Organizowane przez Evention wydarzenie, poświęcone ochronie infrastruktury przemysłowej, po raz ósmy zgromadziło specjalistów ds. IT, automatyki, cyberbezpieczeństwa, prezesów i menedżerów z różnych branż. Podczas prelekcji, warsztatów i debat z udziałem w sumie około 250 uczestników, omawiano największe wyzwania związane z bezpieczeństwem systemów OT i IT, a także wskazywano sposoby na poprawę ich ochrony. Jak podkreślił Piotr Łyczba, Network Expert z Nomios Poland, chociaż ciężko rozmawia się zespołom OT i IT, to da się jednak pogodzić bardzo wysoką dostępność systemów i ich bezpieczeństwo. W tym celu trzeba powołać zespoły, które wspólnie projektują rozwiązania i rozwiązują problemy pojawiające się na różnych etapach projektów. W skład zespołów powinien wchodzić zarówno integrator, jak też użytkownik i producent.

Rzecz jasna, z kooperacją w tego typu gronie różnie bywa. Część zespołów zarządzających liniami produkcyjnymi nadal uważa cyberbezpieczeństwo za zbędny dodatek albo przeszkodę, która spowalnia i komplikuje działanie systemów przemysłowych. Stąd kluczowe jest podnoszenie świadomości użytkowników w firmach, że lepsza ochrona IT jednocześnie zabezpiecza ciągłość działania linii przemysłowej (a to jest najważniejsze dla zakładu).

– Jak nawiązać dobrą współpracę? Staramy się zaangażować we wdrożenia różne działy. Gdy na przykład jest opór ze strony automatyków, to pokazujemy im, w jaki sposób mogą uzyskiwać wartość z cyberbezpieczeństwa – mówi Łukasz Kowalski, Senior Manager i Cybersecurity Engineering Team Lead w EY.

Weryfikuj, kontroluj, nie ufaj

Oprócz łączenia zespołów (IT, cyberbezpieczeństwa, operatorów linii przemysłowych) dla poprawy ochrony infrastruktury ważne jest także wdrażanie narzędzi, które zapewniają lepszy wgląd w procesy. Efektywny jest też pasywny monitoring (nie wpływa na wydajność) i mikrosegmentacja sieci. Przy czym cyberbezpieczeństwo nie jest czymś, co się kupuje i ma, lecz procesem, o który trzeba nieustannie dbać.

– Weryfikuj, kontroluj, nie ufaj. Raz sprawdzone urządzenie powinno być ponownie sprawdzane, czy nie jest znów podatne – podkreślał Jakub Jagielak, Technology Leader – Security w Atende.

Przed wdrożeniem koniecznie trzeba też sprawdzić kompatybilność software’u.

– Testowane jest nie tylko narzędzie, ale architektura jako całość – wyjaśnia Bartosz Nieróbca, manager, OT/IoT Cybersecurity Hub, Technology Consulting w EY.

InfraSEC 2023

Według danych Nomios połowa (49 proc.) zagrożeń dla systemów OT pochodzi z wewnątrz (osoba działająca umyślnie lub niedbale), podczas gdy organizacje przestępcze odpowiadają za 30 proc., a kraje i napastnicy powiązani z rządami za 16 proc. Największe obawy użytkowników budzi złośliwe oprogramowanie i phishing (35 proc.), socjotechnika (24 proc.) i ataki bezpośrednie – w tym za pomocą USB (15 proc.).

Safdar Akhtar, dyrektor w Forcepoincie, zauważa, że wymuszona sytuacją gospodarczą szybkość migracji do Przemysłu 4.0 zwiększyła zagrożenia poprzez coraz większą liczbę punktów dostępu do sieci przemysłowego Internetu Rzeczy (IIoT). A warto podkreślić, że obecnie działa już na świecie ponad 50 mld urządzeń xIoT (extended IoT) w systemach IoT, IIoT i OT (np. sterowniki PLC, robotyka, routery, kamery i in.).

Taniość powodem błędów

Wyzwaniem na rynku systemów OT jest dominacja dużych dostawców, którzy narzucają określone rozwiązania.

– Taniość powoduje, że oprogramowanie zawiera coraz więcej błędów. Producenci korzystają z coraz tańszych zespołów i elementów, by utrzymać marżowość – ocenia Andrzej Cieślak, prezes Dynacon.

Zwraca przy tym uwagę, że prawo, w tym ustawa o KSC, stawia wymagania wobec dostawców w zakresie cyberbezpieczeństwa, więc klienci powinni angażować departamenty prawne, aby umieszczały odpowiednie zapisy w umowach. Jest też pole od poprawy w przetargach publicznych, w tym uzupełnianie opisu przedmiotu zamówienia o wymagania w zakresie cyberbezpieczeństwa.

KSC2 i NIS2 mogą poprawić bezpieczeństwo

Podczas InfraSEC Forum 2023 omawiano również przepisy prawa związane z cyberbezpieczeństwem, szczególnie zmiany wprowadzane nowymi dyrektywami KSC2 i NIS2. W przypadku KSC2 nowością jest krajowy system certyfikacji, a w NIS2 analiza ryzyka i bezpieczeństwo łańcucha dostaw.

– Moim zdaniem zbyt mały nacisk w polskiej ustawie został położony na audyt i uwierzytelnianie wieloskładnikowe. NIS2 zwraca na to uwagę – mówi Artur Piechocki, radca prawny, założyciel Kancelarii APLAW.

Istotne w NIS2 są sankcje za naruszenie przepisów: do 10 mln euro lub 2 proc. globalnego obrotu organizacji. NIS2 wymaga od organizacji zastosowania odpowiednich do zagrożeń środków technicznych i organizacyjnych.

– Może dzięki karom okaże się, że cyberbezpieczeństwo jest wdrażane – zauważa prawnik.

Przykładem może być RODO, gdy ryzyko sankcji skłoniło sporo organizacji do poprawy ochrony danych osobowych.