Oczy dookoła głowy
Wyzwania security managerów w przemyśle w dobie wojny hybrydowej
Rosyjski atak dronów na polską przestrzeń powietrzną 10 września pokazał wyraźnie, jak poważną kwestią stało się nasze bezpieczeństwo. Cyberataki przypuszczane są już na skalę masową, ale arsenał środków zakłócających normalne funkcjonowanie instytucji publicznych i firm jest znacznie większy, i ciągle się powiększa. Przed czym i jak menedżerowie do spraw bezpieczeństwa bronią zakłady przemysłowe? O tym jest nasz raport.
Adela Prochyra
Trwa wojna hybrydowa – za naszą wschodnią granicą toczą się pełnoskalowe działania zbrojne, a na terytorium Polski mamy do czynienia z bardziej zawoalowanymi aktami sabotażu, które wymierzone są w sektor zarówno państwowy, jak i prywatny. Dotyczą one tak sfery fizycznej, co widać chociażby w serii podejrzanych podpaleń czy niedawnym celowym ataku dronów Federacji Rosyjskiej, jak też przestrzeni cyfrowej. Głównie z tego powodu postrzeganie kwestii bezpieczeństwa bardzo zmieniło się przez ostatnie trzy lata. W pierwszej kolejności dotyczy to świadomości społecznej, ale istotnie przekłada się także na codzienną praktykę osób, które zajmują się nim zawodowo. Menedżerowie ds. bezpieczeństwa muszą dziś patrzeć na zagrożenia w sposób całościowy – nie ograniczając się tylko do murów zakładu czy systemów technicznych. W praktyce oznacza to także zwracanie uwagi na czynniki ludzkie, takie jak zmęczenie, presja czy podatność na manipulację, bo one również mogą stać się wektorem zagrożeń. To oznacza, że zakłady przemysłowe, zwyczajowo podlegające wyśrubowanym normom bezpieczeństwa – pracowników, produkcji oraz środowiskowym – dziś mierzą się w tej materii z szeregiem bardzo złożonych wyzwań. Wiele z nich jeszcze dekadę temu mało komu przychodziło do głowy, a lista wciąż się wydłuża. Stale też nasila się tempo zachodzących zmian i związanych z nimi nowych zagrożeń.
| Zmiany, zmiany, zmiany Zwiększa się prawdopodobieństwo niektórych zagrożeń oraz powstają nowe. Zmiany są bardzo widoczne i postępują coraz szybciej, więc my musimy coraz szybciej na nie odpowiadać, coraz szybciej mitygować pewne ryzyka, które do tej pory albo miały niskie prawdopodobieństwo wystąpienia, albo zwyczajnie nie występowały. Zmieniają się też zespoły do spraw bezpieczeństwa, coraz częściej są rozbudowane, coraz więcej przedsiębiorców widzi potrzebę utrzymywania takich zespołów i to na odpowiednio wysokim poziomie – Jarosław Durkacz, Polpharma. |
Cyberataki
Na pierwszy plan bezwzględnie wysuwają się zagrożenia z kategorii „cyber”, a więc wszelkiego typu cyberataki nakierowane bezpośrednio na konkretne przedsiębiorstwa bądź rozpowszechniane globalnie, z nadzieją, że znajdzie się ktokolwiek, kto da się „złapać”. Security managerowie mówią wprost, że manipulowanie pracownikami w celu uzyskania dostępu do chronionych miejsc lub informacji, korzyści finansowych lub spowodowania dezorganizacji i zasiania paniki to obecnie stały element działań hakerów. Nie ma tygodnia, żeby nie pojawiały się próby zastosowania środków inżynierii społecznej. Siła rażenia tego rodzaju taktyk wynika m.in. z faktu, że koszt przygotowania pułapki socjotechnicznej takiej jak phishing, vishing czy smshing, dzięki powszechnej dostępności narzędzi sztucznej inteligencji, jest symboliczny. Jak podawaliśmy w raporcie „NIS2 – już za chwileczkę, już za momencik”, przygotowanie tygodniowego ataku DDoS na aplikację firmy to koszt niewiele ponad 300 dolarów. Wykorzystanie botów – już od kilkunastu centów. Pomyślny spear phishing mieści się w przedziale 100-1000 dolarów. Potencjalne korzyści finansowe napędzają rynek tego typu złośliwych usług, a ich ceny spadają. Cena jest zresztą kwestią drugorzędną, kiedy zdecydowana większość obecnych ataków zlecana jest przez Federację Rosyjską i/lub Białoruś.
