Cyberbezpieczeństwo produkcji: kilka minut przestoju może kosztować miliony

  • W wyniku cyberataku może dojść do sytuacji, w której oprogramowanie sterujące produkcją nie realizuje założonych działań.
  • Przykłady, analizowane przez firmę Axence wykazały, że straty będące skutkiem kilku minut przestoju produkcji są kosztowne i mogą zakłócić ciągłość funkcjonowania firmy.
  • W przedsiębiorstwach produkcyjnych zagrożenia są związane z warstwą przemysłową – maszynami, przenośnikami, IoT czy systemami komunikacyjnymi.
  • Robert Posłajko z Axence w rozmowie z Platformą Przemysłu Przyszłości, akcentuje, że incydenty w branży produkcyjnej dotyczą również procesów administracyjnych i pracy biurowej.

Sylwia Gliwa: Z jakimi wyzwaniami w zakresie cyberbezpieczeństwa zmaga się przemysł w Polsce?

Robert Posłajko: Zarówno w przypadku przemysłu, jak i każdej innej instytucji, mówimy o wyzwaniach związanych z zapewnieniem ciągłości działania i jego bezpieczeństwem. To dwa główne wymiary, które mocno eksplorowaliśmy w naszym ostatnim raporcie skierowanym do specjalistów IT, zajmujących się tym obszarem w swoich organizacjach. Naszym celem była analiza ich potrzeb, wyzwań i tego, z czym się zmagają – odnieśliśmy duży sukces, ponieważ publikacja stała się przyczynkiem do utworzenia niezależnej społeczności administratorów IT. Co więcej, pokazała, że osoby te tworzą nie tyle stanowiska, ale całą grupę zawodową.

Jak to rozumieć?

Stanowiska mogą nazywać się różnie – administrator IT, szef IT, informatyk, kierownik ds. IT – określenia nie są jednolite, ale główną cechą, która je łączy, jest fakt, że odpowiadają za całość technologii informatycznych używanych w danej organizacji i za to, żeby one działały i były niezawodne. Czyli mówimy tutaj o dwóch aspektach – ciągłości działania i bezpieczeństwie.

Wróćmy jednak do sektora przemysłowego, w którym rola tych osób jest bardzo istotna, ponieważ wyniki naszych badań pokazały, że potencjalne incydenty mogą być bardzo kosztowne. Analizowane przez nas przykłady wykazały, że straty będące skutkiem kilku minut przestoju na produkcji, liczyło się w milionach. Musimy też mieć na uwadze, że tego typu incydenty mogą zakłócić ciągłość funkcjonowania, gdy oprogramowanie, które odpowiada za produkcję, przestaje działać z różnych przyczyn – np. padła baza danych czy dokonała się zmiana w komponencie i system przestaje być spójny. Może dojść również do sytuacji, w której oprogramowanie sterujące produkcją nie realizuje założonych działań, co powoduje przestój: jeśli nikt nie zarządza tym procesem, nie monitoruje ciągłości działania, nie są ustawione właściwe alerty czy nie ma wdrożonych odpowiednich polityk reakcji na tego typu zakłócenia – wręcz prosimy się o nieszczęście.

Współczesny przemysł nie tyle może, ile musi mieć na uwadze zapewnienie ochrony przed incydentami, czyli monitorowanie tego co się dzieje, inwentaryzowanie sprzętu, sprawdzanie oprogramowania i usług, które zapewniają obsługę procesu produkcyjnego – bez tego możemy narazić się na bardzo poważne straty. Cyberbezpieczeństwo jest bardzo znaczącym aspektem dla przemysłu – konieczne jest, aby to bardzo mocno podkreślać. Ale nie chodzi tylko o celowe działania cyberprzestępców. Pewne rzeczy mogą się wydarzyć z przyczyn technicznych, organizacyjnych czy procesowych. Wynikają również z tak prozaicznego powodu jak niedopilnowanie aktualizacji oprogramowania, czy z niespodziewanych zdarzeń, które wydarzyły się w procesie.

Czyli podkreślmy wyraźnie – możemy być narażeni na incydenty zarówno wewnętrzne jak i zewnętrzne.

