Tyle o sobie wiemy, ile nas sprawdzono. Prób przetestowania odporności firm jest wiele, a będzie jeszcze więcej. Podmioty z branży przemysłu mają szczególnie wiele do stracenia, dlatego też podejmują zróżnicowane działania zabezpieczające. Czy to wystarczy?

Adela Prochyra

Nie odkryjemy Ameryki stwierdzeniem, że bezpieczeństwo w przemyśle to szerokie pojęcie. Tak jak na przemysł składa się pewna liczba elementów, tak jego bezpieczeństwo obejmuje różne rodzaje zabezpieczeń. To przede wszystkim wszelkie działania mające na celu ochronę zdrowia i życia pracowników, zabezpieczenie mienia oraz systemów zapewniających ciągłość produkcji, w tym także bezpieczeństwo pożarowe, ochrona środowiska i cyberbezpieczeństwo.

Drugi truizm, niezbędny jednak dla przedstawienia aktualnej sytuacji, jest taki, że skala zagrożeń w ostatnich latach znacznie się zwiększyła. Bezpieczeństwo stało się więc obszarem, który rozwija się dynamicznie jak żadna inna branża i w związku z tym wymaga ciągłego doskonalenia oraz dostosowywania do zmieniających się warunków technologicznych i prawnych. Przemysł nie jest od tych zagrożeń wolny, wręcz przeciwnie – przedsiębiorstwa należące do tak kluczowego sektora gospodarki powinny być przygotowane na nieprzewidywalne warunki klimatyczne, ale także wszelkiego rodzaju ataki. Czy są? O tym właśnie jest nasz raport.

Pandemie, wojny, powodzie i inne zagrożenia coraz częściej się materializują. Ciągłość działania zaczyna wysuwać się na pierwsze miejsce, a ciągłość łańcucha dostaw jest jednym z jej głównych elementów

Jarosław Durkacz, Polpharma

Normy, dyrektywy, regulacje nie dla każdego

Zacznijmy od obrazu ogólnego. Organy Unii Europejskiej stale wprowadzają nowe regulacje prawne, a także formułują normy i zalecenia, które mają pomóc zachować pewien porządek w coraz bardziej komplikującej się rzeczywistości. Te rozliczne procedury mają oczywiście zaspokoić także wiele innych celów. Jakich dokładnie, to temat na dłuższą rozprawę. Jeśli zaś chodzi o cele, które są dobrze znane, dużą wagę przykłada się ostatnio do kwestii środowiskowych – tu wymienimy chociażby liczne zmiany zachodzące obecnie w ramach raportowania ESG, założenia programu Europejski Zielony Ład, pakiet Fit for 55 czy cele klimatyczne na 2050 rok. Wszystkie zmiany formalne ustalone na szczeblu unijnym przekładają się na prawodawstwo i praktyki na poziomie państw, a te z kolei na wymogi wobec przedsiębiorstw, rolników itd.

Drugi obszar, który jest głównym przedmiotem naszych rozważań, to kwestia zabezpieczenia firm, instytucji oraz obiektów infrastruktury krytycznej przed cyberatakami. W tym zakresie z kolei mamy do czynienia z postanowieniami dyrektywy NIS2, której data wejścia w życie – 18 października – oznacza dla producentów wiele zmian, ale też niesie wiele niejasności (w poprzednim numerze „a&s Polska” obszernie pisał o tym Jan T. Grusznic, którego Raport: NIS2 – już za chwileczkę, już za momencik polecamy).  

O tym, że sprawa jest poważna i rozpoznawana także na poziomie krajowym, niech świadczy fakt, że w projekcie ustawy budżetowej na 2025 rok, przedstawionym 28 sierpnia 2024 r., zaplanowano środki na cyfryzację w wysokości 1 mld 827 mln, w tym 250 mln na Fundusz Cyberbezpieczeństwa. To aż o 150% więcej niż w poprzednim roku z budżetu państwa.

Inne zaplanowane w budżecie środki przewidziane na cyberochronę to m.in. 1 mld 914 mln 964 tys. zł na cyberbezpieczeństwo i wsparcie kryptologiczne (dział Obrona narodowa), 1 mld 179 mln 730 tys. zł na Fundusze Europejskie na Rozwój Cyfrowy 2021–2027, 608 mln 8 tys. zł na Centralne Biuro Zwalczania Cyberprzestępczości oraz 414 mln 689 tys. zł na Instytut Łączności i NASK.

