Zástupci energetického průmyslu k chystanému zpřísnění regulací kybernetické bezpečnosti
Společnosti již nyní volí „zero-trust policy“ přístup. Ochrana vnějšího perimetru je mezi společnostmi velice rozšířená. Zástupci energetiky s napětím očekávají finální podobu směrnice NIS 2 a chystaného Mechanismu pro hodnocení dodavatelských řetězců.
Aktualizace 14.12.2022, doplnění redakce
Zástupci energetiky s napětím očekávají finální podobu směrnice NIS 2 a chystaného Mechanismu pro hodnocení dodavatelských řetězců, jež jsou opakovaně představovány stran zákonodárců, jak na národní, tak evropské úrovni. Nová zákonná úprava může znamenat výrazné omezení v tom, jaké dodavatele si budou moci instituce a společnosti vybírat v nejcitlivější části své infrastruktury. Energetický sektor má proto obavy z rostoucích nákladů, nedostatkem kvalifikovaných lidí nebo obtížné aplikovatelnosti na chystanou podobu decentralizované energetické sítě. Hlavní hráči energetického průmyslu jsou přesvědčeni, že jsou schopni zaručit odpovídající stupeň bezpečnosti dodavatelského řetězce i za stávajících pravidel, neboť již nyní ve velkém aplikují pravidlo tzv. „zero trust policy“. O finální podobě návrhu by mělo být jasno do příštího května, kdy jej Národní úřad pro kybernetickou bezpečnost (NÚKIB) má předložit vládě. Plenární hlasování ohledně směrnice NIS 2 je naplánováno na listopad letošního roku, přičemž účinnost směrnice můžeme očekávat s nástupem roku 2024.
Na kulatém stole pořádaném webem Cyberblog.cz moderovaném Alešem Rodem, ředitelem výzkumu v CETA z.s., diskutovali Zbyněk Skála, vedoucí odboru IT Čepro a.s., Marcel Dlask, ředitel ve společnosti SEV.EN, Miroslav Tůma, expert na kybernetickou bezpečnosti ve společnosti Tech Data s.r.o., Bohuslav Čížek, ředitel Sekce hospodářské politiky Svazu průmyslu a dopravy ČR.
Obecná shoda panovala na dobré úrovni kybernetické bezpečnosti napříč subjekty kritické infrastruktury, a to včetně sektoru energetiky. V situaci, kdy se Evropa ocitá v bezprecedentní energetické krizi, která se přímo prolíná do všech odvětví průmyslu, není dle zástupců průmyslu jisté, do jaké míry budou skutečně společnosti schopny, energeticky náročná kyberbezpečností řešení, integrovat, tak aby nezůstaly jen na papíře. Ekonom Aleš Rod připomněl, že „energetika ovlivňuje konkurenceschopnost, cenotvorbu, ale také bezpečnost České republiky. Tento sektor je dlouhodobě pod těžkým regulatorním tlakem a jeho další zpřísnění má potenciál promítnout se do životní reality občanů“.
Nástup nového standardu kybernetické bezpečnosti stanoveným směrnicí NIS 2 se nutně projeví také do trhu práce, který již nyní celoevropsky trpí obrovským nedostatkem IT expertů. Zbyněk Skála ze společnosti ČEPRO vyslovil obavy, že: „Můžete si koupit perfektní technologie, avšak se špatně nastavenými procesy budou z většiny neefektivní. S tím souvisí lidský faktor, kdy odborníků v IT je obrovský nedostatek. Toto není jen problém vzdělávání, ale také zkušeností, neboť incident si musí experti zažít na vlastní kůži.“ Miroslav Tůma, ze společnosti Data Tech, dodává: „Je tu minimum škol, které by chrlily kybernetické experty, auditory. České společnosti často implementují pouhá technická řešení. Je to jako když bych stavěl plot, ale průběžně bych jej neopečovával.“
Kybernetická bezpečnost bude postupem času důležitá i pro menší výrobce a dodavatele, a to v souvislosti s plány Evropské unie ohledně zelené tranzice a energetické efektivnosti. Zde se dle Lubomíra Lízala můžeme dostat do problematické situace, která v souvislosti se zaváděním náročných kyberbezpečnostních řešení a nižší výkonnosti lokálních zdrojů, může vyústit v další zvýšení jednotkových cen energií.