Dokładnie tak na incydenty jesteśmy narażeni w sposób ciągły. W znacznym stopniu wzrasta zagrożenie czynnikami zewnętrznymi – odnotowujemy coraz więcej ataków z wykorzystaniem ransomware. Wiele procesów zostało przeniesionych do sieci, czego apogeum widzieliśmy w trakcie pandemii koronawirusa – większość tego, co działo się wewnątrz firm: rozmowy, spotkania, ustalenia techniczne – zostało przeniesione do poczty elektronicznej i komunikatorów. Taki sposób komunikacji jest odpowiedzią na sytuację, a także pozwolił nam kontynuować pracę w czasie turbulencji zdrowotnych, jednak za pomocą programów łatwiej jest dokonywać manipulacji. Zawsze zakładajmy, że atakujący może podszyć się pod naszego przełożonego. Wektorów ataku jest wiele, są bardzo różnorodne i zdecydowanie stanowią wyzwanie.

Administratorów, szefów IT, specjalistów IT określi Państwo w raporcie mianem „Władców Sieci” – dlaczego ich rola w przedsiębiorstwie jest tak ważna?

Nazwaliśmy ich „Władcami Sieci” z uwagi, że są to osoby, które zarządzają technologią informatyczną, serwerami, dostępami do urządzeń, do kont użytkownika czy oprogramowania. Odnieśliśmy wrażenie, że w niektórych firmach panuje takie przekonanie, że dział IT istnieje tylko dla IT. I wtedy zdarzają się sytuacje, zazwyczaj nagłe, w wyniku których okazuje się, że od IT zależy wszystko. Dlaczego? Bo produkcja jest sterowana przez oprogramowanie i sprzęt. Tak samo jak procesy biznesowe – rozliczenia księgowe, bazy danych czy programy księgowo-finansowe, które są kluczowym źródłem wiedzy o organizacji. To, w jaki sposób się komunikujemy – co pozostało nam jako efekt pandemii – jest całkowicie zależne od narzędzi cyfrowych. Stąd tak naprawdę bez zapewnienia sobie sprawnego, niezawodnego i bezpiecznego środowiska cyfrowego w dzisiejszych czasach praktycznie już nie istniejemy.

Jeśli mówimy o przemyśle czy o nowoczesnej gospodarce, to musimy zdać sobie sprawę, że jesteśmy zależni od technologii, przy czym warto pamiętać, że za określeniem „technologia” nie kryją się tylko narzędzia. Nasze badanie wykazało, że wiele przedsiębiorców odnosi zgubne wrażenie, że wystarczy nabyć więcej komputerów, drukarek czy oprogramowania i to wszystko zagwarantuje lepsze i sprawniejsze działanie. Zapominamy, że ktoś musi potrafić nimi zarządzać, nie tylko w zakresie obsługi, ale też spojrzeć na nie jako całość -– sprawdzić, czy te usługi wzajemnie się uzupełniają, czy potrafimy z nich korzystać, czy na danym sprzęcie nasze oprogramowanie będzie działało poprawnie, no i w końcu, czy wszystkie systemy są kompatybilne. Musimy pamiętać również, że oprogramowanie trzeba aktualizować, a sprzęt serwisować, prowadzić regularne audyty czy sprawdzać legalność oprogramowania.

Spora odpowiedzialność jak na dział, który – jak pokazały Państwa badania – jest ignorowany.

To niezrozumiałe. Działy IT są odpowiedzialne także za kontrolę sprzętu i oprogramowania pod względem ciągłości działania – weryfikują, czy nasze procesy biznesowe nie są zagrożone. Tym, co powinniśmy wykonać w przedsiębiorstwie niezależnie od branży, w której działamy, jest analiza ryzyka, aby mieć świadomość, jakie czynniki wewnętrzne i zewnętrzne mogą wpłynąć na naszą organizację. Mówimy tutaj np. o awarii, wycieku danych czy celowym działaniu pracownika. Na te wszystkie scenariusze musimy być gotowi już teraz. Jeżeli w firmie brakuje osoby lub zespołu, który potrafi tego typu sprawami zarządzać i ma dostęp do informacji odnośnie zasobów informatycznych i cyfrowych – to poruszamy się w sytuacji, którą określiłbym jako niebezpieczny chaos, i bardzo szybko możemy zakłócić ciągłość zarządzania, produkcji czy utracić integralność baz. Dane są kluczowym zasobem a bardzo prosto je wynieść, ukraść czy usunąć.

