Priemyselné podniky na Slovensku čelia novej realite. Výrobné linky, energetické rozvodne a vodárenské systémy už nie sú izolované od digitálneho sveta. Prepojenie prevádzkových technológií (OT) s IT sieťami prinieslo efektivitu, no zároveň otvorilo dvere kybernetickým hrozbám, ktoré môžu zastaviť celú výrobu. Vyhláška NBÚ č. 227/2025 Z. z. a medzinárodný štandard IEC 62443 dávajú priemyslu jasný rámec, ako sa chrániť. V tomto článku sa dozviete, čo OT bezpečnosť v praxi znamená, aké opatrenia vyžaduje slovenská legislatíva a ako postupovať pri zabezpečení priemyselných systémov.
Čo je OT bezpečnosť a prečo je pre priemysel kritická
Prevádzkové technológie (Operational Technology — OT) zahŕňajú hardvér a softvér, ktorý priamo riadi fyzické procesy. Patria sem systémy SCADA (Supervisory Control and Data Acquisition), programovateľné logické automaty (PLC), distribuované riadiace systémy (DCS), priemyselné senzory, aktuátory a HMI rozhrania.
Na rozdiel od IT systémov, kde je prioritou ochrana dát (dôvernosť), v OT prostredí je absolútnou prioritou dostupnosť a integrita. Výpadok IT systému znamená neprístupný e-mail. Výpadok OT systému znamená zastavenú výrobnú linku, nefunkčnú rozvodňu alebo ohrozenie bezpečnosti ľudí.
Historicky boli OT systémy fyzicky izolované od IT sietí (tzv. air gap). Táto izolácia sa však v poslednom desaťročí rýchlo rozpadá. Priemysel 4.0, vzdialený monitoring, prediktívna údržba a integrácia s ERP systémami vytvorili desiatky spojení medzi IT a OT sieťami. Každé z nich je potenciálny vstupný bod pre útočníka.
Podľa údajov z globálnych bezpečnostných správ za rok 2025 zaznamenali priemyselné sektory nárast kybernetických incidentov o viac ako 30 % oproti predchádzajúcemu roku. Na Slovensku sa to týka najmä energetiky, vodárenstva, chemického priemyslu a výrobných podnikov, ktoré spadajú pod zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti ako prevádzkovatelia základných služieb (PZS).
Špecifické výzvy OT bezpečnosti oproti klasickému IT
Zabezpečenie OT prostredia sa zásadne líši od bežného IT. Pochopenie týchto rozdielov je kľúčové pre správny prístup k ochrane priemyselných systémov.
Dlhé životné cykly zariadení. Kým IT server sa vymení za 3 – 5 rokov, PLC alebo SCADA systém beží v prevádzke 15 – 25 rokov. Mnoho priemyselných zariadení na Slovensku stále funguje na operačných systémoch Windows XP alebo Windows 7, pre ktoré už neexistujú bezpečnostné záplaty.
Nemožnosť jednoduchého patchovania. V IT prostredí je pravidelné patchovanie štandardom. V OT prostredí môže aktualizácia firmvéru PLC vyžadovať odstávku celej výrobnej linky. Každý patch musí prejsť rozsiahlym testovaním v laboratórnom prostredí, pretože nesprávna aktualizácia môže spôsobiť fyzické poškodenie zariadení alebo neplánované zastavenie výroby.
Proprietárne protokoly. OT systémy komunikujú cez protokoly ako Modbus, DNP3, OPC UA, Profinet alebo EtherNet/IP. Väčšina z nich nebola navrhnutá s ohľadom na bezpečnosť — neobsahujú šifrovanie ani autentifikáciu. Útočník, ktorý sa dostane do OT siete, môže posielať riadiace príkazy bez akejkoľvek autorizácie.
Konvergencia IT a OT. Moderné priemyselné prostredie vyžaduje prepojenie OT systémov s podnikovými IT systémami (ERP, MES, CMMS). Toto prepojenie je nevyhnutné pre efektivitu, ale zároveň vytvára útočnú plochu. Bez správnej segmentácie sa ransomvér z IT siete môže rozšíriť do OT a zastaviť výrobu — presne takto prebiehali útoky typu NotPetya alebo Colonial Pipeline.