Zatarła się granica pomiędzy typowym światem fizycznym i informacją. Dla nas bardzo istotne jest teraz, aby dokonywać bardzo, bardzo wnikliwej analizy ryzyka – na równi z ryzykiem pożaru, awarii czy też wypadku, musimy pamiętać też o ryzyku cyberataku, manipulacji informacją i presji ekonomicznej – mówi Wincenty Ignatowski z Cemex.
Firmy, aby nie dać się złamać, muszą uzbroić się w wiedzę i konsekwentnie stosować odpowiednie zabezpieczenia. Pierwszą linią obrony jest odpowiednie ustawienie dostępów do dokumentów i danych, które może przypominać zasieki z haseł połączone z odpowiednio i po wielokroć wyćwiczonymi nawykami każdego pracownika, ponieważ, jak mówi powiedzenie: organizacja jest tak silna, jak jej najsłabszy element.
– Po pierwsze – bezpieczeństwo informacji. Należy przede wszystkim dbać o właściwe oznaczanie dokumentów odpowiednimi klauzulami, zabezpieczanie hasłami oraz regularną ich zmianę. Hasła powinny być silne i unikalne, a nie stanowić proste ciągi liczb. Po drugie – edukacja pracowników. Kluczowe jest prowadzenie rozmów oraz ciągłych szkoleń pracowników w zakresie wszystkich aspektów związanych z bezpieczeństwem informacji – stwierdza Piotr Sitko z Polskiej Wytwórni Papierów Wartościowych.
Szkolenia mogą dotyczyć najróżniejszych elementów bezpieczeństwa pracy w danym zakładzie, równie dobrze mogą to być regularnie przeprowadzane symulowane ataki phishingowe dla pracowników, jak robi to np. Cemex. – „Kliker”, który da się złapać po raz pierwszy, jest zobowiązany odbyć szkolenie online – podkreśla Wincenty Ignatowski.
Firmy na celowniku
Polska jest obecnie pierwszym celem cyberataków w Europie, jak wynika z raportu za drugi kwartał 2025 roku, przygotowanego przez znajdujący się w San Sebastian Ośrodek Cyberbezpieczeństwa Przemysłowego (ZIUR). Za nami znalazły się Ukraina, Wielka Brytania, Francja, Niemcy itd. W Europie odnotowano ponad 2,5 tysiąca udanych ataków typu denial-of-service (DoS), których celem było zakłócenie pracy systemów. Najczęściej atakowane w Europie są instytucje rządowe oraz sektor energetyczny, a w Polsce szpitale i wodociągi. Dziennie podejmowanych jest od 20 do 50 prób ataku tylko na infrastrukturę krytyczną. Zdawać by się mogło, że to ona lub inne cele o dużym znaczeniu gospodarczym będą obiektem zainteresowania mocarstw wschodnich, ale to nieprawda. Celem ataków równie często są też prywatne zakłady – mniejsze i większe. Do głównych metod stosowanych przez hakerów należą włamania do przemysłowych systemów sterowania (ICS), wycieki danych i uzyskiwanie nieuprawnionego dostępu. Regularnie też zakłócany jest sygnał GPS w obszarze przygranicznym od strony Królewca. Minister cyfryzacji Krzysztof Gawkowski w sierpniu zapewniał, że bronimy się skutecznie – ponad 99 proc. tych ataków jest odpieranych. Mimo to rząd polski zwiększy budżet na cyberbezpieczeństwo do 1 mld zł, a jeszcze we wrześniu 2025 r. miał przeznaczyć 80 mln euro na wzmocnienie cyfrowych zabezpieczeń systemów gospodarki wodnej, jako część działań na rzecz zabezpieczenia infrastruktury publicznej.
Dane przytaczane przez ministra w praktyce oznaczają tysiące cyberataków dziennie na setki podmiotów – według oficjalnych danych w większości udaremnianych. Czy rzeczywiście? – Firmy dzielą się na dwie grupy: na takie, które zostały w jakiś sposób zaatakowane i obroniły się lub nie, ale podjęły środki zaradcze, oraz na takie, które jeszcze nie wiedzą o tym, że zostały zaatakowane. Często są to ataki przygotowawcze, sprawdzające zabezpieczenia. Tworzą one odpowiednie bramki i nawet po udanym ataku może się okazać, że to nie jest dobry czas, aby wykorzystać furtkę, którą się znalazło, więc czasami to są takie ataki uśpione. One się powiodły, ale czekają na moment, w którym będzie rozsądne wykorzystanie tej furtki; nieraz jest to nawet kilka miesięcy – zaznacza Jarosław Durkacz.