Z badań wynika, że co czwarty administrator twierdzi, że na IT przeznacza się za mało pieniędzy – z czego wynika to niedofinansowanie? To lekceważący stosunek kadry zarządzającej, zbyt kosztowne rozwiązania?

Powinniśmy rozróżnić sektor prywatny i publiczny – a nasze badanie pokazało, że mamy bardzo duże rozwarstwienie pomiędzy tymi dwoma obszarami. O ile w sektorze prywatnym pieniądze raczej się znajdują, to jednak w sektorze publicznym zauważamy bardzo dużą lukę finansową – fundusze, które są przeznaczane w budżecie, są w ostateczności przekierowywane na inne działy. Wynika to ze specyfiki działań publicznych – zawsze pojawi się jakiś nieoczekiwany powód, aby pieniądze przesunąć nawet jeśli zostały zarezerwowane w budżecie. Wychodzi się też z przekonania, że jeśli do tej pory coś działało bez zarzutu – to jeszcze podziała i możemy pewne decyzje odwlec. Inne nasze badania pokazały, że te potrzeby są duże w firmach, które są na ścieżce intensywnego rozwoju. Jeżeli mówimy o małych organizacjach, to bardzo często potrzeby nie są tak znaczące, natomiast w wypadku firm o znacznych rozmiarach, w kontekście ich poziomu zatrudnienia i produkcji, mówimy już o całych działach IT.

W firmach reprezentujących segment od 100 do 500 urządzeń – czyli mówimy tu o sektorze średnich firm – okazało się, że zabrakło zrozumienia, że rola IT jest bardzo niedoceniania i właśnie te potrzeby są rosnące. Jednocześnie te firmy są na najszybszej ścieżce wprowadzania zmian proceduralnych, osobowych czy cyfrowych. Firmy z tego sektora mają zatem więcej potrzeb niż te małe, których zarządzanie nie wymaga tak wielu narzędzi IT.

Potrzeba zatem edukować pracodawców o tym, jak ważni dla organizacji są administratorzy?

Nasz raport miał za zadanie wzmocnić pozycję zawodową administratorów IT. Chcieliśmy, aby pracodawcy i współpracownicy zwrócili uwagę na znaczenie działu technologii informatycznych, który wspiera ich w codziennych obowiązkach. Podjęliśmy również pierwszy krok, aby zbudować społeczność administratorów IT w Polsce – zbudowaliśmy portal „Władcy Sieci”, który ma charakter edukacyjny – można tam odnaleźć webinary, czy uczestniczyć w spotkaniach, podczas których eksperci poruszają wszelakie kwestie związane z tą pracą.

W ramach tej społeczności nie tylko rozmawiamy, ale również wykonujemy pewne badania. Dość jednoznacznie wynika z nich, że w większości firm nie ma stałych funduszy na IT, które byłyby nienaruszalne. Budżety te są często uznaniowe, są również odwoływane czy modyfikowane na niekorzyść. Często wskazywano również, że dużo łatwiej jest obronić wydatki sprzętowe niż na oprogramowanie, doradztwo, szkolenia czy usługi i wdrożenia.

Skąd takie rozróżnienie – czy wynika to z niewiedzy?

