Materiał powstał w ramach cyklu redakcyjnego we współpracy z EY
Stwarza to konieczność zbudowania przemyślanej strategii zabezpieczeń, aby zminimalizować ryzyko ataków i zapewnić bezpieczeństwo operacyjne. Jak wskazują eksperci EY w raporcie pt. „Trendy i wyzwania w cyberbezpieczeństwie”, inteligentne fabryki opierają się na koncepcji przemysłu nowej generacji (tzw. Przemysł 4.0), korzystając z wielu szybko rozwijających się technologii, aby osiągnąć jak największą efektywność operacyjną. Oznacza to konieczność integracji systemów: informatycznych (IT), sterujących procesami produkcyjnymi (ang. operational technology – OT) i korzystających z rozproszonego przetwarzania informacji (ang. Internet of Things – IoT). Każdy z tych systemów wymaga odmiennego podejścia do zabezpieczeń przed zagrożeniami, co wynika z ich specyfiki oraz różnorodnych funkcji, jakie pełnią w ekosystemie przemysłowym.
Bezpieczeństwo OT
Jak zatem wygląda kondycja bezpieczeństwa obszaru OT w polskich firmach? Niestety, wciąż istnieje bardzo wiele aspektów wymagających poprawy, również na podstawowym poziomie. – Najlepiej edukację zacząć od wyjaśnienia podstawowych różnic i zrozumienia, czym jest OT, a czym IT. IT to głównie informacja o charakterze biznesowym, a w OT to informacja mająca na celu sterowanie produkcją. Dlatego koncepcje zabezpieczeń, ale również samej roli systemów są różne. Inne są także wymagania, co sprawia że informatyk nie jest specjalistą ds. cyberbezpieczeństwa, a cybersecurity stanowi osobny, wyspecjalizowany obszar – mówi Piotr Ciepiela, globalny lider bezpieczeństwa architektury i nowoczesnych technologii, partner EY. I jak podkreśla, infrastruktura krytyczna to obiekty oraz systemy, które są kluczowe dla bezpieczeństwa przemysłu. OT to niejako część trochę ukryta, która zarządza światem fizycznym, w tym elektrowniami, fabrykami, smart city. Jak obrazowo wskazuje ekspert EY, operational technology stanowi „miękkie podbrzusze” każdego przedsiębiorstwa, które zresztą upodobali sobie cyberprzestępcy. Firmy, których to dotyczy, stanowią z kolei „podbrzusze gospodarki”. O jakie branże chodzi? Mowa tu o: wytwarzaniu i przesyle energii, zakładach chemicznych, przemyśle, kopalniach, rafineriach, uzdatnianiu wody, transporcie oraz produkcji np. leków. Działalność przedsiębiorstw funkcjonujących w tych sektorach może zostać przez przestępców zatrzymana, zniszczona czy też wykorzystana w innych celach.
Przykłady?
Od czujnika w aucie do systemu miasta
Jak wskazuje Ciepiela, znane są bardzo różne rodzaje cyberataków. I przytacza przykład kopalni, w której wykorzystywano autonomiczne pojazdy wyposażone w czujniki kontrolujące temperaturę płynów, ciśnienie w oponach lub poziom paliwa. Czujki te były zintegrowane – podłączone do kontrolera, który komunikował się z centralnym systemem sterowania firmą. Poczynając od czujników, można było ją przejąć, dostając się do dyspozytorni, a że kopalnia była podłączona do elektrowni, to również do niej. Elektrownia odpowiadała także za dostarczanie energii do miasta. W efekcie atak na mały czujnik nie tylko mógł wpłynąć na kopalnie, ale także rozszerzyć się na infrastrukturę krytyczną odpowiedzialną za o wiele większy obszar.
Inny przykład to firmowa kantyna, w której telewizor wyświetlał nie tylko programy telewizyjne, ale też komunikaty wewnętrzne firmy. W tym przypadku można było dostać się do systemu kamer, a z nich do systemu sterowania produkcją oraz zarządzania przedsiębiorstwem. Z kolei w jednym z kasyn w Stanach Zjednoczonych było akwarium, a w nim tzw. inteligentny termometr. Sprawiło to, że można było się do niego podłączyć, a że był on połączony z siecią przedsiębiorstwa, to w efekcie hakerzy przejęli 10 TB danych. Takie przykłady można mnożyć, a pomysłowość przestępców nie ma granic. Ich umiejętności oraz kreatywność stoją, jak widać, na bardzo wysokim poziomie, podczas gdy świadomość przedsiębiorstw w tym zakresie jest niestety niska.
