Bezpečnost informací – nezbytnost pro internet věcí
2.8.2017 Internet věcí (IoT) otevírá bránu pro nekonečné možnosti
v energetickém sektoru. Spolu s nimi však přichází také hrozba
neočekávaných narušení bezpečnosti. Ta se netýká pouze ušlých zisků
nebo snížené spokojenosti zákazníků, ale ve výsledku i osobních údajů
spotřebitelů a nakonec také stability elektrické sítě. Tuto
problematiku přehledně přibližuje Tuomas Kepanen, manažer výzkumu a
vývoje pro architekturu a platformy společnosti Landis+Gyr. Poznámka
redakce: Ačkoli se tento článek zaměřuje na bezpečnost informací v
systémech smart metering, zde uvedené
zásady a přístupy platí pro internet věcí obecně a zvláště s jeho
zaváděním v rámci konceptu smart city jsou velmi aktuální.
Komplexní bezpečnostní požadavky
Kybernetická bezpečnost v AMI (advanced metering
infrastructure – pokročilý systém měření, pozn. red.) musí pokrývat
více než technické zabezpečení řešení, tedy fyzické zajištění
jednotlivých zařízení, zabezpečenou komunikaci, backendové systémy a
ukládání dat. Vyžaduje celostní přístup zahrnující plánování celé IT
infrastruktury od bezpečnostních aspektů až po lidi, postupy a procesy,
které umožňují její fungování.
Zabezpečený systém je vždy kompletním celkem a celkovou
bezpečnost není možné budovat s orientací na jedinou komponentu
systému. Při navrhování zabezpečeného systému je důležité nejprve
zjistit požadavky na bezpečnost z pohledu několika různých účastníků
procesu. Takové požadavky mohou sahat od potřeby vysokého výkonu
systému ze strany jeho uživatelů až po splnění zákonných předpisů.
Dobrý plán znamená dobrý začátek
Po identifikování účastníků procesu je dalším krokem
popsání funkčních, nefunkčních a bezpečnostních požadavků na systém.
Zvláště v raných stadiích vývoje mohou být tyto požadavky nevyjasněné
nebo jen hrubě stanovené, ale diskuse o základních principech je
důležitou součástí procesu navrhování systému. Hrubé stanovení
požadavků na zabezpečení informací souvisejících např. s důvěrností
nebo konzistentností systému se dále rozpracovává do funkčních
požadavků, například implementace záznamníku bezpečnostních událostí
pro auditování operací uživatele, šifrování a autentizace komunikace
mezi komponentami systému, nebo posílení operačního systému.
Při definování požadavků na zabezpečení informací je
zcela zásadní popis nejdůležitějších komponent systému, které vyžadují
ochranu, a tedy je třeba například zvážit:
• Které funkce a informace
je třeba zabezpečit?
• Které bezpečnostní
atributy je třeba zvláště chránit?
• Co je nejdůležitější a
kdy: důvěrnost, konzistence nebo dostupnost?
• Jakou pozornost je třeba
věnovat zabezpečení určité funkce konkrétní komponenty?
• Jak velké zbytkové
riziko je přijatelné?
• Je cílem předcházení
narušení zabezpečení informací nebo zjišťování takových případů?
• Které jsou relevantní
hrozby, jež je nutné zabezpečit?
Užitečným nástrojem k zodpovězení těchto otázek je
architektura zabezpečení IT systémů. Ta se pokouší definovat parametry
vztahující se k celkovému zabezpečení systému, například strukturu
sítě, aktivní zařízení v rámci sítě, šifrování a použité protokoly.
Uživatelé se špatnými úmysly jsou také uživateli
Další účinnou metodou plánování je popis typových
činností z pohledu uživatele se špatnými úmysly. Takový popis pomáhá
identifikovat kontrolní prvky zabezpečení informací v případech
zneužití. Například při zabraňování útoků směřujících k blokování
služeb je možné využít určité kontrolní prvky vztahující se k regulaci
zatížení nebo blokovacímu provozu, zatímco neoprávněné používání lze
regulovat prostřednictvím správy uživatelských oprávnění. Navíc je
třeba uvážit i možnost, že oprávněný uživatel neúmyslně jedná jako
pomocník subjektu se špatnými úmysly.
Odpovědný není jen softwarový vývojář
Vlastní tvorba softwaru zahrnuje také metody
zohledňující zabezpečení informací. Zásadní je neustálá pozornost
věnovaná bezpečnosti příslušným vývojářem aplikace. Čím je odbornost
vývojáře širší a aktuálnější, tím vezme v úvahu více možností průniku
do systému, a tím zajistí v průběhu vývoje softwaru více ochranných
opatření.
Odpovědnost ovšem nemůže spočívat pouze na bedrech
vývojáře, dokonce ani v případě, že je software rozsáhle testován
externími odborníky, jejichž jediným cílem je proniknout do systému a
poukázat tak na jeho slabé stránky. Pro zabezpečení systému je nutné
přijmout i další opatření.
