Czy regulacje wzmacniają bezpieczeństwo OT?

Mimo widocznego wzrostu świadomości i inwestycji w cyberbezpieczeństwo, wiele firm przemysłowych wciąż mierzy się z poważnymi wyzwaniami. Jednym z nich jest wspomniany już tutaj kilka razy dług technologiczny, który wynika z tego, że w środowiskach OT nadal funkcjonuje wiele starszych systemów, które nie były projektowane z myślą o współczesnych cyberzagrożeniach. Problemem pozostaje również niedobór specjalistów posiadających kompetencje na styku IT i OT, co utrudnia skuteczne zarządzanie bezpieczeństwem w takich środowiskach. Po jasnej stronie natomiast mogą być regulacje, które porządkują kwestie cyberbezpieczeństwa i wymuszają działanie.

– Regulacje, takie jak dyrektywa NIS 2 czy znowelizowana ustawa o Krajowym Systemie Cyberbezpieczeństwa, stanowią ważny fundament i pomagają ujednolicić standardy ochrony w sektorach kluczowych dla gospodarki. Trzeba jednak pamiętać, że tempo zmian legislacyjnych bywa wolniejsze niż rozwój zagrożeń – zauważa Maciej Gospodarek.

Dlatego sama zgodność z regulacjami nie jest wystarczająca, a zakłady przemysłowe muszą budować większą zdolność do szybkiego reagowania i proaktywnego wykrywania zagrożeń, w tym poprzez działania typu threat hunting, czyli aktywne poszukiwanie śladów potencjalnych ataków w infrastrukturze.

– Pod presją NIS 2 i nowelizacji UKSC oraz coraz częstszych incydentów świadomość rośnie, ale inwestycje idą w kolejne narzędzia, a nie w zmianę sposobu zarządzania ryzykiem. Widzę to podczas warsztatów – firmy mają drogie systemy monitoringu, a jednocześnie mają VPN wystawiony do internetu bez dwuskładnikowego uwierzytelniania i te same hasła we wszystkich lokalizacjach. Zarząd musi zrozumieć, że kolejne narzędzia nie gwarantują bezpieczeństwa, a atakujących nie interesują wyniki audytu – mówi Joanna Wziątek-Ładosz.

Jak ograniczyć ryzyko w środowisku IT/OT?

Jak radzą eksperci, skuteczna minimalizacja ryzyka w środowiskach produkcyjnych wymaga przejścia od ogólnych założeń do konkretnych, sprawdzonych rozwiązań inżynierskich.

– Absolutnym fundamentem jest pełna widoczność i dogłębna znajomość topologii sieci OT. Nie można bowiem skutecznie chronić urządzeń, których nie potrafimy precyzyjnie zidentyfikować. Kluczowym narzędziem realizacji tej ochrony jest rygorystyczna segmentacja zgodna z modelem Purdue, wspierana przez systemy NGFW – Next-Generation Firewall, dedykowane dla przemysłu, które dzięki głębokiej inspekcji pakietów potrafią filtrować ruch na poziomie specyficznych protokołów OT – tłumaczy Tadeusz Selbirak.

Całość systemu zabezpieczeń powinny uzupełniać zaawansowane mechanizmy kontroli, takie jak MFA, oraz stały nadzór w ramach zintegrowanych usług NOC/SOC. To właśnie ciągłe monitorowanie anomalii w czasie rzeczywistym oraz sprawność operacyjna centrów nadzoru pozwalają najskuteczniej eliminować zagrożenia.

Istotne jest przy tym podejście procesowe do cyberbezpieczeństwa, zakładające ciągłe monitorowanie anomalii w czasie rzeczywistym, regularne testowanie planów odtwarzania po awarii (disaster recovery) oraz budowanie świadomości bezpieczeństwa wśród pracowników. W końcu to ludzie bardzo często stanowią pierwszą linię obrony przed cyberzagrożeniami.

Zdaniem specjalisty

Joanna Wziątek-Ładosz, ekspertka ds. cyberbezpieczeństwa przemysłowego Joanna Wziątek-Ładosz, ekspertka ds. cyberbezpieczeństwa przemysłowego  

W minimalizowaniu ryzyka dla środowisk IT/OT największe znaczenie mają trzy rzeczy, z których żadna nie wymaga dużych nakładów finansowych. Po pierwsze istotna jest pełna inwentaryzacja zasobów OT – urządzeń, połączeń, dostępów –  bo nie można chronić tego, o czym się nie wie. Po drugie trzeba zadbać o podstawową cyberhigienę, czyli o 2FA do połączeń zdalnych i VPN, unikalne hasła do systemów, prawidłową segmentację IT/OT. Trzecia rzecz to świadomość zarządu, bo zarząd musi rozumieć, że cyberbezpieczeństwo to także problem biznesowy, a nie tylko działu IT. Na warsztatach dla kadry kierowniczej często zaczynam od prostego pytania: „co się stanie, gdy ktoś uzyska zdalny dostęp do systemu sterowania i wyda polecenie zatrzymania?”. Dopóki zarząd nie zrozumie, że każdy incydent ma swoje konsekwencje finansowe, jak i fizyczne, budżety na cyberbezpieczeństwo będą przyznawane po fakcie.

