Z jakimi atakami muszą się liczyć firmy przemysłowe i jak zadbać o cyberbezpieczeństwo, dyskutowali eksperci w panelu „Drogi do cyberbezpieczeństwa w przemyśle”
Polski przemysł ma szansę dokonać skoku technologicznego. Sprzyjać temu będą odblokowane środki z KPO oraz fundusz spójności.
/>
– Dają niepowtarzalną okazję na wzmocnienie konkurencyjności kraju i przyciągnięcie inwestorów. Nie chodzi o to, by wciąż gonić peleton, tylko wysunąć się na jego czoło – podkreśla Marcin Płatkowski, dyrektor działu automatyki procesowej Siemens Polska.
W parze z szansami idą jednak ryzyka.
– Chociaż ataki cyfrowe są obecnie najbardziej powszechne i powinniśmy głownie na nie zwracać uwagę, nie możemy bagatelizować innych rodzajów zagrożeń. Należy pamiętać o atakach fizycznych zewnętrznych, dokonywanych przez osoby trzecie, oraz wewnętrznych, które mogą być celowe lub nieświadomym działaniem pracowników. Dodatkowo istnieje ryzyko ataków socjotechnicznych, w których przestępcy wykorzystują manipulację społeczną w celu pozyskania danych firmy lub wyrządzenia innej szkody – wylicza Robert Klecha, manager działu IT BWI Poland Technologies.
/>
Marcin Płatkowski wskazuje, że ataków jest coraz więcej, są one coraz bardziej śmiałe i przeprowadzane przez zorganizowane grupy przestępcze. Zagrożone są, jak podkreśla ekspert, wszystkie firmy, ale w przypadku tych największych straty mogą być najbardziej odczuwalne. To samo dotyczy infrastruktury krytycznej – wodociągów, sieci elektrycznych czy nawet oczyszczalni ścieków.
– Rosnąca liczba połączonych ze sobą urządzeń, coraz większa liczba wykorzystywanego oprogramowania powoduje, że istnieje ogromna potrzeba odpowiedniego zabezpieczania sieci OT i systemów automatyki – uzupełnia Marcin Płatkowski.
Tomasz Szczygieł, ekspert ds. ochrony danych DEKRA Certification PL, wskazuje, że na początku trzeba się zastanowić, kto i po co może zaatakować firmę. Taka analiza ułatwia dobranie środków ochrony.
/>
Warto zwrócić uwagę na standardy przemysłowe oraz normy, jak ISO/IEC 27001 czy ISA/IEC 62443, które z jednej strony podpowiadają, jak zabezpieczyć infrastrukturę, a z drugiej mówią o procedurach na wypadek ataku, tego, jak się zachować i postępować, by ograniczyć konsekwencje, w tym te wynikające z roszczeń kontrahentów.
– Ważne są też wymagania prawne, jak dyrektywa NIS2, która stawia na bezpieczeństwo w całym łańcuchu dostaw, i odpowiedzialność podmiotów biorących w nim udział – uzupełnia Tomasz Szczygieł.
Eksperci zalecają przeprowadzać audyt cyberbezpieczeństwa.
– Czyli trzeba najpierw sprawdzić, na jakim etapie jesteśmy, zrobić inwentaryzację, sprawdzić, jak poszczególne obszary w firmie są ze sobą skomunikowane, jak współdziałają, czy są słabe punkty, czy rozwiązania software, czy hardware wymagają aktualizacji, czy dziś przyczyniają się do występowania luk, z powodu których może dojść do ataku – wymienia Marcin Płatkowski i dodaje, ze Siemens podchodzi do zagadnienia cyberbezpieczeństwa kompleksowo, analizując wszystkie aspekty przedsiębiorstwa, od czynnika ludzkiego po podatność sprzętu na ataki.
Problem w tym, że świat produkcyjny i IT w firmie nie zawsze idą w parze. To, jak wygląda połączenie i współdziałanie, powoduje, że firmy są mniej lub bardziej skuteczne w zapewnieniu bezpieczeństwa. Dlatego należy dobrze zdefiniować odpowiedzialność na styku tych dwóch obszarów.
Istotne jest też budowanie w całej firmie świadomości cyberbezpieczeństwa. Należy m.in. wskazać konsekwencje postępowania niezgodnego z procedurami.
– Pracownicy czasem zbyt lekkomyślnie podchodzą do swojej pracy i niejednokrotnie starają się omijać wprowadzone reguły ochrony danych. Warto ich uświadamiać, jakie to może mieć konsekwencje – mówi Robert Klecha.
Mimo wszystko człowieka można zmanipulować.
– Dlatego zwiększając jego świadomość i wiedzę na temat zagrożeń, można przeciwdziałać atakom, przerwać je już na wczesnym etapie – tłumaczy Tomasz Szczygieł i dodaje, że przy szkoleniach nie można pomijać pracowników żadnego szczebla.