Często w firmach trzeba o budżety na IT walczyć i niestety dużo prościej jest obronić wydatki na coś namacalnego, jak komputer, niż na szkolenia czy audyty. Właśnie tego typu usługi jak audyt czy analizy ryzyka są usługami, bez których – oczywiście tylko w opinii części osób rozdzielających pieniądze – można żyć. Odpowiedź na pytanie o to, jak długo można ograniczać budżety, brzmi: zazwyczaj do pierwszego incydentu. Często też panuje pogląd, że korzystniej jest inwestować w jakieś nowoczesne technologie, nowinki na rynku, zamiast w audyty czy w oprogramowanie, które tym wszystkim będzie zarządzało. Jeśli mamy najnowsze luksusowe smartfony czy najnowocześniejsze laptopy, a nie mamy nad nimi żadnej kontroli i wiedzy, jak je ochronić przed szkodliwym oprogramowaniem, czy może nasz pracownik nie wynosi danych, to tak naprawdę nie mamy nic poza nowoczesnymi zabawkami.

Inwestując w nowy sprzęt nie możemy pominąć podstaw, czyli regularnego inwentaryzowania tego co mamy i wykorzystujemy, sprawdzania czy oprogramowanie jest aktualne i legalne, wszystkie serwisy i usługi pracują nam prawidłowo i są odpowiednio zabezpieczone, a także czy pracownicy mogą liczyć na wsparcie w razie incydentu. Jeśli mamy wspaniały system obiegu dokumentów a okazuje się, że w wypadku problemu technicznego nie jesteśmy zareagować natychmiast, to po prostu nie jest on sprawny i bezpieczny. Nie gwarantuje nam również, że w razie problemów zostanie zachowana ciągłość firmy.

W jaki sposób oceniają państwo poziom cyberbezpieczeństwa w przemyśle? Czy polska odbiega znacznie w tym zakresie od krajów europejskich?

Nasze firmy, podobnie jak zagraniczne, w coraz większym stopniu dbają o ten zakres działalności organizacji. Nie jestem pewien, czy porównywanie się do innych krajów ma sens – na pewno nie określiłbym naszego kraju jako drugiego czy trzeciego świata cyberbezpieczeństwa. Plasujemy się w górnej części światowej tabeli. Mamy dostęp do dobrych specjalistów IT i korzystamy z aktualnych technologii – co nie znaczy, że jesteśmy superbezpieczni. Ale czy ktokolwiek jest? W wielu organizacjach na całym świecie wektory ataków są takie same. W moje opinii nie odstajemy pod tym względem od innych państw. Zagrożenia związane ze sferą cyber dotyczą w takim samym stopniu nas, jak i innych krajów w Europie czy na pozostałych kontynentach. Różnice tak naprawdę wynikają z poziomu zamożności firm, a także są związane z kulturą organizacyjną i kulturą pracy.

Jeśli chodzi o nasze „rodzime” incydenty to zauważalne jest, że pozwalamy sobie na pewne odstępstwa od regulaminów, czy takie zachowania, które określam „a tylko raz” – a tylko raz podepnę pendrive’a, tylko raz wejdę na stronę, na którą nie powinienem wchodzić, a może tylko raz wyślę ten link nie według procedur, ale po swojemu, bo jak jest wygodniej. Niestety w naszym kraju panuje takie przyzwolenie na pewnego rodzaju omijanie ustalonych reguł. Dziś na tym bazuje atakujący – wyszukuje luki nie tylko w technicznych zabezpieczeniach, ale również w pewnych odstępstwach od normy, jeśli chodzi o bezpieczne zachowania. Atakujący wie czego chce – ataki z wykorzystaniem ransomware są ukierunkowane właśnie tak, aby wykorzystać słabość ludzką do osiągnięcia korzyści finansowych i to tylko od jego opłacalności zależy, czy cyberprzestępca podejmie działania, aby nas zaatakować.

Jak kształtuje się wachlarz zagrożeń dla przedsiębiorstw? Czy możemy mówić o tym, że zagrożenia są inne dla przemysłu a inne dla innych sektorów gospodarki?

