Infrastruktura krytyczna: wiele problemów do rozwiązania
W przypadku infrastruktury krytycznej skala i zaawansowanie zagrożeń rosną szybciej niż zdolności obronne. Z czego to wynika i jak sobie z tym radzić?
Największym błędem jest traktowanie OT jak kolejnego segmentu IT.
Infrastruktura bezpieczna, czyli suwerenna
Zależność od zagranicznych dostawców chmury publicznej oraz problemy z kontrolą bezpieczeństwa systemów i komponentów to realne zagrożenia dla polskiej infrastruktury krytycznej. Czy da się zwiększyć naszą suwerenność w tym obszarze?
– To jest realne zagrożenie, ale nie należy go sprowadzać do hasła „zagraniczne równa się złe”. Problemem jest koncentracja zależności, brak kontroli nad łańcuchem dostaw, ograniczona audytowalność, vendor lock-in, jurysdykcja danych, aktualizacje poza pełną kontrolą klienta i ryzyko komponentów, których nikt po stronie organizacji realnie nie rozumie. Jednak nie chodzi o pełną autarkię w infrastrukturze krytycznej, bo to byłoby nierealne i bardzo kosztowne. Chodzi o suwerenność operacyjną, czyli zdolność państwa i operatorów do utrzymania działania usług krytycznych nawet wtedy, gdy dostawca, chmura, komponent albo łańcuch dostaw zawiedzie – mówi Karol Kij.
Vendor lock-in, czyli ryzyko silnego uzależnienia organizacji od jednego dostawcy technologii lub usług prowadzi do sytuacji, w której zmiana dostawcy, integracja z innymi rozwiązaniami czy migracja danych stają się trudne lub kosztowne. Tego rodzaju zagrożenia należy postrzegać jako jedne z kluczowych słabości w krajowej polityce bezpieczeństwa oraz budowaniu niezależności technologicznej. I jest to szczególnie widoczne, jeśli chodzi o chmurę, bo na tym rynku karty rozdają giganci.
– Pełne uzależnienie od dostawców chmury publicznej oraz ograniczona kontrola nad środowiskami IT, zwłaszcza w kluczowych obszarach, takich jak infrastruktura AI, stanowią realne ryzyko dla stabilności i ciągłości działania systemów o znaczeniu krytycznym. W praktyce oznacza to, że silne uzależnienie od jednego dostawcy AI ogranicza zdolność firmy do reagowania na zmiany technologiczne, regulacyjne lub geopolityczne, co wprost przekłada się na poziom jej odporności. Zwiększanie suwerenności w tym obszarze wymaga realnej kontroli nad danymi, architekturą i sposobem przetwarzania informacji – mówi Lubomir Stojek, Country Manager Polska w Red Hat.
Kluczowe jest tu projektowanie architektury umożliwiającej przenoszenie obciążeń między środowiskami, wzmacnianie bezpieczeństwa łańcucha dostaw oprogramowania oraz wykorzystanie rozwiązań IT bazujących na otwartych standardach, które zapewniają przejrzystość i wgląd w działanie systemów. Warto również pamiętać, że suwerenność nie ogranicza się wyłącznie do danych. Obejmuje także warstwę technologiczną, operacyjną oraz zdolność do niezależnego weryfikowania bezpieczeństwa i integralności systemów. Dopiero połączenie tych elementów pozwala organizacjom realnie zarządzać swoim środowiskiem IT i budować odporność infrastruktury krytycznej.
Wzmacnianie suwerenności cyfrowej powinno być procesem inicjowanym i koordynowanym przez państwo i to na wielu poziomach. Może to obejmować tworzenie narodowych platform opartych na rodzimych rozwiązaniach, które jednocześnie wspierają rozwój krajowego sektora technologicznego i zwiększają jego niezależność. Przykładem mogą być rozwijane już z powodzeniem domenowe modele AI, takie jak PLLuM czy Bielik.
