa už AI široko využíva, a to vrátane autonómnych taxi. Akonáhle české firmy prekonajú obavy a prijmú AI ako nevyhnutnú súčasť svojho fungovania, môžu sa tešiť zo zvýšenej efektivity, inovácie a konkurenčnej výhody. Nenájdeme snáď firmu, kde by sa niečo z toho, čo ponúka AI, nedalo uplatniť. Či už sú to drobnosti typu spracovania a analýza dát či automatizácia procesov, cez automatické riadenie automobilu až po plne autonómny režim fabriky či predajne. 

Oddelenie IT a OT časti v priemyselnej výrobe je dnes už nevyhnutnosťou

Tradičnej českej značke Remoska sme pomohli prejsť automatizáciou, robotizáciou a digitalizáciou. Výsledky tohto projektu by sme vám radi priblížili aj prostredníctvom rozhovorov s našimi kolegami z rôznych technických oddelení. Ako prvého sme si do kresla pozvali sieťového špecialistu Adama Horníka, Network Senior Presales Managera z nášho pražského Soitron tímu. Veríme, že príbeh legendárnej Remosky osloví ďalšie priemyselné podniky.

Adam, spolu s tvojimi kolegami si sa aktívne zúčastňoval rozsiahleho projektu v Remoske. Čo konkrétne ste tam za network tím robili?

Sieťarina tvorí základ pre všetky ostatné technológie, pretože sa musia niekde prepojiť. My sme tam vytvorili chrbticovú 10-gigabitovú sieť, ktorá zabezpečuje nielen pripojenie samotnej výroby, ale aj prepojenie serverov, firewallov a ďalších komponentov. Sieť je tvorená dvojicou hlavných 10 Gb switchov, ktoré poskytujú dostatočný počet portov pre všetky ostatné technológie. Na túto dvojicu switchov sú pripojené pomocou 10 Gb optickým spojom ďalšie dva prepínače vo výrobe. V Remoske sa kládol veľký dôraz na to, aby sieť fungovala nepretržite. Zaistenie bezvýpadkovosti IT riešenia je niečo, čo môžeme ponúknuť aj iným výrobným fabrikám.

Celé riešenie ste postavili na rozdelení výrobnej a užívateľskej časti prevádzky? Prečo ste sa tak rozhodli?

Jednoznačne to bolo dôležité z pohľadu bezpečnosti. Dnes už je priam štandard mať oddelenú IT a OT časť v podniku. Ako príklad uvediem situáciu, kedy by prišiel opravár opravovať stroj. Príde s notebookom, ktorý bude zavírený. V najhoršom prípade zavíri stroj, ale nie celú sieť. Neovplyvní to negatívne zvyšnú časť výroby. Preto má každý stroj svoj vlastný switch, keďže potrebuje komunikovať v sieti. Dnes už sú výrobné stroje s konektivitou do siete samozrejmosťou. Pri každom stroji sa nachádza aj malý firewall, ktorý slúži na to, aby bola zaistená bezpečnosť. To bola druhá veľká požiadavka nášho zákazníka.

Objasni nám viac navrhnuté sieťové riešenie v spojitosti s výrobnými strojmi.

Vo výrobnej hale sme nepoužili klasické kancelárske komponenty, ale nasadili sme tam switche a firewally určené výhradne do priemyslového prostredia. To znamená, že tieto prvky majú ďaleko väčšiu odolnosť voči prašnosti, mechanickému poškodeniu (napr. otrasom), ale sú určené aj pre väčšie teplotné rozsahy, takže sú plne funkčné pri veľmi vysokých teplotách (napr. ak by došlo náhodou k  prehrievaniu), a opačne môžu ísť aj do mínusových teplôt a mrazu (napr. v zime na stožiari na parkovisku), i keď to nebol zrovna prípad Remosky.

Samotná výroba je plne pokrytá wifi signálom pomocou Cisco access pointov (AP), ktoré dostatočne pokrývajú celý priestor výrobnej haly. Najprv prebiehalo meranie priestorov, návrh a samotné umiestnenie APčiek, práve s ohľadom na to, aby bol wifi signál úplne všade. Predovšetkým v sklade či vo výrobe je členitosť priestoru zložitejšia, môžu tam byť stĺpy, mechanické prekážky, regál s tovarom, a  práve v  sklade vznikajú úzke uličky, kde napr. jazdí vysokozdvižný vozík, ktorý zakladá tovar do regálov a tam už by nejaký klasický kancelársky AP neplnil svoju funkciu správne. Takže na týchto miestach sme zvolili opäť špeciálne riešenie pre priemyselné prostredie – čo sú AP s možnosťou pripojenia externých antén. Externá anténa je tzv. smerová, teda vyžaruje úzky pruh wifi signálu a tým, že anténu správne natočíme, celá ulička v sklade medzi regálmi je dostatočne pokrytá wifi signálom.

Mohol by si priblížiť, prečo je v sklade potrebný wifi signál?

Zamestnanci sa tam pohybujú s čítačkami čiarových kódov a skenujú tovar. Napríklad, keď si niekto pípne tovar na začiatku regálu, potom ide ďalej a ďalší tovar pípne na konci regálu, čo je bežná prax, tak je žiadúce, aby nedochádzalo ku výpadkom wifi signálu a konektivita bola zabezpečená.

Čo ďalšie ste v Remoske riešili?

Okrem výrobnej časti sme pokrývali wifi signálom aj kancelárske priestory. Samozrejme, zabezpečili sme aj tzv. rooming, teda plynulé prepájanie zariadení (napr. notebooku, čítačky) medzi jednotlivými APčkami. Napríklad, tak ako prechádza zamestnanec s notebookom z kancelárie cez výrobnú halu až do skladu, tak má po celý čas wifi signál a je pripojený do firemnej siete. V prípade Cisco zariadení je to zabezpečené pomoc bezdrôtového kontrolera, čo je akoby riadiaca jednotka celej wifi siete. Ten sme mohli vyriešiť buď dodaním serveru, ale vzhľadom na to, že sme dodávali do Remosky aj datacentrovú technológiu, konkrétne Cisco Hyperflex, tak sme si pre riadenie celej wifi zvolili práve túto virtuálnu platformu – virtuálny bezdrôtový kontroler.

Čo sieťová bezpečnosť? Riešili ste nejakým spôsobom aj ju?

Určite, a to v podobe overovania prístupov do siete pomocou implementovaných riešení Cisco ISE a 802.1x. Ide o nastavenie rôznych úrovní práv prístupu do firemnej siete pre rôznych užívateľov. Každý port v sieti rozlišuje, či má konkrétny človek oprávnenie do firemnej siete vstúpiť alebo nie. Je to veľmi dôležité, pretože je treba rozlišovať, kto je zamestnanec, a teda sa môže pripojiť do firemnej siete, kto je externista, ktorý prišiel opravovať stroj alebo aktualizovať SW na tom stroji a tiež sa potrebuje pripojiť do siete, ale nemôže sa dostať napríklad ku finančným dátam. No a potom sú to tí ostatní, ktorí v sieti Remosky nemajú vôbec čo hľadať. Toto riešenie je použité v celej Remoske, či už ide o drôtové pripojenie pomocou káblu alebo bezdrôtové pripojenie cez wifi. Samozrejme, mysleli sme aj na návštevy, takže je vytvorený klasický Guest portál, kde sa hosť dočasne pripojí do siete, ale pripojí sa len do internetu, nie do prostredia Remosky.