Te zadania to niektóre z elementów budowanej w Polsce cybertarczy RP, czyli pakietu działań realizowanych lub koordynowanych przez Ministra Cyfryzacji, mających zwiększać odporność cyberbezpieczeństwa Polski, na który w ciągu najbliższych dwóch lat łącznie będzie przeznaczonych ok. 3 mld zł (środki mają pochodzić zarówno z budżetu państwa, jak i UE). Jego kluczowe projekty obejmą:

• Wzmocnienie cyberbezpieczeństwa samorządów, w tym stworzenie Lokalnych Centrów Cyberbezpieczeństwa i wsparcie projektów Cyberbezpieczny Samorząd.
• Rozwój Narodowego Centrum Bezpieczeństwa Cyberprzestrzeni (NASK) w celu zwiększenia zdolności wykrywania i zwalczania cyberzagrożeń.
• Modernizację Systemu S46, którego zadaniem będzie ułatwienie wymiany informacji o cyberzagrożeniach między podmiotami Krajowego Systemu Cyberbezpieczeństwa.
• Szkolenia i podnoszenie świadomości, w tym rozwój programów szkoleniowych dla pracowników administracji publicznej i obywateli.
• Usprawnienie reagowania na incydenty, automatyzacja wymiany informacji między instytucjami i regularne ćwiczenia.
• Ujednolicenie z przepisami UE: wdrożenie dyrektywy NIS2 i prace nad nową Strategią Cyberbezpieczeństwa RP.

Projekt budżetu trafił obecnie do konsultacji, ale bez względu na to, jaki kształt ostatecznie przyjmie, widać, że na poziomie krajowym świadomość zagrożeń cybernetycznych jest duża. Podejmowane są liczne działania, dzięki którym Polska ma szansę zbudować bardziej odporny system cyberbezpieczeństwa, lepiej przygotowany na współczesne zagrożenia. A co na to przemysł? Nie wszystkie firmy są bezpośrednio objęte wymogami, dlatego muszą dbać o swoje bezpieczeństwo na własną rękę.

Dyrektywa NIS 2 miała znaczący wpływ na poziom naszych zabezpieczeń. Chociaż nasza firma nie jest bezpośrednio wymieniona w katalogu podmiotów krytycznych, to jednak wprowadziliśmy dodatkowe środki ostrożności, aby spełniać wymagania dyrektywy

Wincenty Ignatowski, CEMEX Polska

Przemysł 4.0. w (polskiej) praktyce

W Polsce dochodzi codziennie do co najmniej kilkuset incydentów o charakterze cyberataków, a bywa, że liczba ta sięga dwóch tysięcy, jak w czerwcu br. podał w rozmowie z gazetą „Polska” minister cyfryzacji Krzysztof Gawkowski. Pod koniec maja stwierdził wręcz, że „Polska jest na cybernetycznej zimnej wojnie”, co podtrzymało MON, podając, że liczba ataków na systemy związane z obronnością Polski zwiększyła się pięciokrotnie od momentu wybuchu wojny Rosji z Ukrainą. Od roku 2022 liczba ataków co roku się podwaja. Nasilały się one zwłaszcza przed wyborami: parlamentarnymi i europarlamentarnymi, ale próby destabilizacji państwowości na każdym jej poziomie pojawiają się stale. Celami są zarówno administracja publiczna (49%, źródło: PAP), transport (20%, źródło: PAP), lotnictwo, energetyka i obronność (12%, źródło: PAP), służba zdrowia, obiekty infrastruktury krytycznej, jak i gospodarka.

Przeciętny koszt takiego ataku jest dla firmy bądź organizacji kolosalny, a usuwanie skutków trwa zwykle dni lub tygodnie, nie mówiąc o odbudowaniu zaufania klientów i kontrahentów. Po drugiej stronie barykady jest niewielki koszt poniesiony na przygotowanie oprogramowania ransomware. Jak podaje Jan T. Grusznic w swoim raporcie, wystarczy ok. 320 dol., aby przeprowadzić tygodniowy atak DDoS na aplikację internetową, który może sparaliżować przedsiębiorstwo.

Luka cyfrowa czy gęste usieciowienie?