  
Sami-Daniel Guetat, Managing Director, Xsecures Sami-Daniel Guetat, Managing Director, Xsecures  

NIS 2 to największy game-changer od lat. Po raz pierwszy firmy produkujące żywność, chemikalia, maszyny czy pojazdy znalazły się w katalogu podmiotów „kluczowych” lub „ważnych”. Obowiązkowe stało się zarządzanie ryzykiem, raportowanie incydentów w 24 godziny oraz audyty. Wprowadzono odpowiedzialność osobistą zarządu i kary do 10 milionów euro lub 2 procent obrotu. To zmusza do działania, więc firmy planują zwiększenie budżetów na cyberbezpieczeństwo. Bez NIS 2 wiele inwestycji pozostałoby na poziomie deklaracji. Teraz to warunek utrzymania kontraktów w łańcuchu dostaw w UE. Trzeba jednak pamiętać, że nie wygrywa ten, kto wyda najwięcej na firewall, ale ten, kto traktuje cyberbezpieczeństwo jak element strategii biznesowej – z zarządem na pokładzie, AI jako sojusznikiem (nie tylko zagrożeniem) i NIS 2 jako minimalnym progiem, a nie celem. Polskie firmy produkcyjne mają szansę dogonić Zachód – pod warunkiem, że inwestycje nie skończą się na papierze, a regulacje przełożą się na realną kulturę bezpieczeństwa. Przy czym czasu jest coraz mniej.

  
Tadeusz Selbirak, dyrektor techniczny, Softinet Tadeusz Selbirak, dyrektor techniczny, Softinet  

W polskim sektorze przemysłowym dostrzegalne jest wyraźne rozwarstwienie. Podczas gdy liderzy energetyki czy automotive wdrażają już zaawansowane strategie ochrony, w wielu średniej wielkości przedsiębiorstwach świadomość zagrożeń wciąż bywa niewystarczająca. Największą barierą nie jest brak technologii, lecz reaktywne podejście do inwestycji – kosztowne systemy bezpieczeństwa są często kupowane dopiero po wystąpieniu incydentu, podczas gdy kluczowe znaczenie ma wcześniejszy audyt, systematyczne sprawdzanie podatności oraz wdrożenie elementarnych rozwiązań, które pozwalają na błyskawiczną detekcję i izolację zagrożeń na poziomie punktów końcowych. Nowe regulacje, takie jak NIS 2 czy KSC, wymuszają na zarządach traktowanie cyberbezpieczeństwa jako integralnego elementu ciągłości biznesu. Jednocześnie realnym wyzwaniem pozostaje pogłębiający się deficyt kadr – inżynierów, którzy potrafią swobodnie poruszać się zarówno w świecie protokołów przemysłowych, jak i nowoczesnych standardów IT oraz usług NOC/SOC.

  
Maciej Gospodarek, OT Systems Engineer, Fortinet Maciej Gospodarek, OT Systems Engineer, Fortinet  

Cyberzagrożenia dla infrastruktury przemysłowej szybko rosną, co wynika po pierwsze z tego, że systemy przemysłowe, które przez lata funkcjonowały w izolacji, są dziś podłączane do sieci firmowych oraz internetu. Otwiera to nowe możliwości zarządzania i optymalizacji procesów, ale jednocześnie zwiększa powierzchnię ataku. Po drugie, napięcia geopolityczne powodują wzrost liczby zaawansowanych kampanii typu APT – Advanced Persistent Threat, czyli długotrwałych i precyzyjnie zaplanowanych operacji prowadzonych przez wyspecjalizowanych cyberprzestępców. Coraz częściej są one wymierzone w infrastrukturę krytyczną i systemy przemysłowe. Często celem takich działań nie jest jedynie kradzież danych, lecz także zakłócenie ciągłości działania kluczowych sektorów gospodarki. Trzecim czynnikiem jest rosnące wykorzystanie przez cyberprzestępców narzędzi bazujących na AI.