Zriadili sme aj vzdialený prístup do siete, tzv. VPNky, pre tých, ktorí sa potrebujú pripájať do firemnej siete na diaľku, teda napr. servisáci či kancelárski pracovníci pracujúci z domu. Toto nie je žiadna sofistikovaná technológia, skôr nevyhnutnosť, ktorú už dnes majú všetci.

Prezraď mi prosím, ako prebiehala samotná realizácia takto zložitého projektu?

Úplne na začiatku bol zámer zákazníka postaviť novú fabriku na zelenej lúke. Remoska mala jasnú predstavu, že nechce prenášať existujúcu technológiu, ale chce začať od nuly. Bolo to takto asi pre všetkých jednoduchšie, pretože do poslednej chvíle mohli fungovať na starom mieste a v okamihu, keď sa spustila fabrika na novej lokalite, tak začali výrobu na novom riešení. Keď už zákazník vedel čo potrebuje, prebehlo výberové konanie, ktoré sme vyhrali vďaka našej najlepšej ponuke, ako aj vďaka našim kvalitám, skúsenostiam a referenciám. Potom sme so zákazníkom začali intenzívne komunikovať a rozoberať realizáciu hlbšie do detailov. A práve na základe týchto spoločných stretnutí sa nám podarilo v Remoske vybudovať riešenie, ktoré je moderné, bezpečné a funkčné.

Výrobné podniky v praxi často nemávajú silné IT oddelenie so skúseným tímom špecialistov, preto môžu oceniť ako veľkú výhodu našu konzultáciu a poradenstvo pre návrh architektúry aj projektové riadenie. Ako integrátor sme schopní odbremeniť zákazníka od zodpovednosti za zosúladenie všetkých systémov a technológií. Naše odporúčania ho prevedú celým projektom tak, aby bol s realizáciou spokojný.

Ešte by som sa pristavil pri tých výrobných linkách, pretože dnes si fabrika kúpi stroj ako „balíček“ aj s inštaláciou. Takže do Remosky takto prišli technici z Talianska a my sme im poskytovali súčinnosť pri nastavovaní stroja. Boli sme pre nich komunikačný partner, akoby „outsourcované IT“ a pomáhali sme im podľa ich požiadaviek nastaviť sieť tak, aby v nej pripojené stroje fungovali pre výrobu.

Pre lepšiu predstavu, aké všetky zariadenia sú do dátovej siete Remosky pripojené?

Určite sú to počítače, výrobné linky, tlačiarne. Tiež IP telefóny, ktoré sme tam implementovali my. Ide o vnútorný komunikačný systém, či už pre potreby recepcie v podobe pevnej linky alebo pre vrátnicu vo forme tzv. dverníkov, čo sú niečo ako zvončeky s mikrofónom a kamerou, umiestnené pri bránach výrobného areálu, ktoré sa používajú napríklad vtedy, ak dopravca privezie tovar a personál vrátnice mu otvorí bránu a vpustí nákladné auto dnu. Toto zariadenie v skutočnosti nevyzerá ako klasický telefón, ale v sieti sa správa ako IP telefón.

Na wifi sa pripájajú aj čítačky, IoT zariadenia a rôzne senzory. Určite aj kamerový, požiarny či dochádzkový systém, ale tie sme ako Soitron Remoske nedodávali my.

Laserový rezací stroj v priemysle

Okrem toho, čo ste za network realizovali v Remoske, aké ďalšie zaujímavé riešenie by ste vedeli ponúknuť výrobným podnikom?

Určite lokalizačné služby. Vieme navrhnúť riešenie, ktoré s presnosťou na centimetre až metre môže určiť polohu určitého objektu či predmetu. Dávalo by zmysel lokalizovať  pojazdné vozíky či nejaké palety s výrobkami. Takže napríklad potom sa vie, že nejaká výrobná šarža sa nachádza buď ešte v sklade, alebo už v medzisklade či vonkajšom sklade, alebo už opustila fabriku a je na ceste k odberateľovi. Dokonca si viem predstaviť aj nejaký sofistikovaný IP kamerový systém s rozpoznávaním obrazov pre účely zabránenia krádežiam, neoprávneným vniknutiam a pod.

Kým v Remoske sme riešili wifi len vo vnútorných priestoroch, pre iných zákazníkov sme riešili zabezpečenie wifi pokrytia aj vo vonkajších priestoroch, outdoorových skladoch a pod. Dátovú konektivitu vieme dostať aj do prostredia s neľahkými podmienkami z pohľadu klimatických podmienok (dážď, vietor), vysokých či nízkych teplôt, prašnosti atď. Takto sme napríklad dostali wifinu aj do chladiacej haly určenej na skladovanie potravín. I keď priznávam, že naši systémaci boli mierne podchladení, kým tam tie externé antény ku APčkam nainštalovali. 😊

Odporúčil by som tiež vzdialenú správu budov, smart budovu, úsporné osvetlenie, pohybové senzory, ktoré detekujú napríklad výskyt osôb, meranie teplôt, spotrebu energie atď. Dôležité je tiež zbierať IoT dáta z výroby, vyhodnocovať ich pomocou umelej inteligencie a spätne optimalizovať produkciu. Ale to sa už miešam do „kapusty“ mojim kolegom zo Soitronu z IoT či RPA tímu, ktorí ti isto o tom prezradia viac.

Čo by si odporučil priemyselným podnikom, ak zvažujú zmeny v súvislosti s technickou renováciou chodu ich výroby?

Určite, aby sa poradili s niekým, kto už to robil. Vypočul by som si niekoho, kto už má s niečím podobným skúsenosti. Či už nejaký odborník – dnes už bežne IT firmy ponúkajú bezplatnú úvodnú konzultáciu. Prípadne iný výrobný podnik, ktorý už má takúto zmenu za sebou.

A díval by som sa ďaleko do budúcna, v duchu priemyslu 4.0. Neriešil by som krátkodobú zmenu či problém, ale hľadel by som perspektívne do budúcnosti. Keď už idem niečo meniť, bude to tak dobré aj o päť rokov, ako je to teraz? Ak idem kupovať nový stroj, bolo by dobré sa zamyslieť dopredu, či náhodou v budúcnosti nebudem chcieť zbierať z tohto stroja dáta (ako napr. teplota, tlak, prietoky) a na základe analýzy zefektívňovať výrobu. Teda investoval by som s ohľadom na trendy a integrovateľnosť s ďalšími technológiami.

Čo je to nutné minimum, keď podnik nevie odkiaľ treba začať?

Tu si trošku prihrejem networkovú „polievočku“. Podľa mňa najdôležitejšie je vybudovať dostatočne robustnú a kvalitnú komunikačnú sieť a na nej potom možno stavať ďalej.

Mohol by si zo svojho pohľadu povedať, v čom sme sa na projekte v Remoske utvrdili my?

V Remoske sa podieľalo na realizácii za Soitron viac technických oddelení, preto sme museli klásť veľký dôraz na projektový manažment a internú komunikáciu. Pri takto robustných projektoch vieme koordinovať ostatných dodávateľov či implementáciu iných technológií, keďže dokonale poznáme prostredie klienta. Čo sa potvrdilo aj v prípade Remosky s talianskym dodávateľov výrobných liniek.

Adam, ďakujem za rozhovor.

