Ale to nie „zwykły Kowalski” powinien czuć się zagrożony, a ci, którzy na co dzień zajmują się elementami infrastruktury kluczowej w sektorze OT. Jak zatem prezentuje się (cyber)bezpieczeństwo naszego przemysłu i jak wypadamy na tle pozostałych krajów, lub inaczej mówiąc, średniej globalnej?
Cyberbezpieczeństwo w Polsce
To pytanie zadaliśmy sobie (oraz innym) nieco wcześniej niż 24 lutego. Ciekawi tego, jak prezentuje się polski przemysł w ramach cybersecurity postanowiliśmy przeprowadzić badanie. Od lipca do grudnia 2021 udostępniliśmy anonimową ankietę, celem, której było rozpoznanie polskiego rynku cyberbezpieczeństwa. Odpowiedzi udzieliło nam ponad 130 specjalistów. Śmiało możemy powiedzieć, że badaniem udało nam się objąć pełne spectrum przemysłu, począwszy od małych firm zatrudniających poniżej 10 pracowników aż po największe organizacje skupiające powyżej 250 osób.
Zebrane przez nas dane zestawiliśmy z raportem opublikowanym przez firmę Claroty State of Industrial Cybersecurity 2021 oraz SANS 2021 Survey: OT/ICS Cybersecurity. Już na pierwszy rzut oka obserwowalna jest pewna niedojrzałość naszego rynku OT w zakresie jego cyberbezpieczeństwa.
Ankietowani zapytani o to, kto w ich organizacji odpowiada za bezpieczeństwo sieci OT/ICS w przeważającej większości wskazali Dział IT. Natomiast nie to o naszej niedojrzałości świadczy. Jedynie 25% zadeklarowało, iż ma specjalny zespół powołany do tego celu.
W ujęciu globalnym, idąc za danymi firmy Claroty, ponad 60% organizacji posiada dedykowaną temu zadaniu komórkę w swojej firmie. Natomiast podobnie jak na naszym rodzimym rynku w około 20% organizacji za bezpieczeństwo odpowiada dział Utrzymania Ruchu, a w ok. 10% pracownicy nie wiedzą, kto jest odpowiedzialny za to zadanie. Ta swoista niedojrzałość naszego rynku objawia się również w innej kwestii. W ujęciu globalnym za największe zagrożenie organizacje wskazują ataki typu ransomware. Zwłaszcza w dobie popularyzacji ataków typu RaaS (czyli de facto hackowania na żądanie), które znalazły swoje „zyskowne” miejsce w przestrzeni OT. Jednak polscy przedsiębiorcy jako główne zagrożenie wskazują w dalszym ciągu ludzi.
Blisko 83% respondentów wskazało tę właśnie odpowiedź. Ma to swoje uzasadnienie, ponieważ poziom kompetencji w zakresie cyberbezpieczeństwa jest, niestety, w dalszym ciągu dość niski. Jest to rezultat długu technologicznego, który w dalszym ciągu posiadamy. Wielu spośród automatyków nie dopuszcza nawet do siebie myśli, że może zostać zaatakowanymi, ponieważ sieci OT to w przeważającej liczbie układy zamknięte, które nie mają wyjścia „na świat”.
Tym samym jedynym źródłem ataku może być niekompetentny pracownik lub tzw. „man in the middle”. To jednak złudne myślenie, ponieważ pandemia Covid-19 nieco zmieniła podejście do świadczenia usług serwisowych i zdalny dostęp w przemyśle stał się czymś bardzo powszechnym, co całkowicie podważa podawane wcześniej argumenty.
Najciekawszym jednak pytaniem, bez którego takie badanie nie mogło się obejść, było: "Czy w ciągu ostatnich 12 miesięcy w przedsiębiorstwie zdarzył się incydent związany z cyberbezpieczeństwem?" I tu rezultaty absolutnie nas zaskoczyły. Z przedstawionych odpowiedzi, wynika, że albo jesteśmy fantastycznie przygotowani, albo… właśnie… wnioski nasuwają się same. Prawdopodobnie część z osób, które wskazały odpowiedź NIE, powinno jednak wskazać odpowiedź NIE WIEM. Dane z raportów globalnych by na to wskazy-wały. Claroty jest w tym aspekcie bezwzględne.
Wedle ich danych ponad 80% organizacji padło ofiarami ataku, z czego 47% z nich miało bezpośredni wpływ na funkcjonowanie sieci OT oraz systemów ICS. SANS podaje nieco mniej apokaliptyczne dane, jednak w dalszym ciągu jedynie 12% respondentów jest przekonanych, że definitywnie nie zostało zaatakowanych.
Z przedstawionych powyżej odpowiedzi, wynika, że albo jesteśmy fantastycznie przygotowani, albo… no właśnie… Wnioski nasuwają się same. Prawdopodobnie część z osób, które wskazały odpowiedź: NIE, powinno jednak wskazać odpowiedź: NIE WIEM. Dane z raportów globalnych by na to wskazywały. Claroty jest w tym aspekcie bezwzględne. Wedle ich danych ponad 80% organizacji padło ofiarami ataku, z czego 47% z nich miało bezpośredni wpływ na funkcjonowanie sieci OT oraz systemów ICS. SANS podaje nieco mniej apokaliptyczne dane, jednak w dalszym ciągu jedynie 12% respondentów jest przekonanych, że definitywnie nie zostało zaatakowanych.
Zatem czy polski przemysł jest cyberbezpieczny?
Nie ma jednoznacznej odpowiedzi na to pytanie. Ustawa o Krajowym Systemie Cyberbezpieczeństwa wymogła wdrożenie wielu polityk, zwłaszcza na operatorach usług kluczowych. Organizacje, od których zależy bezpieczeństwo kraju, są dobrze przygotowane pod wieloma względami.
Faktem jest jednak, że polski przemysł dostrzega problem i ma świadomość tego, że cyberbezpieczeństwo, to jedna z kluczowych kompetencji, jaką powinni nabyć pracownicy. Zatem ku pokrzepieniu serc ostatnie zadane przez nas pytanie. Przedsiębiorcy zapytani o to, czy planują przeszkolenie pracowników pod kątem cyberbezpieczeństwa w przeważającej większości odpowiedzieli, że tak (58%).
