Na cyberbezpieczeństwo składają się trzy komplementarne obszary: technologia, procesy i ludzie. Polskie firmy wciąż niedostateczny nacisk kładą na ochronę systemów OT, choć to podstawa dla bezpieczeństwa procesów w całej organizacji.
Katarzyna Berbeć
Współzałożyciel ICsec, Dyrektor ds. Strategii i Rozwoju, pełnomocnik zarządu ds. zintegrowanego systemu zarządzania zgodnego z normami ISO 9001, 27001 oraz 22301, Cybersecurity Certified (certyfikat CC, ICS2)
Jakie są największe luki w podejściu polskich organizacji przemysłowych do cyberbezpieczeństwa systemów OT, czyli technologii operacyjnej?
Przede wszystkim brakuje inwentaryzacji zasobów w formie cyfrowego rejestru, przez co wiele organizacji wciąż nie zna architektury swoich sieci OT. Dużą luką w świadomości osób zarządzających systemami w firmach jest też brak oddzielenia systemów OT od systemów IT. Tymczasem maszyny i urządzenia, niezbędne w procesach produkcyjnych, narażone są na cyberataki głównie przez sieć IT, do której dostęp mają osoby z zewnątrz. Powszechnym błędem jest też brak segmentacji systemów OT, co zwiększa ryzyko zakłóceń działania części operacyjnej przedsiębiorstw. Tymczasem segmentując poszczególne elementy w oddzielne bloki, separujemy je od siebie, dzięki czemu cyberatak na jeden segment nie paraliżuje pracy pozostałych.
Jednym z kluczowych elementów ochrony sieci przemysłowych jest budowanie tzw. świadomości sytuacyjnej. Dlaczego to tak ważne?
Budowanie świadomości sytuacyjnej jest kluczowe, aby organizacje mogły zrozumieć, co w ogóle chcą chronić. Z pomocą specjalistycznych narzędzi należy zinwentaryzować cały zasób OT, dzięki czemu możliwe jest nie tylko zidentyfikowanie wszystkich urządzeń, ale też nakreślenie mapy, która pokaże, jak te urządzenia łączą się ze sobą i jak optymalnie je wysegmentować. Zbudowanie świadomości sytuacyjnej jest też konieczne do określenia, które z urządzeń powinny mieć status krytycznych, by objąć je szczególną ochroną. Tak przeprowadzona inwentaryzacja zasobów OT to podstawowy krok w budowie systemu zabezpieczeń zgodnie z nowymi dyrektywami, które nakładają na firmy obowiązki dotyczące cyberbezpieczeństwa.
Wiele założeń cyberbezpieczeństwa odwołuje się do NIST Cybersecurity Framework. Jakie inne dyrektywy powinny mieć na uwadze przedsiębiorstwa?
NIST Cybersecurity Framework w wersji 2.0 ma dość ogólne zapisy i jest uniwersalny, dzięki czemu pasuje do wielu organizacji. To punkt wyjścia, tym bardziej że jest łatwy do wdrożenia. Natomiast wraz z rozwojem operacyjnym i implementacją bardziej zaawansowanych procesów organizacje muszą swoje zabezpieczenia pogłębiać. Kolejnym krokiem może być norma ISO 27001, która pomaga firmom chronić poufność i integralność danych. Z kolei podmioty z mocno rozbudowanymi sieciami OT powinny kierować się normą inżynierską IEC 62443, która kładzie nacisk właśnie na OT.
Jak w prosty sposób organizacje mogą podnieść poziom bezpieczeństwa OT?
Podkreślę, że cyberbezpieczeństwo to proces ciągły, a nie jednorazowe działanie. Na cyberbezpieczeństwo składają się trzy komplementarne obszary: technologia, procesy i ludzie. Żeby mówić o wysokiej jakości zabezpieczeń, firmy muszą szkolić swoje kadry, tworzyć interdyscyplinarne zespoły i właściwie rozdzielić między nie odpowiedzialność za poszczególne elementy systemów OT. Od strony procesowej należy przeprowadzić audyty bezpieczeństwa i na tej podstawie wybrać odpowiedni system ochrony, który będzie dopasowany do zasobów organizacji. Z kolei technologia powinna odpowiadać skali działalności przedsiębiorstwa – tak, by organizacja zawsze była w stanie tę technologię nadzorować i zabezpieczać.
