Ponad połowa polskich firm przemysłowych nie prowadzi dokumentacji praktyk, środków i procedur związanych z bezpieczeństwem systemów teleinformatycznych – wynika z najnowszych danych Głównego Urzędu Statystycznego. To niepokojąca wiadomość, gdyż ataków hakerskich na cele przemysłowe jest coraz więcej.
Z badania firmy Capgemini “Cybersecurity in Smart Factories” wynika, że w 2022 roku 7 na 10 firm produkcyjnych padło ofiarą działań cyberprzestępców. Przestrogą mogą być też koszty cyberataków. Jak wyliczyli eksperci, czterogodzinny przestój może kosztować firmę przemysłową nawet 2 mln dolarów. Jest to też ogromna odpowiedzialność – w przypadku ataku na infrastrukturę krytyczną, stawką są nie tylko dotkliwe straty finansowe, ale też zagrożenie dla ludzkiego życia i zdrowia.
Mimo, że niemal każdy zakład przemysłowy wyposażony jest w urządzenia podłączone do sieci i komunikujące się strumieniem danych, nie każdy prowadzi politykę bezpieczeństwa ICT, rozumianą jako udokumentowaną, wdrożoną i zaakceptowaną przez zarząd dokumentację zawierającą ocenę ryzyka utraty bezpieczeństwa i ewentualnego wpływu na działanie przedsiębiorstwa.
Statystyki GUS pokazują, że tylko 41,9 proc. firm zajmujących się produkcją dóbr i przetwórstwem prowadzi zorganizowaną politykę ICT. Jeszcze gorzej wygląda dbałość o stosowane procedury – zaledwie co piąta fabryka (19,1 proc.) zaktualizowała lub utworzyła politykę bezpieczeństwa w ciągu ostatnich miesięcy. Co trzecia firma (28,3 proc.) nie prowadzi w ogóle kontroli dostępu do sieci przedsiębiorstwa, a tylko 31,4 proc. zakładów posiada sondy monitorujące ruch sieciowy pod kątem nietypowych zdarzeń. Jeszcze mniej, bo zaledwie jedna piąta organizacji (20 proc.) prowadzi ocenę ryzyka teleinformatycznego.
“Te dane sygnalizują jak sporo jest do zrobienia, jeśli chodzi o świadomość u decydentów w polskim przemyśle. Dzisiaj furtką dla hakera może być dla hakerów zwykła kamera przemysłowa, podłączona do sieci a z naszych doświadczeń wynika, że w firmach produkcyjnych liczba urządzeń sięga zazwyczaj kilkuset. Każde z nich może być potencjalnie słabym ogniwem w architekturze cyberbezpieczeństwa.”
Krzysztof Wójtowicz z ICsec, dostawcy usług z dziedziny cyberbezpieczeństwa dla przemysłu
Sporo do poprawy mają też operatorzy infrastruktury krytycznej. Tylko ⅔ (57,9 proc.) dostawców energii elektrycznej, gazu. wody oraz spółek wodno-kanalizacyjnych prowadzi własną politykę bezpieczeństwa ICT. Mniej niż jedna trzecia (27 proc.) dokonało aktualizacji bądź wprowadziło nowe procedury w ciągu ostatniego roku. 76,6 proc. operatorów dba o kontrolę dostępu do sieci, ale tylko 39,8 proc. posiada system informujący o niebezpiecznych anomaliach w ruchu sieciowym. Nieco więcej niż ⅓ (35,8 proc.) dostawców prowadzi regularną ocenę ryzyka ICT.
“Bez procedur, które pozwalają zidentyfikować i rozpoznać zagrożenie, trudno o skuteczną odpowiedź na takie zachowania, a z naszych obserwacji wynika, że ogromnym problemem jest brak wiedzy firm, jakie urządzenia własne są w ogóle podłączone do sieci i ile ich de facto w tej sieci jest. Trudno w takiej sytuacji reagować na zagrożenia.”
Krzysztof Wójtowicz z ICsec