Zástupci energetického sektoru na kulatém stole odmítli, že by již v současnosti důkladně neprověřovali své dodavatele Miroslav Tůma, ze společnosti Tech Data k tomu uvedl: „Společnosti již nyní volí ‚zero-trust policy‘ přístup, neboť si uvědomují, že nelze věřit vůbec nikomu. Žádná technologie není stoprocentně bezpečná. Ochrana vnějšího perimetru je mezi společnostmi velice rozšířená, což znamená, že jsou s to si svou integritu dobře ohlídat“. Marcel Dlask, ze společnosti Sev.En, k tématu Mechanismu dodává: „Nevidím důvod se zříkat něčeho, co funguje v celém světě. Z tohoto důvodu jsou pro mě výrobky z Číny důvěryhodné. Podpůrným argumentem též může být, že jsou jejich technologie a produkty dostupné též v Izraeli. Jestliže jsem s produktem, jenž je celosvětově zaveden, spokojen, není rozumné se o tento produkt ošidit.“
CB: energetika
Aleš Rod: Málo co je tak aktuální jako energetika, energetika ovlivňuje konkurenceschopnost, cenotvorbu, bezpečnost. Víme také to, že energetický sektor je dlouhodobě pod těžkým regulatorním tlakem.
- Veřejnost je neznalá ohledně řešení energetiky, často laiky navrhovaná řešení nemohou být vůbec zanesena do legislativy.
- NIS 2 zavádí řešení, která mají omezit přímá a nepřímá rizika, a to včetně hodnocení dodavatelských řetězců.
- Rozsah subjektů, na které směrnice bude dopadat je široký. Směrnice sice nepočítá s tím, že by povinnost ukládala povinnosti každému, avšak bude se jednat o veškeré střední a větší společnosti, nebo dceřiné společnosti z holdingů.
Jak bezpečný je energetický sektor
- Zbyněk Skála (ČEPRO)
- Směrnice NIS 2 prohlubuje zájem v definovaných oblastech. Kolegové mohou mít zainvestováno na správných místech, avšak bude třeba nejen správně komunikovat incidenty, ale též hrozby.
- Můžete si koupit technologie, avšak procesy jsou také důležité.
- NIS 2 dává minimální požadavky.
- Aleš Rod (CETA)
- Dostatek lidí.
- Zbyněk Skála (ČEPRO)
- Odborníků v IT je obrovský nedostatek v celé evropském prostoru. IT a security musí být propojené.
- Toto není jen problém vzdělávání, ale také zkušeností. Incident si musí experti zažít.
- Marcel Dlask
- Všechny společnosti, které budou implantovat dle NIS 2, mají vlastní tým, který provádí kontrolní činnost.
- My už rok a půl připravujeme kontrolní mechanismy a metodiky, avšak NÚKIB nám teprve dnes říká, co je a není možné. My teď budeme mít rok a půl na tu technickou část.
- Je potřeba pamatovat, aby bylo možné služby ohledně zabezpečení sdílet.
- Lubomír Lízal
- Evropa se bude muset vydat technologickou cestou, neboť chybí lidi, které nemohu importovat, protože jde o otázky bezpečnosti.
- Evropa tlačí pomocí EED drobné zdroje, v okamžiku, kdy máte polovinu produkce zajištěnou neřízenými zdroji, je potřeba aby tyto zdroje mohly být dálkově ovládány, tak aby došlo k regulaci sítě.
- Pokud budu mít menší objem elektřiny, pak mi roste jednotková cena za obsluhu elektřiny.
- Zvýší se Vám náklady na distribuci, bude potřeba se zamyslet, jak zajistit bezpečnost sítě, ale také její dodávky, které vzrostou díky technickým parametrům kybernetické bezpečnosti.
- Marcel Dlask
- Kybernetická bezpečnost bude důležitá i pro menší výrobce a dodavatele.
- Miroslav Tůma
- Zákon nově nutí firmy dělat něco, co už dávno dělat měly. Stanovuje, jaké minimum by se mělo udělat.
- Je tu minimum škol, které by chrlili kybernetické experty, auditory. České společnosti často implementují pouhá technická řešení. Je to jako když bych stavěl plot, ale průběžně bych jej neopečovával.
