Menu
IOT SOCIÁLNÍ INŽENÝRSTVÍ PHISHING MALWARE

Průmysl se digitalizuje. Jenže tradiční IT řešení na jeho ochranu nestačí

Kateřina Dobrá

Kateřina Dobrá
18. 11. 2025

Průmysl se digitalizuje. Jenže tradiční IT řešení na jeho ochranu nestačí

Nemocnice, kde výpadek chlazení genetického materiálu může vést až k ohrožení životů. Automobilka, kde výpadek jednoho PLC modulu zastaví montážní linku. Potravinářský provoz, pro který nefungující chlazení znamená likvidaci celé šarže. Útoky na průmyslové řídicí systémy jsou už dnes realitou. Proč se v průmyslu nestačí spoléhat na antiviry, firewally nebo centrálně řízené politiky? A jak efektivně chránit nejen data, ale celý chod výroby? 

Průmysl se digitalizuje. Jenže tradiční IT řešení na jeho ochranu nestačí

Zatímco informační technologie (IT) se starají o správu dat, komunikaci a kancelářské systémy, provozní technologie (OT) se zaměřují na řízení fyzických procesů – od výrobních linek přes elektrické rozvodny až po ventily, čidla a průmyslové roboty.  

Průmyslové OT zahrnuje zařízení a software, které dohlížejí na chod strojů a infrastruktury v reálném čase a běží bez přerušení někdy i desítky let. Na rozdíl od IT, kde je hlavním cílem ochrana dat, je v OT prioritou stabilita, přesnost a bezpečný provoz fyzických zařízení. 

Tyto dva světy dlouho fungovaly odděleně, ale nyní dochází pod vlivem digitální transformace, internetu věcí (IoT) a pokročilé analytiky k jejich sbližování. Propojení IT a OT má svůj smysl – umožňuje sběr a vyhodnocování dat přímo z výroby, optimalizaci provozu, zkrácení odstávek a rychlejší rozhodování. Integrace zde přináší vyšší efektivitu a nové možnosti automatizace, ale vyžaduje také zcela nový přístup k bezpečnosti.  

Neodstraněná aplikace vedla k otravě vody 

Ve vodárenské stanici v Oldsmaru na Floridě získal v únoru 2021 neznámý útočník vzdálený přístup k řídicím systémům. Dostal se do nich přes aplikaci TeamViewer, která zůstala aktivní v systému, přestože ji nikdo už několik měsíců nepoužíval. Útočník se po přihlášení pokusil změnit konfiguraci SCADA rozhraní a zvýšil dávkování hydroxidu sodného v pitné vodě více než stonásobně.  

Jen díky pohotové reakci operátora, který si všiml neobvyklého chování kurzoru na obrazovce, se podařilo dávkování vrátit na správné hodnoty a útok zastavit.  

Incident ukazuje, že i běžné nedostatky zabezpečení OT systémů, jako jsou neodstraněné nepoužívané aplikace, slabá správa přístupů a nedostatečný monitoring, mohou mít vážné důsledky pro bezpečnost kritické infrastruktury

Hrozbou je ransomware, sabotáž i špionáž 

Hrozby pro průmyslové podniky navíc zdaleka nekončí u neautorizovaného přístupu do systémů. Jedním z nejčastějších hackerských scénářů je nasazení ransomwaru, který zašifruje klíčové provozní systémy a znemožní výrobu, dokud oběť nezaplatí výkupné.  

V dalších případech dochází k cílené sabotáži, jejímž účelem je narušit provoz – ať už jako forma konkurenčního boje, nebo z ideologických důvodů. Průmyslová špionáž se naopak zaměřuje na získání citlivých informací, výrobních receptur, technických plánů nebo procesních parametrů.  

Dalšími typickými hrozbami jsou DDoS útoky, zneužití zranitelností v komunikačních protokolech či infiltrace přes nedostatečně chráněné dodavatelské systémy

IT vs. OT stejný cíl, jiné priority 

IT a OT kyberbezpečnost se řídí stejnými principy: důvěrností, integritou a dostupností, pořadí jejich priorit se ale zásadně liší. V IT bývá na prvním místě ochrana citlivých dat, následuje zajištění jejich integrity a až poté dostupnost. Krátký výpadek systému sice může způsobit komplikace, ale pokud je zabezpečení dostačující, data zůstávají nedotčená. V OT je to naopak: dostupnost je klíčová.

Pokud je například internetové bankovnictví o víkendu chvíli nedostupné, nemá to takové následky, jako když se podíváte na největšího výrobce automobilů, u kterého znamená každá hodina zastavené výroby přesně vyčíslitelnou škodu.

Citace Ilji Davida Ilja David
odborník na průmyslovou bezpečnost a CEO Iron OT

Odlišnosti mezi IT a OT se však netýkají jen priorit, ale i technologií samotných. IT infrastruktura je standardizovaná, běží na běžně používaných operačních systémech a bývá pravidelně aktualizovaná. OT systémy jsou oproti tomu často proprietární, uzavřené, někdy i desítky let staré. Navíc původně nebyly navržené pro připojení do sítě. S nástupem digitalizace se ale stále častěji ocitají ve stejné síti jako IT systémy – to je ten okamžik, kdy se stávají extrémně zranitelnými.

