W ciągu ostatnich 12 miesięcy aż 7 na 10 firm produkcyjnych padło ofiarą hakerskich ataków – a przynajmniej taki odsetek respondentów ma tego świadomość. W rzeczywistości ofiar cyberprzestępstw może być znacznie więcej. Hakerzy szczególnie upodobali sobie przemysł ciężki, który w efekcie ich działań może stracić krocie. Jak wyliczają eksperci z Capgemini, przestój trwający tylko cztery godziny może kosztować firmę nawet 2 mln dolarów.
W dobie inteligentnej produkcji rośnie wykładniczo liczba urządzeń podłączonych do sieci oraz systemów korzystających z chmury obliczeniowej, w tym przetwarzających i analizujących duże zbiory danych. Na niemal tysiąc firm z sektora wytwórczego, biorących udział w globalnym badaniu Cybersecurity in Smart Factories, aż 68 proc. deklaruje, że inwestuje w produkcję opartą na automatycznej wymianie danych pomiędzy maszynami i urządzeniami podłączonymi do sieci.
Firmy coraz chętniej inwestują w automatyzację i cyfryzację fabryk, bo niesie to ze sobą szereg wymiernych korzyści. Podnosimy poziom bezpieczeństwa, jakości i efektywności energetycznej, zwiększamy elastyczność, jednocześnie zmniejszając liczbę błędów ludzkich. – mówi Anna Wujec, dyrektor ds. cyfryzacji w ABB w Polsce.
Polskim przykładem smart technologii, która pozwala osiągnąć wartość dodaną, o jakiej mówi ekspert, jest inwestycja PKN Orlen w Olefiny III. Po integracji cyfrowych systemów w kompleksie będzie można monitorować i analizować w czasie rzeczywistym produktywność poszczególnych zasobów, zarządzać zużyciem energii i optymalizować procesy produkcyjne. Generowane na bieżąco dane pozwolą operatorowi podejmować lepsze decyzje, m.in. w zakresie ścisłej kontroli zużycia surowców, poziomów energii czy też produktów ubocznych z procesów. Przełoży się to na wydajniejsze wykorzystanie energii elektrycznej i redukcję emisji CO2. Dostawcą wspomnianej technologii jest ABB, we współpracy z Hyundai Engineering i Técnicas Reunidas.
Sieć zależności
Wykorzystanie chmury obliczeniowej, czujników i systemów analitycznych opartych w pewnym zakresie o sztuczną inteligencję, przynosi wiele korzyści. Jednak doświadczenie wielu przedsiębiorstw pokazuje, że takich inwestycji nie można przeprowadzać, zapominając o cyberbezpieczeństwie. Ze wspomnianego już badania Capgemini wynika, że aż 40 proc. firm przemysłowych inwestujących w mniej lub bardziej inteligentną produkcję padło ofiarą ataku hakerów. W ciągu ostatnich 12 miesięcy zaatakowano aż trzy czwarte zakładów.
Udany atak na amerykańską sieć rurociągów Colonial Pipeline doskonale pokazał, że nawet sektory uznawane za krytyczne są niewystarczająco chronione. Historycznie, infrastruktura produkcyjna była oddzielona od świata zewnętrznego, w ostatnich latach bardzo się to zmieniło za sprawą cyfryzacji. Dzisiaj furtką może być dla hakerów zwykła kamera przemysłowa, podłączona do sieci a z naszych doświadczeń wynika, że w firmach produkcyjnych liczba urządzeń sięga zazwyczaj kilkuset. Każde z nich może być potencjalnie słabym ogniwem w architekturze cyberbezpieczeństwa – zauważa Robert Juszczyk z ICsec S.A.
W ciągu ostatnich 12 miesięcy największy odsetek firm, które odnotowały ataki, był w Indiach (84 proc.), Niemczech i Wielkiej Brytanii (po 83 proc.). W najmniejszym stopniu działalnością hakerów zostały dotknięte zakłady produkcyjne w Niderlandach (59 proc.), Chinach (57 proc.) i Włoszech (53 proc.), choć i w tym przypadku trudno traktować tak wysoki odsetek poszkodowanych firm jako powód do optymizmu. Polskie firmy pod względem liczby odnotowanych cyberataków znajdują w pierwszej dziesiątce w Europie.