Éra sémantickej automatizácie

Robotická procesná automatizácia (RPA) a umelá inteligencia (AI) spoločne vytvárajú silnú symbiózu, ktorá môže posunúť firemnú produktivitu a efektivitu na novú vyššiu úroveň. Sémantická automatizácia, založená na generatívnej umelej inteligencii, je hybnou technológiou s potenciálom zásadne zmeniť spôsob fungovania firiem.

V čase, keď digitálna transformácia nie je iba trendom, ale nevyhnutnosťou, sa RPA stáva významným hráčom. Vďaka svojej schopnosti automatizovať každodenné, opakujúce sa úlohy výrazne zvyšuje produktivitu zamestnancov. Spolu s AI tvorí synergické duo, kombinujúce automatizáciu s kreativitou ľudskej mysle.

Podľa spoločnosti IDC vplyvom automatizácie vo firmách dochádza k zníženiu prevádzkových nákladov o 13,5 % a v priemere im ušetrí 1,9 hodiny práce týždenne (zdroj: Worldwide Automation Spending Guide 2022 by IDC) na jedného zamestnanca. Tieto čísla zdôrazňujú transformačný potenciál RPA a AI pri zvyšovaní produktivity a znižovaní nákladov.

RPA a generatívne AI – spojenie pre dokonalú automatizáciu

Generatívna umelá inteligencia, ako podskupina AI, sa zameriava na tvorbu obsahu alebo dát, nie iba na ich spracovanie. Využíva techniky strojového učenia, ako sú neurónové siete a hlboké učenie na vytváranie nového obsahu v rôznych formách. „Generatívne modely umelej inteligencie sa učia z existujúcich dát a tieto znalosti využívajú na tvorbu originálneho, kreatívneho a kontextovo relevantného výstupu,“ vysvetľuje Viktória Lukáčová Bracjunová, vedúca oddelenia robotizácie a automatizácie v spoločnosti Soitron.

RPA exceluje v opakujúcich sa úlohách, dodržiava pravidlá a postupy, nerobí chyby a nepotrebuje prestávky. Dominuje v štruktúrovaných procesoch, v ktorých minimalizuje odchýlky. Pre firmy predstavuje kľúčovú technologickú súčasť znižujúcu náklady, chybovosť a urýchlenie rutinných úloh.

Využitie sémantickej automatizácie v dynamickom prostredí

V dynamickom prostredí spojenie RPA a generatívnej umelej inteligencie vytvára silnú synergiu, presahujúcu možnosti každej technológie samostatne. „RPA úspešne zvláda rutinné úlohy, zatiaľ čo generatívna AI je silná v spracovaní zložitých, neštruktúrovaných dát a riešení kreatívnych výziev. RPA zaistí konzistenciu procesov a minimalizuje chyby, zatiaľ čo generatívna AI analyzuje dáta a prináša hlbšie poznatky, zvyšujúce kvalitu strategických rozhodnutí,“ hovorí Viktória Lukáčová Bracjunová.

V oblasti AI a spracovania prirodzeného jazyka hrá sémantika dôležitú úlohu. Poskytuje totiž základ pre vytváranie pokročilých systémov generatívnej umelej inteligencie, ktoré sú vďaka nej schopné lepšie porozumieť ľudskému jazyku a komunikovať s ním, čo je kľúčové pre úspech mnohých aplikácií umelej inteligencie.

Implementovať je možné do každej firmy

Integrácia RPA s existujúcimi systémami a aplikáciami robí túto technológiu ideálnou voľbou na automatizáciu úloh v rámci existujúcich pracovných postupov. Automatizácia novej generácie je schopná pracovať s rôznymi dátovými typmi a formátmi, čo zaisťuje kompatibilitu so širokým spektrom procesov. Generatívna integrácia umelej inteligencie potom zdokonaľuje zákaznícku skúsenosť pomocou personalizovanej interakcie, porozumením prirodzenému jazyku a riešením zložitých otázok s empatiou.

Kde môže sémantická automatizácia pomôcť

  • Rozšírené schopnosti spracovania prirodzeného jazyka (NLP) – vedia porozumieť a reagovať na prirodzený jazyk zákazníka, čo je kľúčové pre automatizáciu zákazníckej starostlivosti, spracovanie objednávok a udržiavanie vzťahov so zákazníkmi.
  • Strojové učenie (ML) – umožňuje robotom učiť sa z dát a zlepšovať svoje výkony v priebehu času, čo je kľúčové pre úlohy vyžadujúce adaptivitu alebo rozhodovanie.
  • Vizuálne rozpoznávanie objektov (OCR) – umožňuje prečítať informácie z neštruktúrovaných digitalizovaných dokumentov ako PDF, obrázky atď.

Riešenie výziev moderného trhu

V rýchlo rozvíjajúcom sa trhovom prostredí prináša spojenie RPA a generatívnej AI nielen precíznu automatizáciu, ale aj kreatívne inovácie a pri nasadení konkurenčnú výhodu. Ignorovať túto technologickú symbiózu znamená zmeškať príležitosť. „Je vhodný čas nechať RPA a generatívne AI technológie spolupracovať a dosiahnuť tak zlepšenie výsledkov,“ zakončuje Viktória Lukáčová Bracjunová.

Absenciou energetického manažmentu prichádzajú firmy ročne o tisícky eur

Slovenské firmy spotrebu energií monitorujú, ale nie precízne. Zbytočne tak prichádzajú každý mesiac o podstatnú časť financií na zaistenie prevádzky. Hoci v prieskume spoločnosti Soitron polovica respondentov uviedla, že ceny energií výrazne ovplyvňujú ich maržu, a ďalších 5 % respondentov priznalo, že ceny energií vôbec finančne nezvládajú, málokto svoju spotrebu sleduje dôkladne. Pritom už iba sledovanie spotreby a rozpad nákladov na konkrétny zdroj energie môže viesť k odstráneniu neefektivít a ušetriť tak až desatinu prevádzkových nákladov.

Vysoká inflácia a nejasné vyhliadky do budúcnosti trápia slovenské firmy už vyše roka. Jedným z najefektívnejších riešení, ako ušetriť, je monitorovať vlastnú spotrebu. „Už len obyčajné pozorovanie spotreby motivuje spoločnosti premýšľať o tom, kadiaľ im drahé energie zbytočne utekajú,“ hovorí Martin Hummel, IoT špecialista a produktový manažér spoločnosti Soitron, ktorá je popredným IoT integrátorom pôsobiacim na Slovensku a v Čechách.

Stačilo by pritom len vypínať momentálne nepoužívané stroje a do budúcna zvážiť voľbu nových zariadení. Alebo si vypomôcť automatikou, ktorá sa o zníženie spotreby energie postará sama.

Z prieskumu spoločnosti Soitron, ktorého sa zúčastnilo 86 firiem, vyplýva, že takmer každá spoločnosť (92 %) svoje výdavky na energiu sleduje. Tí, ktorí spotrebu nemonitorujú, buď tieto dáta podľa svojich slov nepotrebujú, alebo na meranie nemajú vybavenie.