OT celem hakerów
Jak podkreślają eksperci EY, systemy OT są narażone na coraz więcej ataków. W kontekście napiętej sytuacji geopolitycznej często są to motywacje polityczne mające na celu osłabienie wizerunku danego państwa lub jego destabilizację. Przykładowo w maju 2023 r. skutecznie zaatakowano aż 22 duńskie przedsiębiorstwa z sektora energii i ciepłownictwa w skoordynowanym ataku na tamtejszy system elektroenergetyczny. Inna przyczyna to szpiegostwo przemysłowe jako sposób na zdobycie wrażliwych informacji technologicznych lub produkcyjnych.
– Ataki na strefę OT są coraz łatwiejsze dzięki wykorzystaniu sztucznej inteligencji, a przestępcy liczą na wysoką „stopę zwrotu” w postaci okupów od przedsiębiorstw. Do tego postępująca cyfryzacja otwiera coraz to nowe obszary cyberataków. Ich skala w Polsce już jest ogromna, a zjawisko będzie tylko przybierać na sile. Dane Eurostatu pokazują, że nasz kraj zajmuje niestety aż drugie miejsce w Unii Europejskiej pod względem liczby incydentów cyberbezpieczeństwa w firmach – mówi Bartosz Nieróbca, Senior Manager, lider Laboratorium Cyberbezpieczeństwa i Inżynierii Bezpieczeństwa OT w EY Polska.
Jak wynika z raportu EY, w 2024 r. 32 proc. polskich firm doświadczyło incydentów związanych z cyberbezpieczeństwem. W ostatnim czasie przeprowadzono aż 18 ataków na firmy wodociągowe. W 2024 r. liczba zgłoszeń do CERT Polska (zespół działający w strukturach NASK – Państwowego Instytutu Badawczego, powołany w 1996 r. do reagowania na incydenty bezpieczeństwa komputerowego) wzrosła o 62 proc., osiągając ponad 600 tys. W 2024 r. CSIRT-y (ang. Computer Security Incident Response Team) w Polsce zarejestrowały łącznie 111 660 potwierdzonych incydentów dotyczących cyberbezpieczeństwa. Stanowi to wzrost o 23 proc.
– Prawdziwa skala cyberataków jest jednak nieznana, bo wiele incydentów „zamiata się” pod przysłowiowy dywan. Znaczący odsetek zdarzeń nie jest nigdzie zgłaszany. To z jednej strony kwestia wstydu, a z drugiej przedsiębiorcy nie wiedzą nawet czasem, że jest to po prostu przestępstwo, które należy zgłaszać na policję lub do prokuratury. Wynika to często wprost z faktu, że firmy nie posiadają narzędzi oraz zespołów będących w stanie zidentyfikować incydent. Do tego jesteśmy krajem przyfrontowym, a cyberataki to element wojny hybrydowej – tłumaczy Piotr Ciepiela. I dodaje, że przed przedsiębiorcami stoi bardzo dobrze zorganizowany przeciwnik. Są to bowiem zorganizowane grupy przestępcze liczące na okup, do których wręcz można zadzwonić i negocjować jego wysokość.
W Polsce poważna dyskusja na temat zagrożeń z zakresu cyberbezpieczeństwa dopiero się zaczyna, a zamierzenia rozmijają się z realiami. Przykładowo, jak wynika z raport EY „Jak polskie firmy wdrażają AI”, przy implementacji sztucznej inteligencji aż 94 proc. firm produkcyjnych analizuje kwestie cyberbezpieczeństwa, ale już tylko 34 proc. dokonuje realnych inwestycji z nim związanych. Można więc niestety uznać, że cyberbezpieczeństwo w rodzimym przemyśle pozostaje jeszcze w fazie deklaracji, a nie działań.
Dyrektywy NIS2 i CER
Tymczasem na skutek nowelizacji dyrektywy NIS (dyrektywa w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium UE) liczba firm uznanych za krytyczne wzrasta z 400 aż do 38 tys. Wynika to z rozszerzenia ram w zakresie obszarów, które muszą zwiększyć swój poziom cyfrowego bezpieczeństwa. W myśl dyrektywy NIS2 sektory objęte jej przepisami to jako podmioty kluczowe: energetyka, transport, finanse, opieka zdrowotna, woda pitna, ścieki, zarządzanie usługami ICT (technologie informacyjno-telekomunikacyjne), administracja publiczna, przestrzeń kosmiczna. A jako podmioty ważne: usługi pocztowe i kurierskie; gospodarowanie odpadami; wytwarzanie i dystrybucja chemikaliów; produkcja, przetwarzanie i dystrybucja żywności; dostawcy usług cyfrowych; badania naukowe. Dyrektywa NIS2, poza rozszerzeniem zakresu podmiotów, wprowadza też dla przedsiębiorców szereg nowych obowiązków. Podmioty kluczowe i ważne mają wprowadzić odpowiednie oraz proporcjonalne środki techniczne, operacyjne i organizacyjne w celu zarządzania ryzykiem dla bezpieczeństwa sieci i systemów informatycznych. Wśród nich wymieniono m.in.: konieczność przeprowadzenia analizy ryzyka i przyjęcia polityk bezpieczeństwa systemów informatycznych; obsługę incydentów; zachowanie ciągłości działania; bezpieczeństwo łańcucha dostaw; wprowadzenie podstaw cyberhigieny i szkoleń, a także wykorzystanie kryptografii.