Zanim przejdziemy do kwestii faktycznych zabezpieczeń stosowanych przez firmy, zadajmy sobie pytanie, które nasuwa się w kontekście cyberataków w przemyśle: Jak właściwie wygląda usieciowienie tego sektora? Na ile idee Przemysłu 4.0 (głęboka integracja cyfrowych technologii z procesami produkcyjnymi i nieograniczone możliwości komunikacyjne na linii: człowiek – urządzenie – Internet – technologie informacyjne) zostały wdrożone w polskich przedsiębiorstwach produkcyjnych? Czwarta rewolucja przemysłowa to inteligentna automatyzacja, gdzie maszyny i systemy są w stanie komunikować się ze sobą, uczyć się i podejmować samodzielne decyzje. Miała ona zwolnić człowieka ze żmudnej, powtarzalnej pracy i uwolnić jego kreatywność, a firmom dać nowe możliwości rozwoju i przewagę konkurencyjną. Polski Fundusz Rozwoju w 2024 r. przeprowadził Test Dojrzałości Cyfrowej, którego wyniki zawarł w raporcie „Kondycja cyfrowa polskich firm i gospodarki”. Punktem wyjścia do analizy poziomu cyfryzacji polskich przedsiębiorstw był wskaźnik DII (Digital Intensity Index), który klasyfikuje przedsiębiorstwa na podstawie poziomu wykorzystania technologii cyfrowych. W roku 2023 jedynie 21,2% polskich przedsiębiorstw wykazało się wysokim lub bardzo wysokim poziomem cyfryzacji, co dało Polsce 21. miejsce w rankingu państw Unii Europejskiej. Podobny poziom ucyfrowienia
(21-22%) prezentują Francja, Portugalia, Łotwa, Czechy. Dla porównania w Finlandii odsetek ten sięga 51,9%, a w Holandii 47,6%.

Z kolei raport EY Czy Twój biznes zanurzył się w cyfrowej transformacji, czy tylko powierzchownie dotknął jej możliwości? Transformacja Cyfrowa 2024 wskazuje: „Transformacja cyfrowa w polskich przedsiębiorstwach jest na wysokim lub bardzo wysokim etapie zaawansowania – łącznie 64% firm” oraz „Transformacja cyfrowa ma wysoki lub bardzo wysoki priorytet wśród polskich przedsiębiorstw (84%)”, a na jej realizację przeznaczane jest nawet do 10% rocznego przychodu. Należy uściślić, że bardzo wysoki odsetek cyfryzacji to domena dużych firm (20%), co pokrywa się z wnioskami Testu Dojrzałości Cyfrowej. Ten raport, w przeciwieństwie do raportu PFR, przynosi natomiast wnioski skłaniające do sceptycyzmu, jeśli chodzi o opłacalność zaawansowanych technologii. „Aż 54% badanych firm stwierdziło, że założenia dotyczące wzrostu przychodów wynikających z transformacji cyfrowej nie zostały spełnione nawet w 35%” – podano we wnioskach kluczowych. Kwestia obniżenia kosztów poprzez automatyzację zeszła w związku z tym na plan dalszy, przedsiębiorcy od rozwiązań cyfrowych oczekują dziś przede wszystkim nowych możliwości rozwoju. Wdrażają je także w działach obsługi klienta, sprzedaży i jako analitykę w działach IT/OT. Co ciekawe, „firmy w ramach transformacji cyfrowej najczęściej inwestują w cyberbezpieczeństwo, które jest fundamentem usług IT, rozwiązania chmurowe oraz szkolenia dla pracowników z kompetencji cyfrowych”. Bez względu jednak na motywację i wskaźniki zwrotu z inwestycji w cyfryzację wygląda na to, że ten trend utrzyma się jeszcze przez długi czas. Nowe technologie będą coraz powszechniejsze w firmach, a te będą przez to narażone na ataki, wyciek danych itp.

W każdej firmie istnieje ryzyko wycieku danych wrażliwych

Paweł Wawryła, AIRA

Czy przedsiębiorstwa są zabezpieczone?

Na początek zapytaliśmy security managerów o to, jaki jest poziom świadomości osób decyzyjnych w ich przedsiębiorstwach, jeśli chodzi o zagrożenie cyberatakiem. Większość odpowiedzi wskazuje na wysoki i bardzo wysoki poziom takiej świadomości: w 10-stopniowej skali określali go najczęściej jako „8”. To z jednej strony naturalny efekt codziennej ciężkiej pracy „bezpieczników”. Jest to wynik regularnych szkoleń i kampanii informacyjnych, które mają na celu zwiększenie świadomości na temat zagrożeń cybernetycznych, jak mówi nam Wincenty Ignatowski z CEMEX POLSKA, ale i zmieniającego się otoczenia, w jakim funkcjonują przedsiębiorstwa. Paweł Wawryła z firmy AIRA potwierdza, że zdecydowanie świadomość zwiększa się każdego roku, ze względu na liczbę coraz to nowych ataków odnotowanych w organizacjach. W każdej firmie istnieje ryzyko cyberataku, wycieku danych wrażliwych, dlatego poszczególne przedsiębiorstwa nie muszą doświadczać ich na własnej skórze, żeby podjąć działania zapobiegawcze. W tym przypadku nie do końca ma zastosowanie powiedzenie: „Mądry Polak po szkodzie” – świadomość sytuacji jest tak duża, że zabezpieczają się nawet te firmy, które nie doświadczyły prób włamania na serwery lub innego rodzaju cyberataku. Wymieniano szereg zróżnicowanych działań, które łącznie mają zabezpieczyć firmę przed stratami zarówno materialnymi, jak i wirtualnymi. Od identyfikacji słabych punktów przez kontrolę odporności partnerów, kontrahentów, dostawców, podwykonawców w ramach łańcucha dostaw:

Wprowadziliśmy liczne szkolenia oraz symulacje ataków, takie jak gra symulacyjna Atak Ransomware, która pomogła nam zidentyfikować słabe punkty w naszych systemach i procedurach

Wincenty Ignatowski

Mamy opracowany cały proces weryfikacyjny dostawców oraz przyjęte normy, które dostawca musi spełnić przed rozpoczęciem z nami współpracy

Paweł Wawryła

Wagę tego elementu na checkliście zabezpieczeń podkreślił Jarosław Durkacz, ekspert ds. organizacji bezpieczeństwa POLPHARMA:

Wyzwania, które same w sobie stały się wyznacznikiem naszych czasów, mocno spopularyzowały proces kontroli kontrahentów lub potencjalnych kontrahentów. Ciągłość łańcucha dostaw zajmuje szczególne miejsce na takiej checkliście kontrolnej. Umiejętność reakcji na zdarzenia oraz przewidywania zagrożeń, jakie mogą wystąpić w tym obszarze, jest bardzo pożądana. Dlatego odporność w zakresie łańcucha dostaw staje się jedną z kluczowych cech, jakiej poszukujemy po drugiej stronie przed nawiązaniem współpracy. Krytyczność tej cechy maksymalizuje fakt, że liczba czynników zewnętrznych, które mogłyby wpłynąć na ten obszar, stałe rośnie

Ze względu na delikatną naturę zagadnienia nasi rozmówcy nie wymieniali dokładnych rodzajów podejmowanych przez siebie działań i zabezpieczeń. Podkreślali jedynie wagę stałego działania na rzecz utrzymania bezpieczeństwa pracowników i klientów, a także sprawdzania swoich kontrahentów pod kątem zgodności z ich wewnętrznymi standardami bezpieczeństwa. To inicjatywy zarówno własne, jak i wymuszone przez nowe przepisy.

Dyrektywa NIS 2 była tylko dodatkowym impulsem do przeprowadzenia audytu bezpieczeństwa używanych przez nas systemów. Dzięki wcześniej przyjętej polityce, którą kierowaliśmy się przy wyborze rozwiązań, tj. bezpieczeństwo zawsze na pierwszym miejscu, nasze systemy są zaawansowane i zgodne z obowiązującymi normami i regulacjami

Paweł Wawryła

Przezorny zawsze ubezpieczony? Ubezpieczenie od cyberataku to kolejne działanie podejmowane przez przedsiębiorstwa, aby chronić je przed potencjalnymi stratami finansowymi i utratą reputacji, chociaż nie jest to bardzo powszechne rozwiązanie.

Cybernetyczny wyścig zbrojeń

Wygląda na to, że firmy, a zwłaszcza te duże, o międzynarodowym zasięgu, jasno zdają sobie sprawę z zagrożeń, jakie niesie cyfryzacja. To najczęściej te firmy są na wysokim i bardzo wysokim poziomie transformacji cyfrowej, na którą najczęściej przeznaczają odczuwalną część swoich budżetów. Znają więc ryzyka, które się z tym wiążą. Stąd w ich codziennej agendzie znajdują się liczne działania, które z różnych stron mogą pomóc uchronić przedsiębiorstwo przed cyberatakiem i wyciekiem danych. To m.in. audyty wewnętrzne i symulacje ataków, wyśrubowane standardy bezpieczeństwa, których spełnienia oczekują także od swoich kontrahentów, badanie odporności partnerów, wybór zaawansowanych systemów, a także ubezpieczenie od cyberataków. Wejście w życie dyrektywy NIS 2 można by potraktować jako swoisty papierek lakmusowy tych przygotowań. Jednak wobec zamieszania towarzyszącego jej wprowadzeniu i wielu niejasności odnośnie do tego, które dokładnie firmy będą nią objęte i jakie dokładnie wymogi trzeba będzie w związku z tym spełnić, ten test okazał się niemiarodajny, a firmy rozpoczęły przygotowania na własną rękę. ⦁