Fyzické dôsledky kybernetického útoku. Kým v IT prostredí útok zvyčajne vedie k úniku dát alebo nedostupnosti služby, v OT môže mať fyzické následky. Nesprávne nastavený ventil, zmena teploty v chemickom procese alebo deaktivácia bezpečnostného systému môže ohroziť ľudské životy.
Medzinárodný štandard IEC 62443: Štruktúra a praktický význam
Séria noriem IEC 62443 (International Electrotechnical Commission) je celosvetovo uznávaný rámec pre kybernetickú bezpečnosť priemyselných automatizačných a riadiacích systémov (IACS). Na Slovensku je adoptovaná ako STN EN IEC 62443.
Štruktúra IEC 62443
Norma sa delí na štyri skupiny dokumentov:
Všeobecné (1-x): Základné pojmy, slovník a metriky. Definujú terminológiu a metodiku hodnotenia bezpečnosti IACS.
Politiky a procedúry (2-x): Požiadavky na prevádzkovateľa — bezpečnostný program, riadenie patchov, systém riadenia kybernetickej bezpečnosti (CSMS). Norma IEC 62443-2-1 definuje, čo musí prevádzkovateľ zaviesť na organizačnej úrovni vrátane školení, riadenia dodávateľov a pravidelného preskúmania.
Systémové požiadavky (3-x): Bezpečnostné požiadavky na úrovni celého systému — zóny, kanály, bezpečnostné úrovne. IEC 62443-3-3 stanovuje sedem základných požiadaviek (Foundational Requirements):
- Identifikácia a riadenie prístupu (IAC)
- Riadenie používania (UC)
- Integrita systému (SI)
- Dôvernosť údajov (DC)
- Obmedzenie toku dát (RDF)
- Včasná reakcia na udalosti (TRE)
- Dostupnosť zdrojov (RA)
Komponentové požiadavky (4-x): Bezpečnostné požiadavky na jednotlivé komponenty — PLC, switche, SCADA servery, softvérové aplikácie. IEC 62443-4-2 definuje štyri bezpečnostné úrovne (Security Levels):
- SL 1: Ochrana pred neúmyselným zneužitím
- SL 2: Ochrana pred úmyselným zneužitím jednoduchými prostriedkami
- SL 3: Ochrana pred sofistikovanými útokmi s moderátnymi zdrojmi
- SL 4: Ochrana pred pokročilými hrozbami s vysokou motiváciou a zdrojmi
Praktický prínos IEC 62443 pre slovenské podniky
IEC 62443 nie je len teoretický rámec. Poskytuje konkrétny návod, ako rozdeliť priemyselnú sieť do bezpečnostných zón (zones) a definovať komunikačné kanály (conduits) medzi nimi. Každá zóna dostane cieľovú bezpečnostnú úroveň podľa analýzy rizík.
Napríklad: zóna s PLC riadiacimi chemický proces dostane SL 3 (vysoká úroveň), zatiaľ čo zóna s monitorovacími senzormi môže mať SL 2. Komunikačný kanál medzi nimi musí spĺňať bezpečnostné požiadavky vyššej z oboch zón.
Tento prístup je plne kompatibilný s požiadavkami vyhlášky 227/2025 Z. z. na segmentáciu sietí. Slovenský podnik, ktorý implementuje IEC 62443, automaticky plní aj legislatívne požiadavky na rozdelenie infraštruktúry do bezpečnostných zón.
Vyhláška 227/2025 Z. z. a OT bezpečnosť na Slovensku
Vyhláška Národného bezpečnostného úradu č. 227/2025 Z. z. o bezpečnostných opatreniach, účinná od 1. septembra 2025, nahradila predchádzajúcu vyhlášku č. 362/2018 Z. z. Pre priemyselné podniky prináša konkrétne požiadavky, ktoré sa priamo dotýkajú OT bezpečnosti.
Segmentácia sietí
Vyhláška vyžaduje rozdelenie sieťovej infraštruktúry do bezpečnostných zón s kontrolovaným prístupom medzi nimi. Pre OT prostredie to znamená povinnosť vytvoriť jasné hranice medzi IT a OT sieťami, ideálne s priemyselným DMZ (demilitarizovanou zónou), ktorá slúži ako medzistupeň.