Nejčastější zranitelnosti v OT systémech 

  1. Vzdálené služby a slabá autentizace: Celkem 20 % všech útoků začíná zneužitím vzdáleného přístupu. Nejčastěji přes slabě chráněné vzdálené služby (např. zastaralý TeamViewer) nebo nezabezpečené VPN přístupy. 
  2. Zastaralé protokoly a nepodporované systémy: Staré verze protokolů SMB či Modbus, který nepoužívají ani šifrování, nebo software pro programování a běh automatů CODESYS běžící bez záplat tvoří rozsáhlou útokovou plochu v průmyslových sítích. 
  3. Nedostatečná detekce nových hrozeb: Vysoký podíl škodlivého kódu (79,92 %) v OT sítích není rozpoznán tradičními nástroji, protože jde o nové nebo upravené varianty malwaru. Zranitelností je tedy slabá schopnost detekce neznámých hrozeb. 
  4. Slabě chráněné přístupové oprávnění a ovladače: Nezabezpečené PLC ovladače, staré verze firmwaru a chybné řízení přístupu umožňují útočníkům získat vyšší oprávnění, a tím ovládnout řídicí systémy nebo s nimi manipulovat. 
  5. Nedostatečné zabezpečení provozních datových rozhraní: OT zařízení často poskytují přístup ke konfiguračním souborům, systémovým informacím nebo provozním datům bez dostatečné kontroly. Útočníci tak mohou získat citlivé informace o infrastruktuře a plánovat další fáze útoku. 

Zdroj: Whitepaper Palo Alto Networks a Siemens, 2023 

Proč tradiční IT opatření nestačí 

Bezpečnostní nástroje, které v IT fungují a mezi něž patří antivirové systémy, centralizované aktualizace nebo řízení přístupových práv, v prostředí provozních technologií (OT) často selhávají. Ne proto, že by byly špatně navržené, ale proto, že nejsou kompatibilní s provozní realitou. I dobře míněná aktualizace může způsobit poruchu nebo neplánovanou odstávku.  

Dalším problémem je nízká úroveň viditelnosti. Zařízením v OT sítích schází připojení ke standardním protokolům, nejsou součástí centrální správy, a dokonce o jejich existenci organizace někdy ani neví. Slabá síťová segmentace pak zvyšuje riziko, že kompromitace jednoho zařízení ovlivní celý provoz.  

Tradiční IT nástroje navíc často nerozumí specifickým průmyslovým protokolům, jako jsou Modbus, DNP3 nebo OPC UA – tedy komunikačním jazykům, které slouží k řízení průmyslových zařízení, jako jsou čidla, ventily nebo PLC automaty. Právě proto nejsou schopné v těchto protokolech detekovat anomálie nebo pokusy o útok, který cílí na OT infrastrukturu. 

6 tipů pro bezpečnější OT 

  1. Co neznáte, neochráníte. Mnoho organizací v OT prostředí nemá přehled o všech zařízeních, která jsou připojena do sítě – často jde o historické technologie, dočasná řešení nebo zapomenuté prvky. Pravidelná inventarizace aktiv, včetně jejich funkcí, přístupových oprávnění a umístění v síti, je základem pro efektivní segmentaci, řízení přístupů i detekci anomálií.  
  2. Segmentace sítí. Oddělení provozní a kancelářské části prostřednictvím zón a přísně řízených přechodů (firewally, VLANy, DMZ) brání neřízenému šíření útoků. To omezuje rozsah případného průniku a zabraňuje postupnému šíření útočníka sítí (tzv. laterálnímu pohybu). Segmentace sítě je dlouhodobý proces. Je potřeba pravidelně kontrolovat, co se v síti změnilo, kam třeba nové zařízení patří a co smí dělat. Díky tomu je síť odolnější vůči novým hrozbám, protože se pravidla neustále přizpůsobují aktuální situaci. 
  3. Architektura zón a spojení mezi nimi. Standard IEC 62443 doporučuje rozdělit provozní síť na menší části – tzv. zóny – a mezi nimi vytvořit jasně kontrolované přechody. Každá zóna má jinou úroveň ochrany podle toho, jak citlivé nebo důležité systémy obsahuje. Tento přístup pomáhá navrhnout síť přehledně a bezpečně, krok za krokem. 
  4. Kontrola provozu mezi zónami. Na hranicích mezi jednotlivými částmi sítě je důležité nejen povolit nebo zakázat komunikaci, ale i rozumět tomu, co se tam skutečně děje. Specializované bezpečnostní prvky (například průmyslové firewally) dokážou „nahlédnout dovnitř“ provozu a zjistit, jestli někdo neposílá škodlivé příkazy. Tím chrání klíčová zařízení, aniž by narušily chod výroby. 
  5. Bezpečný a řízený vzdálený přístup. Vzdálený přístup do OT prostředí musí být výhradně přes ověřené kanály, ideálně pomocí moderních VPN s vícefaktorovou autentizací (MFA), časově omezeným přístupem a důsledným logováním. Staré nástroje jako TeamViewer bez řízení přístupu by měly být zcela nahrazeny. Pro partnery a dodavatele platí pravidlo „nejméně potřebných oprávnění“. 
  6. Monitoring a detekce anomálií na úrovni OT provozu. Moderní útoky často využívají nové nebo neznámé varianty malwaru, které běžná antivirová ochrana nerozpozná. Řešením je behaviorální detekce neboli sledování „normálního“ provozu v síti a upozornění na podezřelé odchylky. Specializované nástroje pro OT (např. Nozomi, Claroty) dokážou analyzovat průmyslové protokoly a včas odhalit neobvyklé chování. 

