W ciągu ostatnich 12 miesięcy aż 7 na 10 firm produkcyjnych padło ofiarą hakerskich ataków – a przynajmniej taki odsetek respondentów ma tego świadomość. W rzeczywistości ofiar cyberprzestępstw może być znacznie więcej. Hakerzy szczególnie upodobali sobie przemysł ciężki, który w efekcie ich działań może stracić krocie. Jak wyliczają eksperci z Capgemini, przestój trwający tylko cztery godziny może kosztować firmę nawet 2 mln dolarów.
W dobie inteligentnej produkcji rośnie wykładniczo liczba urządzeń podłączonych do sieci oraz systemów korzystających z chmury obliczeniowej, w tym przetwarzających i analizujących duże zbiory danych. Na niemal tysiąc firm z sektora wytwórczego, biorących udział w globalnym badaniu Cybersecurity in Smart Factories, aż 68 proc. deklaruje, że inwestuje w produkcję opartą na automatycznej wymianie danych pomiędzy maszynami i urządzeniami podłączonymi do sieci.
– Firmy coraz chętniej inwestują w automatyzację i cyfryzację fabryk, bo niesie to ze sobą szereg wymiernych korzyści. Podnosimy poziom bezpieczeństwa, jakości i efektywności energetycznej, zwiększamy elastyczność jednocześnie zmniejszając liczbę błędów ludzkich – mówi Anna Wujec, dyrektor ds. cyfryzacji w ABB w Polsce.
Polskim przykładem smart technologii, która pozwala osiągnąć wartość dodaną, o jakiej mówi ekspert, jest inwestycja PKN Orlen w Olefiny III. Po integracji cyfrowych systemów w kompleksie, będzie można monitorować i analizować w czasie rzeczywistym produktywność poszczególnych zasobów, zarządzać zużyciem energii i optymalizować procesy produkcyjne. Generowane na bieżąco dane pozwolą operatorowi podejmować lepsze decyzje, m.in. w zakresie ścisłej kontroli zużycia surowców, poziomów energii czy też produktów ubocznych z procesów. Przełoży się to na wydajniejsze wykorzystanie energii elektrycznej i redukcję emisji CO2. Dostawcą wspomnianej technologii jest ABB, we współpracy z Hyundai Engineering i Técnicas Reunidas.
Sieć zależności
Wykorzystanie chmury obliczeniowej, czujników i systemów analitycznych opartych w pewnym zakresie o sztuczną inteligencję, przynosi wiele korzyści. Jednak doświadczenie wielu przedsiębiorstw pokazuje, że takich inwestycji nie można przeprowadzać zapominając o cyberbezpieczeństwie. Ze wspomnianego już badania Capgemini wynika, że aż 40 proc. firm przemysłowych inwestujących w mniej lub bardziej inteligentną produkcję padło ofiarą ataku hakerów. W ciągu ostatnich 12 miesięcy zaatakowano aż trzy czwarte zakładów.
– Udany atak na amerykańską sieć rurociągów Colonial Pipeline doskonale pokazał, że nawet sektory uznawane za krytyczne są niewystarczająco chronione. Historycznie, infrastruktura produkcyjna była oddzielona od świata zewnętrznego, w ostatnich latach bardzo się to zmieniło za sprawą cyfryzacji. Dzisiaj furtką może być dla hakerów zwykła kamera przemysłowa podłączona do sieci a z naszych doświadczeń wynika, że w firmach produkcyjnych liczba urządzeń sięga zazwyczaj kilkuset. Każde z nich może być potencjalnie słabym ogniwem w architekturze cyberbezpieczeństwa – zauważa Robert Juszczyk z ICsec S.A.
W ciągu ostatnich 12 miesięcy największy odsetek firm, które odnotowały ataki, był w Indiach (84 proc.), Niemczech i Wielkiej Brytanii (po 83 proc.). W najmniejszym stopniu działalnością hakerów zostały dotknięte zakłady produkcyjne w Niderlandach (59 proc.), Chinach (57 proc.) i Włoszech (53 proc.), choć i w tym przypadku trudno traktować tak wysoki odsetek poszkodowanych firm jako powód do optymizmu. Polskie firmy pod względem liczby odnotowanych cyberataków znajdują w pierwszej dziesiątce w Europie.
