Cyberbezpieczeństwo w Przemyśle 4.0
dr Agnieszka Besiekierska print
Rozwiązania Przemysłu 4.0, tak jak i inne poddane digitalizacji obszary działalności człowieka, są narażone na groźne cyberataki. Jako przykład może posłużyć atak przy wykorzystaniu socjotechnik na system sterowania przemysłowego huty stali w Niemczech w 2014 r., który doprowadził do zniszczenia instalacji oraz wybuchu rurociągu w pobliżu miasta Erzincan w Turcji. Był on spowodowany włamaniem do sieci kamer monitorujących, a następnie przedostaniem się do sieci wewnętrznej nadzorującej pracę rurociągu i skutkował dziennymi stratami w wysokości 5 mln dolarów. To tylko jeden z dowodów na to, że przemysłowe systemy sterowania wciąż mają podstawowe braki w aspekcie cyberbezpieczeństwa, przez co znacząco odbiegają od systemów IT i stwarzają ryzyko katastrof oraz ogromnych strat materialnych.
Cyberbezpieczeństwo zostało uznane za jeden z pięciu filarów programu Cyfrowa Europa i od kilku lat jest przedmiotem intensywnych działań legislacyjnych na poziomie UE. Pierwszym kompleksowym aktem prawnym z obszaru cyberbezpieczeństwa jest przyjęta w 2016 r. dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii, tzw. dyrektywa NIS. Drugi akt to Rozporządzenie Parlamentu Europejskiego i Rady (EU) 2019/881 z dnia 17 kwietnia 2019 r. w sprawie ENISA (Agencji Unii Europejskiej ds. Cyberbezpieczeństwa) oraz certyfikacji cyberbezpieczeństwa w zakresie technologii informacyjno-komunikacyjnych, tzw. Akt o cyberbezpieczeństwie.
Bezpieczeństwo systemów informacyjnych
Dyrektywa NIS została zaimplementowana do polskiego prawa w ramach ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, popularnie zwanej „cyberustawą”. Obok dostawców usług cyfrowych i podmiotów publicznych cyberustawa wyróżnia operatorów usług kluczowych i nakłada na nich szereg obowiązków związanych z zachowaniem bezpieczeństwa systemów informacyjnych. Wprawdzie systemy informacyjne objęte ustawą są szeroko zdefiniowane i obejmują również systemy OT (Operational Technology), jednak jako operatorzy usług kluczowych mogą zostać wyznaczone jedynie podmioty wskazane w rozporządzeniu do ustawy, pochodzące m.in. z sektora energetycznego i transportu. Tym samym znajduje ona zastosowanie do branży przemysłowej jedynie w ograniczonym zakresie.
Status operatora usługi kluczowej uzyskuje się na podstawie decyzji wydanej przez właściwego ministra. Operatorzy usług kluczowych są zobowiązani do wdrożenia systemu zarządzania bezpieczeństwem w systemie informacyjnym wykorzystywanym do świadczenia usługi kluczowej wraz z odpowiednią dokumentacją. W ramach systemu operatorzy dokonują obsługi i zgłaszania incydentów, a system powinien być co najmniej raz na dwa lata poddawany audytom.
W celu realizacji obowiązków wynikających z ustawy operator usługi kluczowej powołuje wewnętrzne struktury odpowiedzialne za cyberbezpieczeństwo lub zawiera umowę z podmiotem świadczącym usługi z zakresu cyberbezpieczeństwa, który powinien spełniać szczegółowe wymogi wskazane w rozporządzeniu wykonawczym do ustawy. Europejskie certyfikacje
Akt o cyberbezpieczeństwie określa kompetencje Europejskiej Agencji ds. Bezpieczeństwa Sieci i Informacji (ENISA) oraz zawiera przepisy dotyczące europejskich certyfikacji w zakresie cyberbezpieczeństwa. Certyfikacją zostały objęte produkty, usługi i procesy ICT. Akt określa trzy poziomy bezpieczeństwa, w zależności od poziomu ryzyka związanego z użyciem danego produktu, usługi lub procesu: poziom podstawowy, poziom istotny i poziom wysoki. Na poziomie podstawowym możliwa będzie ocena zgodności przez stronę pierwszą, czyli producenta.
Aktualnie trwają prace nad europejskimi programami certyfikacyjnymi. Przy ich opracowaniu, zgodnie z wytycznymi Aktu, będą brane pod uwagę aktualnie istniejące europejskie standardy z zakresu cyberbezpieczeństwa. Dla Przemysłu 4.0 będą to np. normy IEC 62443, dotyczące bezpieczeństwa w systemach sterowania i automatyki przemysłowej. Punktem wyjścia będą zapewne również opracowania dotyczące cyberbezpieczeństwa w Przemyśle 4.0, które już dziś można znaleźć na stronie internetowej ENISA (np. Good Practices for Security of Internet of Things in the Context of Smart Manufacturing, Industry 4.0 Cybersecurity: Challenges & Recommendations). Certyfikacja będzie miała na razie charakter dobrowolny, co przez niektórych uczestników rynku wskazywane jest jako słaby punkt tworzonego europejskiego systemu cyberbezpieczeństwa.
source: Automatyka 1-2/2020