Mechanismus
- Miroslav Tůma
- Nařízení se dají implementovat v různých úrovních. Neexistuje technologie, která není hrozbou. Musím umět reagovat, hodnotit dodavatele, technologie, která je dnes v pořádku, zítra být nemusí.
- Zbyněk Skála
- Líbí se mi, že Evropa má ambici řešit i tyto otázky, proto se hodně akcentuje odpovědnost. Ve spoustě společností představenstvo doposud vůbec neřeší kybernetickou bezpečnost.
- Marcel Dlask
- 90 % podniků vyřeší kritéria NIS 2 tím, že si koupí nějaký produkt. Je nutné si uvědomit, že tato investice nenese zisk, a proto není atraktivní.
- Čížek
- Společnosti, které patří do kritické společnosti mají horentní výdaje spojené s kybernetickou a jinou bezpečností. Tyto výdaje neustále rostou, a proto se snažíme naším členům pomoci.
- Všechny dekarbonizační technologie jsou velice energeticky náročné, spojený efekt s posílenou kybernetickou bezpečností může vytvořit nebezpečný mix.
- Marcel Dlask
- Za mě nevidím důvod se zříkat něčeho, co funguje v celém světě. Pro mě jsou výrobky z Číny důvěryhodné, je třeba podívat se, co používají v Izraeli – pravděpodobně i Čínské produkty. Jestliže jsem s produktem, jenž je celosvětově zaveden, spokojen, nevidím důvod, proč se o něj ochudit.
- Miroslav Tůma
- Je potřeba zvolit přístup, „zero-trust“, neboť nelze věřit vůbec nikomu. Žádná technologie není stoprocentně bezpečná. Globalizace propojila dodavatelské řetězce ex-ante hodnocení není přípustné. Toto zařízení, protože je od tohoto výrobce je nebezpečné, ochrana vnějšího perimetru je velice rozšířená na rozdíl od ochranu perimetru vnitřního. To, že mi někdo bude krást data jsem s to ohlídat, ale právě ona diverzifikace nám dává silnou pozici.
- Jednobarevná technologie je největší problém.
- Lubomír Lízal
- Dobrá regulace neznamená, dobrá faktická řešení.
- Marcel Dlask
- V budoucnosti již téměř nikdo nebude přelézat plot fyzický, ale právě ten kybernetický.
Doplnění redakce
autor: RNDr. Jiří KopačkaV článku mne překvapila poslední věta: „Nevidím důvod se zříkat něčeho, co funguje v celém světě. Z tohoto důvodu jsou pro mě výrobky z Číny důvěryhodné. Podpůrným argumentem též může být, že jsou jejich technologie a produkty dostupné též v Izraeli. Jestliže jsem s produktem, jenž je celosvětově zaveden, spokojen, není rozumné se o tento produkt ošidit“. Zaráží mne na ní dvě věci:
- neodpovídá skutečnosti, že všechny čínské produkty fungují v celém světě (viz diskuse o embargu na čínské technologie v oblasti 5G sítí a kritické infrastruktury mnoha států světa),
- věta navozuje jakýsi obecný pocit bezpečí, který ale není na místě.
- NÚKIB vydal dne 17. prosince 2019 varování, které říká (volně citováno): Použití technických a programových prostředků dvou konkrétních čínských společností představuje hrozbu, která je vysoce pravděpodobná až téměř jistá. Obě společnosti jsou natolik propojené se státem, že mohou stavět zájem státu nad zájmy svých zákazníků.
- Veřejná část výroční zprávy BIS za rok 2021 obsahuje toto sdělení (cituji): „Čína se v posledních několika letech také zařadila mezi nejaktivnější aktéry na poli kybernetických útoků. Zvýšilo se nejen jejich množství, ale zejména jejich závažnost a sofistikovanost. Zpravidla se totiž jedná o velmi technicky pokročilé, dlouhodobé a především skryté a těžko odhalitelné kyberšpionážní aktivity, jejichž důsledky mohou mít dopad na chod zasažených organizací i několik následujících let od odhalení“.
Je tedy nutné velmi pečlivě vážit, které čínské technologie použít, v rámci jakých systémů (domácí internet je asi v pohodě, energetika je zcela jiný šálek kávy) a jak přesně je provozovat.