Sledovanie spotreby dát medzi firmami, ktoré sa ním zaoberajú, nie je jednotné – niektoré firmy sa pozerajú predovšetkým na dáta za celú firmu (47 %), viac než tretina (35 %) spotrebu kontroluje pomocou podružného merania na úrovni budov alebo jednotlivých hál a iba 9 % monitoruje pomocou podružného merania na úrovni jednotlivých liniek a strojov. Zvyšní respondenti sa o podrobný prehľad nestarajú. Zbytočne tak prichádzajú – podľa veľkosti a typu firmy – až o tisícky eur ročne. Tieto neadekvátne vynaložené financie by mohli využiť pre svoj ďalší rozvoj, ktorý by priniesol ako úsporu, tak zjednodušenie každodennej práce.

Riešením môže byť zavedenie systému energetického manažmentu, ktorý sa v moderných prevádzkach používa k riadeniu a optimalizácii spotreby energie. Prvé kroky ku sledovaniu a riadeniu spotreby pritom nie sú finančne náročné. „Systém merania sleduje v reálnom čase spotrebu vo výrobe, vykurovaní, chladení alebo osvetlení. Je tak schopný rýchlo odhaliť konkrétne miesta, kde sa plytvá, ako napríklad svietenie v prázdnej budove. Pri niekoľkých implementáciách znížili firmy spotrebu len vďaka získaniu týchto dát o 5 až 10 %. Investícia sa im tak vrátila prakticky za niekoľko týždňov,“vysvetľuje Martin Hummel.

Bez vstupných dát je možné optimalizovať len ťažko

Kľúčovým faktorom pre väčšinu firiem je práve ušetrenie nákladov na výrobu. Pre 60 % respondentov je rozhodujúca výška celkovej spotreby energií, prípadne potom v kombinácii s cenou za energie na spotovom trhu a možnými pokutami za prekročenie štvrťhodinových maxím. Podľa výšky spotreby a cien energií sa firmy riadi a na ich základe optimalizujú svoje výrobné procesy. Rentabilita výroby, teda to, aby výroba nestála viac, než za koľko je možné výrobok predať, je pre tretinu respondentov (34 %) podstatným ukazovateľom, že všetko funguje tak, ako má.

Väčšina firiem (74 %) však konkrétny systém na zber a analýzu dát spotreby nepoužíva. Tí, ktorí zber dát používajú, veria, že dáta, ktoré majú k dispozícii, sú nápomocné. „Každý softvér, ktorý umožňuje presnú analýzu dát, sa oplatí,“deklaruje Martin Hummel. Päť percent respondentov, ktorí uviedli, že si neporadia bez externej pomoci, zároveň priznali, že netušia, koľko percent z celkových nákladov na výrobok tvorí energia. Ďalších 5 % firiem nedokáže posúdiť, aký vplyv majú vysoké ceny energií na rentabilitu ich výroby. Práve týmto spoločnostiam by zber dát poskytol najľahšiu pomoc.

Dajte dátové centrum do laty! Vďaka automatizácii

Automatizáciu používame desiatky rokov a prenikla prakticky do všetkých oblastí podnikania. Nie je preto nič divné na fakte, že sa automatizuje aj prevádzka niečoho tak zložitého, ako je dátové centrum. Aj keď sa pohybujeme vo svete jednotiek a núl, prináša automatizácia rovnaké výhody ako napríklad v priemysle: zrýchlenie všetkých operácii, odstránenie rutinných manuálnych činností, zvýšenie bezpečnosti či vyriešenie nedostatku špecialistov.

Prečo do systému, kde na prvý pohľad procesy bežia bez zásahu človeka, zavádzať automatizáciu? Laikovi sa môže zdať, že pokiaľ všetko beží hladko, dátové centrum predsa manuálne zásahy nepotrebuje a ľudský faktor nastupuje väčšinou až v prípade krízy, havárie či výpadku.

Ale filozofia a architektúra dnešného IT sveta sa v posledných rokoch natoľko zmenila, že to bez automatizácie takmer nejde. „Môžu“ za to cloudy, konzumácia služieb v režime SaaS a predovšetkým nové prístupy k vývoju a nasadzovaniu všadeprítomných aplikácií. Každá firma, ktorá to myslí s digitalizáciou vážne, musí zaviesť automatické postupy, pretože so starou infraštruktúrou totiž v biznise neuspeje.

Automatizácia dátového centra je zaistená softvérom, ktorý zaisťuje centralizovaný prístup ku konfigurácii väčšiny zdrojov. Vďaka tomu je možné túto technológiu a zdroje ovládať a spravovať jednoduchšie, a mnohokrát bez znalosti technických detailov. Sprístupňovanie požadovaných služieb je potom omnoho jednoduchšie a rýchlejšie. Z množstva dní a týždňov, ktoré si požiadavky na nové aplikácie obvykle vyžiadali v minulosti, sa posúvame k jednotkám minút.

Moderné aplikácie potrebujú automatizáciu

K využitiu automatizačných nástrojov firmy najčastejšie „donúti“ prechod do cloudu alebo do hybridného prostredia, snaha rýchlo vyvíjať a nasadzovať aplikácie, či potreba zrýchliť implementáciu nových prostredí a znížiť závislosť na ľudských zdrojoch.

Doba, kedy sa aplikácia vyvíjala a testovala mnoho týždňov či dokonca mesiacov, je nenávratne preč. Dnešné aplikácie sa stavajú z veľkého množstva menších celkov (tzv. mikroservices), z ktorých každý je možné nezávisle meniť či upgradovať. A vývoj, testovanie aj nasadzovanie vyžaduje automatizovanú infraštruktúru, ktorá dovoľuje rýchle zmeny a úpravy.

Ďalším častým scenárom, ktorý vyžaduje automatizáciu, je prechod firmy do cloudu alebo ešte častejšie do hybridného prostredia, ktoré kombinuje využitie cloudu a on-premise infraštruktúry. Zatiaľ čo cloudy sú už na automatizáciu pripravené, je potrebné aj prostredie vlastného datacentra automatizovať a obe prostredia prepojiť vzťahmi medzi oboma svetmi.

A napokon, k nasadeniu automatizácie motivuje snaha o zrýchlenie implementácie nových prostredí a vyriešenie problému ľudského faktora. Nedostatok špičkových expertov v IT je dnes obrovský, takže sa ukazuje ako strategicky výhodné, ak je dátové centrum čo najmenej závislé práve na tom, či niekto firmu opustí či neopustí, či robí alebo nerobí chyby.

Infraštruktúra ako kód

Cesta k automatizácii v podaní Soitronu vedie cez budovanie platforiem pre automatizáciu, prostredníctvom ktorých sa danému prostrediu datacentra (cloud, hybrid, on-premise) definujú automatizačné postupy. Ide vlastne o uplatnenie podobného princípu, akým sa vytvárajú zdrojové kódy pri aplikáciách. Prepísanie celej infraštruktúry do kódu (Infrastructure as a code) prináša oproti manuálnemu vytváraniu prostredia mnoho výhod.

Vo chvíli, kedy je definovaná pomocou skriptov, sa pri každom nasadení vytvára rovnaké prostredie. Tento postup sa najlepšie uplatňuje, pokiaľ má zákazník prostredie, ktoré potrebuje centrálne riadiť a chce dynamicky meniť jednotlivé aplikačné prostredia. Pomocou skriptov je možné jednoduchým spôsobom robiť zmeny naprieč celou infraštruktúrou. Napríklad firma pre všetky databázy definuje, že sa budú zálohovať desaťkrát denne a že ku každej z nich môžu pristupovať vopred určení administrátori. Potom však založí novú pobočku a zmenia sa podmienky. V takomto prípade môže spoločnosť jednoducho s pomocou skriptov nastaviť napríklad zvýšenie počtu denných záloh alebo pridať ďalších administrátorov s prístupom.