V průběhu výstavby systému směřují různé skenovací a
statické analytické nástroje zaměřené na zabezpečení informací k
hledání chyb ve zdrojovém kódu. Kromě toho je možné používat účinné
nástroje pro detekování známých zranitelných míst využívaných knihoven,
které lze integrovat do procesu vytváření softwaru.
A konečně, tento pohled je třeba rozšířit od konkrétní
práce na vývoji aplikace na celé bezpečné vývojové prostředí a procesy.
Mezinárodní normy, například ISO 27001, jsou zde základem pro
systematický přístup umožňující stálý vývoj zabezpečení.
Bezpečné používání bezpečného systému
Kromě technického zabezpečení systému jsou pro každý
systém nutné také zásady používání – buď samostatné, nebo jako součást
souboru zásad společnosti pro bezpečnost informací. Zásady používání by
se měly vztahovat minimálně na následující témata:
• Co znamená přijatelný
způsob používání systému?
• Platí v rámci systému
princip nejmenšího oprávnění?
• Jak je používání systému
sledováno a kým?
• Jak je organizováno a
realizováno zálohování?
• Jak je zajištěno
povědomí uživatelů o zabezpečení informací?
• Jaké jsou reakce na
bezpečnostní incidenty?
Věc celé organizace
Bez ohledu na to, jak je celý systém vyzbrojen proti
útokům, vyžaduje řízení rizik kybernetické bezpečnosti pozornost celé
organizace. Opatření v oblasti kybernetické bezpečnosti mohou být
účinná pouze za předpokladu, že jsou pevnou součástí strategie stálého
sledování, vyhodnocování a vylepšování. Je proto velmi důležité
uvažovat o veškerých aspektech souvisejících se zabezpečením informací
jako o jednom celku.
Landis+Gyr,
redakčně upraveno
Ilustrační
foto nahoře © Landis+Gyr
Ilustrační
foto dole © archiv redakce Proelektrotechniky.cz
Další informace na www.landisgyr.com
Přečtěte si také:
24.7.2017 Společnost Tokyo Electric Power (TEPCO) je čtvrtou
největší elektrárenskou společností na světě a zároveň jednou z
energetických společností, které se aktivně angažují v rozvoji konceptu
smart grid. V červnu 2017 dosáhla smart grid
společnosti TEPCO důležitý milník: Překročila počet deseti milionů
moderních elektroměrů a zařízení instalovaných a komunikujících pomocí
internetu věcí (IoT), a stala se tak největší inteligentní energetickou
sítí na světě. 
27.3.2017 Jako
doprovodný program brněnského veletrhu AMPER 2017
proběhla 21. března 2017 odborná konference Smart city v praxi II,
pořádaná konzultační firmou Ing. Jakub Slavík, MBA – Consulting
Services, která je provozovatelem našeho portálu. Majitel firmy a její
hlavní konzultant Jakub Slavík byl zároveň odborným garantem
konference. 
15.3.2017
„Smart metering“, tedy chytrý odečet elektrické
energie, se stává stále více realitou u průmyslových firem i
domácností. Jeho základem je chytrý elektroměr, který umožňuje zapínat
spotřebiče v době, kdy je elektřina levná, vede záznamy o spotřebě
energie a informuje o nich obyvatele domu, příp. komunikuje s místy
výroby elektřiny v rámci chytré sítě. Nezávislý systém smart meteringu
elektřiny pro segment domácností se v září 2016 rozhodla vybudovat i
společnost E.ON Maďarsko. 
7.3.2017 Chytrým
městem, obcí, či regionem, označovaným souhrnně
pojmem „smart
city“,
rozumíme koncept strategického řízení, při němž jsou využívány moderní
technologie z oblasti energetiky a služeb, mobility a informatiky pro
ovlivňování kvality života ve městě, a následně k dosahování
hospodářských a sociálních cílů. Nejde tedy o pouhé „digitální město“
nebo o nepromyšlené pořizování nákladných moderních technologií pro
potřebu měst a regionů, jak je tento pojem někdy mylně
interpretován. 
Ing.
Jakub Slavík, MBA – Consulting Services je konzultační firma v oblasti
inovativních technologií pro dopravu a smart city (včetně energetiky a
vodíkových technologií), která rovněž provozuje informační portály www.smartcityvpraxi.cz
a www.proelektrotechniky.cz
a organizuje odborné akce. V rámci našich odborných služeb Vám nabízíme
vypracování strategie smart city, spolupráci na vytváření strategických
dokumentů, vytváření a realizace projektů pro smart city, další odborné
konzultační služby (studie, průzkumy, analýzy), vytváření a realizace
dalších projektů s inovativními technologiemi (automatická vozidla,
vodíkové technologie, elektromobilita aj.), specializované vzdělávací
akce „na klíč“, prezentační a autorské služby (prezentace na
konferencích, portálech). 
