Martin Dlouhý (GasNet): Kyberbezpečnost je důležitý klíč ve hře o budoucnost i v plynárenství

S tím, jak se lidská aktivita stále více přesouvá do digitálního světa, roste v posledních letech i počet krádeží a podvodů, které jsou spojené s prostředím internetu. Uplynulý rok se stal nejen pro Česko jedním z nejkritičtějších z pohledu kybernetické bezpečnosti. Hrozby se stejně často objevují kvůli špatně zabezpečeným sítím, v jejichž důsledku jsou odhalena citlivá data. Nebo kvůli nepozorným či nerozvážným zaměstnancům, kteří při práci z domova používají nezabezpečená zařízení.

„Rostoucí trend útoků je zřejmý v celé Evropě a nevyhýbá se ani plynárenství. Tedy i my jsme zaznamenali cílené  pokusy o narušení naší IT infrastruktury,“ říká v rozhovoru pro Peak.cz Martin Dlouhý, manažer bezpečnosti společnosti GasNet.

Tato společnost se jako největší distributor plynu v České republice podle jeho slov „neobejde bez kritické informační infrastruktury“.

„Specifikem takové infrastruktury je, že musíme zavádět bezpečnostní opatření vyžadovaná přímo legislativou. GasNet ale posiluje bezpečnost i nad legislativní rámec, a to v rozsahu celého IT prostředí,“ doplňuje manažer odpovídající mimo jiné za kybernetickou bezpečnost. „Naším cílem je z kyberbezpečnosti udělat přirozenou součást celého života zaměstnanců. Tedy nejen v práci, ale i v soukromí,“ připomíná.

Loňský rok byl pro Česko jedním z nejkritičtějších z pohledu kybernetické bezpečnosti. Podle bezpečnostní firmy Check Point je Česko dokonce pátým nejčastějším terčem hackerů v Evropě. Jak moc musíte toto řešit v GasNetu i tím, že jste součástí kritické infrastruktury?

Hrozba kybernetických útoků je reálná. Bereme ji velmi vážně. Rostoucí trend útoků je zřejmý v celé Evropě a nevyhýbá se ani plynárenství. Základní statistiky o stavu kybernetické bezpečnosti v České republice za rok 2022 přinese výroční zpráva NÚKIB.

V roce 2022 jsme zaznamenali cílené  pokusy o narušení naší IT infrastruktury. S ohledem na dění ve východní Evropě to byl rok velmi specifický a některé útoky s tím mohly souviset. Setkali jsme se také například s vishingem, kdy se útočníci snažili telefonicky od našich zaměstnanců získat některé údaje. Samozřejmě pod falešnou záminkou. Proto optimalizujeme stávající bezpečnostní opatření a zavádíme nová v oblastech prevence, detekce i zvládání kybernetických bezpečnostních incidentů.

Spolupracujete tedy nějak více i s NÚKIB?

NÚKIB pomáhá veřejnému i soukromému sektoru s přípravou metodik pro kyberbezpečnost. Tyto metodiky samozřejmě využíváme. NÚKIB také ukládá reaktivní opatření, vydává varování a doporučení, na která reagujeme. Rovněž společně sdílíme informace důležité pro zvyšování bezpečnosti kritické informační infrastruktury. Spolupráce tedy probíhá standardizovaným způsobem.

Klíčový pilíř bezpečnosti

Je kybernetická bezpečnost pro GasNet na prvním místě?

Kyberbezpečnost není na prvním místě, protože to by znamenalo nadřadit jeden ze stavebních kamenů bezpečnosti ostatním, a to by nebylo moudré. Bezpečnost jako taková je ale pro spolehlivou distribuci plynu zcela zásadním aspektem. Proto je bezpečnost jednou ze tří našich firemních hodnot a máme ji vetkanou do výkonnostních cílů.

No a samotná oblast kyberbezpečnosti je pak jedním z klíčových pilířů celé bezpečnosti. Pomáhá nám zvládat rizika spojená s předmětem naší činnosti. Nemůže tomu ani být jinak, protože GasNet je největším distributorem plynu v České republice a řízení naší distribuční soustavy čítající 65 000 kilometrů plynovodů se neobejde bez kritické informační infrastruktury. Tedy bez provozních řídicích systémů. Specifikem kritické informační infrastruktury je, že musíme zavádět bezpečnostní opatření vyžadovaná přímo legislativou. GasNet ale posiluje bezpečnost i nad legislativní rámec, a to v rozsahu celého IT prostředí.

Jak koresponduje kyberbezpečnost s vaší ESG strategií?

Začnu trochu z nadhledu: Jako GasNet chceme být pilířem moderní a zelené energetiky, a proto jsme se rozhodli, že jako jedna z prvních společností v Česku budeme opírat náš rozvoj o profesionálně řízenou ESG strategii. Plynárenskou infrastrukturu připravujeme na vodík, biometan a každý rok zveřejňujeme zprávy o udržitelnosti. Současně procházíme hodnoceními od společností Sustainanalytics a GRESB, které patří mezi celosvětově uznávané autority v oblasti ESG auditů. Získáváme tak zpětnou vazbu na naši práci i srovnání s firmami v celosvětovém měřítku.

A jakou zpětnou vazbu jste tedy dostali od zmíněných institucí?

Obě organizace minulý rok potvrdily, že ESG děláme velmi dobře. V hodnocení Sustainanalytics patříme mezi společnosti s nízkým rizikem a kvalitním řízením ESG. Stanuli jsme tak na čtvrté příčce mezi plynárenskými společnostmi na světě. V hodnocení od společnosti GRESB jsme zaznamenali významné meziroční zlepšení, což nám přineslo ocenění 2022 GRESB Most Improved Entity – jsme tedy ESG skokanem roku. Takto dobrých výsledků bychom nikdy nedosáhli, pokud bychom se nesoustředili i na bezpečnost. Ta je součástí ESG, konkrétně složky governance neboli řízení. Kyberbezpečnost je přitom jedním z indikátorů s důležitou váhou v ESG hodnoceních a naší snaze podnikat zodpovědně.

