Až šest z deseti průmyslových objektů v Česku nemá dostatečnou ochranu před hrozbou kybernetických útoků. Jedná se zejména o energetiku, telekomunikace, dopravu, chemický, vodní nebo potravinářský průmysl. Plyne to z údajů společnosti Auris ze skupiny Delta Capital.
„Pokud mají průmyslové společnosti v Česku kybernetickou ochranu, tak se většinou spoléhají na jedinou technologii a ochranu konkrétního řídícího systému. Důležité však je zaměřit se na ochranu systému komplexně pro celý výrobní proces. Nemít pouze ochranu IT obchodního systému, ale ochranu celé procesní výroby, která je z většiny případů nedostačující, říká specialista na kybernetickou ochranu průmyslových kontrolnich systémů Aurisu Libor Čech.
Největším kybernetickým bezpečnostním rizikem je dle zprávy Aurisu v Česku momentálně chybějící kybernetická kontrola kritické infrastruktury v oblasti, kde jsou průmyslové řídící systémy (ICS) používány. Jde zejména o výrobu a distribuční soustavy zemního plynu, elektrické energie (včetně podružné výroby, například v papírenském průmyslu), zásobování pitnou vodou, ale také o zdravotnictví a lékárenský průmysl.
"Domníváme se, že úspěšně napadnout například provoz tepelné elektrárny by zkušení profesionální kyberútočníci dokázali poměrně snadno. Přípravné práce na připojení by nezabraly více než několik desítek minut a zjištění kritického procesu ( odstavovací sekvence) míň než hodinu," říká Libor Čech. Jedním z prvních útoků na kritickou infrastrukturu je z pohledu odborníků například pirátské vysílání jaderného výbuchu v Krkonoších umělecké skupiny Ztohoven v červnu 2007, která pronikla do vysílání programu ČT2.
V Česku podle Aurisu dosud chybí zákonodárná aktivita, která by tento problém začala řešit. Německo v lednu začalo pracovat na nové směrnici zákona o bezpečnosti sítí a informací. Směrnice identifikuje společnosti, které podléhají ze zákona povinnosti, mít kybernetické zabezpečení a do budoucna bude i definovat jaké konkrétně.
MMR loni vypsalo dotační výzvu pro organizační složky státu s názvem Kybernetická bezpečnost v celkové hodnotě takřka 1,5 mld. Kč. O peníze lze průběžně žádat až do června 2017. "Tohle je určitě chvályhodné. Česko má akční plán k národní strategii kybernetické bezpečnosti do roku 2020, ovšem chybí zákonná povinnost a navíc se jedná pouze o organizační složky státu nikoliv o soukromé subjekty," hodnotí aktivitu státu Čech.
Signály, které by měly vést k vyššímu zabezpečení průmyslových objektů i státní kritické infrastruktury, se v poslední době objevují v Evropě i po celém světě. Zpráva Aurisu vypichuje například: Jak ve svém prohlášení uvedla elektrárna KGG 24.4.2016, došlo k virovému útoku na jadernou elektrárnu společnosti RWE Gundremmingen v Bavorsku, s nálezem škodlivého softwaru (Malware) ve svém řídícím a programovacím zařízení. Ve státě New York zase iránští hackeři napadli přehradu Bowman Avenue Dam, kde měli v systému přehrady možnost manipulace s výpustí vody. Při štědrovečerním blackoutu v roce 2015 na Ukrajině hackeři na několik hodin odstřihli od elektřiny přes 220 000 tisíc uživatelů.
„Kybernetické útoky z poslední doby mění cíle i povahu. Nekradou pouze data, ale mají jasný cíl ohrozit bezpečnosti široké veřejnosti. A to nemluvím o škodách na majetku u soukromých společností. Například v pivovaru stačí vyřadit chladící centralu a celý proces stojí i na desítky hodin, nebo jeden článek při montáži aut v automobilce zastavi celý řetězec výroby" uzavírá Čech.