Ataki na infrastrukturę fizyczną
Druga kategoria zagrożeń, z którą niezmiennie mają do czynienia bezpiecznicy, to ataki na urządzenia zabezpieczeń technicznych lub zaburzenia działania kamer systemów kontroli. Te najczęściej działają w sieci, większość systemów zabezpieczeń technicznych opiera się na serwerach, które są łakomym kąskiem dla hakerów. Cel takich działań to już niekoniecznie kradzież towaru, ale równie często wprowadzenie chaosu, paniki, szantaż. Ten rodzaj ingerencji można poszerzyć także o celowe opóźnienia dostaw konkretnych modeli kamer lub innych elementów systemu dozorowego. Oczywiście, gdy mówimy o sektorze przemysłu, wśród wymienianych zagrożeń nie może zabraknąć ataków na sieci sterowania przemysłowego czy automatyki. Każdy dzień przestoju takiego zakładu produkcyjnego – z dowolnego powodu – oznacza setki tysięcy złotych strat, ale również utratę reputacji, a potencjalnie także danych. Ta ostatnia to strata szczególnie bolesna, ponieważ może skutkować bardzo daleko idącymi reperkusjami w postaci utraty wizerunku. Wśród zagrożeń, z jakimi mierzą się security managerowie w przemyśle, wysoko na liście znajduje się także manipulowanie cenami składników, z których korzysta dany wytwórca, a także zakłócanie łańcucha dostaw, czyli manipulowanie dostępnością surowców.
I element ostatni, choć nieraz najważniejszy: człowiek. Ryzyko płynące ze strony własnych pracowników nie ogranicza się wyłącznie do tego, że któryś padnie ofiarą phishingu i doprowadzi do wycieku danych z firmy. Obecnie jest to cały wachlarz niebezpieczeństw. Najpowszechniejszym z nich jest, rzecz jasna, ryzyko sabotażu ze strony wschodnich mocarstw przez podwykonawcę, który wejdzie na teren zakładu np. jako członek ekipy remontowej, personelu odpowiadającego za sprzątanie, serwisant itp. Jest to szczególnie wrażliwa i trudna do wychwycenia kwestia, ponieważ zespoły coraz częściej są międzynarodowe i zatrudniają specjalistów z różnych stron świata, także ze Wschodu. Firmy w sektorze przemysłowym obawiają się także wrogich przejęć, zwykle polegających na podkupieniu pracownika i próbie wydobycia od niego know-how konkurencji.
Security awareness
– Regularnie docieramy do naszych pracowników, żeby mieli świadomość, że są częścią systemu bezpieczeństwa, że oni również za nie odpowiadają i mają na to ogromny wpływ. W większości ostatnich ataków, również na duże międzynarodowe firmy, nie zawiodły systemy bezpieczeństwa, ale zawiódł człowiek. Ktoś dał się złapać na przykład na jakiś phishing, ktoś inny kogoś gdzieś wpuścił, jeszcze ktoś inny kliknął w jakiś złośliwy link, wszedł nie na tę stronę co trzeba. Świadomość bezpieczeństwa jest potrzebna i to jest w zasadzie jeden z priorytetów na skalę co najmniej ogólnopolską – komentuje Jarosław Durkacz.
To, jak konkretnie zorganizowane są systemy bezpieczeństwa poszczególnych firm, jest informacją z kategorii „tajne przez poufne”. Można jednak przyjąć, że w nowoczesnych zakładach przemysłowych są to wieloelementowe konstrukcje obejmujące obszar zarówno bezpieczeństwa fizycznego, jak i informacji. Składają się one z elektronicznych systemów zabezpieczeń, takich jak systemy dozoru wizyjnego, systemy kontroli dostępu, nieraz też systemów antydronowych; procedur opracowywanych indywidualnie dla każdego miejsca, a także procedur reagowania kryzysowego, w tym zachowania ciągłości biznesu. Można wręcz mówić o zintegrowanych systemach zarządzania bezpieczeństwem i informacją. W tak zaawansowanym układzie bardzo zmienia się pozycja pracownika ochrony, który do tej pory był jednym z głównych elementów strategii bezpieczeństwa.
