• 1000

Pomimo rosnącej liczby dyskusji o cyberbezpieczeństwie systemów automatyki przemysłowej, w wielu firmach temat ten wciąż nie jest w pełni uwzględniany w strategii zarządzania cyberbezpieczeństwem. Chociaż organizacje poczyniły postępy w rozwijaniu kompetencji w tej dziedzinie, wciąż napotykają trudności w osiągnięciu oczekiwanego poziomu dojrzałości w zakresie zabezpieczenia systemów przemysłowych. Eksperci z KPMG oraz Międzynarodowego Stowarzyszenia Cyberbezpieczeństwa Systemów Sterowania (Control System Cybersecurity Association International – (CS)2AI) przeprowadzili badanie wśród przedstawicieli firm z różnych branż, aby poznać ich doświadczenia związane z incydentami cyberbezpieczeństwa OT, wzorcami ataków i sposobami reagowania na zagrożenia. Zapraszamy do lektury raportu „Control System Cybersecurity Annual Report 2024” oraz jego polskiego podsumowania.

Document

Najważniejsze wnioski z raportu

01

Aż 49%, czyli niemal połowa ankietowanych organizacji, nie posiada programów cyberbezpieczeństwa OT lub posiada jedynie podstawowy program, bez udokumentowanych procedur oraz zaplanowanych inicjatyw naprawczych.

02

Nawet 21% wszystkich firm biorących udział w badaniu deklaruje, że w porównaniu z poprzednim rokiem zamierza podnieść swój budżet na bezpieczeństwo systemów przemysłowych o więcej niż 10%.

03

Najczęściej wskazywanym przez ankietowanych obszarem cyberbezpieczeństwa systemów OT, w którym spodziewają się najwyższego zwrotu z inwestycji, jest segmentacja sieci.

04

Tylko 37% respondentów twierdzi, że w ciągu poprzednich 12 miesięcy w ich przedsiębiorstwie nie doszło do żadnego incydentu związanego z cyberbezpieczeństwem systemów OT.

Samoocena poziomu cyberbezpieczeństwa

W raporcie podsumowano opinie przedstawicieli firm na temat podejścia do zarządzania cyberbezpieczeństwem w ich organizacjach. Wyróżniono pięć poziomów dojrzałości w tym zakresie, a zadaniem respondentów było wskazanie poziomu, który najlepiej oddaje bieżącą sytuację w ich firmie.

Poziomy dojrzałości w zarządzaniu cyberbezpieczeństwem

Brak programu cyberbezpieczeństwa, w związku z czym procesy są niezorganizowane oraz nieudokumentowane. Sukces jest uzależniony od indywidualnych wysiłków poszczególnych osób.

Zarządzanie cyberbezpieczeństwem jest na poziomie podstawowym umożliwiającym częściową powtarzalność realizowanych procesów, przy dużym udziale procesów realizowanych ad hoc. Sukces jest oparty na kluczowych osobach, lecz świadomość cyberbezpieczeństwa nie organicza się tylko do nich.

Firma działa w oparciu o udokumentowane i wdrożone procesy i procedury. Zapewnione są niezbędne zasoby umożliwajace ich realizację (ludzie, narzędzia, budżet). Implementacje są wynikiem programu cyberbezpieczeństwa.

Program cyberbezpieczeństawa podlega ewaluacji i regularnym aktualizacjom. Działania są prowadzone na podstawie udokumentowanych procedur organizacyjnych oraz polityk obejmujących wymogi zgodności z określonymi standardami i/lub wytycznymi. Personel odpowiedzialny za cyberbezpieczeństwo systemów sterowania posiada odpowiednie przeszkolenie i doświadczenie.

Procesy cyberbezpieczeństwa są stale ulepszane dzięki informacjom zwrotnym z istniejących procesów i dostosowywane w celu lepszego zaspokajania potrzeb organizacyjnych. Personel posiada odpowiednie umiejętności i wiedzę. Najlepiej opisujące ten poziom hasła to: optymalizacja, automatyzacja, integracja, przewidywalność.

W 2023 roku wzrósł odsetek firm, które uważają, że aktualnie znajdują się na drugim poziomie dojrzałości (z 28% w 2022 roku do 33% w najnowszej edycji badania). Zmalała natomiast liczba organizacji, które oceniły swój poziom dojrzałości na trzeci (z 32% do 28%) oraz piąty (z 9% do 6%). Na podstawie samooceny przeprowadzonej przez ankietowanych wyłoniono dwie grupy organizacji – o wysokiej (High M) oraz o niskiej (Low M) dojrzałości programów cyberbezpieczeństwa systemów OT.  

