„Česká republika spotřebovává více energie z plynu než z elektřiny, což činí z GasNetu klíčovou společnost pro fungování státu. Bezpečnost je proto u nás esenciální hodnotou. Odlišujeme se tím od většiny firem,“ říká Martin Dlouhý, který vede Security tým největšího tuzemského distributora plynu. S Martinem jsme si povídali o kyberbezpečnosti v kritické infrastruktuře, připravenosti na NIS2, spolupráci s NÚKIB a firemní kultuře.
GasNet je součástí kritické infrastruktury státu. Jak se to projevuje v kyberbezpečnosti?
Silným důrazem na bezpečnostní standardy. Pro lepší představu je dobré si nejprve uvědomit, že GasNet spravuje plynárenskou síť o délce 65 000 kilometrů a tisíce dalších plynárenských zařízení. Pokud kritické informační systémy v plynárenství selžou, může to představovat vážnou hrozbu pro stát. Proto musíme dodržovat vyšší bezpečnostní standardy a bezpečnost integrujeme i do našich výkonnostních cílů. Z právního pohledu jsme regulovaným subjektem, který se řídí zákonem o kybernetické bezpečnosti a souvisejícími normami.
Martin Dlouhý
Absolvoval Fakultu elektrotechnikou ZČU v Plzni a program Management a kybernetická bezpečnost na CEVRO Institutu v Praze. Působil ve společnosti T-Mobile, ve sdíleném bezpečnostním kompetenčním centru Deutsche Telekom, zastával roli CISO v české Raiffeisenbank. Od roku 2020 zodpovídá za bezpečnost společnosti GasNet.
Jak se to konkrétně projevuje v technologické oblasti?
Naším specifikem jsou takzvané průmyslové řídící systémy SCADA (Supervisory Control And Data Acquisition). Pomocí nich řídíme plynárenskou síť, monitorujeme ji a analyzuje data z ní. Tyto systémy jsou obecně charakteristické tím, že jsou z pohledu inovací poměrně konzervativní. Důvodem je opět primární důraz na obezřetnost, tedy snahu nezanést si do kritické informační infrastruktury prvky, které by jí mohly ohrozit. Bezpečnost proto byla určujícím parametrem, když jsme v minulém roce provedli modernizaci a nasadili nový SCADA systém.
Pro minimalizaci rizik oddělujeme podobné kritické informační systémy od těch běžných. Důraz klademe také na oblasti Business Continuity Management a Disaster Recovery. Architekturu jsme navrhli tak, aby bylo minimalizováno riziko výpadku kritických služeb, a současně jsme připraveni na obnovu systémů. Musíme mít a máme jasně nastavený systém řízení bezpečnosti informací založený na řízení rizik.
V těchto souvislostech musí být pro GasNet podstatná regulace podle NIS2. Jak jste na ni připraveni?
Z dostupných textů návrhů zákona o kybernetické bezpečnosti a prováděcích předpisů je zřejmé, že v rámci regulace NIS2 budeme spadat mezi subjekty v tzv. režimu vyšších povinností. Splnění požadavků by pro nás nemělo představovat zásadnější problém. Víme to jednak díky analýze, kterou jsme dokončili a současně nám pomáhá to, že postupně finalizujeme několik důležitých bezpečnostních projektů. Ty jsme nastartovali během posledních tří let, takže teď vše nemusíme honit na poslední chvíli.
Kromě zmíněné modernizace systému SCADA se nám podařilo nasadit nový systém pro detekci a řízení technických bezpečnostních zranitelností, vybudovali jsme nový SIEM systém pro detekci kyberbezpečnostních událostí nebo také systém pro podporu centrálního řízení identit a přístupových oprávnění. To ale neznamená, že nás nečeká ještě hodně práce, protože s novým zákonem se významně rozšíří rozsah systémů, pro které budeme muset přijmout zvýšená bezpečnostní opatření. Máme ale už přehled o tom, kde ještě nejsme v souladu s NIS2 a připravili jsme akční plán pro dosažení plného souladu. Víme také, že jsme schopní splnit požadavky primárně vlastními silami a s aktuálními dodavateli. Do karet nám hraje skutečnost, že s výjimkou několika velkých globálních hráčů fungujeme s lokálními dodavateli.
Z našeho pohledu naopak oceňujeme, že NIS2 už počítá s odvětvím vodíku, na který připravujeme naši plynárenskou síť.
Projevují se nějak z pohledu kyberbezpečnosti přípravy GasNetu na distribuci vodíku?
