Mówi: | Michał Borucki |
Funkcja: | prezes zarządu |
Firma: | Blue Energy |
Polskie firmy produkcyjne nieprzygotowane na cyberataki. Brakuje im kompetencji i budżetów na wdrażanie zabezpieczeń
Systemy automatyki przemysłowej warunkują ciągłość działania przemysłu, ale i krajowej infrastruktury krytycznej. Sterują m.in. działaniem bloków energetycznych, stacji uzdatniania wody czy linii produkcyjnych. W coraz większym stopniu są jednak narażone na ataki hakerskie, gdyż firmy i instytucje mają problem z ich monitorowaniem i odseparowaniem od biurowych systemów IT. Tymczasem zakłócenie ich działania może spowodować poważne zakłócenia w funkcjonowaniu krajowej infrastruktury, a firmom przynieść dotkliwe straty finansowe i wizerunkowe.
– Monitorowanie systemów przemysłowych i ich separacja od systemów biurowych są dzisiaj słabym ogniwem w wielu firmach. Wirusy i inne zagrożenia mogą się przenosić z jednej sieci na drugą, a ponieważ firma tego nie monitoruje, to nawet nie wie, że one przeszły – mówi agencji Newseria Biznes Michał Borucki, prezes zarządu Blue Energy.
Systemy automatyki przemysłowej są wykorzystywane m.in. w firmach produkcyjnych, przemyśle, górnictwie, energetyce, logistyce i usługach użyteczności publicznej. Składają się na nie maszyny i urządzenia (zawory, pompy, wyłączniki, czujniki) oraz oprogramowanie, które steruje procesami i dostarcza danych. Na ich podstawie można np. optymalizować procesy produkcyjne, rozliczać pracowników i szybko reagować na awarie.
Systemy te sterują m.in. działaniem bloków energetycznych, stacji uzdatniania wody czy linii produkcyjnych. Często nie są one wyizolowane od biurowych sieci IT. To problem o tyle, że poprzez sieć biurową hakerzy mogą też zakłócić działanie systemów automatyki przemysłowej. Jak wynika z danych firmy doradczej PwC, 40 proc. takich systemów jest narażonych na ataki hakerów amatorów.
– Firmy bardzo różnie podchodzą do cyberbezpieczeństwa. Część je bagatelizuje, twierdząc, że skoro do tej pory nic się nie stało, to wszystko jest dobrze. Inne firmy robią analizę, wiedzą, że sytuacja jest poważna, i próbują wdrażać zabezpieczenia na miarę swoich potrzeb – mówi Michał Borucki.
PwC ocenia, że polskie firmy są wciąż niedostatecznie przygotowane na wirtualne zagrożenia, a wiele z nich je bagatelizuje. O ile prezesi na całym świecie zaliczają je do pięciu najważniejszych ryzyk dla biznesu, o tyle w Europie Środkowo-Wschodniej ten obszar ciągle jeszcze nie stanowi priorytetu. Częstą postawą jest tzw. cyberruletka, czyli liczenie na szczęście lub fałszywe przekonanie, że firma jest dobrze zabezpieczona. Tymczasem blisko 50 proc. z nich nie posiada procedur reagowania na zagrożenia, budżety na bezpieczeństwo stanowią raptem ok. 3 proc. całkowitych budżetów IT, a 20 proc. średnich i dużych firm nie ma ani jednego pracownika ds. cyberbezpieczeństwa. Tylko 8 proc. przedsiębiorstw jest pod tym względem dojrzałych i dobrze przygotowanych – wynika z badania PwC („Cyber-ruletka po polsku. 5. edycja Badania Stanu Bezpieczeństwa Informacji”).
– Zabezpieczenia wdrażane przez firmy mogą być różnego rodzaju: systemy monitorujące ruch w sieci przemysłowej, systemy separujące sieć przemysłową od sieci biznesowej, zabezpieczenia monitorujące dostęp firm trzecich do sieci przemysłowej albo też zabezpieczenia samych stacji, za pomocą których odbywa się sterowanie siecią przemysłową – wymienia prezes Blue Energy.
Jak podkreśla, organizacja cyberbezpieczeństwa wciąż jest słabym ogniwem w wielu firmach produkcyjnych. Część z nich posiada co prawda zabezpieczenia techniczne, ale w ramach całej struktury nie współpracuje przy zarządzaniu nimi, przez co takie rozwiązania są całkiem nieefektywne.
