Zwiększona liczba ataków na sektor przemysłowy i infrastrukturę krytyczną pokazuje, że dziś zadbanie o bezpieczeństwo firm stanowi istotny element bezpieczeństwa całego kraju. Tymczasem, według Eurostatu, znajdujemy się na drugim miejscu w Unii Europejskiej pod względem liczby cyberataków na przedsiębiorstwa. W 2024 r. doświadczyło ich aż 32% podmiotów. Jednocześnie, w naszym kraju wciąż nie została zaimplementowana dyrektywa NIS2. Najnowszy raport EY „Trendy i wyzwania w cyberbezpieczeństwie” wskazuje, co firmy powinny zrobić, aby lepiej chronić swoje najważniejsze zasoby.
Współcześnie większość sektorów gospodarki opiera się na cyfrowych rozwiązaniach, jednak poziom zabezpieczeń nie jest równomierny. Podczas, gdy firmy coraz lepiej chronią swoją strefę IT przed zagrożeniami takimi jak phishing, równocześnie nie poświęcają wystarczającej uwagi drugiemu z obszarów – OT. Odpowiada on za prawidłowe działanie nie tylko systemów przemysłowych, ale również kluczowych elementów infrastruktury, takich jak wodociągi, elektrownie czy instalacje chemiczne. W efekcie zaniechania w tym obszarze mogą prowadzić do daleko idących konsekwencji.
Tymczasem rosnące zagrożenie ze strony hakerów potwierdzają dane. W 2024 roku CSRIT-y poziomu krajowego rejestrowały łącznie 111 660 potwierdzonych incydentów bezpieczeństwa, co stanowi wzrost o 23%. Wiele z tych ataków nakierowanych jest właśnie w infrastrukturę krytyczną. Ministerstwo Cyfryzacji wskazało m.in. że w ciągu zaledwie kilku dni przeprowadzono 18 ataków na przedsiębiorstwa wodociągowe w całej Polsce. Co więcej według danych Eurostatu Polska znajduje się na 2. miejscu w UE pod względem liczby incydentów cyberbezpieczeństwa w firmach – doświadczyło ich aż 32% organizacji.
– Dziś poprzez włamanie się do urządzeń często kosztujących mniej niż dolara – jak np. termometr – których nikt odpowiednio nie zabezpieczył, możliwe jest sparaliżowanie albo nawet wyłączenie całego zakładu. Dlatego właśnie mówimy, że OT to „miękkie podbrzusze” przedsiębiorstwa, a te przedsiębiorstwa to „miękkie podbrzusze” całej gospodarki. Linia frontu staje się coraz bardziej cyfrowa, co potwierdzają kolejne przypadki ataków, również na tak newralgiczne obszary jak placówki medyczne. Niedawno skoordynowanego ataku na swoją sieć energetyczną doświadczyła Dania, która nie jest krajem przyfrontowym. Można więc sobie tylko wyobrazić, jak bardzo zagrożona jest nasza infrastruktura krytyczna i jak ważne jest, aby ją odpowiednio zabezpieczyć – mówi Piotr Ciepiela, Partner EY, Globalny Lider Bezpieczeństwa Architektury i Nowoczesnych Technologii.
Problematykę cyberbezpieczeństwa podejmuje najnowszy raport EY „Trendy i wyzwania w cyberbezpieczeństwie”. Co przedsiębiorstwa powinny zrobić, aby lepiej chronić się przed narastającą falą cyberataków?
Koniec z zamiataniem incydentów pod dywan
W Polsce wciąż jesteśmy przed wdrożeniem nowelizacji Ustawy o Krajowym Systemie Cyberbezpieczeństwa, włączającą w lokalne prawodawstwo unijną dyrektywę NIS2. Przepisy te są reakcją na zwiększoną liczbę ataków i konieczność ochrony kluczowych gałęzi gospodarki. Widać to szczególnie w najnowszej wersji ustawy, zwiększającej – tylko nad Wisłą – liczbę podmiotów objętych nowym prawem z 400 do nawet 38 000. Nasz kraj nie jest jedynym, który w tej kwestii zwleka – do maja tego roku z 27 państw członkowskich UE, tylko 12 wdrożyło odpowiednie regulacje.
Ze względu na znaczne rozszerzenie liczby sektorów gospodarki uznawanych za krytyczne, wiele przedsiębiorstw może sobie nawet nie zdawać sobie sprawy, że obejmują je nowe regulacje. Tymczasem NIS2 nakłada na przedsiębiorstwa szereg obowiązków, obejmujących zgłaszanie incydentów w odpowiednim czasie, przeprowadzanie oceny ryzyka cybernetycznego i wdrożenie zabezpieczeń czy szkolenie pracowników. Za brak wymaganych zmian, oprócz zwiększonej podatności na ataki, przedsiębiorstwa będą musiały mierzyć się z karami finansowymi.