Důraz na kybernetickou bezpečnost je nedílnou součástí všech IT projektů, které pomáhají připravovat GasNet na přechod k obnovitelným plynům. Do plynárenské sítě už dnes vtláčíme biometan a na 100% vodík chceme v GasNetu přejít postupně. Pro další řízení distribuce tak začnou být ještě důležitější data z plynárenské sítě i z celé firmy. Pomáhá nám s tím několik projektů. Například „AM360“, díky kterému chceme získat lepší přehled o našich fyzických aktivech v celém jejich životním cyklu. Každý rok investujeme miliardy korun do modernizace infrastruktury, a proto zavádíme velmi pokročilý Enterprise Asset Management System, který nám pomůže distribuci efektivněji rozvíjet.
O skupině GasNet
GasNet provozuje největší plynárenskou distribuční soustavu v České republice. Pečuje o 65 000 km plynovodů ve všech regionech České republiky kromě Prahy a Jihočeského kraje. Je součástí kritické infrastruktury státu, zajišťuje bezpečné dodávky zemního plynu pro 2,3 miliónů domácností a firem. Stoprocentním vlastníkem je konsorcium investorů vedené společností Macquarie Asset Management, do nějž patří i British Columbia Investment Management Corporation (BCI) a Allianz Capital Partners.
Jak spolupracujete s NÚKIB?
Pestře. Odbor kontroly NÚKIB nám například nedávno nabídl komplexní audit kybernetické bezpečnosti na určeném prvku kritické informační infrastruktury. Nabídku jsme využili. Audit se skládal z revize dokumentace, auditu na místě i technických penetračních testů. Určitě podobný audit doporučujeme všem firmám, protože tak získají cennou zpětnou vazbu a poznají, jak NÚKIB přistupuje ke kontrolním činnostem. Náš audit dopadl obecně dobře. Ke konci roku připravujeme s NÚKIB ještě table top cvičení pro krizový štáb, kde si vyzkoušíme scénář zvládání kybernetického bezpečnostního incidentu s rozsáhlým dopadem. Jinak samozřejmě spolupracujeme standardizovaným způsobem: využíváme metodiky NÚKIB nebo sdílíme informace důležité pro zvyšování bezpečnosti.
Jak moc se setkáváte s kybernetickými útoky? Zaznamenali jste nějaký trend v této oblasti?
S pokusy o útoky se setkáváme poměrně často a počet vzrostl s vypuknutím konfliktu na Ukrajině. Evidujeme pokusy o zneužití některých služeb, zjišťování informací o naší infrastruktuře formou automatizovaných skenů, naši zaměstnanci čelí sofistikovaným phishingovým útokům nebo podvodnému navolávání.
Jak se vypořádáváte s kyberútoky na zaměstnance?
Hodně nám pomáhá preventivní vzdělávání zaměstnanců. Teď jsme zrovna zakončili dvoutýdenní vzdělávací kampaň, během které jsme zaměstnancům nabídli online semináře s odborníky z bezpečnostní komunity, psychology nebo etickými hackery. Konkrétně jsme se věnovali kybernetickým hrozbám v personalistice, aktuálním trendům ve vedení kybernetických válek, snažili jsme se přiblížit pohled kybernetických útočníků na konkrétních příkladech z red teamingu a penetračních testů, ale věnovali jsme se třeba i problematice ochrany duševního zdraví ve spojitosti s digitalizací, podvodům na sítích nebo odvrácené tváři umělé inteligence.
Obecně se snažíme o jednoduchost, zábavnost, pestrost. Nevěnujeme se jen odborným tématům, ale hlavně těm užitečným pro každodenní život. Chceme totiž, aby se kyberbezpečnost stala přirozenou součástí celého života našich lidí. Protože pak bezpečnostní návyky přirozeněji přenesou i do pracovních aktivit. Považujeme to za lepší formu zlepšování se, než jen strohé příkazy. Obdobné semináře pak zaměstnancům nabízíme v průběhu celého roku. Obezřetnost dlouhodobě zvyšujeme také pomocí simulovaných phishingových kampaní. Ty už nám nesou dobré ovoce.
Našemu Security týmu značně usnadňuje práci i to, jak důsledně k tématu bezpečnosti přistupuje vedení firmy. Tahle energie se pak přirozeně přenáší napříč GasNetem do dalších týmů, se kterými spolupracujeme. Naši plynaři tak ke zlepšování bezpečnosti přistupují hodně otevřeně. Je z toho krásně zřejmé, jak důležitá je firemní kultura pro posilování bezpečnosti a bezpečnost zase klíčem k udržitelné energetice.
ČLÁNKY DO MAILU