Co to oznacza dla przedsiębiorstw o wysokim stopniu automatyzacji i cyfryzacji?
Nie ulega wątpliwości, że technologie takie jak AI, IoT oraz szeroko rozumiana automatyzacja, w dużym stopniu przyczyniają się do rozwoju światowej gospodarki. Transformacja cyfrowa pozwoli zwiększyć produktywność, a tym samym dostępność wielu produktów i usług. O potrzebie cyfryzacji przemysłu mogliśmy się przekonać szczególnie w okresie pandemii. Trwająca rewolucja – koncepcja Przemysłu 4.0 – niesie jednak ze sobą także konkretne zagrożenia, w tym przede wszystkim ze strony cyberprzestępców. Kluczowe jest zatem, aby wraz z rozwojem technologii automatyzujących działalność przemysłową, dbać również o zwiększenie ochrony infrastruktury cyfrowej przed atakami z zewnątrz.
Na ten problem silny nacisk kładzie unijna dyrektywa NIS2, która weszła w życie 16 stycznia 2023 roku. Z jej zapisami musi się zapoznać każdy zakład, który już dziś osiągnął wysoki stopień automatyzacji lub właśnie planuje inwestycje w tym obszarze. Poniżej znaleźć można więcej informacji na ten temat.
Czym jest dyrektywa NIS2?
NIS2, czyli dyrektywa w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w całej Unii Europejskiej, to ogólnounijne prawodawstwo, które daje krajom członkowskim narzędzia do zwiększenia poziomu ochrony przed zagrożeniami cybernetycznymi. Jednocześnie dyrektywa nakłada na kraje unijne dodatkowe obowiązki związane z szeroko rozumianym cybersecurity.
Pierwsze unijne przepisy dotyczące cyberbezpieczeństwa zostały wprowadzone w 2016 roku, a w Polsce przyjęto je w 2018 roku. Od tamtego czasu wiele się zmieniło – również za sprawą pandemii, która gwałtownie przyspieszyła proces przenoszenia biznesów do sieci oraz cyfrowej transformacji przemysłu.
W odpowiedzi na powyższe, prawo zostało uaktualnione na mocy dyrektywy NIS2. Ma ona na celu zmodernizowanie obowiązujących przepisów w taki sposób, aby były one adekwatne do obecnego poziomu cyfryzacji m.in. usług publicznych, jak i biznesu oraz przemysłu.
Dyrektywa NIS2 nakłada na państwa unijne szereg obowiązków związanych z dostosowaniem przepisów krajowych do realnego zagrożenia ze strony cyberprzestępczości.
Państwa muszą m.in. powołać zespoły reagowania na incydenty bezpieczeństwa komputerowego (CSIRT) oraz krajowe organy ds. sieci i systemów informatycznych (NIS).
Dodatkowo dyrektywa wprowadza zasadę współpracy państw członkowskich w zakresie m.in. wymiany informacji dotyczących cyberbezpieczeństwa.
Szczególnie ważnym zagadnieniem, dotykającym bezpośrednio np. prywatne przedsiębiorstwa, jest wprowadzenie „kultury bezpieczeństwa we wszystkich sektorach, które są niezbędne dla naszej gospodarki i społeczeństwa […]”. Co należy przez to rozumieć?
Przedsiębiorstwa muszą lepiej dbać o cyberbezpieczeństwo
Dyrektywa NIS2 wprowadza istotne rozszerzenie listy podmiotów, które muszą zwiększyć ochronę zasobów przed atakami cybernetycznymi.
W dokumencie unijnym jest mowa przede wszystkim o sektorach kluczowych – czyli np. energetyce, branży wodno-kanalizacyjnej, transporcie czy bankowości – jednak pojawia się w niej również wzmianka na temat tzw. podmiotów ważnych.
Chodzi tutaj o podmioty, które z uwagi na wysoki stopień cyfryzacji i automatyzacji są szczególnie narażone na ataki hakerskie (crackerskie). Tego typu ataki grożą nie tylko przestojami w produkcji (co może być szkodliwe dla krajowej i unijnej gospodarki), ale również kradzieżą własności intelektualnej, w tym patentów.
Z zapisami dyrektywy NIS2 muszą się zapoznać przedsiębiorstwa, w których procesy produkcyjne są oparte o nowoczesne układy sterowania IACS (Industrial Automation and Control Systems), czyli m.in. działające w branży:
- spożywczej,
- chemicznej,
- motoryzacyjnej,
Układy IACS zapewniają wysoką wydajność, powtarzalność produkcji i zachowanie najwyższej jakości, natomiast z uwagi na ich podłączenie do sieci stają się też oczywistym celem ataków cyberprzestępców. Dyrektywa NIS2 zwraca na to uwagę, a właściciele przedsiębiorstw bezpośrednio zainteresowanych tym zagadnieniem (lub ich działy IT) powinni już dziś skupić się na zwiększeniu poziomu ochrony przed zagrożeniami cybernetycznymi.
Przedsiębiorstwa muszą lepiej dbać o cyberbezpieczeństwo
Wiedząc, jak realne jest ryzyko zaatakowania sieci wewnętrznej zautomatyzowanego przedsiębiorstwa, należy w pierwszej kolejności rzetelnie przeanalizować poziom zabezpieczeń przed takimi zdarzeniami.
Podstawę stanowi audyt sieciowy, w ramach którego eksperci oceniają poziom cyberbezpieczeństwa OT w przedsiębiorstwie. Usługę przeprowadzenia audytu sieciowego znajdą Państwo w ofercie RAControls.
Składają się na nią m.in. inwentaryzacja zasobów sieciowych obszaru OT, weryfikacja konfiguracji pod kątem bezpieczeństwa, analiza wydajności urządzeń sieciowych, identyfikacja zagrożeń i podatności na ataki w obszarze OT, a także sformułowanie zaleceń mających na celu zminimalizowanie ryzyka ataku hakerskiego oraz pomoc w projektowaniu i uruchamianiu nowoczesnej sieci przemysłowej.
RAControls oferuje także możliwość skorzystania z bezpłatnych warsztatów-konsultacji „Cyberbezpieczeństwo w przemyśle”
Głównym celem warsztatów jest przekazanie uczestnikom najistotniejszych informacji dotyczących zagrożeń cybernetycznych wynikających z rozwoju obszaru OT oraz określenie zaleceń dla poprawy zabezpieczeń.
Eksperci RAControls prowadzą warsztaty w zakładach produkcyjnych a teraz także online.
Kontakt w sprawie rozwiązań zwiększających bezpieczeństwo cybernetyczne zakładów produkcyjnych:
Tomasz Drewniok, OT Security Business Consultant
kom.: +48 785 293 262 | e-mail: tdrewniok@racontrols.pl
pobierz publikację racontrols
W ofercie RAControls znajdą Państwo również szereg innych rozwiązań realnie zwiększających poziom ochrony przed zagrożeniami cybernetycznymi, pozwalającymi dostosować Państwa przedsiębiorstwo do wymagań dyrektywy NIS2.
Broszura przybliża najważniejsze zagadnienia i taktyki stosowane przy tworzeniu zabezpieczeń na różnych warstwach systemów sterowania.
Korzystając z zalet nowoczesnych rozwiązań warto jednocześnie pamiętać o bezpieczeństwie swojego przedsiębiorstwa i znajdujących się w nim zasobów.