I u vás dochází k rozvoji digitalizace, přináší tento přirozený (a nutný) vývoj i větší požadavky na kyberbezpečnost?

Jednoznačně. A to tempo digitalizace je někdy hodně rychlé. Jako například v případě přechodu robustního ERP systému do cloudu SAP S4/HANA, kde nám implementační fáze trvala jen rok. V tomto konkrétním případě sice cloud řeší mnohé bezpečnostní aspekty tak trochu za nás, ale celofiremní trend je jednoznačný: stále více spoléháme na digitální technologie a jejich dostupnost. Roste význam i komplexita těchto systémů a s nimi důležitost kybernetické bezpečnosti. Rizika se stále více přenášejí do kybersvěta, který pak ovlivňuje chod fyzických věcí kolem nás. Tedy i péči o plynárenskou soustavu. Takže ano, požadavky na kyberbezpečnost každým rokem narůstají.

Kyberbezpečnost i v soukromí

Bude se kyberbezpečnost posouvat a vyvíjet i v souvislosti s přechodem na zmíněné „obnovitelné“ plyny, tedy biometan a vodík?

Bezpochyby ano, otázkou zůstává, jak moc velké ty změny v kyberbezpečnosti budou. Biometan už do sítě vtláčíme, takže zde fungujeme víceméně standardně, ale u vodíku jsme ve fázi příprav. Bude záležet na tom, jaké informační systémy budeme používat pro řízení distribuce. Evropa i Česká republika mají své vodíkové strategie. Střednědobé a dlouhodobé scénáře počítají s přechodem ze zemního plynu na čistý vodík.

Jak ale s vodíkem začít už v krátkodobém horizontu? Odpovědí bude zřejmě blend neboli příměs vodíku, zpočátku v menších množstvích. A zde pravděpodobně budeme pracovat s některými novými systémy, což s sebou opět ponese nové výzvy v kyberbezpečnosti.

Předpokládám, že povědomí o zabezpečení a kyberhrozbách rozšiřujete mezi své zaměstnance. Jak?

Naším cílem je z kyberbezpečnosti udělat přirozenou součást celého života zaměstnanců. Tedy nejen v práci, ale i v soukromí. Protože pak bezpečnostní návyky mimo jiné snáze přenášíme i do pracovních aktivit. Online semináře o kyberbezpečnosti proto občas pořádáme i pro rodinné příslušníky zaměstnanců. Snažíme se o jednoduchost, atraktivnost, zábavnost…

Považujeme to za lepší formu zlepšování se než jen vydávání strohých příkazů. Navíc za formu celkově užitečnější pro naše lidi. Diskutujeme třeba o nejčastějších internetových podvodech, o nástrahách digitalizace v běžném životě, o nebezpečích číhajících na internetu na děti…

V oblasti prevence naši zaměstnanci pravidelně absolvují povinný online kurz a průběžně spouštíme simulované phishingové kampaně. Zvyšujeme tak obezřetnost a ověřujeme si, jak se edukace reálně promítá do praxe.

V oblasti kyberbezpečnosti chystá novou legislativu i Evropská unie. Od roku 2024 tak budou muset kyberbezpečnost řešit všechny podniky s 50 a více zaměstnanci a ročním obratem nad 10 000 000 eur. Za nedodržení chystaných pravidel kyberbezpečnosti pak bude hrozit
pokuta. Jak se na ni připravujete vy?

Jde o změnu, která bude srovnatelná s příchodem GDPR. Takzvaná směrnice NIS 2 přinese novelizaci zákona o kybernetické bezpečnosti. Rozšíří se díky ní počet firem, které budou muset přijmout zákonná opatření v kyberbezpečnosti. Podle publikovaných odhadů se množství takových společností v Česku zvýší ze současných přibližně 400 na šest tisíc.

GasNet už dnes plní požadavky zákona o kybernetické bezpečnosti, nicméně novelizace bude samozřejmě mít další dopad i na nás. Požadavky se mimo jiné rozšíří na větší množství námi provozovaných IT systémů. Vydání novely je očekáváno v polovině roku 2024, přičemž už teď máme v rukou její první návrhy. Dokážeme tak odhadnout, co bude třeba. Aktivně si také vyměňujeme informace s NÚKIB a IT komunitou. Předpokládáme, že dosažení souladu s legislativou s sebou ponese další investiční i provozní náklady. V současné době provádíme analýzu požadavků a na základě ní letos odstartujeme konkrétní projekty.

Kvantová budoucnost

Jaké trendy ovlivní kyberbezpečnost do budoucna, obecně i s ohledem na působení GasNetu?

Kyberprostor bude více využíván k vedení hybridních válek. To je první trend. Tím druhým bude příchod nových technologií. Konkrétně kvantových počítačů a kvantové kryptografie. Kvantové počítače budou mít řádově vyšší výkony a představují tak nebezpečí pro standardy, na kterých stojí současná bezpečnost.

V čem nejvíc tkví podle vás nebezpečí?

Soudobé kryptografické algoritmy budou pomocí kvantových počítačů snadno prolomitelné. Jinými slovy, co by s nynějšími technologiemi trvalo prolomit desítky nebo stovky let, to zvládne kvantový počítač v rozumném čase. V GasNetu tyto trendy sledujeme a kyberbezpečnost považujeme za důležitý klíč ve hře o budoucnost.