Tych systemów nie da się wyłączyć na aktualizację. Nowe reguły gry zmieniają przemysł

• Unijne dyrektywy NIS2 i CRA (Cyber Resilience Act) przesuwają cyberbezpieczeństwo z poziomu technicznego na ład korporacyjny, zwiększając odpowiedzialność zarządów i nacisk na zarządzanie ryzykiem.
• Systemy OT działają w długich cyklach życia (nawet 15 lat), co utrudnia spełnienie wymogów i aktualizacje bez ryzyka przestojów produkcji.
• AI przyspiesza wykrywanie podatności i anomalii, ale firmy muszą priorytetyzować ochronę i budować odporność, bo nie da się "załatać" wszystkiego.
• O cyberbezpieczeństwie przemysłu podczas CYBERSEC EXPO & FORUM dyskutowali Dawid Bazan, Waldemar Chlebin, Mikołaj Śniatała, Dawid Wachowiak oraz Zuzanna Wieczorek.

Uczestnicy panelu "Cyberbezpieczeństwo przemysłu" podkreślali, że cyberbezpieczeństwo to nie tylko kwestia techniczna, ale w dużej mierze organizacyjna i zarządcza. Wyzwania wynikają ze skali i złożoności ekosystemu przemysłowego, gdzie wiele podmiotów współpracuje przez długi okres eksploatacji systemów. Kluczowe jest świadome zarządzanie ryzykiem, moderowanie procesów oraz nadzór ze strony zarządów firm.

Zmieniające się regulacje, takie jak NIS2, przekształcają dotychczasowe normy techniczne (np. IEC 62443) w miarę staranności w działania na poziomie zarządczym, podobnie jak w przypadku BHP, gdzie odpowiedzialność przesunięto na zarząd. Zgodność z normami stanie się "papierkiem lakmusowym" oceny, czy organizacja spełnia wymogi bezpieczeństwa.

Mamy już przeświadczenie, że BHP jest częścią funkcjonowania firmy. Ważne jest, aby cyberbezpieczeństwo także było pojmowane jako czynnik ważny dla właściwego funkcjonowania firmy, a nie tylko jako kolejna kłoda rzucania pod nogi zarządu i załogi - mówił Dawid Bazan, cyber security lead architect w Stellantis.

Regulacje NIS2 i CRA: cyberbezpieczeństwo jako obowiązek zarządu?

Paneliści wskazywali, że nowe regulacje (NIS2, CRA) wymuszają na organizacjach podejście zarządcze do cyberbezpieczeństwa, podnosząc odpowiedzialność zarządów i wymagając systemowego zarządzania ryzykiem. - Cyberbezpieczeństwo przestanie być standardem technicznym, a zacznie być elementem ładu korporacyjnego na równi z innymi regulacjami. Zarząd ma wprowadzić procedury, przyznać budżet na odpowiednie działanie. NIS2 to jest dla mnie artykuł 21. dyrektywy, czyli efektywne zarządzanie ryzykiem w firmie - podkreślił Mikołaj Śniatała, partner Andersen.

Powstaje wspólny język i standardy, co ułatwia weryfikację i audyty, zwłaszcza w łańcuchu dostaw. Jednakże pojawia się obawa, czy faktycznie regulacje poprawią bezpieczeństwo, czy tylko przerodzą się w papierologię podobną do RODO.

Problemem w zakresie wdrażania NIS2 czy CRA jest to, że systemy OT często są oparte na starszym oprogramowaniu. Cykl życia wielu maszyn po stronie OT to nie 2-3 czy nawet 5 lat, jak jest domyślnie przyjęte w regulacjach CRA. Przykładowo w przypadku infrastruktury wodociągowej, a więc jednego z rodzajów infrastruktury krytycznej, cykl życia instalacji to 15 lat - mówił Mikołaj Śniatała.

OT kontra IT: dlaczego przemysł nie może "wyłączyć systemu" na aktualizację?

Wśród wyzwań związanych z wdrażaniem wymogów bezpieczeństwa są luki kompetencyjne wśród mniejszych firm, które często dysponują ograniczonymi zasobami. - Z punktu widzenia zasobów i rozumienia potrzeb wprowadzania zasad cyberbezpieczeństwa istnieje luka kompetencyjna między małymi i dużymi formami - zaznaczył Waldemar Chlebik, head of cyber security, Siemens.

Zuzanna Wieczorek, prezes zarządu Tekniska Polska Przemysłowe Systemy Transmisji Danych dodała, że wyzwaniem jest skala przedsiębiorstw i liczba firm współpracujących w ekosystemie produkcyjnym.

Narzędzia techniczne są. Natomiast prawdziwym wyzwaniem jest kwestia utrzymania cyberbezpieczeństwa w ogromnej skali, w dużym, skomplikowanym systemie naczyń połączonych. To wyzwanie organizacyjne, które wymaga świadomego zarządzania ryzykiem, moderowania pewnych procesów w firmie w zakresie cyberbezpieczeństwa, co nie jest proste - powiedziała Zuzanna Wieczorek.

Uczestnicy dyskusji podkreślali fundamentalną różnicę między systemami IT a OT (Operational Technology), zwłaszcza w kontekście dostępności, stabilności i ryzyka. OT wymaga ciągłości działania procesów produkcyjnych, co ogranicza możliwość aktualizacji i ingerencji w systemy.