Dokumentácia vytvára zálohu infraštruktúry

Ďalšiu výhodu automatizácie predstavuje dokumentácia. Prostredie je definované pomocou kódu, čo umožňuje ľahko vyčítať, čo je v ňom nasadené a ako je všetko konfigurované. Nasadenie je možné kedykoľvek znovu opakovať (ide vlastne o zálohu infraštruktúry), napríklad v prípade havárie, alebo je možné vytvoriť paralelné testovacie prostredie.

„Dokumentácia totiž rieši aj problém personálnej nahraditeľnosti či závislosti, pretože vo chvíli, keď máte kódovo definovanú infraštruktúru, môže s ňou pracovať podstatne širší okruh ľudí než jediný ajťák, ktorý si zrovna pamätá, ako ste to kedysi robili,“ vysvetľuje Zbyszek Lugsch, Business Development Director Soitronu.

Prostredie štandardizované pomocou skriptov dovoľuje pracovať s ním ďalším ľuďom, ktorí môžu zadávať parametre špecifické pre konkrétny stroj alebo aplikáciu. Skriptovanie zároveň dovoľuje aplikovať rovnakú bezpečnosť v celom systéme napríklad aj pri inštalácii nových serverov.

Automatizácia je projektom na mieru

Automatizácia dátového centra je vždy do značnej miery unikátnym projektom, pretože každá firma používa trochu iné technológie a nachádza sa v rôznom štádiu podpory automatizácie. Ďalší postup určuje zámer, napríklad potreba vytvárať vhodné prostredie pre vývojárov alebo snaha z on-premise centra postaviť hybridnú architektúru a pod. Nasleduje návrh na výmenu, doplnenie funkcií, komponentov či vrstiev dátového centra, na čo nadväzuje implementácia automatizačnej platformy a vytvorenie skriptov. Samotné nasadenie prebieha tak, že sa postupne preklápajú existujúce systémy do nového prostredia až do chvíle, kedy je možné „staré“ prostredie vypnúť.

A rozbehnúť prácu v prostredí, ktoré umožňuje rýchly vývoj a nasadzovanie aplikácií, má nižšie nároky na personálne obsadenie a zároveň ponúka vysokú mieru bezpečnosti.

#Cisco ExpertTip Martina Diviša, systémového inžiniera spoločnosti Cisco: Nasaďte ICO

Jedným z najkomplexnejších automatizačných nástrojov je Cisco Intersight Cloud Orchestrator (ICO). ICO predstavuje platformu poskytovanú ako služba (SaaS), ktorá dovoľuje spravovať širokú škálu technológií, ako sú servery, sieťové zariadenia, úložisko dát a ďalšie naprieč celou infraštruktúrou firmy.

Hlavnou prednosťou ICO je multidoménový a multivendorský prístup, ktorý umožňuje nástroj používať bez ohľadu na aktuálnu implementáciu. ICO obsahuje rozsiahlu knižnicu vopred pripravených úloh, ktoré je možné nasadiť pre opakujúce sa úlohy alebo procesy vo spravovaných infraštruktúrach. ICO pracuje v low code/no code dizajne a dovoľuje úlohy nastavovať a spúšťať pomocou drag and drop (ťahaním myšou). Je navrhnutý s maximálnym dôrazom na užívateľskú jednoduchosť, čo sprístupňuje automatizačné operácie veľkému okruhu členov IT tímu.

Systémy pre správu FVE sa medzi verejne dostupnými riadiacimi systémami na internete stávajú tikajúcou bombou

Domáce podniky začali viac chrániť svoje riadiace systémy. Ako vyplýva z dát spoločnosti Soitron a jej bezpečnostného oddelenia Void SOC (Security Operations Center), len od začiatku roka 2022 do dnešného dňa počet rôznych vystavených a viditeľných zariadení na internete klesol o 21 %. Súčasná situácia však stále nie je postačujúca. Alarmujúcim nebezpečenstvom sa dokonca stávajú riadiace systémy fotovoltaických elektrární (FVE), a to ako priemyselných, tak tých domácich.

V medziročnom porovnaní (01/2022 vs. 01/2023) došlo ku zníženiu celkového počtu verejne dostupných ICS (priemyslových riadiacich systémov) aspoň v jednom z ôsmich sledovaných protokolov ako sú Moxa, Modbus, Tridium a pod. Zistil to tím analytikov Void SOC spoločnosti Soitron. „Ide o mierne zlepšenie, ktoré ale v absolútnych číslach znamená ešte viac ako 1 500 zraniteľných systémov v organizáciách, čo je stále značne veľké riziko. A to hovoríme iba o ôsmich najčastejšie používaných typoch protokolov. Pokiaľ si množinu rozšírime na niekoľko desiatok druhov protokolov, nájdeme ich viac než 2 300,“ komentuje výsledky Martin Lohnert, riaditeľ dohľadového centra kybernetickej bezpečnosti Void SOC a dodáva, že by bolo skvelé, keby bol klesajúci trend spôsobený zvyšujúcim sa zabezpečením týchto priemyslových systémov, čím by prestali byť „viditeľné“ v tomto reporte.

Smutnou realitou je ale často opačná situácia, kedy ICS z internetu „zmizne“ až keď bolo zneužité útočníkmi, a preto prestalo fungovať. Pri ich obnove si už prevádzkovatelia dajú väčší pozor a neopakujú pôvodné chyby. Bohužiaľ je to však často len reakcia na spáchané škody.

Vďaka fenoménu FVE je tu nový problém

Napriek celkovému úbytku a miernemu zlepšeniu situácie prakticky stále pribúdajú nové zraniteľné systémy. „Medzi takými sa v minulom roku najčastejšie objavovali riadiace systémy fotovoltaických elektrární. A to nielen tých priemyselných so stovkami inštalovaných solárnych panelov, ale aj domácich,“ upozorňuje Martin Lohnert. Preto by podľa neho malo byť v záujme prevádzkovateľov zabezpečiť, aby zariadenie bolo chránené pred internetovými bezpečnostnými hrozbami. Medzi základné kroky patrí zmena východiskových prihlasovacích údajov, obmedzenie prístupov, pravidelná aktualizácia firmwaru či sledovanie pokusov o zneužitie či prihlásenie.

Potenciálny problém spočíva nielen v deaktivovaní daného systému, a tým pádom škodám napríklad vo výpadku výroby slnečnej energie, ale tiež v nákladoch na nevyhnutnú opravu. Zároveň je potrebné si uvedomiť, že pri úspešnom prieniku do slabo zabezpečeného priemyslového systému podniku môže útočník ďalej nepozorovane napadnúť často aj dôležitejšie systémy, ktoré sú nevyhnutné k jeho chodu. Potom môže dôjsť k tomu, že organizácia prestane fungovať úplne a škody idú do miliónov korún.