V praxi to zahŕňa nasadenie priemyselných firewallov na rozhraniach IT/OT, definovanie povolených komunikačných tokov a blokovanie všetkého ostatného (princíp deny-by-default). Dáta z OT systémov by mali prúdiť do IT cez jednosmerné brány (data diodes) alebo cez zabezpečené rozhranie v DMZ.
Zálohovanie a obnova OT systémov
Zálohy súvisiace s prevádzkovými technológiami musia byť uložené v samostatnom zálohovacom systéme. Funkčnosť zálohovania sa musí testovať minimálne raz ročne na aspoň dvoch rôznych systémoch s udržiavanou dokumentáciou. Pre OT to špecificky znamená zálohovanie konfigurácií PLC, programov SCADA, nastavení HMI a sieťových konfigurácií priemyselných zariadení.
Riadenie prístupu a monitoring
Všetok prístup k sieťam, informačným systémom a prevádzkovým technológiám z nedôveryhodných zdrojov musí byť kontrolovaný a monitorovaný. Pre privilegované účty je povinná viacfaktorová autentifikácia. V OT prostredí to znamená nasadenie riešení pre správu privilegovaných prístupov (PAM) a loggovanie všetkých vzdialených pripojení k OT systémom.
Riadenie zraniteľností v OT prostredí
Vyhláška vyžaduje systematické riadenie zraniteľností. V OT prostredí je to komplikovanejšie ako v IT — nie každý patch sa dá aplikovať okamžite. Preto je dôležité zaviesť proces hodnotenia zraniteľností špecificky pre OT, s využitím kompenzačných opatrení tam, kde patchovanie nie je možné (virtuálne patchovanie, sieťová izolácia, monitorovanie integrity).
Ako postupovať: 7 krokov k zabezpečeniu OT v priemysle
Na základe požiadaviek vyhlášky 227/2025 a odporúčaní IEC 62443 odporúčame nasledovný postup:
1. Inventarizácia OT aktív. Zmapujte všetky OT zariadenia, softvér, komunikačné protokoly a sieťové spojenia. Nemôžete chrániť to, o čom neviete. Využite špecializované nástroje na pasívnu detekciu zariadení v OT sieťach — aktívny sken môže spôsobiť výpadky citlivých OT zariadení.
2. Analýza rizík s ohľadom na OT špecifiká. Vykonajte analýzu rizík podľa § 20 zákona č. 69/2018 Z. z. s prihliadnutím na OT prostredie. Zohľadnite fyzické dôsledky kybernetického útoku — nie len stratu dát, ale zastavenie výroby, poškodenie zariadení alebo ohrozenie bezpečnosti.
3. Definícia bezpečnostných zón a kanálov. Podľa IEC 62443-3-2 rozdeľte OT infraštruktúru do logických zón. Medzi kľúčové zóny patria: podniková IT sieť, priemyselné DMZ, procesná riadiaca sieť, bezpečnostné systémy (SIS). Každej zóne priraďte cieľovú bezpečnostnú úroveň (SL-T).
4. Implementácia segmentácie. Nasaďte priemyselné firewally a brány medzi zónami. Vytvorte priemyselnú DMZ pre bezpečný prenos dát medzi IT a OT. Implementujte princíp najmenších oprávnení pre komunikáciu medzi zónami.
5. Nasadenie OT monitoringu. Implementujte systém na detekciu anomálií v OT sieťach (IDS/IPS prispôsobený pre priemyselné protokoly). Monitorujte zmeny v konfigurácii PLC a firmvéri zariadení. Integrujte OT logy do centrálneho SIEM systému.
6. Správa prístupov a vzdialených pripojení. Nasaďte PAM riešenie pre vzdialený prístup k OT systémom. Zaveďte viacfaktorovú autentifikáciu pre všetky privilegované prístupy. Definujte a dokumentujte, kto, kedy a prečo pristupuje k OT zariadeniam.
7. Testovanie a kontinuálne zlepšovanie. Pravidelne testujte zálohy OT konfigurácií. Vykonávajte cvičenia incident response so zameraním na OT scenáre. Aktualizujte analýzu rizík pri každej zmene v OT infraštruktúre.
