Przemysł i systemy automatyki przemysłowej nie są przygotowane na cyberzagrożenia, chociaż ataki hakerskie właśnie na ten rodzaj infrastruktury mogą doprowadzić do największych szkód. Wdrożona dwa lata temu ustawa o krajowym systemie cyberbezpieczeństwa sprawiła, że przedsiębiorstwa zaczęły już dostrzegać problem, ale zaadresowanie go wymaga z ich strony wielomilionowych inwestycji. To jednak konieczne, bo – jak podkreślają eksperci – bez tego nie będzie możliwy rozwój koncepcji Przemysłu 4.0. Tymczasem pandemia koronawirusa sprawiła, że wszelkie inwestycje mogą zostać odłożone w czasie.

– Nie możemy myśleć o rozwoju Przemysłu 4.0 bez zabezpieczeń cybernetycznych. Trudno wyobrazić sobie tę koncepcję, która polega de facto na integracji danych z różnych źródeł i ich wykorzystywaniu, bez odpowiednich zabezpieczeń. Jeżeli chcemy budować Przemysł 4.0 i gospodarkę opartą na danych, to musimy budować cyberbezpieczeństwo automatyki, całych środowisk OT – mówi agencji informacyjnej Newseria Innowacje Józef Sulwiński, prezes zarządu SEQRED.

Systemy automatyki przemysłowej OT (operational technology) monitorują m.in. działanie linii produkcyjnych, bloków energetycznych czy stacji uzdatniania wody oraz sterują nimi. Są powszechnie wykorzystywane w firmach produkcyjnych, energetyce, górnictwie czy usługach użyteczności publicznej. Zależy od nich nie tylko ciągłość działania przemysłu, lecz również krajowej infrastruktury krytycznej. Tymczasem, jak szacuje firma doradcza PwC, ok. 40 proc. takich systemów jest narażonych na ataki hakerskie.

– Gdy spojrzymy na publikacje Forum Ekonomicznego ze stycznia tego roku, cyberzagrożenia weszły już do ekstraklasy zagrożeń dla cywilizowanego świata, co oznacza, że musimy się zacząć do nich przygotowywać. Świat przemysłu i automatyki nie jest na to przygotowany, natomiast ataki właśnie na ten rodzaj infrastruktury mogą doprowadzić do największych szkód fizycznych. Odczujemy je jako obywatele, majątek znacznej wartości zostanie zniszczony, być może pewne usługi publiczne zostaną zatrzymane – alarmuje Józef Sulwiński.

Jak ocenia, o ile systemy IT w polskich firmach – zwłaszcza w sektorze bankowym – są już bardzo dobrze zabezpieczone pod kątem cyberzagrożeń, o tyle w przemyśle i automatyce przemysłowej sytuacja wygląda dużo gorzej.

Wynika to po pierwsze z faktu, że w tym obszarze standardy dotyczące bezpieczeństwa zaczęły wchodzić później. Po drugie, firmy i instytucje mają problem z monitorowaniem systemów automatyki przemysłowej i odseparowaniem ich od biurowych systemów IT, które mogą stanowić dla hakerów „furtkę” do ataku. Pozytywem jest za to fakt, że przedsiębiorstwa zaczęły już dostrzegać problem, ale zaadresowanie go wymaga z ich strony wielomilionowych inwestycji. Te w dobie panującej pandemii koronawirusa mogą zostać zaś wstrzymane na jakiś czas.

– Można zauważyć, że faktycznie zaczynamy o tym mówić i działać w tym kierunku. Sprzyja temu również ustawa o krajowym systemie cyberbezpieczeństwa, wprowadzona jakiś czas temu – mówi prezes SEQRED. – Czekają nas natomiast inwestycje rzędu miliardów złotych, które trzeba wpompować w rynek i doprowadzić do zabezpieczenia tej infrastruktury.

Ustawa o krajowym systemie cyberbezpieczeństwa została wdrożona w 2018 roku. To pierwszy w Polsce akt prawny dotyczący tego obszaru, wdrażający do polskiego prawa europejską dyrektywę NIS. Dzięki temu stworzono ramy dla całego krajowego ekosystemu cyberbezpieczeństwa. Ustawa objęła m.in. sektor telekomunikacyjny, finansowy i administrację publiczną, na które zostały nałożone nowe obowiązki raportowania do krajowych Zespołów Reagowania na Incydenty Bezpieczeństwa Komputerowego (tzw. CSIRT-ów) incydentów naruszenia bezpieczeństwa w ciągu 24 godzin.

Józef Sulwiński podkreśla, że bez zadbania o cyberbezpieczeństwo systemów automatyki przemysłowej nie będzie w ogóle mowy o rozwoju koncepcji Przemysłu 4.0, która opiera się na robotyzacji i wykorzystaniu danych.

– Szybki rozwój automatyki, napędzany Przemysłem 4.0, powoduje, że nie mamy czasu kompleksowo pomyśleć o zagrożeniach, nie jesteśmy ich – co oznacza też, że infrastruktura, którą budujemy, jest niebezpieczna. Z drugiej strony na rynku Internet of Things pojawiają się nowi gracze, którzy chcą dostarczać rozwiązania w tzw. modelu zwinnym i one niestety nie są całościowo przetestowane. Dlatego też nie wszystkie te rozwiązania są bezpieczne, mają wiele błędów, na które trzeba zwracać uwagę i być świadomym ich istnienia, bo dopiero wtedy możemy coś z tym zrobić – mówi prezes SEQRED.

Źródło: Newseria