Bezpieczeństwo przemysłowe to zagadnienie dla kadry zarządzającej: od czego zaczynają firmy?

Simon Nutz, Consultant Industrial Security

Na pytanie o cyberbezpieczeństwo, producenci i operatorzy maszyn odpowiadają „To nie nasz problem. Za cyberbezpieczeństwo odpowiada dział IT” . W praktyce jednak działom IT brakuje specjalistycznej wiedzy – zwłaszcza w odniesieniu do procesów automatyzacji i maszyn. Z drugiej strony nawet sami inżynierowie produkcji czy specjaliści ds. BHP nie wiedzą, jak zagwarantować cyberbezpieczeństwo. Jak zatem przygotować się na nadchodzące wymagania w obszarze cyberbezpieczeństwa?

Rozporządzenie w sprawie maszyn wejdzie w życie w Unii Europejskiej w styczniu 2027 r. Dotyczy ono wszystkich przedsiębiorstw, które chcą importować lub eksploatować maszyny na terenie UE. Rozporządzenie postrzega cyberbezpieczeństwo jako zbiór środków ochrony zabezpieczających przed naruszeniem integralności. Staje się zatem kwestią krytyczną dla przedsiębiorstwa i stanowi zadanie niezbędne do uwzględnienia przez kierownictwo. Kadra zarządzająca musi zadbać, aby kwestia cyberbezpieczeństwa była solidnie zakorzeniona w kulturze firmy.

Zaproszenie wszystkich do wspólnego stołu
Pierwszym krokiem do sukcesu jest zaangażowanie wszystkich zainteresowanych stron. W przypadku producentów maszyn oznacza to dział IT, dział rozwoju/projektowania, a także – jeśli są dostępne – osoby odpowiedzialne za bezpieczeństwo (np. CISO). W przypadku użytkowników są to działy IT, technologii produkcji, zarządzania produkcją, BHP i CISO.
Pierwszym krokiem jest zdobycie niezbędnej wiedzy i wypracowanie wspólnego zrozumienia kwestii związanych z cyberbezpieczeństwem. Przede wszystkim należy zapoznać się z obowiązkami prawnymi obowiązującymi w branży maszyn i urządzeń. W jaki sposób bezpieczeństwo i cyberbezpieczeństwo są ze sobą powiązane? Gdzie spotykają się interfejsy IT i OT?

W drugim kroku interdyscyplinarne zespoły opracowują odpowiednią strategię firmy obejmującą m.in. koncepcję wdrożenia. Celem jest znalezienie w wewnętrznej strukturze stanowiska, które przejmie odpowiedzialność za te zagadnienia w przyszłości. Jak wygląda topologia sieciowa maszyn? Jak wpisuje się ona w nowe wymogi prawne?

Wdrożenie związane jest zawsze z oceną ryzyka
Dopiero wtedy firma jest w stanie zainicjować zadania mające na celu zapewnienie cyberbezpieczeństwa. Rozpoczyna się to od oceny i kwantyfikacji potencjalnie szkodliwych zdarzeń oraz przygotowania analizy wymagań dotyczących ochrony. W ramach tego procesu identyfikuje się również potencjalne luki w zabezpieczeniach oraz ryzyko ataków i ingerencji z powodu sieci, cyfryzacji i sztucznej inteligencji. Ważne: oprócz klasycznych obszarów ochrony IT, takich jak poufność, integralność i dostępność, cele ochrony w ramach cyberbezpieczeństwa obejmują również bezpieczeństwo funkcjonalne maszyny.

Punktem wyjścia jest znowu ocena ryzyka. Polega ona na analizie zagrożeń wynikających z luk w zabezpieczeniach, co oznacza, że środki bezpieczeństwa muszą być stale monitorowane i dostosowywane do potrzeb. Często towarzyszy temu złożona infrastruktura informatyczna i sieciowa, która wymaga dodatkowej wiedzy technicznej oraz zasobów.

Poszukiwany ekspert ds. bezpieczeństwa i cyberbezpieczeństwa !
Każdy, kto poszukuje zewnętrznego wsparcia, rozpoczynając przygodę z cyberbezpieczeństwem w automatyce, powinien zdawać sobie sprawę, że wiedza specjalistyczna z zakresu bezpieczeństwa IT jest przydatna jedynie w ograniczonym zakresie. Ma to związek z faktem, że procedury ograniczające ryzyko ataków na maszyny (cyberbezpieczeństwo) są bardzo podobne do procedur ograniczających potencjalne ryzyko ze strony maszyn (bezpieczeństwo). Każda osoba pragnąca wdrożyć cyberbezpieczeństwo musi być ekspertem w zakresie bezpieczeństwa maszyn oraz znać odpowiednie specyfikacje i normy – przede wszystkim treść Rozporządzenia w sprawie maszyn.

Szczegóły wdrożenia nowych przepisów są obecnie przedmiotem negocjacji. W niektórych miejscach prace nad zharmonizowanymi normami nadal trwają. Jako ekspert w dziedzinie bezpieczeństwa maszyn firma Pilz aktywnie uczestniczy w tworzeniu tych regulacji. Przekazuje również swoją wiedzę i doświadczenie klientom w formie usług i szkoleń. Szkolenie „Podstawy bezpieczeństwa przemysłowego” przeznaczone jest dla osób stawiających pierwsze kroki w tej tematyce. W trakcie szkolenia uczestnicy zapoznają się z terminologią i wymogami prawnymi oraz zyskają lepsze zrozumienie zagadnień cyberbezpieczeństwa w kontekście bezpieczeństwa maszyn i sieci. Najlepsze praktyki pozwalają na zrozumienie zagrożeń dla cyberbezpieczeństwa w otoczeniu produkcyjnym.
Szkolenie „Certified Expert for Security in Automation (CESA)” dostarcza narzędzi niezbędnych do wdrożenia efektywnych środków organizacyjnych i technicznych w sieciach automatyki przemysłowej.

Oprócz szkoleń firma Pilz oferuje również rozwiązania z zakresu identyfikacji i zarządzania uprawnieniami dostępu (I.A.M.). Obejmują one produkty i indywidualne rozwiązania z zakresu ochrony pracowników oraz ochrony odpowiedzialności cywilnej w celu zapewnienia maksymalnej produktywności i ochrony danych. Przykładowe zastosowania obejmują uwierzytelnianie użytkowników, wybór trybu pracy, bezpieczeństwo danych i sieci, a także zarządzanie dostępem. W ten sposób możliwe jest zapewnienie kompleksowego bezpieczeństwa w ramach jednego systemu.

Producenci i operatorzy maszyn na całym świecie już teraz powinni podjąć niezbędne działania, aby przygotować się na wyzwania związane z cyberbezpieczeństwem przemysłowym. Konieczne jest zdobycie wiedzy, zdefiniowanie odpowiedzialności i interfejsów oraz opracowanie indywidualnej strategii. Najlepiej, aby proces zainicjowała kadra zarządzająca.