Bezpečná správa logů od sběru po SIEM

Co si z článku odnést?  

  • Rozdíl mezi IT a OT? Zatímco informační technologie (IT) se starají o správu dat, komunikaci a kancelářské systémy, provozní technologie (OT) se zaměřují na řízení fyzických procesů
  • IT a OT kyberbezpečnost se řídí stejnými principy: důvěrností, integritou a dostupností, pořadí jejich priorit se ale zásadně liší. V OT je nejdůležitější dostupnost. 
  • Dobrý bezpečnostní návrh tak pokaždé začíná pochopením provozu, inventarizací zařízení a identifikací skutečně kritických bodů. 
  • Mezi hrozby pro OT patří: průnik do řídicích systémů, ransomware, sabotáž, průmyslová špionáž nebo DDoS útoky. 
  • Nejefektivnější bezpečnostní opatření u OT systémů jsou segmentace sítí, architektura a kontrola zón, řízený vzdálený přístup a monitoring a detekce anomálií. 
Kateřina Dobrá Kateřina Dobrá
Marketingový specialista pro B2B

Sdílet

Byl pro vás článek užitečný?

Ano, byl užitečný Může se hodit Byl příliš obecný Hledal jsem jinou informaci

Nenašli jste, co jste hledali? Dejte nám vědět, co můžeme zlepšit. Děkujeme

Mohlo by vás zajímat

DALŠÍ ČLÁNKY
Bezpečnostní kamera jako vstup do firemní sítě. Proč se na její ochranu zapomíná?

Bezpečnostní kamera jako vstup do firemní sítě. Proč se na její ochranu zapomíná?

Zobrazit článek
Bezpečnostní kamera jako vstup do firemní sítě. Proč se na její ochranu zapomíná?
Phishing už nevypadá jako dřív. Jak se proti němu bránit?

Phishing už nevypadá jako dřív. Jak se proti němu bránit?

Zobrazit článek
Phishing už nevypadá jako dřív. Jak se proti němu bránit?
7 signálů, že je vaše firma pod útokem. Jak si jich všimnout?

7 signálů, že je vaše firma pod útokem. Jak si jich všimnout?

Zobrazit článek
7 signálů, že je vaše firma pod útokem. Jak si jich všimnout?
Nový zákon o kybernetické bezpečnosti: 9 věcí, které byste neměli odkládat

Nový zákon o kybernetické bezpečnosti: 9 věcí, které byste neměli odkládat

Zobrazit článek
Nový zákon o kybernetické bezpečnosti: 9 věcí, které byste neměli odkládat
Kyberzákon není restrikce, ale pomocná ruka, říká šéf NÚKIBu Lukáš Kintr

Kyberzákon není restrikce, ale pomocná ruka, říká šéf NÚKIBu Lukáš Kintr

Zobrazit článek
Kyberzákon není restrikce, ale pomocná ruka, říká šéf NÚKIBu Lukáš Kintr
Nezaměstnáváte hackera? Roste počet podvodů přes pracovní inzeráty

Nezaměstnáváte hackera? Roste počet podvodů přes pracovní inzeráty

Zobrazit článek
Nezaměstnáváte hackera? Roste počet podvodů přes pracovní inzeráty
Quantum-safe: Jak se připravit na nástup kvantových počítačů?

Quantum-safe: Jak se připravit na nástup kvantových počítačů?

Zobrazit článek
Quantum-safe: Jak se připravit na nástup kvantových počítačů?
Lidská chyba, ale i touha po pomstě. Proč by firmy neměly podceňovat interní hrozby

Lidská chyba, ale i touha po pomstě. Proč by firmy neměly podceňovat interní hrozby

Zobrazit článek
Lidská chyba, ale i touha po pomstě. Proč by firmy neměly podceňovat interní hrozby

Naše ocenění

Zlatý středník - Elektronický časopis, blog a newsletter
Elektronický časopis, blog a newsletter
Top rated
Zlatý středník - Podcast: Místo kyberčinu
Podcast: Místo kyberčinu
2. místo
Zlatý středník - Elektronický časopis a blog
Elektronický časopis a blog
2. místo
Zlatý středník - Telekomunikace a IT
Telekomunikace a IT
2. místo
Fenix - Content – Online Magazín Web
Content – Online Magazín Web
3. místo