Zdaniem specjalisty
Dawid Zięcina, Director of the Technical Department, Dagma Bezpieczeństwo IT Czy można jeszcze patrzeć kategoriami rankingu atakowanych sektorów? Ten czas chyba się już skończył. Dzisiaj wszystkie sektory związane z infrastrukturą krytyczną są łakomym kąskiem dla cyberprzestępców. Oczywiście są te mniej lub bardziej „atrakcyjne”. Gdy pojawia się szansa, nie jest istotne czy jest to sektor energetyczny, transportowy, wodny czy zdrowotny, tylko to, żeby wykorzystać możliwości wynikające z powodzenia ataku i skorzystać na tym. Dla jednych ważne będą aspekty finansowe, inni chcą rozgłosu, a jeszcze inni dążą do wywołania paniki i strachu. Na pewno nie należy tworzyć w przestrzeni medialnej wizerunków branż i sektorów, w których rzekomo zabezpieczenia są najsłabsze. Każda organizacja ma silniejsze i słabsze strony, a w obliczu cyberzagrożeń trzeba szacować ryzyko i podejmować decyzje dotyczące tego, co chronimy w pierwszej kolejności, a co w dalszej.
Artur Bicki, CEO, Energy Logserver Paradoksalnie, tworzenie specjalnej, bezpiecznej strefy to główny mankament ochrony styku IT/OT. Zróbmy analogię do oprogramowania. Najbezpieczniejsze jest takie, którego kod jest dostępny publicznie i całkowicie otwarty na modyfikacje. Rozwiązania zamknięte zawsze zaskakiwały nas skalą błędów i podatności, czego nie obserwujemy w projektach open source. Bezpieczna strefa OT utrudnia pracę zarówno atakującym, jak i zespołom działów bezpieczeństwa. Wszędzie są obostrzenia, procedury ruchu, ryzyka utraty gwarancji czy wręcz destabilizacji pracy obiektu. W konsekwencji to obszar, którego latami nikt nie modyfikuje, a wiele jest historii o tym, że serwis zostawił sobie modem dostępowy, który już bez obostrzeń zestawia połączenie do sieci przemysłowej. W celu zabezpieczenia OT musimy tę strefę odczarować, prowadząc inwestycje z obszaru cybersecurity, tak jak to robimy dla IT.
Energy Logserver zdobyło certyfikat Channel Master 2026
Maciej Gospodarek, Principal Systems Engineer, Fortinet Największe wyzwania na drodze do osiągnięcia zgodności z ustawą o KSC mają zarówno charakter finansowy, jak i organizacyjny. Wdrożenie kompleksowych rozwiązań wiąże się z istotnymi kosztami, a jednocześnie rynek mierzy się z niedoborem wykwalifikowanych specjalistów. Dodatkową trudnością bywa niejednoznaczność części przepisów oraz dług technologiczny, szczególnie widoczny w środowiskach IT i OT. Dlatego kluczowe znaczenie ma odpowiednie zaplanowanie działań, już na początkowym etapie audytu i analizy luk. Ta identyfikacja obszarów, w których obecne zabezpieczenia nie spełniają jeszcze wymagań regulacyjnych powinna odbywać się przy udziale doświadczonych ekspertów. Pozwala to właściwie ustalić priorytety i wdrażać rozwiązania w sposób spójny, tak aby jednocześnie spełniały wymagania regulacyjne i upraszczały utrzymanie zgodności w dłuższej perspektywie.
Podobne artykuły
Bezpieczne dokumenty, bezpieczna firma
Stare oprogramowanie może kosztować firmę więcej niż kupno nowych licencji. Po wejściu w życie nowelizacji KSC należy dokładniej przyglądać się narzędziom, które dotąd działały bez problemów.
Blackwall: młot na boty
Boty generują już większość ruchu w sieci, co oznacza, że w nowej rzeczywistości cyberzagrożeń muszą odnaleźć się nawet najmniejsze firmy i instytucje.