Koncept inteligentního města – smart city – se snaží maximálně využít
moderních technologií, především informačních, pro ovlivňování kvality
života ve městě. Přitom dochází k synergiím mezi různými aktivitami a
veřejnými službami, díky nimž město funguje – především doprava,
logistika, bezpečnost, energetika, správa budov, atd. Ačkoliv existují
rozmanité oficiální metodiky a doporučení pro vytváření smart city na
úrovni EU a (nyní v přípravě) i ČR, „smart city“ není ničí ochranná
známka ani normativně vymezený pojem. V praxi proto existují po celém
světě rozmanité způsoby a konkrétní projekty, jakými je tento koncept
realizován v praxi. Tuto rozmanitost ukazují i články v naší rubrice
„Projekty smart city“, které mohou sloužit pro informaci i pro
inspiraci všem, kdo se na konceptu inteligentních měst v ČR podílejí
nebo hodlají podílet. 
21.12.2016 Síť
internetu věcí SIGFOX,
sídlící ve
Francii a reprezentovaná v ČR společností SimpleCell Networks, oznámila
začátkem prosince 2016 nové investice s cílem expandovat do dalších
zemí. V roce 2018 má v plánu provoz v 60 zemí světa a zároveň dosažení
finančního bodu zvratu ze ztráty do zisku. 
9.11.2016 Rozmanité
aplikace pro chytré telefony pomáhají usnadnit
život obyvatelům chytrých měst – smart
city – a jejich počet a
zaměření se neustále rozvíjejí. Zajímavou aplikaci začalo v listopadu
2016 zkoušet finské město Espoo. S její pomocí mohou občané upozornit
na závady na silnicích a cestách, jako například spadlé dopravní
značení nebo vážné poškození vozovky. 
5.9.2016 Údaje o východiscích a cílech cest jsou nezbytným
předpokladem pro plánování městské mobility, počínaje vedením linek
městské dopravy a konče silniční infrastrukturou a jejím vybavením.
Obzvláště to platí při realizaci konceptu smart city. Tradičním způsobem
se takováto data získávají z průzkumů mezi obyvateli. Vědci z
Massachusettského Technologického institutu (MIT) v USA ve spolupráci s
automobilkou Ford Motor Company prezentovali na konci srpna 2016
odborné veřejnosti počítačový systém, který tato data získává ze
záznamů mobilních operátorů o poloze volajících osob.
12.8.2016
Označením „smart“, tedy chytrý či inteligentní, se
dnes
pyšní kdejaké zařízení. A vedle „smart“ technologií tu najednou máme
také „smart“ města, která jsou s těmito technologiemi spojována. Že by
tedy skutečně revoluce v technologiích, které se z ničeho nic z
hloupých stávají chytrými a předávají svoji inteligenci nevědomým
obyvatelům měst? 
5.4.2016 Internetem věcí (IoT) rozumíme identifikaci věcí a
sledování jejich pohybu po internetu. O tomto fenoménu se hovoří
především v souvislosti s automatizací v průmyslu a logistice v rámci
konceptu Industry 4.0. Stále více mají však tyto technologie co říci i
v oblasti chytré mobility nebo chytré energetiky – systémů smart grid včetně konceptu
inteligentních měst – smart city. Tyto možnosti
představila v únoru 2016 odborné veřejnosti společnost Landis+Gyr 
19.2.2016
O evropském projektu
Grid4EU jsme na
našich stránkách psali již vícekrát. Tento projekt zaměřený na systémy
smart grid,
jehož
demonstrační fáze byla nedávno oficiálně ukončena, přinesl zajímavé
poznatky pro rozvoj chytrých sítí do budoucna. Významnou měrou k tomu
přispěl i demonstrační projekt Demo 5 – Smart region Vrchlabí.
Zástupci
naší redakce měli v únoru 2016 příležitost prohlédnout si tento projekt
přímo v terénu a pohovořit s jeho účastníky o jeho výsledcích,
přínosech, sporných otázkách i dalších perspektivách. 
17.2.2016
Koncepty inteligentních měst a chytrých sítí – tedy smart city a smart
grid – spolu úzce souvisejí. Chytré sítě a jejich technologie totiž
pomáhají vytvářet inteligentní město, kde se příjemně žije a podniká,
se všemi hospodářskými přínosy. Jak takovéto využití chytrých sítí může
vypadat v praxi, si vyzkoušelo krkonošské město Vrchlabí, které se jako
jediné v České republice stalo přímým účastníkem evropského projektu
chytrých sítí Grid4EU. O technických otázkách tohoto projektu je
odborná veřejnost již dlouho průběžně informována. My bychom však rádi
věděli, jak se takovéto uplatnění chytrých sítí v městě jeví z pohledu
jeho obyvatel a zastupitelů. Na to jsme se zeptali člověka
nejpovolanějšího – starosty Vrchlabí Ing. Jana Sobotky. 
27.1.2015
Na našich stránkách Proelektrotechniky.cz
někdy
píšeme o projektech „inteligentních měst“ neboli „smart city“ ve světě,
například v souvislosti se španělskou Barcelonou,
japonskou
Jokohamou i
„chytrým
městečkem“ Fujisawa na
předměstí
Tokia. Z porovnání informací z těchto projektů je zřejmé, že
koncept smart city se aplikuje po celém světě, ovšem je vykládán velmi
rozmanitě. 

|