Jak przypominają eksperci EY, w grudniu 2022 r. Komisja Europejska przyjęła również dyrektywę CER (ang. Critical Entities Resilience) dotyczącą odporności podmiotów krytycznych, która wraz z dyrektywą NIS2 tworzy spójne ramy prawne. W odróżnieniu od dyrektywy NIS podmioty krytyczne podlegające pod dyrektywę CER są wyznaczane przez poszczególne państwa członkowskie UE i muszą wypełniać obowiązki związane z zapewnieniem odporności na wszelkiego rodzaju incydenty (także te związane z bezpieczeństwem fizycznym).
Co mogą zrobić firmy?
EY przedstawia propozycje dla biznesu w kwestii cyberbezpieczeństwa. W raporcie „Trendy i wyzwania w cyberbezpieczeństwie” czytamy; „Jeśli firma jeszcze tego nie zrobiła, należy zidentyfikować, czy spełnia kryteria dla podmiotów kluczowych lub ważnych, i tym samym organizacja musi rozpocząć przygotowania do zapewnienia zgodności z tymi regulacjami. W tym celu trzeba ocenić obecną dojrzałość pod kątem cyberbezpieczeństwa i miejsca, w którym znajduje się w procesie implementacji NIS2 i CER, określić dalszy plan działań i zabezpieczyć środki w celu dostosowania. W razie braku zgodności z prawem krajowym, które będzie implementowało dyrektywy, firma naraża się na kary administracyjne i finansowe”.
I dalej: „Niezależnie od tego, czy firma podlega pod określoną regulację, prawdopodobnie już używa jakichś środków chroniących przed zagrożeniami cyberbezpieczeństwa. Z racji ciągłej zmiany charakteru zagrożeń oraz sposobu ich wykorzystania przez napastników istotne jest, aby mechanizmy te ciągle ewoluowały i były w stanie odpowiadać na nowe zagrożenia”.
– Pożądane jest regularne testowanie operacyjnej odporności na cyfrowe ataki poprzez przeprowadzanie ćwiczeń i symulacji. Celami właściwie działającego programu testowania w każdej firmie powinny być przynajmniej: identyfikacja słabości, niedoskonałości, luk i podatności, niezwłoczne wdrażanie adekwatnych środków naprawczych oraz weryfikacja gotowości do obsługi incydentów – podsumowuje Bartosz Nieróbca. —osa
Gdzie przetestować poziom cyberbezpieczeństwa firmy?
Nie jest powszechną wiedzą, że Polska to kraj, w którym realizuje się najnowocześniejsze projekty związane z cybersecurity m.in. we współpracy z NATO czy w kwestii komputerów kwantowych. Dzieje się to w Laboratorium Cyberbezpieczeństwa OT/IoT zlokalizowanym w warszawskim EY wavespace, które powstało w 2016 r. To przestrzeń łącząca automatykę przemysłową, IoT i technologie IT. Laboratorium wyposażone w sterowniki PLC, systemy SCADA, czujniki oraz rozwiązania bezpieczeństwa pozwala na symulowanie realistycznych scenariuszy ataków, testy penetracyjne i ocenę podatności w środowisku odzwierciedlającym rzeczywiste warunki przemysłowe. Infrastruktura sieciowa umożliwia szybką weryfikację skuteczności różnych architektur bezpieczeństwa OT/IoT jeszcze przed wdrożeniem w przedsiębiorstwie. Zespół laboratorium to eksperci z międzynarodowym doświadczeniem. Łączą wiedzę z różnych sektorów, jak energetyka, przemysł i infrastruktura krytyczna, oraz techniczną wiedzę na temat cyberbezpieczeństwa. Laboratorium pełni również funkcję edukacyjną, gdzie odbywają się warsztaty, szkolenia i konferencje. Z warszawskiego laboratorium skorzystało już wiele międzynarodowych firm z całego świata, podnosząc tym swoją dojrzałość w cyberbezpieczeństwie oraz wprowadzając zaawansowane zabezpieczenia.
Materiał powstał w ramach cyklu redakcyjnego we współpracy z EY