Wszystko to, co dotyczy innych przedsiębiorstw – nie omija przemysłu. Każda firma produkcyjna ma również warstwę z procesami administracyjnymi i tą związaną z pracą biurową. Stykamy się tam z takimi zagrożeniami, jak możliwość wyniesienia danych przez pracownika – często nawet niecelowym. Nie zdajemy sobie sprawy jak wiele szkód może przynieść działanie, pozornie przynoszące korzyść firmie, jak np. zabranie przez pracowników plików, aby skończyć nad nimi prace w domu. Może się okazać, że stacja robocza w domu – czyli nasz komputer – już nie jest zabezpieczony w takim stopniu jak służbowy sprzęt i jest bardziej podatny na ataki. Możemy powiedzieć, że w branży wytwórczej do standardowych zagrożeń dochodzą nam jeszcze te związane z warstwą produkcyjną – urządzeń, taśm, IoT, systemów do komunikowania się tych rozwiązań czy oprogramowania przeznaczonego dla przemysłu.

Podkreślę coś bardzo trywialnego, ale cały czas prawdziwego – jesteśmy tak bezpieczni i tak sprawni jak nasze najsłabsze ogniwo.

Czyli człowiek.

Człowiekowi zawsze może brakować wiedzy, może nie mieć świadomości pewnych zagrożeń. Jest on podatny na czynniki zewnętrzne, rozproszenia, manipulacje. Może otworzyć załącznik, link z maila, a niestety obecne ataki są bardzo wysublimowane. Coś, czego nigdy byśmy nie podejrzewali o bycie źródłem złośliwego oprogramowania, może nim być. My natomiast możemy nie zwrócić na pewne rzeczy uwagi. Na nadawcę maila czy na podejrzaną treść, która jest niestandardowa, bo po prostu jesteśmy rozproszeni. Człowiek ze swoimi wszystkimi problemami i brakiem dostatecznej wiedzy i świadomości, może być najsłabszym ogniwem.

Ale jesteśmy też tak bezpieczni jak nasze najsłabsze ogniwa w zakresie technicznym. Możemy kupić drogi sprzęt, ale jeśli nie będziemy mieli eksperckiego zaplecza z zakresu IT, które zadba o prawidłowe jego skonfigurowanie i zabezpieczenie, będzie on stanowił potencjalne zagrożenie. Musimy pamiętać – wysoka cena sprzętu nie jest gwarantem jego bezpieczeństwa.

To nie są przypadki odosobnione – podam taki przykład: trzymamy w serwerowni stary laptop, przykładowo z 2009 roku – bo mamy na nim zainstalowany stary system księgowy. Wciąż używamy tego sprzętu, bo raz na jakiś czas musimy coś sprawdzić, zweryfikować w nieużywanej już bazie. I od momentu, w którym wysłaliśmy urządzenie na „emeryturę” do magazynku – nikt z nim nic nie robił, nie aktualizował, nie inwentaryzował czy zabezpieczał. I pomimo tego, że wydaliśmy miliony na usprawnienia, to gdzieś trzymamy jeden drobny element, który może być źródłem ataku. Może to być zarówno łącze, jak i dowolny element w naszej sieci, który jest tym słabym ogniwem, a na który nie zwróciliśmy uwagi.

To wygląda jak potencjalny prezent dla cyberprzestępców.

Dokładnie tak. To jest właśnie ten błąd w myśleniu, który chciałbym pokazać – nawet jeżeli zainwestujemy duże pieniądze w sprzęt, ale nie poświęcimy dostatecznie uwagi temu, żeby zarządzać, czuwać i się nim opiekować, to tak naprawdę dalej nic nie zmieniliśmy w naszych organizacjach, czyli wciąż wisi nad nami niebezpieczeństwo awarii czy „sprezentowania” luki cyberprzestępcom.

Dlatego też powstała inicjatywa „Władców Sieci” – raportu, społeczności oraz wszystkich działań, które podejmujemy w zakresie edukacji pracodawców i pracowników. Bardzo mocno podkreślamy, że to wiedza człowieka, a nie sprzęt, jest na pierwszym miejscu, jeśli chodzi o priorytety. Musimy jednak pamiętać, że poruszamy się w dwóch wymiarach – z jednej strony specjaliści IT powinni „gonić” ten trudny świat, w którym przychodzi im żyć i muszą nieustannie poszerzać swoją wiedzę, ponieważ technologie pędzą do przodu, a z drugiej podobnie powinni postępować pozostali pracownicy organizacji, ponieważ ich praca jest całkowicie zależna od narzędzi cyfrowych. Konieczne jest uświadomienie wszystkim ludziom tworzącym organizację, że wiedza z obsługi urządzeń jest niewystarczająca. Podobnie jest z prawem jazdy – potrzebujemy tego dokumentu, aby móc się sprawnie poruszać po drodze. Tak samo powinniśmy poświęcać czas i egzaminować się wewnątrz organizacji, w ramach „technologicznego prawa jazdy”.