Biorąca udział w badaniu Capgemini kadra kierownicza zdaje sobie sprawę, że inteligentne fabryki są szczególnie narażone na ryzyko. Aż 8 na 10 pytanych nie ma co do tego wątpliwości, ale gdy spojrzymy na poszczególne kraje, zauważymy spore różnice w poziomie świadomości. W największym stopniu ze skali zagrożenia zdają sobie sprawę ankietowani z południa Europy — Hiszpanie (93 proc.) i Włosi (92 proc.). Najniższa świadomość panuje wśród Anglosasów, przy czym Brytyjczycy (74 proc.) wypadają lepiej niż Australia i Stany Zjednoczone (oba kraje po 71 proc.).
Kultura wyższa
Zdaniem autorów badania, jednym z powodów, dla których inteligentne fabryki są wdzięcznym celem ataków, to fakt, że przemysł nadal ma kłopoty z cyfrową transformacją. Jej tempo i zakres pozostawiają wiele do życzenia, a im wyższa kultura cyfrowa, tym większa świadomość zagrożeń. W najlepiej „zdigitalizowanych” firmach aż 85 proc. menedżerów deklaruje, że ma jasno określone granice ryzyka. W przedsiębiorstwach wolniej wdrażających nowe technologie tylko 45 proc. ankietowanych deklaruje, że posiada zdefiniowane procedury na wypadek zjawisk niepożądanych.
Bez procedur, które pozwalają zidentyfikować i rozpoznać zagrożenie, trudno o skuteczną odpowiedź na takie zachowania, a z naszych obserwacji wynika, że ogromnym problemem jest brak wiedzy firm, jakie urządzenia własne są w ogóle podłączone do sieci i ile ich de facto w tej sieci jest. Trudno w takiej sytuacji reagować na zagrożenia – podkreśla Robert Juszczyk.
Zmapowanie zagrożeń to najlepsza odpowiedź na cyberataki. 80 proc. cyfrowych liderów badanych przez Capgemini deklaruje, że potrafi reagować na zagrożenia cybernetyczne. W grupie przedsiębiorstw posiadających cyfrowe braki ta liczba jest dużo niższa i wynosi 51 proc. Jednocześnie 72 proc. najlepiej zdigitalizowanych firm przyznaje, że jest w stanie minimalizować skutki udanych ataków. Dla porównania, w drugiej grupie ten odsetek wynosi 41 proc.
Kogo lubią hakerzy?
Cyberprzestępcy mają swoje ulubione cele ataku. Jak wynika z badania Capgemini, najczęściej z cyberatakami mierzą się firmy działające w przemyśle ciężkim. Co druga firma (51 proc.) z tego sektora była celem ataku. Doświadczyło go również 44 proc. producentów z sektora farmaceutycznego i biotechnologicznego.
Ataki cybernetyczne są rzadziej spotykane w przemyśle chemicznym i petrochemicznym oraz wśród dostawców półprzewodników i zaawansowanych technologii. W obu przypadkach odsetek przedsiębiorstw zaatakowanych wynosi 39 proc. W branży kosmetycznej 38 proc. firm odnotowało próbę włamania do systemu.
Najrzadziej atakowani są producenci z branży automotive (36 proc.) i przemysłu lotniczego oraz obronnego – 33 proc. W porównaniu z innymi to zaskakująco niski poziom prób włamań.
Przestój wart miliony
53 proc. respondentów twierdzi, że wydatki na cyberbezpieczeństwo zakładów przemysłowych określa centrala firmy, i to ona alokuje środki na konkretne inicjatywy. Te dane mogą sugerować, że cyfrowe bezpieczeństwo nie ma wysokiego priorytetu i jest odsuwane na bok, podkreślają eksperci odpowiedzialni za opracowanie raportu.
Ważne jest, aby organizacje we właściwy sposób określiły odpowiedzialność za ryzyko związane z bezpieczeństwem cybernetycznym i to już na wczesnym etapie, ponieważ wpływ biznesowy jest ogromny – mówi Robert Juszczyk.
Wtóruje mu ekspert z ABB: – Ocena ryzyka, która jest istotnym wymogiem każdego planu zarządzania bezpieczeństwem cybernetycznym, może pomóc organizacji w jak najlepszym wykorzystaniu dostępnych zasobów; zarówno finansowych, jak i ludzkich. Aby chronić aktywa, procesy i ludzi przed nieuchronnym zagrożeniem, firmy muszą także opracować szczegółową i solidną i wielowarstwową strategię bezpieczeństwa cybernetycznego i zintegrować środki bezpieczeństwa z aktualnymi procesami – kwituje Anna Wujec.
Capgemini wylicza, że nieplanowany przestój trwający tylko cztery godziny może kosztować firmę nawet 2 miliony dolarów. To najlepsza ilustracja tego, jak ważne jest odpowiedzialne podejście do kwestii cyberbezpieczeństwa.