– Jeżeli firma dobrze przeprowadziła analizę ryzyka, to wie, ile może na tym stracić. Z kolei w przypadku niektórych przedsiębiorstw zacofanie technologiczne działa na ich korzyść – ich systemy są tak stare, że trudno je zatrzymać atakiem cybernetycznym, bo ręczne sterowanie nadal działa. Dlatego też każda firma musi sama oszacować potencjalne straty z tym związane i położyć je na szali z kosztami zabezpieczeń, by na tej podstawie podjąć decyzję – mówi Michał Borucki.
Jak wynika z ubiegłorocznego „Barometru cyberbezpieczeństwa” KPMG, ataki hakerskie na firmy są w Polsce coraz powszechniejsze. Blisko 70 proc. badanych przedsiębiorstw doświadczyło już przynajmniej jednego takiego incydentu. Co czwarta firma odnotowała w 2018 roku wzrost ich liczby. Według KPMG globalne straty spowodowane cyberprzestępczością są szacowane na ok. 1 proc. światowego PKB. Z kolei firma doradcza PwC wskazuje, że w Polsce już 44 proc. firm poniosło straty finansowe na skutek cyberataków.
– Cyberzagrożenia mogą spowodować w najgorszym wypadku zatrzymanie procesów biznesowych firmy, czyli utratę realnych pieniędzy. Dodatkowo jeśli firma przestanie świadczyć swoje usługi, klienci z pewnością będą narzekać, prasa się dowie i wizerunek przedsiębiorstwa może na tym bardzo ucierpieć – mówi prezes Blue Energy.
Jak ocenia, największą barierą dla firm we wdrażaniu zabezpieczeń wciąż pozostają koszty i brak kompetencji w tym obszarze. Potwierdza to też ubiegłoroczny „Barometr cyberbezpieczeństwa” KPMG, według którego na każdy z tych czynników wskazuje ponad 60 proc. badanych.
– Utrzymanie zabezpieczeń, szczególnie ich monitorowanie, może wiązać się z dużymi kosztami. System monitorujący wyświetla alerty o zagrożeniach i potrzebny jest człowiek, który będzie umiał je zinterpretować. To oznacza, że trzeba mieć etaty i kompetencje, żeby wiedzieć, czy zagrożenie, które system pokazuje, jest poważne, czy można je zbagatelizować. Zazwyczaj jednak wdrożenie zabezpieczenia kosztuje dużo mniej, niż wynoszą potencjalne straty finansowe – mówi Michał Borucki.
Badanie KPMG pokazuje, że 6 proc. polskich firm w ogóle nie prowadzi monitoringu w zakresie cyberbezpieczeństwa, a 61 proc. robi to nieregularnie lub opiera się wyłącznie na wpisaniu takiego wymogu w obowiązki administratorów. Tylko co trzecia deklaruje, że aktywnie szuka śladów cyberataków w swoich systemach i ma ku temu dedykowany zespół.
Co istotne, firmy rzadko testują też skuteczność wdrożonych przez siebie zabezpieczeń na atak, a tylko 57 proc. z nich ma gotowe procedury reagowania bądź plany zarządzania kryzysowego na wypadek wystąpienia cyberataku.
– Przy wybieraniu zabezpieczeń firma powinna wziąć pod uwagę przede wszystkim swoją specyfikę i standardy w swoim sektorze. Od kolegów po fachu można się dowiedzieć, czy dane rozwiązanie faktycznie działa i było warte wydanych pieniędzy. Jednak na dalszym etapie każda firma powinna już wybierać zabezpieczenia, kierując się swoimi specyficznymi wymaganiami – mówi prezes zarządu Blue Energy podczas konferencji InfraSEC 2020 Cyberbezpieczeństwo Twardej Infrastruktury.
Jak wynika z badania PwC, uzyskanie danych do systemów i danych firmy zajmuje hakerowi przeciętnie około 4 godz. 31 proc. takich ataków kończy się modyfikacją lub ujawnieniem firmowych danych.
