Niski poziom cyberbezpieczeństwa systemów automatyki przemysłowej

Eksperci z KPMG oraz Międzynarodowego Stowarzyszenia Cyberbezpieczeństwa Systemów Sterowania (Control System Cybersecurity Association International – (CS)²AI) przeprowadzili badanie wśród przedstawicieli firm z różnych branż, aby poznać ich doświadczenia związane z incydentami cyberbezpieczeństwa OT, wzorcami ataków oraz sposobami reagowania na zagrożenia. Wynika z niego, że pomimo coraz większej popularności zagadnień związanych z cyberbezpieczeństwem systemów automatyki przemysłowej, w wielu firmach temat ten wciąż nie jest w pełni uwzględniany w strategii zarządzania cyberbezpieczeństwem.
Aż 49%, czyli niemal połowa ankietowanych organizacji, nie posiada programów cyberbezpieczeństwa OT lub posiada jedynie podstawowy program, bez udokumentowanych procedur oraz zaplanowanych inicjatyw naprawczych. Nawet 21% wszystkich firm biorących udział w badaniu deklaruje, że w porównaniu z poprzednim rokiem zamierza podnieść swój budżet na bezpieczeństwo systemów przemysłowych o więcej niż 10%. Najczęściej wskazywanym przez ankietowanych obszarem cyberbezpieczeństwa systemów OT, w którym spodziewają się najwyższego zwrotu z inwestycji, jest segmentacja sieci. 8% respondentów zapowiedziało podwyżki o więcej niż 30%, a jedna dziesiąta chce inwestować aż o połowę więcej. Obszarem, który firmy chcą rozwijać, jest inwentaryzacja i zarządzanie aktywami, na co wskazuje jedna czwarta ankietowanych.

Firmy rozwijają swoje systemy cyberochrony, jednak ataki nadal generują ogromne straty. Tylko 37% respondentów twierdzi, że w ciągu poprzednich 12 miesięcy w ich przedsiębiorstwie nie doszło do żadnego incydentu związanego z cyberbezpieczeństwem systemów OT. Jedna czwarta respondentów deklaruje, że incydenty miały miejsce, ale nie wpłynęły na działanie firmy. Zakłócenia operacyjne, najczęstszy efekt ataków, nie niosły strat finansowych (31% odpowiedzi). Wzrósł także odsetek firm zgłaszających straty finansowe oraz utratę produktu jako skutki incydentów.

W raporcie podsumowano opinie przedstawicieli firm na temat podejścia do zarządzania cyberbezpieczeństwem w ich organizacjach. Na podstawie samooceny przeprowadzonej przez ankietowanych wyłoniono dwie grupy organizacji – o wysokiej oraz o niskiej dojrzałości programów cyberbezpieczeństwa systemów OT. 

Na potrzeby badania wyróżniono także pięć poziomów dojrzałości w zakresie zarządzania cyberbezpieczeństwem OT, a zadaniem respondentów było wskazanie poziomu, który najlepiej oddaje bieżącą sytuację w ich firmie. W 2023 roku wzrósł odsetek firm, które uważają, że aktualnie znajdują się na drugim poziomie dojrzałości (z 28% w 2022 roku do 33% w najnowszej edycji badania) – tzn. wdrożyły podstawowy poziom zarządzania, umożliwiający częściową powtarzalność realizowanych procesów, oparty na kluczowych osobach. Zmalała natomiast liczba organizacji – z 32% do 28% – które oceniły swój poziom dojrzałości na trzeci – charakteryzujący się działaniem na podstawie udokumentowanych i wdrożonych procesów oraz procedur, z zapewnionymi zasobami. Mniej firm (spadek z 9% do 6% w poprzednio analizowanym okresie) zidentyfikowało się także na piątym, najbardziej zaawansowanym poziomie, definiowanym jako „procesy stale ulepszane dzięki informacjom zwrotnym, z wysoko wykwalifikowanym personelem i optymalizacją działań”.