Implementace vícevrstvé bezpečnostní infrastruktury ve vodárenském podniku podle principů NIS2
Stavěl jsem bezpečnostní infrastrukturu podle principů, které dnes vyžaduje NIS2 již před 15 lety. Jenže to tenkrát, kdy to ještě neukládal zákon, bylo vnímáno jako osobní útok na pohodlí a nikoliv jako pro ochranu firmy. V některých povinných firmách je to tak bohužel chápáno i dnes, a to i přes to, že to již zákon ukládá. Důvody pramení primárně z neznalosti hrozeb a tím pádem z jejich podceňování. Vedení společností provozujících kritickou infrastrukturu si totiž často neuvědomují, že svým lehkovážným jednáním ohrožují své zákazníky, občany, kteří jsou na jejich službách závislý a nemají možnost zvolit si jiného dodavatele vody, když do nemovitosti vedou jediné trubky jediného dodavatele.
A když má někdo takový mindset, tak se s ním o segmentaci sítí, firewallových vrstvách nebo auditovatelnosti prostě nedá vést racionální debata. Já jsem byl garant bezpečnosti, ne jen správce IT. Vedení firmy bylo ve funkci, která vyžadovala důvěru v odborníky, ale místo toho se řídili egem a pohodlím. Výsledkem bylo, že odmítli bezpečnostní logiku, protože ji nechápali a nechtěli chápat. Zvyšovala náklady a snižovala pohodlí. Nejčastějším argumentem bylo: Kdo by na nás útočil, jste paranoidní, ta pitomá hesla apod. A to jsem si ani nedovolil ze strachu zavést 2FA, i když jsem jí měl již připravenou k nasazení a otestovanou. Co to ukazuje? Někdy je největší zranitelnost firmy právě v jejím vedení. Bezpečnostní opatření nejsou jen o technologiích, ale jsou také o kultuře, důvěře a kompetenci. A když se rozhoduje podle ega místo podle rizik, odborník je první na odstřel. I tak jsem pro tuto firmu spravoval IT více než 15 let, souběžně s dalšími firmami, včetně naší Sympatiky.
Autor – Bezpečnostní architekt, implementátor a garant kybernetické odolnosti v kritických provozech
Kontext projektu
Vodárenský podnik provozující:
- Administrativní systémy (ERP, HR, účetnictví)
- Technologii úpravy vody (SCADA, PLC, HMI)
- IoT vodoměry (vzdálený monitoring, MQTT, API)
Před implementací byla infrastruktura:
- neoddělená, bez segmentace,
- bez firewallů,
- bez řízení přístupů,
- s vysokým rizikem laterálního pohybu útočníka.
Implementovaná architektura
| Vrstva / Segment | Technologie | Účel a funkce |
|---|---|---|
| Firewall 1 | OPNsense (FreeBSD) | Perimetrální ochrana, NAT, VLAN segmentace, IDS/IPS |
| Firewall 2 | Arista UTMS (Linux-based) | UTM vrstva: DPI, aplikační kontrola, antivirová inspekce, threat intelligence, Captive portal |
| Firewall 3 | UBNT EdgeRouter (Linux, bridge mode) | Redundantní přístup, fallback routing, fyzická izolace |
| Segment 1 – Admin LAN | VLAN + ACL + Keycloak | ERP, HR, účetnictví, řízený přístup, MFA |
| Segment 2 – SCADA LAN | VLAN + izolace + whitelist komunikace | Řídicí systémy úpravny vody, PLC, HMI |
| Segment 3 – IoT LAN | VLAN + MQTT broker + API gateway | Vodoměry, senzory, vzdálený monitoring, oddělený přístup |
| Monitoring & logování | Wazuh + Zabbix + Graylog | SIEM, alerting, log management, auditní stopy |
| Zálohování | Proxmox Backup + Restic (offsite, šifrováno) | Deduplikace, šifrování, pravidelné testy obnovy |
| Řízení identit | Keycloak + Authelia + MFA | Role-based access, audit přístupů, princip nejmenších privilegií |
Principy, které jsem prosazoval
- Defense in depth – každá vrstva má vlastní ochranu, žádné spoléhání na jediný bod selhání
- Segmentace sítí – fyzické i logické oddělení provozních celků
- Princip nejmenších privilegií – přístup jen tam, kde je nutný
- Auditovatelnost – vše logováno, dokumentováno, připraveno pro kontrolu
- Redundance – více firewallů, různé OS, různí výrobci pro zvýšení odolnosti
Reakce vedení
- Infrastruktura byla označena za „příliš složitou“
- Byl přijat nový správce za nižší odměnu, který architektuře nerozuměl
- Najal externí firmu, která:
- sloučila segmenty do jedné sítě,
- odstranila vrstvy firewallů,
- zjednodušila přístup bez ohledu na bezpečnost
- Výsledkem bylo snížení bezpečnosti, ztráta odolnosti a zvýšené riziko kompromitace
Lessons Learned
1. Bezpečnostní architektura musí být srozumitelná i pro neodborné vedení
Technická dokonalost nestačí — je nutné ji umět „prodat“ v jazyce rizik, odpovědnosti a dopadů.
2. Odolnost je důležitější než pohodlí — ale musí být obhájena
Bezpečnostní principy je třeba vysvětlovat jako investici do odolnosti, ne jako překážku.
3. Správce bez bezpečnostního mindsetu může zničit roky práce během týdnů
Výběr správce IT musí zahrnovat hodnocení bezpečnostního uvažování, ne jen technické dovednosti.
4. Segmentace není luxus — je to základní obranný mechanismus
V kritické infrastruktuře je segmentace minimální požadavek, ne volitelný bonus.
5. Open-source nástroje jsou plně použitelné — pokud jsou správně nasazeny
Rozpočet není překážkou, pokud máte know-how. Komerční řešení nejsou nutná pro splnění NIS2.
6. Kultura bezpečnosti musí být součástí firemní DNA
Školení, komunikace a zapojení vedení jsou klíčové pro dlouhodobou udržitelnost bezpečnostní politiky.
„Já jsem si už prošel tím, co se stane, když se bezpečnost ignoruje kvůli pohodlí. A vím, jak to navrhnout tak, aby to fungovalo, i když to není populární.“ To je odborná zkušenost, která se nedá koupit.
