Tekst został opracowany na podstawie wywiadu prowadzonego w cyklu „Polski Przemysł 4.0 – Rozmowy eksperckie”. Całą rozmowę można zobaczyć w naszym Dziale Wideo.
Dr Andrzej Kozłowski: Narażenie przemysłu na cyberataki wynika głównie z dwóch rzeczy. Po pierwsze, mówimy o obiektach kluczowych dla funkcjonowania państwa i jego gospodarki. Z tego względu każdy podmiot – czy to państwowy, czy nie, który chciałby zaszkodzić danemu krajowi, swoje działania ukierunkuje właśnie na przemysł. Po drugie, przemysł 4.0, w szczególności oparty na nowoczesnych technologiach, innowacyjności, wykorzystywaniu know-how, skupiony na budowaniu przewagi konkurencyjnej nad innymi podmiotami, budzi zainteresowanie szpiegów, którzy w dużej mierze swoją działalność przenieśli do cyberprzestrzeni. Będzie bardziej zagrożony niż przemysł 3.0, bo jest w nim więcej technologii. Można powiedzieć, że największa przewaga technologii, przewaga nad przemysłem 3.0, powoduje większą podatność na zagrożenia ze strony wszelkiej maści podmiotów, które będą chciały wykorzystać cyberataki do realizacji swoich interesów.
Przykłady ataków, z jakimi dotychczas musiał mierzyć się przemysł 4.0
Jednym z najważniejszych elementów przemysłu 4.0 jest internet rzeczy (IoT). Mamy bardzo znany przykład w Stanach Zjednoczonych, gdzie wykorzystano elementy przemysłu 4.0 do przeprowadzenia ataku. Mam na myśli botnet Mirai – autonomiczne kamerki przemysłowe zostały zhakowane i wykorzystane do ataku distributed denial of service (DDOS) przeciwko firmie Dyn. W konsekwencji, popularne serwisy rozrywkowe, jak Netflix czy Twitter miały problem z funkcjonowaniem w USA, co pokazuje szersze skutki wykorzystania podatności urządzeń przemysłu 4.0.
Ważnym elementem przemysłu 4.0 będą autonomiczne pojazdy. W tym obszarze również mamy przykłady – hakerom udało się przejąć zdalną kontrolę nad Jeepem Cherokee. Oczywiście działo się to w warunkach testowych, zatem nie było to typowy hacking, ale pokazał, że można. Ostatnio największe firmy produkujące auta zawarły sojusz, właśnie na rzecz wzmocnienia cyberbezpieczeństwa.
Musimy pamiętać, że infrastruktura przemysłowa była już celem ataków. Mam na myśli między innymi elektrownie na Ukrainie w 2015 i 2016 roku, czy atak na obiekt przemysłu petrochemicznego w Arabii Saudyjskiej, co pokazuje, że działania cyberprzestępców są realne i stanowią bardzo duże zagrożenie.
Wyzwania dla przemysłu 4.0
Przemysł 4.0 jest zdecydowanie bardziej usieciowiony, z większą liczbą technologii i urządzeń końcowych, a każde takie urządzenie może stać się celem ataku. Może również stanowić obiekt pozwalający na przejęcie kontroli albo kontynuowanie ataku w innych, większych celach. Ponadto, kiedyś sieci przemysłowe były oddzielone, odseparowane od biznesowych. Dzisiaj coraz częściej względy biznesowe i ekonomiczne powodują, że to się de facto zawęża, centralizuje i nie ma tego rozdziału, co niestety powoduje, że poprzez atak na użytkownika sieci biznesowej będzie można również dotrzeć do sieci przemysłowej, co już samo w sobie stanowi zagrożenie. Duża liczba urządzeń końcowych, ale też różnych ośrodków, które mogą zostać celem ataków, powoduje konieczność monitorowania zdarzeń. To pokazuje wyzwania, z jakimi musi mierzyć się przemysł. Wiele mówi się również o zastosowaniu technologii chmurowej. Pomimo tego, że usługi chmurowe uważa się za bezpieczniejsze, to nie jest tak, że są stuprocentowo bezpieczne, bo niestety wszyscy, nawet najwięksi gracze, popełniają błędy, jeżeli chodzi o przemysł, IT i cyberbezpieczeństwo.
Jak przeciwdziałać?
Stuprocentowe bezpieczeństwo w jakiejkolwiek dziedzinie jest niemożliwe, ale możemy redukować zagrożenie na wiele sposobów. Przede wszystkim musimy podkreślić, że nie ma dużych różnic pomiędzy cyberbezpieczeństwem firm jako takim, a cyberochroną przemysłu. Pewne rzeczy są wspólne, jak chociażby kwestia podejścia do edukacji pracowników. Ale nie tylko. Trzeba zadbać o to, by wspomniany już element, czyli internet rzeczy, był odpowiednio zabezpieczony, co dziś jest rzadkością. Dlatego potrzeba prowadzonego obowiązkowo procesu certyfikacji, który zmusi producentów urządzeń IoT do stosowania choćby podstawowych zasad cyberbezpieczeństwa. To jest rzecz, o której musimy pamiętać, tak samo, jak o odpowiednim szyfrowaniu, a także o wdrożeniu koncepcji Security by Design, Security by Privacy na samym początku, na etapie budowy i projektowania urządzeń. Dziś niestety często jest tak, że czas wprowadzenia danego urządzenia jest czynnikiem dominującym, co niestety powoduje, że kiedy urządzenia pojawiają się na rynku, mają luki bezpieczeństwa, które są później łatane. Jeżeli uda się to zrobić w odpowiednim czasie, to jest bardzo dobrze, ale często jest tak, że hakerzy działają z wyprzedzeniem i wykorzystują podatności. Potrzeba wielu działań, bo bez cyberbezpieczeństwa transformacja cyfrowa przemysłu, może niestety być negatywna w skutkach.
Dezinformacja a przemysł 4.0
Zagadnienie dezinformacji jest często pomijane i bardzo rzadko się je spotyka, jeżeli chodzi o tytuły prasowe, czy analizy naukowe, jednak musimy pamiętać, że elementem przemysłu 4.0 będzie technologia 5G, która już stała się celem ataków. Działania przeniosły się z internetu na infrastrukturę telekomunikacyjną w wielu państwach w Europie, w tym również w Polsce. Spalono maszty telekomunikacyjne, co pokazuje pewne zagrożenie. Oczywiście nie jedyne, bo większym problemem jest działalność ruchu anty 5G polegająca na wysyłaniu nieprawdziwych informacji do samorządów terytorialnych, czy w ogóle wykorzystaniu władz lokalnych przeciwko władzy centralnej. Jeśli wziąć pod uwagę, jakie mamy problemy i napięcia polityczne w Polsce, możemy zobaczyć, że często już nawet nie chodzi o technologię 5G, tylko o to, żeby zrobić coś przeciwko władzy centralnej. Mamy przykłady, chociażby z Kraśnika czy z Gdańska, gdzie po prostu brakuje odpowiedniej wiedzy, jeśli chodzi o łączność nowej generacji. 5G to tylko przykład, bo im więcej technologii będzie się pojawiało, jak chociażby sztuczna inteligencja, tym prawdopodobnie kampanii dezinformacyjnych będzie więcej. Dlatego bardzo ważna jest, a niestety bardzo często zaniedbywana, odpowiednia komunikacja, wyprzedzająca potencjalne narracje dezinformacyjne.