Czyli mówimy tutaj o pewnej „licencji”, która ma nas uchronić przed „wypadkiem”.

Jesteśmy często w większym stopniu zagrożeniem dla siebie i otoczenia przed komputerem niż na drodze, a jednak nie weryfikujemy tego aspektu swoich umiejętności. To obszar naszej codziennej zawodowej działalności, który jest niezwykle istotny, bo możemy zrobić krzywdę sobie, tracąc swoje prywatne dane albo publikując coś, czego byśmy nie chcieli. Możemy również zaszkodzić naszej organizacji. Kiedyś, żeby jeździć na rowerze, należało zdać egzamin na kartę rowerową. Podobnie trzeba było mieć kartę pływacką, żeby pójść na basen. Teraz wydaje nam się to absurdalne. Podobnie lekkomyślnie podchodzimy do obsługi urządzeń cyfrowych. I to nawet w odniesieniu do najmłodszych, oddając im czasami sprzęt do zabawy.

I to często służbowy!

Szczególnie w trakcie pandemii naraziliśmy się na dużo niebezpieczeństw. To, że wróciliśmy do pracy stacjonarnej nie oznacza, że niebezpieczeństwo minęło – również dlatego, że my wciąż nie jesteśmy przygotowani na to, żeby wszystko przeniosło się do cyfrowego świata. Podejmowanie kluczowych biznesowych decyzji, przechowywanie i wydatkowanie pieniędzy – to wszystko dzieje się cyfrowo. Każdy z nas wychodzi ze szkoły z podstawową znajomością Worda, Excela i Painta. To, że teraz spędzamy większość czasu przed komputerem, jest tylko pozornie lepszą sprawnością – sprawnością powierzchowną. Dzieci wspaniale sobie radzą z obsługą tabletu, potrafią świetnie nagrać film i wrzucić go na YouTube, nawet zmontują go w sposób niemalże profesjonalny. Natrafiłem jednak na badania, które pokazują, że większość młodych ludzi nie wie, co to są pliki i foldery. Operują tylko ikonami, bo to wygodne, przyjemne w użyciu, ale tak naprawdę odrywa nas od świadomości, w jaki sposób technologie są zbudowane.

Czy to jednak nie jest kwestia podejścia do całości edukacji, a nie tylko do nauki informatyki czy zdolności technicznych?

Mówimy tutaj o „głodzie wiedzy”. Niezależnie od tego, czy firmy podniosą budżet IT, to z naszego badania wynika, że to nie środki techniczne ani finansowe zostały określone jako największe wyzwanie dla IT. 54% administratorów zaznacza, że nie ma wystarczających zasobów kadrowych. Nie mają komu przekazywać tej wiedzy.

Wynika to z tego, że tych ludzi nie ma na rynku, czy po prostu oni są zbyt drodzy?

Są drodzy, bo jest ich mało. Znaczną część naszych talentów informatycznych przejmują globalne korporacje, które mają oddziały tworzenia oprogramowania, utrzymania systemów, obsługi procesów biznesowych czy firmy outsourcingowe. One mają wielki głód specjalistów. Dla polskich przedsiębiorstw przemysłowych, czy urzędów tak naprawdę kompetencji na rynku zostaje niewiele. Dlatego powinniśmy przyjrzeć się bliżej również procesowi edukacji tak, aby kończyć go na szczeblu wyższym niż na poziomie podstawowej wiedzy. Jako użytkownicy internetu powinniśmy wiedzieć, jak nie zrobić – tak jak na drodze – krzywdy sobie i innym.

Dziękuję za rozmowę.