Biorąca udział w badaniu Capgemini kadra kierownicza zdaje sobie sprawę, że inteligentne fabryki są szczególnie narażone na ryzyko. Aż 8 na 10 pytanych nie ma co do tego wątpliwości, ale gdy spojrzymy na poszczególne kraje, zauważymy spore różnice w poziomie świadomości. W największym stopniu ze skali zagrożenia zdają sobie sprawę ankietowani z południa Europy — Hiszpanie (93 proc.) i Włosi (92 proc.). Najniższa świadomość panuje wśród Anglosasów, przy czym Brytyjczycy (74 proc.) wypadają lepiej niż Australia i Stany Zjednoczone (oba kraje po 71 proc.).
Kultura wyższa
Zdaniem autorów badania, jednym z powodów, dla których inteligentne fabryki są wdzięcznym celem ataków, to fakt, że przemysł nadal ma kłopoty z cyfrową transformacją. Jej tempo i zakres pozostawiają wiele do życzenia, a im wyższa kultura cyfrowa, tym większa świadomość zagrożeń. W najlepiej „zdigitalizowanych” firmach aż 85 proc. menedżerów deklaruje, że ma jasno określone granice ryzyka. W przedsiębiorstwach wolniej wdrażających nowe technologie tylko 45 proc. ankietowanych deklaruje, że posiada zdefiniowane procedury na wypadek zjawisk niepożądanych.
– Bez procedur, które pozwalają zidentyfikować i rozpoznać zagrożenie, trudno o skuteczną odpowiedź na takie zachowania, a z naszych obserwacji wynika, że ogromnym problemem jest brak wiedzy firm, jakie urządzenia własne są w ogóle podłączone do sieci i ile ich de facto w tej sieci jest. Trudno w takiej sytuacji reagować na zagrożenia – podkreśla Robert Juszczyk.
Zmapowanie zagrożeń to najlepsza odpowiedź na cyberataki. 80 proc. cyfrowych liderów badanych przez Capgemini deklaruje, że potrafi reagować na zagrożenia cybernetyczne. W grupie przedsiębiorstw posiadających cyfrowe braki ta liczba jest dużo niższa i wynosi 51 proc. Jednocześnie 72 proc. najlepiej zdigitalizowanych firm przyznaje, że jest w stanie minimalizować skutki udanych ataków. Dla porównania, w drugiej grupie ten odsetek wynosi 41 proc.
Kogo lubią hakerzy?
Cyberprzestępcy mają swoje ulubione cele ataku. Jak wynika z badania Capgemini, najczęściej z cyberatakami mierzą się firmy działające w przemyśle ciężkim. Co druga firma (51 proc.) z tego sektora była celem ataku. Doświadczyło go również 44 proc. producentów z sektora farmaceutycznego i biotechnologicznego.
Ataki cybernetyczne są rzadziej spotykane w przemyśle chemicznym i petrochemicznym oraz wśród dostawców półprzewodników i zaawansowanych technologii. W obu przypadkach odsetek przedsiębiorstw zaatakowanych wynosi 39 proc. W branży kosmetycznej 38 proc. firm odnotowało próbę włamania do systemu.
Najrzadziej atakowani są producenci z branży automotive (36 proc.) i przemysłu lotniczego oraz obronnego – 33 proc. W porównaniu z innymi to zaskakująco niski poziom prób włamań.
Przestój wart miliony
53 proc. respondentów twierdzi, że wydatki na cyberbezpieczeństwo zakładów przemysłowych określa centrala firmy, i to ona alokuje środki na konkretne inicjatywy. Te dane mogą sugerować, że cyfrowe bezpieczeństwo nie ma wysokiego priorytetu i jest odsuwane na bok, podkreślają eksperci odpowiedzialni za opracowanie raportu. – Ważne jest, aby organizacje we właściwy sposób określiły odpowiedzialność za ryzyko związane z bezpieczeństwem cybernetycznym i to już na wczesnym etapie, ponieważ wpływ biznesowy jest ogromny – mówi Robert Juszczyk z firmy ICsec S.A.
Wtóruje mu ekspert z ABB: – Ocena ryzyka, która jest istotnym wymogiem każdego planu zarządzania bezpieczeństwem cybernetycznym, może pomóc organizacji w jak najlepszym wykorzystaniu dostępnych zasobów; zarówno finansowych, jak i ludzkich. Aby chronić aktywa, procesy i ludzi przed nieuchronnym zagrożeniem, firmy muszą także opracować szczegółową i solidną i wielowarstwową strategię bezpieczeństwa cybernetycznego i zintegrować środki bezpieczeństwa z aktualnymi procesami – kwituje Anna Wujec.
Capgemini wylicza, że nieplanowany przestój trwający tylko cztery godziny może kosztować firmę nawet 2 milionów dolarów. To najlepsza ilustracja tego, jak ważne jest odpowiedzialne podejście do kwestii cyberbezpieczeństwa.