Wysoka dojrzałość widoczna w wynikach

Różnice pomiędzy organizacjami High M i Low M w podejściu do bezpieczeństwa systemów są wyraźne. Firmy posiadające zaawansowane programy cyberbezpieczeństwa zdecydowanie częściej skupiają się na śledzeniu wskaźników efektywności (KPI). W większości przypadków lepiej radzą sobie również z rozwiązywaniem wyzwań z zakresu cyberbezpieczeństwa. Z drugiej strony, 26% organizacji mniej dojrzałych w tym zakresie wskazuje, że jedną z głównych przeszkód na drodze do zmniejszania tzw. powierzchni ataków jest brak w urządzeniach OT funkcjonalności szyfrowania (taką odpowiedź wskazało jedynie 13% ankietowanych z grupy High M). Firmy o niższym poziomie dojrzałości znacznie częściej raportują również niewystarczające wsparcie ze strony kierownictwa.

Poglądy obu grup respondentów są zdecydowanie bardziej zbieżne w odpowiedzi na pytanie o to, w którym obszarze cyberbezpieczeństwa systemów OT spodziewają się największego zwrotu z inwestycji (ROI). Najczęściej wskazywanym obszarem była segmentacja/mikrosegmentacja sieci (75% wśród High M oraz 50% w grupie Low M). Inne ważne obszary, które wskazali respondenci, to szkolenia w zakresie podnoszenia świadomości dotyczącej zagadnień cyberbezpieczeństwa, monitorowanie systemu kontroli cyberbezpieczeństwa oraz nowe rozwiązania technologiczne wspierające tę gałąź cyberochrony. 

Inwestycje w cyberbezpieczeństwo

Najwięcej, bo aż 21% wszystkich firm biorących udział w badaniu, deklaruje, że w porównaniu z poprzednim rokiem zamierza podnieść swój budżet na bezpieczeństwo systemów OT o więcej niż 10%. 8% respondentów zapowiedziało podwyżki o więcej niż 30%, natomiast jedna dziesiąta twierdzi, że chce inwestować aż o połowę więcej niż w poprzednim roku. Obszarem, który szczególnie chcą rozwijać firmy, jest inwentaryzacja i zarządzanie aktywami – inwestycję w tym zakresie zapowiada jedna czwarta ankietowanych. Inne tematy, które znalazły się na agendzie, to zarządzanie podatnościami na zagrożenia (18% wskazań), segmentacja sieci, bezpieczny zdalny dostęp oraz wykrywanie zagrożeń (po 13% odpowiedzi). 

Skutki incydentów

Firmy systematycznie rozwijają swoje systemy cyberochrony, ale ataki nadal generują ogromne straty dla organizacji i stanowią realne zagrożenie. Tylko 37% ankietowanych twierdzi, że w ciągu poprzednich 12 miesięcy w ich przedsiębiorstwie nie doszło do żadnego incydentu związanego z cyberbezpieczeństwem systemów OT. Prawie jedna czwarta ankietowanych deklaruje, że chociaż takie zdarzenia miały miejsce, to nie wpłynęły one na działanie firmy. Najpowszechniejszym utrudnieniem wynikającym z przeciętnego ataku były zakłócenia operacyjne, które jednak nie niosły za sobą strat finansowych – taką odpowiedź wskazało 31% respondentów, co oznacza wzrost aż o 12 punktów procentowych w porównaniu z poprzednią edycją badania. Innymi skutkami incydentów, które zyskały na znaczeniu w ciągu ostatnich miesięcy, były m.in. straty finansowe wynikające z zakłócenia lub zawieszenia działalności (wzrost z 15% w 2022 roku do 18% w 2023 roku) czy nawet utrata produktu (4% odpowiedzi w 2022 roku i 8% w najnowszej edycji badania).

Rekomendacje dotyczące bezpieczeństwa technologii operacyjnych

Opublikowany na stronie Serwisu Rzeczpospolitej Polskiej dokument zatytułowany „Rekomendacje dotyczące bezpieczeństwa technologii operacyjnych (OT)” stanowi tłumaczenie standardów i rekomendacji w zakresie cyberbezpieczeństwa. Publikacja zawiera rekomendacje dotyczące wdrażania środków bezpieczeństwa, które uwzględniają specyficzne wymagania związane z osiągami, wydajnością, niezawodnością i bezpieczeństwem technologii operacyjnych. Zachęcamy do lektury poradnika.

Raport opiera się na badaniu ankietowym przeprowadzonym przez specjalistów Control System Cybersecurity Association International (a.k.a (CS)2AI) i powstał przy współpracy z KPMG. W głównej części badania wzięło udział ponad 630 osób, które podzieliły się doświadczeniami swoich organizacji w zakresie operacji i zasobów związanych z cyberbezpieczeństwem.

Respondenci reprezentowali kraje z regionów zrzeszonych w Control System Cybersecurity Association International, czyli z Ameryki Północnej, Europy, Eurazji, Indo-Pacyfiku, Bliskiego Wschodu i Afryki Północnej, Afryki Subsaharyjsiej, Ameryki Łacińskiej i Karaibów.

Cyberbezpieczeństwo systemów automatyki przemysłowej

Trendy w bezpieczeństwie systemów Operational Technology (OT)
Pobierz raport ⤓

Skontaktuj się z nami

Jak możemy pomóc?

Zobacz także