Czytaj także
- 2024-04-25: Polskie rolnictwo potrzebuje inwestycji infrastrukturalnych. Niezbędna jest budowa agroportów i rozwój połączeń kolejowych
- 2024-04-12: Budowa sieci ładowania elektryków znacząco przyspieszy. W życie wchodzą nowe unijne przepisy
- 2024-03-29: Zorganizowane grupy cyberprzestępcze sięgają po coraz bardziej zaawansowane narzędzia sztucznej inteligencji. Często celem ataków jest infrastruktura krytyczna
- 2024-03-27: Polacy obawiają się o swoje cyberbezpieczeństwo w obszarze finansów. Połowa odczuwa braki w wiedzy na ten temat
- 2024-04-05: Cyfryzacja polskiej energetyki mocno spowolniła. Pilną potrzebą jest wdrożenie rozwiązań z zakresu cyberbezpieczeństwa
- 2024-03-12: Wątpliwości dotyczące bezpieczeństwa danych przetwarzanych w różnych urzędach. NIK zapowiada kontrole we wszystkich jednostkach samorządu terytorialnego
- 2024-03-08: Auta elektryczne nie są już wykorzystywane tylko jako typowe pojazdy miejskie. Kierowcy przemierzają nimi coraz więcej długich dystansów
- 2024-03-18: Dorota Szelągowska: Dwadzieścia lat temu sięgnęłam swojego dna. Miałam ataki paniki i przez kilka miesięcy nie wychodziłam z domu
- 2024-01-30: W Polsce musi powstać około 160 nowych lokalizacji ładowania elektryków przy głównych unijnych trasach. O realizację tego celu może być bardzo trudno
- 2024-01-22: Silne zakłócenia w transporcie międzynarodowym. Niedługo mogą odczuć je też europejscy konsumenci
Kalendarium
Więcej ważnych informacji
Jedynka Newserii
Jedynka Newserii
Finanse
Zmiany klimatu i dezinformacja wśród największych globalnych zagrożeń. Potrzeba nowego podejścia do zarządzania ryzykiem
Niestabilność polityczna i gospodarcza, coraz większa polaryzacja społeczeństwa, kryzys kosztów utrzymania, rosnąca liczba konfliktów zbrojnych i ryzyka cybernetyczne związane z rozwojem sztucznej inteligencji – to największe zagrożenia dla biznesu wskazywane w tegorocznym „Global Risks Report 2024”. Z raportu wynika, że obawy o bliską i dalszą przyszłość wciąż są zdominowane przez ryzyka klimatyczne i środowiskowe. Jednak w tym roku przykryły je niebezpieczeństwa związane z dezinformacją, wspieraną przez AI, która może wywoływać coraz większe niepokoje społeczne. – W tym roku na świecie 3 mld ludzi weźmie udział w wyborach, więc konieczność zaradzenia temu ryzyku staje się coraz pilniejsza – podkreśla Christos Adamantiadis, CEO Marsh McLennan w Europie.
Ochrona środowiska
Ciech od czerwca będzie działać jako Qemetica. Chemiczny gigant ma globalne aspiracje i nową strategię na sześć lat
Globalizacja biznesu, w tym możliwe akwizycje w Europie i poza nią – to jeden z głównych celów nowej strategii Grupy Ciech. Przedstawione plany na sześć lat zakładają także m.in. większe wykorzystanie patentów, współpracę ze start-upami w obszarze czystych technologii i przestawienie biznesu na zielone tory. – Mamy ambitny cel obniżenia emisji CO2 o 45 proc. do 2029 roku – zapowiada prezes spółki Kamil Majczak. Nowej strategii towarzyszy zmiana nazwy, która ma podsumować prowadzoną w ostatnich latach transformację i lepiej podkreślać globalne aspiracje spółki. Ciech oficjalnie zacznie działać jako Qemetica od czerwca br.
Finanse
72 proc. firm IT planuje podwyżki. W branży wciąż ogromna jest różnica w wynagrodzeniach kobiet i mężczyzn
W ubiegłym roku rynek pracy IT był znacznie mniej dynamiczny niż w poprzednich latach – wynika z „Raportu płacowego branży IT w 2024” Organizacji Pracodawców Usług IT. Przy wysokim poziomie podwyżek specjaliści rzadziej zmieniali pracę, ale niektórych zmusiły do tego cięcia w zatrudnieniu wynoszące w zależności od wielkości firmy od 12 do 26 proc. Ten rok zapowiada się bardziej optymistycznie: 61 proc. przedsiębiorstw planuje zwiększać zatrudnienie, a 72 proc. – pensje. Eksperci zwracają uwagę na wciąż duży rozstrzał między wynagrodzeniami kobiet i mężczyzn w tej branży.
Partner serwisu
Szkolenia
Akademia Newserii
Akademia Newserii to projekt, w ramach którego najlepsi polscy dziennikarze biznesowi, giełdowi oraz lifestylowi, a także szkoleniowcy z wieloletnim doświadczeniem dzielą się swoją wiedzą nt. pracy z mediami.