– Regulacja NIS2 jest kluczowym elementem zwiększenia odporności cyfrowej gospodarki UE. Jednym z głównych celów tej dyrektywy jest zmiana mentalności „zamiatania pod dywan” incydentów bezpieczeństwa, przez którą wciąż pełna skala zagrożenia nie jest naprawdę znana. Tym bardziej, że nowe regulacje obejmują nie tylko duże, ale też średnie firmy, które są zazwyczaj gorzej zabezpieczone. A pamiętajmy, że skoordynowany atak na wiele mniejszych podmiotów może być tak samo, a nawet znacznie bardziej dotkliwy w skutkach dla gospodarki, niż na jeden duży – mówi Patryk Gęborys, Partner EY w zespole Bezpieczeństwa Informacji i Technologii.
Przedsiębiorstwa często nie mają nawet wiedzy, co wchodzi w skład ich strefy OT
Jedną z kluczowych rekomendacji zawartych w raporcie EY „Trendy i wyzwania w cyberbezpieczeństwie 2025” jest balansu między poziomem cyberbezpieczeństwa a elastycznością w prowadzeniu biznesu. Niezbędnymi działaniami w tym wypadku jest identyfikacja najważniejszych zasobów, które trzeba skutecznie chronić, ponieważ są niezbędne do funkcjonowania firmy. W dalszym ciągu konieczne jest przeprowadzenie przeglądu otwartych podatności – umożliwi to zidentyfikowanie wad technicznych, luk w konfiguracjach oraz braków narzędziowych, procesowych i organizacyjnych. W tym celu możliwe jest wykorzystanie m.in. ogólnodostępnych, międzynarodowych standardów NIST oraz narzędzi CERT, pozwalających m.in. skanować domeny na obecność podatności.
– Jednym z kluczowych wyzwań w przypadku środowiska OT w Polsce jest brak kompletnej listy wykorzystywanych urządzeń i systemów. Często spotykamy się z sytuacją gdzie nie ma jej wcale, jest niekompletna lub nieaktualna. Jak przedsiębiorstwo ma się zabezpieczyć, jeżeli nie wie nawet, jaki sprzęt z jakim oprogramowaniem posiada i kto ma do niego dostęp? Tutaj ujawnia się też drugi problem. Brak ustrukturyzowanej i dojrzałej architektury bezpieczeństwa np. uwzględniającej elementy filozofii „Zero Trust” tam, gdzie to zasadne. Finalnie, trzeba pamiętać, że informatyk to nie specjalista ds. bezpieczeństwa, a w wielu firmach wciąż brakuje dedykowanego zespołu, chroniącego kluczową dla firmy obszary procesów przemysłowych – mówi Leszek Mróz, Partner EY w centrum kompetencji EY dla usług bezpieczeństwa OT/IoT.
Oprócz wdrożenia zasad cyberbezpieczeństwa przez same przedsiębiorstwa, ważną kwestią jest współpraca firm z producentami oraz integratorami w celu wymiany doświadczeń i wypracowaniu dobrych praktyk. Producentom sprzętu pozwala to tworzyć jeszcze lepsze produkty zgodnie z podejściem „security by design”, a integratorzy mają większe możliwości zapewnienia bezpiecznej konfiguracji i odpowiednich szkoleń dla personelu.
Włączyć pracowników w zarządzanie zmianą
Jednym z kluczowych działań jest włączenie pracowników w programy szkoleniowe dotyczące cyberbezpieczeństwa, szczególnie w kontekście postępowania w sytuacjach kryzysowych oraz umiejętność zarządzania zmianą. Dzięki temu z jednej strony minimalizuje się ryzyko błędów ludzkich mogących prowadzić do cyberataku, a z drugiej – nawet w razie jego wystąpienia firma ma szanse dalej funkcjonować dzięki odpowiednio przygotowanej kadrze. Dobrą praktyką jest włączenie do przygotowania procesów i szkoleń osób, które nie są bezpośrednio związane z cyberbezpieczeństwem, ale posiadają ekspertyzę w obszarze prawa, zarządzania zasobami ludzkimi czy w dziedzinach pokrewnych, aby wprowadzane rozwiązania były skoncentrowane na człowieku i jego potrzebach, przez to mocniej angażowały odbiorców.
– W Polsce rozwiązania cyberbezpieczeństwa najczęściej wdrażane są przez zespoły IT, natomiast powinny mieć naturę interdyscyplinarną. W tworzenie procesów zabezpieczenia sfery OT włącza się pracowników z bardzo różnych obszarów, aby podejmowane działania miały możliwie kompleksowy charakter. W Polsce ten brak szerszego spojrzenia, w połączeniu z niewystarczającym budżetem na rozwiązania, brakiem planów na wypadek awarii czy dopiero rosnącą świadomością na temat cyberzagrożeń powoduje, że skutki ataków na nasz biznes i infrastrukturę mogą być niezwykle poważne. Warto tu przypomnieć, że średni światowy koszt ataku liczony jest w milionach dolarów. Ta liczba jest jedna złudna, gdyż jeden skuteczny atak zwykle wskazuje, że należy się spodziewać kolejnych prób – podsumowuje Bartosz Nieróbca, Senior Manager, Lider Laboratorium Cyberbezpieczeństwa i Inżynierii Bezpieczeństwa OT, EY Polska