Jak podaje Schneider Electric, lider cyfrowej transformacji w zarządzaniu energią i automatyce, tylko w ostatnich 3 latach odnotowano wzrost cyberataków przemysłowych o 2100%. Po fali cyberataków, która w 2017 roku uderzyła w największe przedsiębiorstwa na świecie, firmy zaczęły masowo sprawdzać, czy nie mają luk w swoich zabezpieczeniach. Nie ominęło to również przedsiębiorstw z branży spożywczej, dla których bezpieczeństwo żywności i produkcji jest szczególnie ważne.
W maju 2017 roku miał miejsce jeden z największych cyberataków w historii. WannaCry, szkodliwe oprogramowanie szantażujące typu ransomware, naraziło na straty aż 200 tys. przedsiębiorstw w ponad 150 krajach. Po tym incydencie wiele firm, również z sektora spożywczego, zaczęło sprawdzać luki w zabezpieczeniach swoich systemów oraz oceniać stosowane przez siebie polityki cyberbezpieczeństwa. Rok temu także inne szkodliwe oprogramowanie podobnego typu – Petya zainfekowało ponad 2000 firm. Wtedy, po raz pierwszy dwa duże przedsiębiorstwa z branży spożywczej poinformowały opinię publiczną, że padły ofiarą ataku.
„W sektorze rolno-spożywczym cyberataki przynoszą przestępcom niewielkie korzyści finansowe, a dla firm oznaczają zwykle minimalne szkody. Dlatego branża ta nie uważa się za potencjalny cel hakerów” – takie zdanie można przeczytać w publikacji Food and Agriculture Sector – Specific Plan (2015). Ale czy rzeczywiście jest to prawdą? Na jakie ryzyko są narażone przedsiębiorstwa z sektora spożywczego i dlaczego powinny one przywiązywać wagę do cyberbezpieczeństwa?
Koszty cyberataków
W czerwcu 2017 roku firma Mondelez, międzynarodowe przedsiębiorstwo z branży spożywczej poinformowało, że padło ofiarą ataku cybernetycznego. W opublikowanej kilka dni później informacji prasowej opisało jego skutki, takie jak utrata możliwości sprzedaży produktów i wystawiania faktur w ciągu kilku ostatnich dni drugiego kwartału, a także wstępnie oszacowało związaną z tym incydentem utratę przychodów: „Wstępne oszacowanie wpływu tego zdarzenia na przychód to minus 300 punktów bazowych naszej stopy wzrostu w drugim kwartale.”
W biuletynie bezpieczeństwa firmy Kaspersky Lab za 2016 rok można przeczytać, że im więcej czasu zajmuje wykrycie naruszenia bezpieczeństwa danych, tym większe są koszty ograniczenia skutków tego incydentu oraz wynikające z niego szkody: od 400 tys. dolarów w przypadku natychmiastowego wykrycia ataku do nawet ponad 1 miliarda, jeśli zajęło ono ponad tydzień. Nie ulega zatem wątpliwości, że cyberataki mogą mieć dla przedsiębiorstwa opłakane skutki. Jak podaje cytowany przez Schneider Electric Ponemon Institute, szacunkowy wpływ pojedynczego cyberataku na finanse firmy to strata na poziomie 3,8 miliona dolarów.
Plan Ochrony Żywności
Wdrażanie odpowiednich procedur, mających uchronić produkcję przed takimi zagrożeniami, stało się dzisiaj normą. Podczas wdrażania Planu Ochrony Żywności w ramach standardu zarządzania bezpieczeństwem żywności, zalecane jest stosowanie obowiązującej w Europie normy PAS96:2014 „Guide to Protecting & Defending Food & Drink from Deliberate Attack”, zgodnie z którą: „żaden proces nie gwarantuje, że żywność i dostawy żywności nie staną się celem działalności przestępczej.” Cyberprzestępstwo jest tam wyraźnie wskazane jako potencjalne zagrożenie, które wymaga podjęcia odpowiednich działań.
Przemysłowe systemy kontroli
Cyberbezpieczeństwo jest również bardzo ważne w kontekście architektur automatyzacji, takich jak panele sterownicze (Human Machine Interface ― HMI) oraz systemy pozyskiwania danych i nadzoru (Supervisory Control And Data Acquisition ― SCADA), zwłaszcza że firmy coraz intensywniej korzystają z sieci połączeń, technologii wymiany danych oraz funkcji przemysłowego Internetu Rzeczy (Industrial Internet of Things). Jak sprawdzić, czy dane dotyczące procesów są chronione przed cyberatakami? Czy pracownicy mają ogólną wiedzę o zasadach cyberbezpieczeństwa dla urządzeń, z których korzystają? To najważniejsze pytania, na które należy odpowiedzieć.
Zabezpieczenie jest rozwiązaniem, nie produktem
Rozwiązanie zabezpieczające w przedsiębiorstwie stanowi kombinację wielu elementów. Jest oparte na dogłębnej analizie systemu, zagrożeń i ryzyka. Obejmuje ludzi, reguły, architektury, a także poszczególne produkty.
Producenci powinni projektować takie produkty i rozwiązania z funkcjami zabezpieczeń, które umożliwią klientom dostosowanie się do standardów bezpieczeństwa oraz udostępniać zalecenia dotyczące wdrażania takich funkcji. Obowiązkiem użytkowników końcowych jest natomiast zdefiniowanie procedur bezpieczeństwa, wyznaczenie osób odpowiedzialnych za ochronę systemów oraz przestrzeganie standardów. Ponieważ zabezpieczenie systemu przemysłowego obejmuje nie tylko system informatyczny, zalecane jest stosowanie modelu dogłębnej ochrony (defense-in-depth). Żaden pojedynczy element tego modelu nie zapewni bezpieczeństwa całego systemu – dopiero kompleksowy system i jego odpowiednia implementacja będzie w stanie zminimalizować ryzyko ataku, a także pozwoli na bieżące monitorowanie sytuacji.
Podsumowując, sektor spożywczy, podobnie jak inne sektory i branże, jest narażony na coraz bardziej zaawansowane ataki i zagrożenia cybernetyczne. Dlatego w ramach Planu Ochrony Żywności każda firma powinna regularnie oceniać swoją politykę cyberbezpieczeństwa na podstawie aktualnych regulacji i standardów.
Źródło: Schneider Electric