– W nowoczesnym zakładzie produkcyjnym nie ma miejsca dla pracownika ochrony, który nie jest dobrze wyszkolony. Obecnie to musi być świadomy uczestnik systemu bezpieczeństwa. Musimy mieć bardzo dobrze wyszkolony personel, który będzie w stanie obsługiwać nowoczesne systemy zarządzania bezpieczeństwem, który będzie znał bardzo dobrze wszelkiego rodzaju kwestie związane z VMS, czyli systemem zarządzania alarmami w przypadku sytuacji potencjalnie niebezpiecznych czy kryminalnych. Musi znać zasady komunikacji kryzysowej – to jest absolutne must have – i w przypadku dezinformacji szybko informować pracowników, partnerów, społeczność – zaznacza Wincenty Ignatowski.
Potężnym orężem w walce z zagrożeniami okazuje się właśnie personel. Security managerowie, którzy zgodzili się opowiedzieć o tym, z czym się obecnie mierzą, zgodnie podkreślali wagę szkolenia pracowników. Zakresy tych treningów są różne – od szkoleń adaptacyjnych, przez szkolenia z zakresu stricte bezpieczeństwa fizycznego, ustawiczne szkolenie z pierwszej pomocy, po szkolenia z bezpieczeństwa cyfrowego, a nawet militarno-obronne. Wariacje pojawiają się także w zależności od zajmowanego stanowiska – innego rodzaju szkolenia przechodzą pracownicy produkcji, innego – kadra zarządzająca i zarząd, a jeszcze inna wiedza jest przekazywana wspomnianym pracownikom ochrony.
Oddzielnym tematem jest podnoszenie kompetencji samych bezpieczników – zarówno poprzez szkolenia, jak i udział w targach, warsztatach czy konferencjach branżowych. Także kwestie bezpieczeństwa przeciwpożarowego, BHP, umiejętność ewakuacji muszą być opanowane bezbłędnie, przez wszystkich bez wyjątku. Duża odpowiedzialność spoczywa na kierownikach średniego szczebla, ponieważ to oni, po odpowiednim przeszkoleniu, mogą wychwycić wiele potencjalnych problemów, jeszcze zanim te objawią się w pełnej skali. Organizowaliśmy szkolenia obronne dla kierowników również po to, aby rozwijać ich czujność i umiejętność dostrzegania nietypowych zachowań pracowników, takich jak m.in. nieregularne przychodzenie do pracy, nadzwyczajne absencje, spóźnienia, wcześniejsze wyjścia, częste opuszczanie stanowiska w ciągu dnia czy oznaki nadmiernego napięcia nerwowego – podkreśla Piotr Sitko.
Zagrożenia out-of-the box
W zależności od specyfiki zakładu mogą także pojawić się zagrożenia, które będą szczególnie dotkliwe w danej dziedzinie, podczas gdy w innej zupełnie nieistotne. Przykład – zakład produkcji leków czy żywności będzie szczególnie wrażliwy na ryzyko zanieczyszczeń towaru, podczas gdy w sektorze energetycznym ta kwestia nie wystąpi. Wszystkie zakłady jednak są bardzo wyczulone na ryzyko utraty reputacji w wyniku rozsiewanej dezinformacji. Łatwo podważane są np. kwestie środowiskowe, co polega zwykle na powielanych w sieci zarzutach o trucie, przekraczanie lub ignorowanie norm emisji, utylizacji odpadów itd. Organizacje muszą reagować stanowczo – każda z nich podlega bowiem konkretnemu ministerstwu lub urzędowi, sprawującemu nadzór nad prawidłowością działania. O dowolności w tym zakresie nie może być mowy.
Wspomniane na początku tempo zmian na arenie światowej oraz rozwój narzędzi sztucznej inteligencji sprzyjają pojawianiu się coraz to nowych typów zagrożeń, np. związanych z podnoszonym publicznie kryzysem zdrowia psychicznego. – Wtargnięcie do spółki przez osobę trzecią i wyrządzenie szkód jest obecnie bardzo mało prawdopodobne, ponieważ jesteśmy skutecznie chronieni zarówno przez systemy zabezpieczeń, jak i przez naszych pracowników – wewnętrzną służbę ochrony. Uważam natomiast, że szczególnie niebezpieczne stają się dziś zagrożenia o charakterze społecznym, a w istocie – psychologicznym. Są one związane ze zmianami zachodzącymi na świecie oraz z narastającą liczbą problemów zdrowia psychicznego, takich jak depresja. To niezwykle poważne, a wciąż niedoceniane zagrożenia wewnętrzne – zarówno dla firmy, jak i dla samych pracowników – stwierdza Piotr Sitko.
