Bezpieczeństwo OT jest tematem trudnym. Postawię nawet tezę, że bardzo trudnym. Większość automatyków, gdyby mogła, najchętniej by go unikała. I pewnie tak właśnie by było, gdyby z początkiem roku nie pojawiły się regulacje, które na wielu firmach wymuszą wprowadzenie znaczących zmian.
O czym mowa?
Dyrektywa NIS 2 na horyzoncie Wprowadza ona dość znaczące zmiany do swojego pierwowzoru z 2016 roku. Przede wszystkim znacznie zwiększa liczbę podmiotów, które zostaną objęte ustawą. Dotychczasowy podział na operatorów usług kluczowych, dostawców usług cyfrowych i podmioty publiczne zostaje zastąpiony rozgraniczeniem na:
- podmioty kluczowe,
- podmioty ważne.
Zachęcam do zapoznania się z pełną listą: https://www.gov.pl/web/rcb/dyrektywa-cer–dyrektywa-o-odpornosci-podmiotow-krytycznych
Co jest również znaczącą zmianą, nową legislacją objęte będą wszystkie podmioty z sektorów, o których mowa w załącznikach I oraz II do dyrektywy przekraczające pułap dla średnich przedsiębiorstw.
Oczywiście wytycznych jest więcej. Natomiast założenia dyrektywy są takie, że na każdy znaczący podmiot nałożone będą pewne obowiązki związane z raportowaniem nt. cyberzagrożeń. W dużym uproszczeniu: raportowane dane mają posłużyć do wymiany informacji o zagrożeniach pomiędzy podobnymi podmiotami w UE. W konsekwencji powinniśmy uzyskać przepływ informacji między firmami, tak aby móc działać proaktywnie a nie reaktywnie.
Innymi słowy: dostaniemy szansę, aby odpowiednio przygotować się przybycie wroga.
Od czego zacząć?
Po stronie produkcyjnej będziemy mierzyć się z wieloma wyzwaniami. Wymieńmy kilka z nich:
- maszyny robocze bazujące na niewspieranych systemach operacyjnych,
- nieszyfrowane protokoły transmisji,
- oprogramowanie, którego wolimy lub nie możemy nie aktualizować,
- zachowanie nienaruszalności/integralności procesu.
Zadań jest wiele,. ale nie są one niewykonalne. Odpowiednio planując działania mamy szansę przejść przez proces bez żadnych problemów. Zwłaszcza, że jesteśmy na bardzo wczesnym etapie, ponieważ dyrektywa dopiero została przyjęta na szczeblu europejskim. Nie została zatem jeszcze dostosowana do polskiej legislacji (Ustawy o Krajowym Systemie Cyberbezpieczeństwa). Nowelizacji ustawy powinniśmy spodziewać się w październiku 2024 roku. Natomiast warto zaznaczyć, że zaczynając dopiero wtedy rozpoznanie tematu będziemy mieli stanowczo za mało czasu.
Proof of Concept jest potrzebny już dziś
Właśnie teraz jest doskonały moment aby podnieść kompetencje swojej kadry i rozeznać, jakie możliwości daje nam rynek względem naszej infrastruktury.
Co przez to rozumiem?
Przede wszystkim przeszkolenie automatyków pod kątem cyberbezpieczeństwa. Zrozumienie podstaw pozwoli na dużo łatwiejsze przejście przez wdrożenie wymaganych systemów.
Jeżeli jeszcze nie robiliśmy audytu to również powinna być jedna z pierwszych rzeczy, którą musimy zrobić. Wskaże on mankamenty naszej instalacji oraz nada kierunek w jakim powinniśmy rozwijać naszą instalację.
Natomiast na tym etapie przejściowym jest jedna bardzo ważna rzecz. Musimy przetestować rozwiązania z zakresu bezpieczeństwa przemysłowego. Z naszego doświadczenia taki Proof of Concept to minimum trzy miesiące testów w warunkach produkcyjnych. Przygotowanie się do niego to również czasochłonny proces. Zatem ten okres ok. 17 miesięcy, które pozostały do przyjęcia ustawy już nam się nieco uszczupla.
W tym momencie kosztować to będzie jedynie i aż nasz czas. Takie testy są niezobowiązujące a mogą wnieść dużo dobrego. Zwłaszcza, że gdy przyjdzie moment, w którym będziemy chcieli wdrażać taki system będziemy dysponować:
- audytem bezpieczeństwa strony produkcyjnej,
- przeszkoloną kadrą merytorycznie przygotowaną do obsługi systemu bezpieczeństwa przemysłowego,
- odpowiednią wiedzą na temat dostępnych rozwiązań dedykowanych dla przemysłu,
- zakończonym Proof of Concept systemu bezpieczeństwa.
Nawet jeżeli jeszcze nie będziemy mieli wybranego systemu, będziemy już wyposażeni we wszystkie dane, które pozwolą nam taki system wybrać.
W momencie, kiedy pozostali będą dopiero szykować się do zmian, my już na tę zmianę będziemy gotowi. O tym jak przebiega Proof of Concept, z jakich etapów się składa przeczytasz tu: https://info.elmark.com.pl/ZAMOW_BEZPLATNY_POC
Michał Łęcki
Elmark Automatyka
601-868-636
michal.lecki@elmark.com.pl
Pomysłodawca i główny autor raportu „Cyberbezpieczeństwo sektora OT. Wyścig, który nigdy się nie kończy”. Prelegent konferencji poświęconych cybesecurity i autor wielu publikacji.