Slovensko zaostáva, ale riešenie existuje

Hoci dohľadové centrum Void SOC spoločnosti Soitron zaznamenalo pozitívny trend, je veľmi pravdepodobné, že počet potenciálnych rizík bude v budúcnosti naopak stúpať. Ako Slovensko, tak aj Česko totiž ešte len čaká zásadnejšia digitalizácia priemyslu. Obidve krajiny stále výrazne zaostávajú za ostatnými štátmi Európskej únie, a to v mnohých dimenziách digitálnej transformácie. Napríklad Slovensko je až na 24. mieste a Česko na 20. mieste z 27 krajín EÚ v indexe digitálnej ekonomiky a spoločnosti (DESI), ktorý sleduje Európska komisia od roku 2014. S nastupujúcou digitalizáciou je spojené postupné zavádzanie nových technológií – napr. riadiacich systémov vo výrobe, implementácia rôznych senzorov, programovateľných logických prvkov, rozhraní medzi človekom a strojom a pod. – ak sa nebude dbať na ich zabezpečenie, budú stúpať aj čísla v tomto prieskume.

Je tiež zrejmé, že aby v digitalizácii došlo k výraznému posunu súčasného stavu kybernetickej bezpečnosti, mnohé priemyslové podniky budú potrebovať investovať do nástrojov, technológií a špecialistov na ich obsluhu. Vo väčšine organizácií (najmä v malých a stredných podnikoch) to ale nie je možné. „Najčastejšími dôvodmi sú nedostatočné financie a všeobecný nedostatok kvalifikovaných odborníkov v oblasti kybernetickej bezpečnosti. Preto očakávame, že kým nastane uvedomenie a posun k lepšiemu, situácia sa najskôr bude zhoršovať. Istým riešením je preto zveriť sa do starostlivosti odborníkov, ktorí sa postarajú nielen o kompletné zabezpečenie podnikových systémov a infraštruktúry, ale vďaka dohľadovému centru budú mať všetko pod kontrolou 24 hodín denne, 365 dní v roku,“ dodáva Martin Lohnert.

Bezpečnostnú úroveň organizácií v SR môže zvýšiť smernica NIS2

Európska smernica NIS2 (Network and Information Security Directive 2) môže slovenským organizáciám prirobiť starosti, ale taktiež im paradoxne pomôcť vyriešiť problémy v prípade kybernetického zabezpečenia. Konkrétne tým, ktoré doteraz túto vážnu hrozbu neriešili alebo nemohli obhájiť potrebný rozpočet na dostatočne kvalifikovaných zamestnancov.

Smernica NIS2 má za cieľ zvýšiť odolnosť digitálnej infraštruktúry EÚ voči kybernetickým útokom a zlepšiť koordináciu a reakčné schopnosti pri incidentoch. „Práve toto sú aspekty, pri ktorých mnoho subjektov nielen na Slovensku robí chyby. Je to dané tým, že na trhu je nedostatok IT odborníkov, a ešte menej expertov na kyberbezpečnosť. Subjekty, ktorých sa smernica po novom týka, budú musieť zabezpečiť, aby ich IT siete a informačné systémy boli dostatočne chránené proti kybernetickým hrozbám. Preto sa môže tento problém ešte prehĺbiť,“ uvádza Petr Kocmich, Global Cyber Security Delivery Manager spoločnosti Soitron.

Čo smernica mení

Dotknuté inštitúcie musia implementovať opatrenia pre prevenciu kybernetických útokov a rizík, ako sú napríklad pravidelné aktualizácie softvéru, zabezpečenie sieťových zariadení a ochrana pred phishingovými útokmi. Dokonca si musia pripraviť plány pre prípad kybernetických incidentov a zriadiť mechanizmy pre ich rýchle a účinné riešenie.

Dôležité incidenty bude treba hlásiť do 24 hodín od ich zistenia a spolupracovať s národnými bezpečnostnými orgánmi. Ak by spoločnosti neboli schopné splniť tieto požiadavky, hrozia im pokuty a ďalšie sankcie.

Dve muchy jednou ranou

Bolo by skvelé, keby smernica NIS2 pomohla skoncovať s nedostatkom odborníkov na kybernetickú bezpečnosť. Avšak to sa asi nepodarí a na prvý pohľad by sa dokonca mohlo zdať, že sa problém ešte prehĺbi. Regulácia je však výbornou príležitosťou ako organizácie zabezpečiť. S tým hravo pomôžu externí dodávatelia kybernetickej bezpečnosti, ktorí disponujú dostatočnými kapacitami tam, kde organizáciám chýbajú. „Špecializované firmy sa totiž zameriavajú práve na poskytovanie týchto služieb a môžu pomôcť subjektom implementovať bezpečnostné opatrenia a riadenie rizík, a to kompletnou formou, teda službou na kľúč alebo formou dodávky riešení vrátane podpory, rovnako tak zaistia splnenie požiadaviek smernice NIS2,“ uvádza Petr Kocmich.

Špecializované firmy okrem iného môžu pomôcť vyriešiť nielen novú požiadavku, ale aj predchádzajúce „nedotiahnuté“ zabezpečenie IT infraštruktúry a informačných systémov subjektov. Avšak, aj keď inštitúcie využijú služby týchto dodávateľských firiem, zodpovednosť je stále na ich strane, preto by si mali dodávateľov vyberať starostlivo a zistiť, či majú dostatočnú kvalifikáciu, skúsenosti a osvedčenia. Dôležité je tiež postarať sa o správne zadanie úloh a kontrolu výkonu služieb dodávateľom. V záujme zabezpečenia efektivity a účinnosti tohoto modelu by mali byť úlohy a zodpovednosti jednoznačne definované v zmluve medzi organizáciou a dodávateľom služieb kybernetickej bezpečnosti. Je potrebné si totiž uvedomiť, že kvalita dodávanej služby mnohokrát reflektuje kvalitu a schopnosti riadenia dodávateľa.

Koho sa NIS2 týka a odkedy bude platiť

Smernica pre firmy na Slovensku bude znamenať väčšie povinnosti v oblasti kybernetickej bezpečnosti a ochrany siete a informačných systémov. Avšak prinesie aj zvýšenú ochranu a odolnosť voči kybernetickým hrozbám a väčšiu spoluprácu medzi európskymi štátmi v tejto oblasti. V neposlednom rade, splnenie požiadaviek NIS2 môže pomôcť organizáciám získať dôveru svojich zákazníkov a partnerov, ktorí budú spokojnejší s ochranou svojich dát a informácií. Celkovo by smernica mohla pomôcť subjektom zlepšiť bezpečnostné postupy a minimalizovať riziká.

NIS2 sa vzťahuje na výrobcov elektriny, poskytovanie zdravotnej starostlivosti, poskytovanie služieb elektronických komunikácií, ale tiež na ďalších viac než 60 služieb roztriedených do 18 odvetví. Na Slovensku novinka vstúpila do platnosti v polovici januára 2023, odkedy začína plynúť 21-mesačná lehota na transformáciu podnikov. Zmeny by sa mali začať uplatňovať od októbra 2024 a týkať sa budú až 6 000 – 10 000 subjektov – stredných a veľkých firiem nad50 zamestnancov alebo firiem s ročným obratom nad 10 miliónov eur. Napriek tomu že je smernica NIS2 platná iba pre organizácie, ktoré spĺňajú definované kritériá, a ostatné tak nie sú priamo povinné požiadavky spĺňať, je vhodné uvažovať o tom, či ju nevyužiť ako odporúčanie pre zlepšenie všeobecnej kybernetickej bezpečnosti aj v ďalších podnikoch.