- Chodzi o to, żeby te dwa systemy mogły ze sobą współpracować, ale jednocześnie były od siebie izolowane. Nie możemy sobie pozwolić na wyłączenie OT, czyli przestój linii produkcyjnej. W związku z tym już na etapie planowania i projektowania takiego systemu musimy zadać szereg ważnych pytań dotyczących jej bezpieczeństwa - mówił Dawid Bazan.

Monitorowanie bezpieczeństwa OT wymaga specjalistycznego kontekstu i wsparcia dedykowanych ekspertów, a klasyczne SOC IT bez takiego wsparcia jest niewystarczające do skutecznego monitorowania OT. Firmy motoryzacyjne, takie jak Stellantis, mają zaawansowane procesy związane z bezpieczeństwem łańcucha dostaw i są przykładem dla innych sektorów przemysłu.

AI w cyberbezpieczeństwie: szybsze wykrywanie podatności, ale i szybsze ataki

Paneliści dyskutowali o roli sztucznej inteligencji (AI) w przyspieszaniu wykrywania podatności i anomalii, co z jednej strony zwiększa zagrożenia, a z drugiej pozwala na skuteczniejszą obronę.

Poziom i szybkość znajdowania podatności znacznie przyspieszył. Czas od wykrycia do wykorzystania zmienił się z dni w sekundy. Po stronie obrony systemu muszą więc pojawiać się równie szybko pracujące maszyny - powiedział Waldemar Chlebik.

AI jest wykorzystywane do analizy dużych ilości danych oraz anomaly detection, co jest szczególnie efektywne w stabilnych środowiskach OT. Zuzanna Wieczorek zauważyła, że w przemyśle nie ma i nie było możliwości łatania wszystkich podatności.

- Skupienie uwagi i koncepcja obrony nie może być oparta na łataniu podatności na czas, bo to jest nierealne w dużej skali. Trzeba określić priorytety, skupić się na procesie, na tym, co jest krytyczne dla funkcjonowania firmy i to wbudować w ramy cyberbezpieczeństwa. Jeśli będziemy próbować zająć się wszystkim, to będzie paraliżujące - stwierdziła Zuzanna Wieczorek i dodała, że trzeba budować jak najbardziej odporne systemy, ale przyjąć, że systemy zawsze będą miały podatności.

Waldemar Chlebik zwrócił także uwagę na potrzebę zmiany modeli danych, które obecnie są przestarzałe i nieprzystosowane do technologii AI. - Obecna struktura baz danych nie odpowiada potrzebom sztucznej inteligencji. Struktury danych dla AI muszą być specjalnie zaprojektowane, stokenizowane, zwektoryzowane. Potrzebny jest nowy model baz danych, żeby w pełni wykorzystać możliwości analityczne, jakie daje sztuczna inteligencja - powiedział.

Jak planować bezpieczeństwo systemów IT/OT przy przejęciach?

Dawid Wachowiak, dyrektor ds. transformacji cyfrowej i IT, Fundusz inwestycyjny TDJ opisał proces audytu i standaryzacji cyberbezpieczeństwa przy przejęciach i dezinwestycjach spółek, gdzie kluczowe jest projektowanie architektury IT/OT z myślą o samodzielności i bezpieczeństwie przy przekazywaniu aktywów.

Cała architektura zarówno infrastruktury, jak systemów, jak i cyberbezpieczeństwa, od początku musi być przemyślana właśnie dla tego procesu, czyli przejęcia spółki, dostosowania jej do naszego standardu, a potem wycofania jej z portfela. Spółka musi być samodzielna i gotowa trafić do nowej infrastruktury, do nowego podmiotu, do nowego właściciela - mówił Dawid Wachowiak.

Zwrócono uwagę na wyzwania w integracji i przekazywaniu odpowiedzialności oraz na konieczność odpowiedniego planowania i umów. - Na początku zakładamy, że infrastruktura spółki nie jest bezpieczna. Robimy audyt infrastruktury zarówno IT, OT i dopiero po nim integrujemy spółkę z naszym systemem. Plan integracji zawiera te elementy, które należy w danej organizacji podciągnąć i dostosować do naszych standardów - podkreślił Wachowiak.

Dawid Wachowiak zaznaczył, że outsourcing niektórych kompetencji, takich jak SOC, jest korzystny, zwłaszcza dla mniejszych firm, ale odpowiedzialność zarządcza powinna pozostawać wewnątrz organizacji.

- Pracujący w systemie 24/7 zespół SOC jest kosztem i to sporym. Dla małych i średnich podmiotów budowanie własnych zespołów może być nieefektywne kosztowo. Część kompetencji warto mieć u siebie, ale część można outsourcować - uważa Dawid Wachowiak.

W praktyce wdrażanie cyberbezpieczeństwa w firmach wymaga przemyślanej architektury IT/OT oraz odpowiedniego planowania. Istnieje fundamentalna różnica między systemami IT i OT w przemyśle, co wymaga specjalistycznych podejść do bezpieczeństwa i dedykowanego wsparcia SOC z wiedzą OT, gdyż klasyczne SOC IT nie radzą sobie z kontekstem produkcyjnym.

* * *

Debata pt. „Cyberbezpieczeństwo przemysłu” odbyła się na CYBERSEC EXPO & FORUM w Katowicach 16 czerwca.

Zobacz pełny zapis wideo

Cybersec Expo & Forum 2026