"Bezpieczeństwo systemów przemysłowych (OT) to problem dostrzegany przez firmy od niedawna. Jednak mamy już przykłady, szczególnie w obszarze infrastruktury krytycznej - gdzie ataki na systemy sterowania różnymi procesami technologicznymi są wykorzystywane przez cyberprzestępców jako broń" - zauważył Sygutowski. Dodał, że polskie przedsiębiorstwa powinny brać takie zagrożenia poważnie pod uwagę. Celem ataku hakerskiego może być bowiem nie tylko system finansowo-księgowy w banku, ale też produkcyjny - np. wodociągi, czy elektrownie - co zagraża bezpieczeństwu ludzi.
Tak jak na przykład na Ukrainie w grudniu 2016 r. "Miał wówczas miejsce cyberatak na sieć elektroenergetyczną. W obwodzie kijowskim doprowadzono skutecznie do odłączenia kilkuset tysięcy ludzi od prądu w okresie dużych mrozów" - wyjaśnił Patryk Gęborys wicedyrektor Zespołu Cyber Security w PwC. Dodał, że miało to znamiona typowego cyberataku - przestępcy dokonali rozpoznania, ataku, następnie doszło do zacierania śladów. "Doprowadzono do tego, że firma elektroenergetyczna nie była w stanie wznowić działania swoich systemów sterujących, bo fizycznie uszkodzono zasilacze awaryjne. A wszystko na skutek ingerencji przez sieć teleinformatyczną" - wyjaśnił.
Według ekspertów z PwC dotąd obszar produkcji i sterowania procesami przemysłowymi był "odseparowany od świata internetu". Podlegał własnym regułom. Od kilku lat dochodzi jednak do integracji obszaru produkcji i IT. Dane z systemów przemysłowych "są przekazywane do systemów IT, gdzie są analizowane pod różnymi kątami - np. optymalizacji produkcji, a co za tym idzie kosztów". "Problemem jest też to, że bezpieczeństwo systemów używanych w procesach produkcyjnych jest 5-10 lat +do tyłu+ w stosunku do systemów informatycznych, które są stosowane w biznesie - np. w systemach finansowo-księgowych. W ich przypadku IT, rzec by można, oswoiło się z zagrożeniami związanymi z cyberatakami, w obszarze OT jest to jeszcze egzotyka. Te systemy mają bardzo długi cykl życia, potrafią pracować po 15 lat bez modyfikacji. Jeśli pomyślimy o komputerze czy oprogramowaniu sprzed 15 lat to zupełnie nie były one przygotowane na te zagrożenia, które są w tej chwili obserwowane. Połączenie nowego środowiska komputerowego ze starym światem systemów przemysłowych powoduje mieszankę wybuchową" - ocenił Gęborys.
Jak podkreślają eksperci PwC 96 proc. dużych i średnich firm w Polsce doświadczyło w ciągu ostatniego roku ponad 50 incydentów naruszających bezpieczeństwo informacji. "Niepokojące jest to, że część firm nie widzi skutków cyberataków, albo nie jest w stanie oszacować związanych z tym strat" - powiedział Sygutowski. Dodał, że poza świadomością tego typu zagrożeń ważne jest też inwestowanie w poprawę bezpieczeństwa. "Dostrzeżenie zagrożenia to nie wszystko. (...) Trzeba się jeszcze przygotować do obrony i wyasygnować środki. Budżet na zabezpieczenia do 500 tysięcy złotych - a takimi kwotami na ten cel dysponuje część firm - nie wystarczy. W grę wchodzą znacznie większe budżety" - podkreślił.
Jak zauważyli eksperci PwC, 76 proc. polskich firm produkcyjnych zadeklarowało, że monitorowanie bezpieczeństwa w zakresie systemów przemysłowych jest dla nich priorytetem na najbliższe 2 lata, z drugiej jednak strony narzędzia do monitorowania cyberzagrorożeń (tzw. SIEM - Security Information Event Management) ma jedynie 21 proc. firm. Według Tomasza Sawiaka, wicedyrektora Zespołu Cyber Security polskie firmy czeka jeszcze wiele pracy w obszarze rozwoju "technologicznej architektury bezpieczeństwa". Jak wyjaśnił metody cyberataków na środowisko IT przedsiębiorstw polegają często na uzyskiwaniu zdalnego dostępu do stacji roboczej uprzywilejowanych użytkowników poprzez infekcje odpowiednio przygotowanym oprogramowaniem (tzw. RAT - Remote Access Trojan). "Stosowane są różne metody ataków, m.in. wykorzystujące niewiedzę użytkowników i nakłaniające ich do nieświadomej infekcji stacji roboczych poprzez odwiedzenie odpowiednio przygotowanych serwisów www czy otwieranie odpowiednio spreparowanych plików. Specjalistyczne rozwiązania chroniące przed tego typu atakami (tzw. anty APT - Advanced Persistent Threat) stosowane jest jedynie przez 26 proc. firm" - podkreślił Sawiak.
Według Sygutowskiego nie da się wyeliminować cyberataków na firmy i ich systemy przemysłowe (OT). Przedsiębiorstwa muszą się więc jak najlepiej przed nimi chronić - m.in. poprzez koncentrowanie się nie tylko na bezpieczeństwie swych systemów finansowych czy finansowo-księgowych, ale też zwrócenie uwagi na to, że systemy informatyczne wspomagają procesy produkcyjne. Ważne są również szkolenia mające na celu zwiększenie wiedzy pracowników z zakresu bezpieczeństwa. Jak wynika z badania PwC, 68 proc. respondentów wskazało "nieautoryzowany dostęp z wewnątrz organizacji" jako najczęstsze źródło incydentów w systemach OT jest bowiem Oznacza to, że największe zagrożenie stanowią, często nieświadomie, sami pracownicy.
"Cyberataki na firmy będą dokonywane. Są możliwości techniczne, sponsorzy takich działań i grupy, które mogą się tego podjąć" - podkreślił Sygutowski. Dodał, że w przyszłości można się spodziewać większej liczby ataków m.in. za pośrednictwem mediów społecznościowych ze względu na ich duży zasięg. "Mamy tu do czynienia z dużym polem rażenia. Konta w mediach społecznościowych mają prawie wszyscy pracownicy firm" - wyjaśnił.
"Świat pędzi do przodu. Pędzą zarówno atakujący, jak i ci, którzy przed atakami starają się chronić. Zawsze intruzi będą o krok przed zabezpieczeniami" - podsumował.