Jak fungují PLC – a proč jsou cílem hackerů
Programovatelné logické automaty řídí vodárny, elektrické sítě a továrny po celém světě. Zde je popsáno, jak tyto průmyslové počítače fungují, proč jsou zranitelné vůči kybernetickým útokům a co z nich dělá hlavní cíl pro hackery podporované státem.
Neviditelné počítače, které řídí civilizaci
Pokaždé, když otočíte kohoutkem, rozsvítíte světlo nebo jedete kolem továrny, je velká šance, že programovatelný logický automat (PLC) tiše vykonává práci v pozadí. Tyto robustní průmyslové počítače řídí montážní linky, úpravny vody, elektrické rozvodny a ropné rafinerie. Otevírají ventily, spouštějí motory, čtou senzory a udržují kritické procesy v chodu nepřetržitě – často i roky bez restartování.
Přesto o nich většina lidí nikdy neslyšela. Tato nenápadnost je částečně to, co dělá z PLC jeden z nejvýznamnějších – a nejzranitelnějších – cílů v kybernetické bezpečnosti.
Co PLC vlastně dělá
PLC je speciální počítač navržený tak, aby přežil drsné průmyslové prostředí – extrémní teploty, prach, vibrace a elektrický šum, které by zničily standardní notebook. PLC, poprvé vyvinuté koncem 60. let pro automobilový průmysl, nahradily objemné reléové ovládací panely kompaktními, přeprogramovatelnými jednotkami.
Zařízení pracuje v nepřetržitém cyklu skenování, přičemž každou smyčku obvykle dokončí v milisekundách. Během každého cyklu PLC načítá všechny vstupní signály (ze senzorů, spínačů a vysílačů), provádí uložený řídicí program a aktualizuje výstupní zařízení, jako jsou motory, akční členy a alarmy. Tato smyčka v reálném čase je to, co udržuje vodní čerpadlo v chodu při správném tlaku nebo dopravníkový pás v pohybu při přesné rychlosti.
Inženýři programují PLC pomocí specializovaných jazyků – nejčastěji ladder logic, grafického formátu, který se podobá starým elektrickým reléovým schématům. Programovací standard IEC 61131-3 také definuje strukturovaný text, funkční bloky a další formáty. Po načtení může PLC běžet autonomně po celá léta.
Proč jsou PLC zranitelné
PLC byly navrženy v době, kdy byly průmyslové sítě fyzicky izolovány od internetu. Bezpečnost byla sotva zvažována – předpoklad byl, že se k těmto zařízením nemůže dostat žádný outsider. Tento předpoklad již neplatí.
S tím, jak továrny a utility přijaly Průmyslový internet věcí, se PLC stále více připojují ke korporátním sítím a dokonce i k veřejnému internetu pro vzdálené monitorování a správu. Mnoho zařízení stále používá desítky let staré komunikační protokoly bez šifrování nebo autentizace. Výchozí hesla jsou běžná. Aktualizace firmwaru jsou vzácné.
Výsledkem je masivní útočná plocha. Podle výzkumníků v oblasti kybernetické bezpečnosti ze společnosti UpGuard zůstávají tisíce PLC přímo vystaveny internetu, často bez vědomí organizací, které je provozují.
Stuxnet: Útok, který vše změnil
Svět se probudil k zranitelnosti PLC v roce 2010, kdy výzkumníci objevili Stuxnet – sofistikovaného červa, který byl široce připisován společné operaci USA a Izraele. Stuxnet se zaměřil na software Siemens Step 7 používaný k programování PLC v íránském jaderném zařízení Natanz. Tiše měnil rychlost centrifug na obohacování uranu a zároveň operátorům zobrazoval normální hodnoty. Útok nakazil více než 200 000 počítačů a fyzicky zničil zhruba 1 000 centrifug.
Stuxnet dokázal, že kybernetické útoky na průmyslové kontroléry mohou způsobit fyzické škody v reálném světě – lekce, která je od té doby jen naléhavější.
Rostoucí hrozba
V dubnu 2026 vydalo šest amerických federálních agentur – včetně FBI, CISA a NSA – společné varování, že hackeři napojení na Írán zneužívali internetem exponované PLC Rockwell Automation v amerických vodárnách, energetických zařízeních a vládních zařízeních. Útočníci používali legitimní konfigurační software k připojení ke kontrolérům CompactLogix a Micro850, měnili data SCADA a narušovali provoz.
Upozornění zdůrazňuje trvalý problém: mnoho organizací stále ponechává PLC přístupné z internetu, čímž porušují nejzákladnější princip průmyslové bezpečnosti – air-gapping provozní technologie od veřejných sítí.
Jak chránit PLC
Odborníci na kybernetickou bezpečnost a agentury jako CISA doporučují několik základních obran:
- Odpojte PLC od internetu. Zařízení, která řídí fyzické procesy, by nikdy neměla být přímo dostupná online.
- Segmentujte sítě. Oddělte sítě provozní technologie (OT) od podnikových IT sítí pomocí firewallů a demilitarizovaných zón.
- Změňte výchozí přihlašovací údaje a povolte autentizaci tam, kde je podporována.
- Monitorujte anomálie. Neobvyklé změny konfigurace nebo neočekávaná síťová připojení by měla spustit upozornění.
- Pravidelně aktualizujte firmware a aplikujte bezpečnostní záplaty od dodavatele.
PLC zůstanou páteří průmyslové civilizace po celá desetiletí. Udržovat je v bezpečí již není inženýrský dodatek – je to otázka národní bezpečnosti.