Šance aj pre ďalšie subjekty

„Odhadom až 70 % domácich organizácií má problém s kybernetickou bezpečnosťou. Najmä menšie a stredné podniky nemajú dostatočne zabezpečené IT systémy a nedodržujú základné bezpečnostné opatrenia,“ hovorí Petr Kocmich. Častým problémom sú napríklad benevolentné oprávnenia bežných užívateľov, chýbajúce dvoj/viacfaktorové overenie v kombinácií so slabými heslami (aj administrátorov), chybným riadením a decentralizáciou užívateľských identít, zastaralý a nechránený hardvér či softvér obsahujúci zraniteľnosti, chýbajúca sieťová segmentácia, slabá alebo chýbajúca ochrana e-mailových služieb a prístupu k internetu, nedostatočná ochrana perimetra, nízka viditeľnosť v rámci sieťovej prevádzky, nízke alebo chýbajúce zabezpečenie koncových staníc, chýbajúci centrálny log management alebo nedostatočné školenia zamestnancov. „Kybernetická bezpečnosť je pre mnoho slovenských spoločností veľkým problémom a pre útočníkov môžu byť ľahkými cieľmi. Smernica NIS2 by mala prispieť k zvýšeniu povedomia a ochrane proti kybernetickým hrozbám,“ dodáva Petr Kocmich.

Dopad miskonfigurácií na podnikanie

Zahraničné, ale aj slovenské organizácie pokračujú s presunom svojich IT systémov a dát do cloudového prostredia. Prechod do cloudu však nie je len o migrácii dát, ale aj o zmene prístupu správcov, a to mnohokrát prináša nové výzvy a konfiguračné postupy. Potom sa jednoducho môže stať, že sa pri migrácii niečo zabudne ošetriť, nastaviť či všeobecne nakonfigurovať podľa „best practice“. Tak vznikajú tzv. miskonfigurácie a vďaka nim firmy následne zbytočne čelia väčšiemu počtu útokov, než tomu bolo skôr a nedokážu sa im adekvátne brániť.

Ako cloudové, tak on-premise riešenia ponúkajú jasné výhody a riešia konkrétne výzvy a potreby organizácií. Vziať a presunúť kompletne lokálnu IT infraštruktúru bez potrebných zmien do cloudu (tzv. Lift & Shift prístup) je však častou chybou, ktorej sa dopúšťajú. Oba typy prostredí – či už on-premise alebo cloudové – prinášajú výhody aj nevýhody, a preto je možné sa u zákazníkov často stretnúť s hybridnými prostrediami. Dôvodom pre toto riešenie býva, buď legislatívna požiadavka (z pohľadu citlivosti dát a toho, kde sa takéto dáta môžu či nemôžu nachádzať), alebo architektúra a komplexita legacy aplikácií, ktoré sa nedajú v cloude prevádzkovať vôbec, či s nutnou, avšak neprimeranou investíciou a vypätím síl.

Ohýbanie stavu nie je prijateľné

Migrácia do cloudu môže organizáciám pomôcť znížiť náklady na IT (v prípade správneho využívania cloudových prostriedkov), získať kedykoľvek vyšší, a hlavne škálovateľnejší výkon, zvýšiť flexibilitu úložiska, zjednodušiť a zrýchliť nasadenie systémov a aplikácií a zároveň získať prístup k dátam a systémom odkiaľkoľvek, kedykoľvek, a to 365 dní v roku.

Nasadenie cloudu z kybernetického hľadiska však môže zvýšiť pravdepodobnosť napadnutia organizácií. Pokiaľ padne rozhodnutie „poďme do cloudu“, musí sa k nemu pristupovať zodpovedne. V prvom rade je potrebné si uvedomiť, že cloud, ako taký, je zdieľaná zodpovednosť medzi poskytovateľom cloudových služieb a zákazníkom. Cloud teda nie je nikdy samospasný. Môžeme sa samozrejme baviť o výbere správneho modelu (IaaS/PaaS/SaaS), ale pokiaľ chceme uľaviť internému IT/SEC tímu, správnou cestou by mal byť model PaaS a SaaS, kde väčšina zodpovednosti spadá práve na poskytovateľa cloudových služieb. Príležitosť prechodu do cloudu sa musí vnímať ako šanca na prechod k modernému a bezpečnému riešeniu firemnej infraštruktúry. Zároveň sa nesmie zabudnúť zapojiť bezpečnostné oddelenie, ktoré by malo byť fundamentálnou a integrálnou súčasťou každého podobného projektu.

Bohužiaľ väčšina cloudových migrácií mnohokrát znamená len ohýbanie a presun existujúceho stavu. Z toho vyplýva, že je potrebné začať využívať ideálne natívne cloudové prostriedky, čo v mnohých ohľadoch znamená premenu existujúcich monolitických aplikácií. V opačnom prípade, obyčajným presunom systémov a dát spoločnosti nič nezískajú a s najväčšou pravdepodobnosťou ich to bude stáť viac finančných prostriedkov než pôvodné riešenie v on-premise.

cloud

V hlavnej roli miskonfigurácie

Zatiaľ čo v prípade on-premise riešení sú dnešné spoločnosti pomerne dobre vybavené nástrojmi pre monitoring stavu a kontrolu zabezpečenia z pohľadu zabehnutých a overených štandardov, pre migráciu do cloudu to tak byť nemusí. Chybné konfigurácie cloudu predstavujú zraniteľné miesta, ktoré čakajú, až si ich útočníci všimnú. Ide o vstupné brány, prostredníctvom ktorých je možné infiltrovať nielen cloudovú infraštruktúru, ale vďaka prepojeniu a hybridnému režimu aj laterálne presunúť do existujúcej on-premise časti infraštruktúry, kde je potom možné exfiltrovať dáta, prístupové údaje, telemetrické dáta strojov v OT prostredí, zdravotné záznamy či osobné údaje, a to všetko napríklad zakončiť nasadením ransomwaru.

Podľa odborníkov má priemerný podnik každý rok stovky chybných konfigurácií, ale o prevažnej väčšine z nich ich IT oddelenia vôbec netušia. Všetky chybné konfigurácie sú pritom výsledkom ľudskej chyby a chýbajúcich nástrojov na kontrolu konfiguračného stavu cloudu (napr. tzv. CSPM – Cloud Security Posture Management).

Dopad chybnej konfigurácie cloudu na zabezpečenie systému

Pri migrácii systémov dosť často dochádza aj k tomu, že vybrané služby, ktoré boli dostupné v rámci on-premise riešení len interne, sú po migrácii vystavené verejne na internete, bez filtrovania a blokovania externej sieťovej prevádzky. Touto chybou trpí veľa spoločností, a dokonca mnohé z nich spadajú pod kritickú infraštruktúru. Môže sa teda stať, že sa na internete objaví verejne dostupná konzola pre ovládanie priemyselných riadiacich systémov. Nedávno sme takto detekovali konzolu ICS systému pre ovládanie výrobnej a montážnej linky – bez nutnosti overenia. Bežným folklórom sú služby obsahujúce zneužiteľné zraniteľnosti bez dodatočného zabezpečenia, ktoré bolo nasadené v on-premise riešení, ale v cloude sa už alebo ešte neimplementovalo (napr. chýbajúci WAF – Web Application Firewall) a ďalej služby s predvolenými prístupovými údajmi a služby slúžiace ku vzdialenej správe interných systémov zákazníka alebo dokonca voľne prístupných dát citlivého charakteru.