Cyllium a OT bezpečnosť v praxi
Zabezpečenie priemyselných systémov je špecifická disciplína, kde nestačí len IT bezpečnostná skúsenosť. Tím Cyllium má certifikáciu GICSP (Global Industrial Cyber Security Professional), ktorá sa zameriava práve na bezpečnosť priemyselných riadiacich systémov. Túto expertízu kombinujeme so znalosťou slovenskej legislatívy — zákona č. 69/2018 Z. z. a vyhlášky 227/2025 Z. z.
Pri projektoch v priemyselnom sektore vychádzame z metodiky IEC 62443: začíname inventarizáciou OT aktív, pokračujeme analýzou rizík s prihliadnutím na fyzické dopady a navrhujeme segmentáciu do bezpečnostných zón prispôsobenú konkrétnemu typu prevádzky. Či ide o výrobnú linku, energetickú rozvodni alebo vodárenskú infraštruktúru — každé prostredie má svoje špecifiká.
S portfóliom viac ako 200 projektov a skúsenosťami z viacerých sektorov (energetika, priemysel, zdravotníctvo, verejná správa) vieme posúdiť OT riziká v kontexte celkovej bezpečnostnej architektúry organizácie. Dvaja certifikovaní audítori kybernetickej bezpečnosti v tíme zároveň zabezpečia, že implementované opatrenia obstoja pri audite podľa zákona č. 69/2018 Z. z.
Často kladené otázky
Vzťahuje sa vyhláška 227/2025 aj na prevádzkové technológie?
Áno. Vyhláška č. 227/2025 Z. z. sa explicitne vzťahuje na siete, informačné systémy aj prevádzkové technológie (OT). Prevádzkovatelia základných služieb, ktorí používajú OT systémy, musia implementovať bezpečnostné opatrenia podľa tejto vyhlášky vrátane segmentácie, zálohovania a riadenia prístupu.
Je certifikácia podľa IEC 62443 na Slovensku povinná?
Certifikácia podľa IEC 62443 nie je na Slovensku priamo vyžadovaná zákonom. Norma však slúži ako uznávaný rámec, ktorý pomáha splniť požiadavky vyhlášky 227/2025 a zákona č. 69/2018 Z. z. Mnohé nadnárodné spoločnosti vyžadujú súlad s IEC 62443 od svojich dodávateľov a partnerov.
Aký je rozdiel medzi IT a OT bezpečnosťou?
Hlavný rozdiel je v prioritách: IT bezpečnosť kladie dôraz na dôvernosť dát (CIA triáda: Confidentiality, Integrity, Availability), zatiaľ čo OT bezpečnosť uprednostňuje dostupnosť a integritu (AIC: Availability, Integrity, Confidentiality). V OT prostredí môže bezpečnostný incident spôsobiť fyzické škody — zastavenie výroby, poškodenie zariadení alebo ohrozenie zdravia a životov.
Ako dlho trvá zabezpečenie OT v priemyselnom podniku?
Časový rámec závisí od veľkosti a komplexnosti infraštruktúry. Inventarizácia a analýza rizík trvá zvyčajne 2 – 4 mesiace. Implementácia segmentácie a základných bezpečnostných opatrení ďalších 3 – 6 mesiacov. Prevádzkovatelia základných služieb majú podľa zákona 12 mesiacov od registrácie na implementáciu bezpečnostných opatrení.
Čo robiť, ak OT zariadenia nedokážu splniť bezpečnostné požiadavky?
Pre staršie OT zariadenia, ktoré nepodporujú moderné bezpečnostné funkcie, je riešením aplikácia kompenzačných opatrení. Patria sem: sieťová izolácia (mikrosegmentácia), virtuálne patchovanie cez IDS/IPS, monitorovanie integrity firmvéru a prísne riadenie prístupu. Tieto opatrenia musia byť zdokumentované v rámci analýzy rizík.
Ak hľadáte partnera pre zabezpečenie priemyselných systémov alebo potrebujete pomoc s implementáciou bezpečnostných opatrení podľa vyhlášky 227/2025 v OT prostredí, kontaktujte nás pre nezáväznú konzultáciu.
Súvisiace články: