Néha olyan érzésem van, mintha teljesen fölöslegesen próbálkozna az OT és az OT kiberbiztonsági szakma megértetni azt az alapvetést, miszerint az IT és az OT nem ugyanolyan, nem ugyanaz, nem azonos, más a rendeltetése, küldetése, célja, motivációja és működése – tehát szükség van a két terület megkülönböztetésére és a kiberbiztonsági elvek és módszerek „OT-sítására” - már ha szeretnénk az OT-ban is létrehozni és fenntartani a kiberbiztonságot.

Valószínűleg a mi hibánk abból a szempontból, hogy még nem sikerült valami olyan analógiát találni, amely kellően közeli – de ugyanakkor független és távoli ahhoz, hogy érzékletesen ábrázolja a két terület közötti hasonlóságokat – amelyek egyben különbséget is jelentenek.

Lássuk hát, 2025-ben végre eljutunk-e hazai viszonylatban oda, ahova szükség szerint a szakma nemzetközi szinten vagy 10-15 éve már eljutott (és emiatt természetesen jóval kisebb lemaradásban van hozzánk képest).

Az IT és az OT nem ugyanaz, nem ugyanolyan és nem azonos – ahogyan a balettcipő és a hegymászóbakancs sem ugyanaz, nem ugyanolyan és nem azonos.

Cipő és cipő

Pedig – mondhatnánk – cipő és cipő, mindkettő lábbeli, mindkettőnek van orra, sarka, felsőrésze meg talpa. De csak próbáld meg a Csomolungmát egy Scarpa helyett egy szatén Capezio-ban megmászni, alighanem gyorsan belátod, hogy a mászóbakancs és a balettcipő a felsorolt hasonlóságok mellett igencsak különböző, és aki szerint nem az, annak már tényleg csak a kipróbálást tudom javasolni.  

Bal és jobb

A balettcipő esetében – bár van talpa, felsőrésze, sarka meg orra (ez utóbbit a szakma „(toe) box” néven említi) – a legtöbb esetben (spicc cipő)  a vásárláskor nincs olyan, hogy bal vagy jobblábas. Ez majd a viseléskor – a betöréskor – fog majd kialakulni, ahogy elkezded hordani, szépen lassan majd a lábadra igazodik.

Ezzel szemben a hegymászóbakancs esetében a beszerzéskor már élesen megkülönböztethető egymástól a bal és a jobb, meglehetősen kényelmetlennek tűnne a „testre szabáshoz" a balettcipőnél ismertetett módszer.

Mondjuk úgy, hogy az OT esetében már tervezéskor testre szabottan érkezik a legtöbb minden, az eltervezett funkcionalitás viszonylag ritkán módosul (elég nagy baj lenne, ha igen), a csereszabatosságra törekvő IT-hoz képest az OT sokkal merevebb konstrukció.

Lebegés és topogás

A balett légies.

Csodáljuk a táncosokat, akik a színpadon kecsesen lebegnek és siklanak (glissade), vagy éppen ugrás után „megállnak” a levegőben majd ugyanabban a pózban szinte visszaereszkednek a talajra (ballon).

A balettcipők a légies könnyedségre tervezettek, az anyagfelhasználástól a kialakításig minden alkatrészük ezt a célt szolgálja.

Ezzel szemben egy bakancsban hiába is keresnénk ezt a könnyeséget. A hegymászóbakancs anyagfelhasználása, kialakítása, szerkezeti stabilitása igencsak eltér – hiszen pont a légies és könnyed ellenkezője a cél: stabil, robusztus, védelmező kialakítás az elvárt.

Egy balettcipő súlya néhány gramm (pl. Capezio Ava – 285gr/pár), míg egy csomolungmás hegymászóbakancs esetében kilókról beszélünk (és akkor a fűthető belső még nincs is benne, pl. Scarpa Phantom 8000 – 2,5kg/pár, fűthető belsővel már majdnem 3kg).

Egy jóféle hegymászóbakancsban aligha lehet siklani és lebegni, ez még a legendás Anna Pavlova képességeit is meghaladta volna, pedig ha valaki, akkor ő aztán többet volt a levegőben, mint a földön. De nem is ez a célja és funkciója egy hegymászóbakancsnak, nem ezt várjuk el tőle. (Anna Pavlova neve nem csak a tánc, hanem a sütikedvelők számára is fontos, hiszen róla nevezték el a Pavlova-tortát).

Esztétika és túlélés

Noha a balettcipő kialakítása a funkciót szolgája, csaknem (mondom csaknem!) ugyanilyen fontosságú az esztétika is.

A balettcipő – egyszerűen szép, a pózba feszült balettcipős láb (akár férfié, akár nőé – mielőtt még megköveznek) pedig ikonikus, a táncosokról készült képeken jól látható, ahogyan a balettcipő optikailag megnyújtja a lábat, markánsan kirajzolja a spiccen vagy féltalpon álló láb ívét.

Természetesen a balettcipő esetében is elvárás, hogy védje és óvja a táncos lábát, de a színválasztás (rózsaszín, törtfehér, bőrszínű, stb), a csillogás vagy mattság, a varrások elhelyezkedése, a szalagok, a jelmezhez és koreográfiához illeszkedés (harmonikusság) mind a produkció része, mert a művészet (akár vizuális, akár nem) – esztétikum nélkül nem létezhet, hiszen a művészet maga az esztétikum életre keltője és ábrázolója.

Persze a hegymászóbakancsról is el lehetne mondani, hogy szép és esztétikus – de azért meglehetősen furcsán nézne ránk egy mászó, ha szeretnénk megnézni, hogyan nyújtja meg optikailag a lábát.

Egy hegymászóbakancs esetében az esztétikumnak (a szépen ívbe feszülő talpnak vagy vádlinak) vajmi kevés szerepe van a produkcióban, inkább azt tartják fontosnak, hogy ne fagyjon el az a láb, vagy ne csússzon le a mászó 7-8000 méterről (ez nem az a lebegés, amit a balettben oly szívesen nézünk).

Az IT-OT viszonyrendszerben kiber szempontból a prioritások közötti különbség nagyon jelentős, meghatározó. Ezt meg kell érteni, különben az IT oldalról érkező kiberbiztonsági törekvések lábfagyáshoz vagy szakadékhoz vezetnek.

Az IT esetében a prioritás az adatcentrikusság miatt a klasszikus bizalmasság, sértetlenség, rendelkezésre állás szent hármasa (CIA vagy BSR modell), ezzel szemben az OT-ban a folyamatközpontúság miatt a prioritási sor az üzembiztonság (safety), megbízhatóság, rendelkezésre állás, sértetlenség – és csak a végén következik a bizalmasság.

Finom és durva

A balettcipő (legalábbis a fellépő cipő) finom anyagból készül, például szatén – a könnyedsége miatt, illetve mert esztétikailag is a produkció része. A gyakorló cipők általában könnyű vászonból készülnek, mert a vászon olcsóbb, mint a szatén, illetve tartósabb (a szatén brutális gyorsan elkopik). Nem utolsó szempont a vászon mellett, hogy az mosható géppel – ennek azért nem csak esztétikai, de higiéniás értéke is van.

Ezzel szemben egy hegymászóbakancsnál aztán nem éppen a finomság dominál, van abban többrétegű szintetikus, habos, műszálas, karbonszálas, gumikeverékes vagy éppen keményebb műanyag, bőr és miegymás, a durvaság (persze csak képletesen) azt szolgálja, hogy megvédje a mászót a fagyástól, csúszástól vagy egyéb sérüléstől, illetve hogy a bakancs képes legyen tartósan elviselni például a mászóvas terhelését, sziklákat, jetifogat, stb.

Tűz és jég

A balett a színpadon történik, a mászás pedig a hegyen. Ezt a lábbelik anyaga is egyértelműen tükrözik. Mindkét lábbeli teljesen autentikus a saját világában és igen furcsa jelenség lenne egy balettcipő a hegyen, vagy a mászóbakancs a színpadon. Nemigen működnének.

Az IT és az OT sem ugyanabban a környezetben működik. Az IT a légkondícionált adatközpontok és irodai környezetek világa, ahova jobban illik a szatén és a vászon (öltöny, szoknya). Az OT a fizikai világban, a terepen működik, a gyakran szélsőséges környezeti hatásoknak kitett, általában mocskos, poros, olajos, meleg, hangos, büdös (vagy épp ezek ellenkezője, elviselhetetlenül tiszta), esetleg mérgező, gyúlékony, robbanó, nagyfeszültségű vagy más módokon megterhelő (vagy épp halálos) közegben.

A két közeg nem hasonló, nem ugyanaz. Az IT-t és OT-t összemosó tévedés abból ered, hogy az OT-nak van digitális világba lógó lába, ezért emiatt hajlamosak az IT és információvédelmes szakemberek egészében összeolvasztani a két területet, vagy legalábbis az OT digitális világba lógó lábát IT-nak tekinteni.

De ne tegyék, kéremszépen!

Ha egy balett-táncos a színpadra bakancsban tipeg ki, attól nem lesz hegymászó – ahogyan a hegyen is kellemetlen pillanatokat élne meg a lábára szatén Capezio Ava-t húzó és magát ballerinának vagy danserunek képzelő mászó. Higgyétek el nekem,  mindkét esetben elmarad a taps és az ováció.

Lejön és fennmarad

Mindkét lábbeli esetében említettem, hogy fontos a táncos vagy a mászó fizikai épségének védelme. Ez hasonlóság, de ugyanakkor – és ezt mindenképpen meg kell érteni – óriási a különbség is.

A rossz, mérethibás, sérült vagy nem megfelelően karbantartott balettcipő balesetet okozhat és sérüléshez vezethet. A különféle anyagrepedések miatt kialakult nyomáspontokon a cipőbe „belepréselt” lábujjakon vérömlenyek, körömágyi sérülések (jó ég, én már attól félholt vagyok, ha benő a körmöm és a cipő orra kicsit nyomja, milyen fájdalom lehet teljes testsúllyal ilyen körömre nehezedni!!!) alakulhatnak ki, ott vannak a különféle stressztörések, ficamok, szalagszakadások, térdsérülések, a rossz súlyeloszlás miatt a csípő vagy gerincsérülések, térdsérülések, stb. De balettcipő miatt még egyetlen táncos sem halt meg a színpadon, ezzel szemben a hegymászásnál szerintem nem kell magyarázni, hogy kicsit más lehet a helyzet a rossz, hibás, sérült vagy nem megfelelően karbantartott bakanccsal. A balettcipő miatt sérült táncos jó esetben magától lejön a színpadról (rosszabb esetben lehozzák), ez sajnos a hegyen nem feltétlenül így van.

Az IT (kiber) incidensek a digitális világban történnek és a hatásuk is közvetlenül a digitális világban csapódik le. Ezzel szemben bár az OT (kiber) incidensek is a digitális világban következnek be, de hatásuk közvetlenül a fizikai világban csapódik le. Természetesen itt azokról az incidensekről beszélek, amelyek kifejezetten az OT irányítás- vagy vezérléstechnikai oldalát (pontosabban a folyamatokat) célozzák. A hatás más az IT és más az OT esetében, ezért sem lehet a két területet egymással összemosni, ahogyan a digitális világot sem lehet a fizikai világgal összemosni (bármennyire is ezt sugallják a technomágusok).

Gyors és lassú

A balettben és a mászásban is természetesen megtalálható mindkét tempó (vagy stílus). A balettben az adagio a nyugodt és lassú tempójú, hosszan kitartott pózok sorozata, ahol a mozdulatok folyamatosan, megszakítás nélkül követik egymást, míg az allegro kifejezés a gyors és pörgő koreográfiát jelöli, ahol megtalálhatóak a nagy ugrások, forgások, vagy éppen az úgynevezett battement-sorozatok (nyújtott vagy hajlított lábbal történő, csapás- vagy ütésszerű mozdulatok), stb.

A hegymászásban is többféle stílus ismert, talán a két legfontosabb a nagyon szervezett, sok felszereléssel, lassan és megfontoltan, szakaszosan haladó, időigényes expedíciós, illetve a puristának tekintett gyors, kevés és könnyű felszereléssel történő alpesi módszer. De akárhogy is nézzük, a hegymászás a baletthez képest még alpesi stílusban is lassú haladást jelent és a legkönnyebb alpesi hegymászófelszerelés is mázsás teher a balett táncosok felszereléséhez képest.

Egy hegymászóbakancs élettartama sokkal, de sokkal hosszabb, mint egy balettcipőé. Erre jó példa, hogy a New York City Balett 90-100 fős társulata évente több mint 7000 pár cipőt „táncol el”, amely fejenként átlagosan évi 70 pár cipőt jelent és amely 1 millió dollárjába kerül a társulatnak. Nem rossz, ugye? 1 milla csak cipőre!  A balettcipők extrém gyorsan, akár 12-20 óra alatt is elkopnak intenzív használat mellett, még akkor is, ha jól karbantartják őket. Ezzel szemben egy hegymászó – de akár csak túrabakancs – élettartama még intenzív használat mellett is jónéhány év (akár 10 év  - persze nyilván függ az egyes anyagrétegek önálló tartósságától, a tereptől, megtett kilométerektől, van gyártó, aki ezt 800-1600km megtett távra vonatkoztatja).

Az OT lassan és megfontoltan halad (az IT-hoz képest mindenképpen). Az OT életciklus modellje nem 3-5 évben, hanem 10-25 évben gondolkodik, az OT eszközök és rendszerek „kopása” nem mérhető az IT-hoz képest. Sokszor hallom, hogy az OT legacy (elavult) eszközöket használ. Ez nem igaz. Az OT nem használ legacy eszközöket. Az OT nem használ olyan elavult technológiát, amely már nem képes betölteni a szerepét és nem teljesíti a funkcionális elvárásokat. Akkor ugyanis nem termelne, vagy nem termelne annyit, amennyit elvárnak tőle – és az ilyen eszközt még az OT is lecseréli.

Az OT kiberbiztonsági szempontból használhat (és használ) legacy eszközöket, olyanokat, amelyek nem képesek a modern kiberbiztonsági elvárásokat teljesíteni, de amelyek a funkcionális elvárásokat teljesítik – és még hosszú évekig teljesíteni is fogják. Az ilyen eszközöket az OT nem cseréli le, mert hihetetlen és az IT számára gyakran felfoghatatlan költségekkel járna.

Egy kis szemléletes példa: 2020 szomorú év volt az OT számára, mivel a Siemens bejelentette, hogy minden támogatást és alkatrészellátást beszüntet az S5 PLC családdal kapcsolatban.

Az S5-ről tudni kell, hogy 1979-ben mutatta be a Siemens, tehát 41 év szolgálati idő után érkezett el a végső nyugdíjazása (?). Azért írom kérdőjelesen, mert ha azt hiszitek, hogy például a hazai (és nemzetközi) gyártás, termelés vagy energiaszektor nem használ a mai napig S5 rendszereket, akkor nagyot tévedtek. Nagyon is használja és amíg rendelkezésre áll tartalék – vagy be tudnak szerezni, addig használni is fogja. Mert funkcionálisan a mai napig képes teljesíteni az elvártat. (Na jó, azért már néhány éve gondolkodik az OT ezeknek a rendszereknek a cseréjén, de ez inkább adagio mintsem allegro.)

Mi és Ők

A balettáncosok általában saját maguk tartják karban és javítják cipőiket. Nem gondoltam volna, hogy ebben ilyen részletességgel el fogok mélyülni, de bevallom, bevonzottak a különféle praktikák és tippek.

A szerkezeti karbantartás és javítás természetesen a balettcipő esetében is nagyon fontos, ilyenek például a különféle elasztikus rögzítő szalagok és pántok fel és bevarrásai, megerősítése, az esetleges nyúlás kompenzálása, vagy a talp moddolása, például érdesítése vagy akár gyantázása, stb.

Kiemelt beavatkozást jelent a talpboltozatot tartó és merevítő, úgynevezett „shank” alakítása, például a keresztirányú bevágás (hogy ott hajoljon, ahol kell), vagy a klasszikusnak számító ¾-es vágás, amikor a táncos egyszerűen kivágja az eredetileg a cipő majdnem teljes hosszán végig futó  merevítő egy részét. Aztán lehetne még a különféle mosási is tisztítási eljárásokról is beszélni, ami a karbantartás nagyon fontos eleme, mivel – ahogy korábban felvetettem – az esztétika kiemelten fontos része a produkciónak, de azért tegyük hozzá azt is, hogy a mindenféle gombásodás elkerülése érdekében is rendszeresen tisztítani kell a balettcipőket. Ez is elég változatos, a spriccelős vagy szódabikarbónás tisztítás mellett bizonyos cipőket lehet gépben mosni (de általánosságban a gépi szárítás tilos), de például a szatén spicc cipők gépi mosása tilos. Aztán jönnek a különféle praktikák a spicc – azaz a box – megerősítésére, vagy éppen a szatén borítás lefejtésére (a szatén nemigazán tapad, ellenben csúszik, ezért a profik sokszor leszedik a szatént és valamilyen tapadósabb anyaggal foltozzák, és itt már a szatén borítás felfeslését is meg kell majd akadályozni, például óvatosan megégetik a folthely szélét vagy valamilyen ragasztóval fixálják). Az ilyen hackelés bevett dolog, viszont egyértelműen növeli a cipő karbantartási igényét és csökkenti az amúgy sem hosszú élettartamot.  

A hegymászóbakancs karbantartása és javítása kicsit más képet mutat.

Természetesen a kisebb hibákat akár a terepen is tudják a profik korrigálni, például a felsőrész kisebb sérülései kezelhetőek valamilyen felxibilisebb ragasztóval meg foltozással, vagy a talpszél megkezdett leválása is javítható ideiglenesen ragasztással, azonban a nagyobb problémákkal ajánlatos és javasolt szakemberhez fordulni. A speciálisabb felületek javítása, a talpcsere, az orrvédő vagy a bélések és betétek cseréje már profi beavatkozást kíván, erre általában a gyártók nyújtanak megfelelő szolgáltatásokat.

Így van ez az OT esetében is, ahol nagyon jelentős a gyártók és szállítók közreműködése, akik nem csak a rendszert szállítják és telepítik, hanem azt karban is tartják és javítják, sok esetben ez feltétele is a rendszer szállításának.

Az IT-ban is erős az outsource jelenlét, azonban koránt sem annyira, mint az OT esetében, ahol sokszor az adott gép, berendezés, gyártósor vagy akár gyár tulajdonosa megveszi a rendszereket, de igazából lövése sincs arról, hogy miből és hogyan épül fel, számára blackbox történetről van szó. Tulajdonosa és felhasználója, de nem üzemeltetője, karbantartója, adminisztrátora a saját rendszerének – tehát nem birtokolja a rendelkezési jogot. Ez nyilván a kiberbiztonságra is elég negatív hatással van – erre jelent valamilyen foltot például a hazai NIS2 implementáció olyan vonatkozása, hogy a tulajdonosnak igen is meg kell határoznia a kiberbiztonsági elvárásokat olyan rendszerek esetében is, amely esetében nem birtokolja a rendelkezési jogot. (Erre mondta egy ismerős, hogy olyan, mintha az OT felhőt használna – hiszen ott is csak felhasználója vagy az adott felhős rendszernek. Ebben van valami – és pont erre is célzódott a Kibertv. ilyen vonatkozása, ez alkalmazható az OT esetében a rendelkezési jog nélküli de saját tulajdonú és földi rendszerekkel kapcsolatban.)

Pas de deux

A balettben a pas de deux – azaz a kettős vagy kétszemélyes tánc mindenképpen kiemelt szerepet kap a koreográfiában. Általában ez hozza el számunkra az érzelmi csúcspontot vagy éppen a katarzist, és van, amikor összefoglal, emlékeztet vagy egy bensőséges történetet mesél el számunkra. Nincs kar, nincs kórus és nincs csoport.  Nincs más a színpadon, csak a két táncos és a bravúrtánc.

Az összefoglalásom mindenképpen nélkülözi ezt a fajta tökéletességet és harmóniát.

Nem tudok mást mondani, csak mint eddig: az IT és az OT nem ugyanaz, ahogyan egy balettcipő és egy hegymászóbakancs sem az.

Pedig mindkettő „cipő” és lábbeli, mindkettőnek van orra, sarka, felsőrésze és talpa – mégsem ugyanaz a kettő és eme hasonlóságok eltörpülnek a jellemző és fontos különbségek mellett.

Information Technology és Operational Technology. IT és OT.

Mindkettőben megtalálható a technológia szó, de ettől nem lesz a kettő ugyanolyan. Az IT csak a digitális világban létezik, az OT egyik lába a digitális térben, a másik – és ez a fontosabb - a fizikai világban gyökerezik. A fizikai láb miatt nem lehet az OT-t IT-nak tekinteni csak azért, mert belelóg a digitális térbe. Sőt, azt a lábat sem lehet IT-nak tekinteni, ami digitális. Nem, mert az arra ható jelenségek – legyenek azok fejlesztések, vagy akár kiberbiztonsági tevékenység – a másik lábra is kihatnak, a fizikai világot befolyásolják. A fizikai világ pedig nem IT és nem információ, és nem indítható újra.

Az IT-OT konvergencia nem a területek összeolvadását jelenti, hanem azt, hogy az IT és az OT közösen hoz létre új technológiákat, amelyeket közös erőfeszítésekkel működtet – mindkét terület igényeit és elvárásait kielégítve. Az IT és az OT különbözik egymástól, de  az igazi különbséget nem is a felhasznált technológia, hanem a technológia felhasználásának célja, módja, illetve az azt meghatározó elvárások, megfelelőségek és preferenciák jelentik.

Safety first!