Preto, pričom štatistiky nášho dohľadového centra to len potvrdzujú, následne dochádza k desiatkam až stovkám incidentov mesačne. Chybné bezpečnostné konfigurácie sa stávajú ľahkým cieľom útočníkov, ktorí dobre vedia, že ich má takmer každý podnik. Toto zanedbanie môže mať katastrofálne následky. Útočníkom pomáha v prieskume a infiltrácii do zákazníckeho prostredia vytvorenie permanentných väzieb pre vzdialený prístup, ovládnutie systémov, exfiltráciu dát, ale napríklad aj prihlasovacích údajov, ktoré sú následne zverejnené alebo predané a použité na ďalšie útoky. Prípadne otvára dvere postranným ransomware alebo cryptojacking útokom, pri ktorých sú zneužívané cloudové výpočtové zdroje k podpore kryptoťažobných aktivít.

Kroky pre minimalizáciu rizík miskonfigurácií

Správa a sledovanie konfigurácie vyžaduje mnohostranný prístup. Organizácie by mali zaviesť osvedčené bezpečnostné postupy, ako je pravidelné hodnotenie stavu zabezpečenia cloudu (Cloud Security Posture Management), ktoré pomôžu odhaliť mnoho bezpečnostných prehreškov a miskonfigurácií. Je potrebné dodržiavať zásadu Least-Privilege a priebežne monitorovať a auditovať cloudové systémy.

Udržiavanie dostatočnej viditeľnosti cloudových aktív by malo byť prioritou, rovnako aj v rámci on-premise. Ďalej pomôže silný Identity & Access Management, ktorý umožní škálovať oprávnenia, aby bola zabezpečená správna úroveň prístupu ku cloudovým službám.

Identifikáciou rôznych chybných konfigurácií pri migrácii do cloudu a ich vyvarovanie podnikom pomôže odstrániť hlavné bezpečnostné problémy. S tým dokážu pomôcť špecializované firmy, ktoré organizáciu prevedú celým procesom a všetko správne nastavia.

Odkaz na článok v časopise

IT Systems

Aby sa OT sieť nestala zraniteľnou

Zabezpečenie priemyselných sietí je v súčasnej dobe pre firmy zásadnou témou, a preto mu venujú viac pozornosti. Dobre vedia, že kybernetické útoky na priemyselné technológie (OT, niekedy tiež ICS) sú stále častejšie a sofistikovanejšie, čo zvyšuje nielen riziko napadnutí a straty dát, ale predovšetkým výpadkov vo výrobe, ktoré môže spoločnosť stáť aj stovky tisíc eur.

V minulosti boli OT primárne zamerané na riadenie a automatizáciu priemyselných technológií a procesov. Systémy boli navrhnuté pre spracovanie veľkého množstva dát v reálnom čase a dôraz sa kládol predovšetkým na to, aby boli spoľahlivé a odolné voči poruchám. Preto je stále dôležitejšie integrovať OT s IT a vytvoriť tak bezpečné prepojenie medzi oboma systémami. To priemyselným firmám umožňuje lepšie riadiť svoje procesy a zlepšiť produktivitu.

Aktuálnosť Purdue modelu

Už v roku 1990 bol v USA vyvinutý tzv. Purdue model (známy ako PERA). Dodnes je považovaný za jeden z najrozšírenejších architektonických modelov v oblasti prevádzkovej technológie.

Purdue model poskytuje ucelený rámec pre riadenie a automatizáciu priemyselných procesov a umožňuje oddeliť (segmentovať) funkcie a zodpovednosti medzi rôznymi úrovňami riadenia a automatizácií. Kybernetické hrozby sa neustále vyvíjajú a prepojenie továrenských IT a OT systémov útočníkom nahráva do kariet – mnoho výrobných a priemyselných firiem sa stalo terčom napr. plošných ransomvérových útokov práve z dôvodu nedodržania riadnej segmentácie. Preto je potrebné priemyselné siete segmentovať, neustále monitorovať a aktualizovať bezpečnostné opatrenia v súlade s najnovšími hrozbami a trendmi v oblasti kybernetickej bezpečnosti.

Medzi najčastejšie hrozby v priemysle patrí:

  • ovládnutie koncovej stanice v priemyselnej sieti a následný pivoting;
  • podvrhnutie/zneužitie autorizovaného vzdialeného prístupu;
  • útok na bezdrôtové spojenie;
  • získanie fyzického prístupu k výrobnej sieti a zariadeniam;
  • inštalácia cudzích fyzických komponentov za účelom získania či úpravy prenášaných dát.

Päť základných bezpečnostných princípov a pilierov

Existuje niekoľko základných bezpečnostných princípov a pilierov, ktoré sú účinné a dôležité pre zaistenie kybernetickej bezpečnosti v priemysle. Nie je novinkou, že vďaka fúzii IT sveta do sveta OT, sú tieto piliere prevzaté práve z IT sveta (avšak doplnené o špecifiká OT – napr. proprietárne ICS protokoly atď.) Medzi hlavné princípy a piliere patrí:

Viditeľnosť – nie je možné chrániť to, o čom sa nevie. Preto je vhodné udržiavať aktuálny zoznam všetkých zariadení pripojených k sieti a robiť behaviorálnu analýzu ich komunikácie. Ďalším predpokladom je pravidelné skenovanie stavu a verzií (OT/IT) zariadení. Objavené zraniteľnosti je treba zaplátať.

Segmentácia – ďalším pilierom je izolácia, filtrovanie a inšpekcia sieťovej prevádzky. Predpokladom je nasadenie NGFW (OT) pre riadnu (mikro)segmentáciu a filtráciu sieťovej prevádzky. Využívať by sa mali funkcie IPS/IDS (OT) a virtuálnej záplaty. Nesmie sa zabudnúť ani na zabezpečenie e-mailovej a internetovej prevádzky a kontrolu neznámych súborov.

Endpointy – EDR/XDR riešenia umožnia zbierať informácie o tom, čo sa na zariadeniach deje (vrátane správy USB zariadení).

Access Management – rovnakojevhodná centralizovaná správa užívateľských/strojových identít, avšak za predpokladu prísne oddelenej priemyselnej a korporátnej identity. Na správu siete a riadenie zariadení by mali byť použité Jump Servery (+MFA) a implementované systémy určené k riadeniu prístupu do siete (NAC, 802.1x).

Audit, zálohy, compliance, IRP, riadenie rizík, SIEM/SOC – je vhodné centralizovať a vyhodnocovať bezpečnostné logy. Robustnou stratégiou zálohovania sa je možné pripraviť na neočakávané situácie. Zabúdať by sa nemalo ani na pravidelné školenie administrátorov a zamestnancov. Určite nepodceňujte analýzu rizík, čo je možné vyriešiť zavedením alebo aspoň inšpirovaním sa normou IEC 62443. A samozrejmosťou je vyžadovať dodržiavanie bezpečnostných zásad od dodávateľov.

Odborný prístup

Priemyselné riadiace systémy kombinujú mnoho zložitého hardvéru a softvéru, mnohokrát žiaľ aj veľmi zastaralého. Aby si výrobné spoločnosti udržali najvyššiu úroveň pripravenosti na kybernetickú bezpečnosť v OT, musia byť pri implementácii ochrany ako proaktívni, tak aj reaktívni. S tým môžu pomôcť špecializované tímy. Preto nečakajte, dohodnite si konzultáciu a zistite, ako je na tom vaša firma.