Świadomość na temat cyberbezpieczeństwa nie jest duża, choć wzrosła w ostatnich latach.
– Nadal jednak słyszmy od klientów, że ich system automatyki nie jest podłączony do sieci, więc jest bezpieczny. A tak nie jest. Znane są nam przypadki, gdzie instalujący go dostawca zostawiał sobie furtkę w postaci zdalnego dostępu, o czym przedsiębiorca nawet nie wiedział – mówi Marcin Płatkowski.
W celu ochrony dostępne są narzędzie darmowe i komercyjne. W ich wyborze, podobnie jak przy inwentaryzacji, pomogą też producenci dostarczający infrastrukturę produkcyjną i IT.
– Wachlarz dostępnych rozwiązań jest ogromny. Nie wszystkie jednak nadają się dla każdej firmy. Nie każde przedsiębiorstwo ma bowiem potrzebę wdrażania skomplikowanych rozwiązań zapewniających ciągłe monitowanie i reagowanie na każdy niepożądany incydent. Można z nich korzystać we własnym zakresie, można też korzystać z pomocy fachowców – mówi Marcin Płatkowski. Podpowiada, by zwracać uwagę, z jakich komponentów budowany jest system sterujący produkcją, i wybierać te, które już na etapie projektowania i produkowania uwzględniały cyberbezpieczeństwo.
Na koniec eksperci podkreślili, że cyberbezpieczeństwo to nie jest produkt, który wdraża się raz. To proces ciągły, w którym potrzebne jest spojrzenie długofalowe i holistyczne.
_____________________________________________
DMA i DSA to rewolucja
O nowych regulacjach mówił w rozmowie z DGP Dariusz Standerski, wiceminister cyfryzacji
/>
Przez niektórych DSA, czyli akt o usługach cyfrowych, jest nazywany konstytucją internetu. Ja nie szedłbym tak daleko w jego ocenie. Niemniej jednak, jest to pakiet przepisów w UE, który może wprowadzić z jednej strony jednolite zasady publikowania treści w internecie oraz spowodować, że będzie mniej oskarżeń o arbitralne decyzje dostawców mediów społecznościowych, a z drugiej – może się przyczynić do tego, że będzie łatwiej namierzać i usuwać treści niezgodne z prawem. Zatem jest bardzo ważny dokument wprowadzający bezpieczeństwo i transparentność usług cyfrowych, zapewniając ochronę konsumentów i ich praw w internecie.
Jedno i drugie. Wdrażane przepisy dotyczą reklam, także politycznych, ich oznaczania. Po ich wejściu w życie będzie wiadomo, co z tego, co zostało opublikowane w sieci, do nich należy. Dziś bowiem dochodzi do przemycania pod postacią reklam innych treści. Wejście 6 marca przepisów DMA, które mają zapobiegać praktykom monopolistycznym, wpłynie z kolei na wyszukiwarki w sieci. Znikną z nich elementy niezgodne z DMA, nastąpi uporządkowanie rynku.
Dzięki przepisom zostanie na pewno zmniejszona przewaga dużych firm, a związana z wykorzystywaniem przez nie dominującej pozycji. Znikną też przewagi, tych, którzy choć działali zgodnie z prawem, to nie zawsze etycznie, czyli niektóre treści przemycali w sieci pod płaszczykiem reklamy. Do tego nie musieli się specjalnie niczego obawiać. Rozstrzyganie tego rodzaju spraw przez sądy trwa latami. Gdy wejdą przepisy DMA i DSA, będą znane zasady, na jakich będzie można oferować treści w sieci.
Zaczyna się właśnie proces konsultacji społecznych w zakresie DSA. Chcemy, by po stronie rządowej zakończył się do czerwca, czyli by do tego czasu projekt trafił do Sejmu. Mamy nadzieję, że pod koniec III kw. tego roku przepisy wejdą w życie. Czyli jednym słowem, na jesieni ruszy karuzela zmian związana z wdrażaniem ekosystemu, a dokładnie organizacji, które będą pomagały prezesowi UKE w wykonywaniu prawa, a dokładnie w zgłaszaniu treści niewłaściwych oraz organów, które będą rozstrzygały powstałe na tym tle spory. Dziś bowiem sądy, które zajmują się podobnymi sprawami potrzebują dwóch–trzech lat na wydanie rozstrzygnięcia, ze względu na duże ich obłożenie.
Jeśli chodzi o przepisy DMA, to są one obecnie opracowywane w Ministerstwie Rozwoju i Technologii. Przewidujemy, że w maju ruszy proces legislacyjny. A zatem to będzie rok prac nad wdrożeniem przepisów po stronie rzędu i Sejmu, dzięki czemu użytkownik na koniec 2024 r. będzie mógł zgłosić treści niewłaściwe, poskarżyć się na działanie usługodawcy, a jednocześnie będzie mógł korzystać z usług ograniczonych przez przepisy DMA.
Partnerzy
/>
Organizator
/>