Oswojone, zdawałoby się, social media to kolejne potencjalne źródło niespodziewanych wycieków informacji. Tych zwykle udzielają nieświadomi pracownicy, którzy np. chcą się pochwalić osiągnięciami zawodowymi. Na to także muszą być obecnie bardzo wyczuleni ci, którzy odpowiadają za bezpieczeństwo zakładu.
Na horyzoncie pojawiają się także m.in. ataki terrorystyczne, ataki nożowników, szpiegostwo przemysłowe z użyciem dronów czy zaawansowany deepfake. Jednym z nich jest tzw. whaling, czyli „polowanie na wieloryba” – cyberatak polegający na podszywaniu się pod wysoko postawione w spółce osoby, np. członków zarządu. Niebezpieczeństwo polega na tym, że zwykle są one przeprowadzane w sposób mistrzowski, a ulegnięcie takiemu oszustwu obarczone jest ogromnym ryzykiem strat, nieraz idącym w miliony.
Otoczenie odpowiedzią na zagrożenie
Zakłady przemysłu nie działają w próżni, i to jest dobra informacja. Poza jednostkami państwowymi, takimi jak ministerstwa lub urzędy, które organizują dane zakłady, np. Ministerstwo Finansów czy NBP lub sprawują nad nimi kontrolę, jak np. Urząd Rejestracji Produktów Leczniczych, Wyrobów Medycznych i Produktów Biobójczych nad Polpharmą, w działalność poszczególnych przedsiębiorstw przemysłowych zaangażowanych jest wiele innych podmiotów, które pomagają wspólnie wypracowywać standardy bezpieczeństwa.
Mimo iż dla wielu podmiotów wciąż niewiadome pozostaje, czy będą objęte dyrektywą NIS2, rozsądek podpowiada, aby działać zgodnie z jej wymogami. Zidentyfikowane incydenty są więc zgłaszane do CERT, oprócz tego przedsiębiorstwa chętnie współpracują z organami takimi jak policja, ABW, służby ratownicze, CSiRT, MSWiA, RCB. Dodatkowy poziom bezpieczeństwa zapewniają organizacje branżowe, które przeprowadzają własne audyty bezpieczeństwa związane np. z wydawaniem lub przedłużaniem specjalistycznych akredytacji. Zakłady mogą wspierać się ich wiedzą ekspercką i korzystać z pomocy w wykrywaniu i neutralizowaniu zagrożeń.
– Wszyscy jesteśmy częścią jednego systemu. Im większa będzie odporność na poziomie poszczególnych przedsiębiorców, zwłaszcza w zakresie infrastruktury krytycznej czy obiektów o szczególnym znaczeniu dla obronności państwa, tym silniejszy będzie cały system państwowy – zaznacza Jarosław Durkacz.
Pracownik nowym elementem bezpieczeństwa
– Nie można przewidzieć każdego z zagrożeń, które obecnie występują, ale oczywiście mamy przygotowane plany postępowania w obliczu różnych wydarzeń – podkreśla Wincenty Ignatowski. To z grubsza wyczerpuje odpowiedź na pytanie, jak radzić sobie z tak szeroką i wciąż nie do końca znaną skalą zagrożeń. Dobrym rozwiązaniem okazuje się więc budowanie systemów bezpieczeństwa w oparciu o podejście holistyczne, to znaczy branie pod uwagę wszystkich jego poziomów: bezpieczeństwa ludzi – to zawsze jest priorytet – informacji, produkcji, infrastruktury. Dziś w nowoczesnych zakładach przemysłowych niewyobrażalne jest ograniczenie się tylko do systemu dozoru wizyjnego czy innego elementu OT. Bezpieczeństwo bazuje na zaawansowanych strukturach składających się zarówno z technologii, procedur, jak i wiedzy człowieka. Ogromny nacisk kładzie się zwłaszcza na ten ostatni element – przeszkolenie pracownika. Na nim bezpieczeństwo się kończy i zaczyna, dlatego w najlepiej pojętym interesie pracodawców jest dołożenie wszelkich starań, aby był on odpowiednio przeszkolony nie tylko stanowiskowo, ale też pod względem zachowania się w obliczu szeroko pojętego niebezpieczeństwa; a także zaangażowany w swoją pracę. •
