Cyberbezpieczeństwo w firmie produkcyjnej – co oznacza dla Ciebie? Jakie są najczęstsze zagrożenia i błędy? Jakie elementy warto rozważyć? Na te pytania odpowiedzą eksperci podczas webinarium.

  • Data: środa, 2 grudnia, godz. 13.00-14.00
  • Miejsce: online, platforma Zoom
  • Temat: Cyberbezpieczeństwo w firmach produkcyjnych – najczęstsze zagrożenia i błędy
  • Krótki opisWięcej systemów, zdalny dostęp – rozwój, zwiększanie efektywności ale też zagrożenie. Podczas sesji przyjrzymy się najważniejszym zagrożeniom i błędom popełnianym przez firmy produkcyjne. Pod uwagę weźmiemy zarówno technologię, jak i aspekty prawne. Jak się zabezpieczyć, w jaki sposób ograniczyć ryzyko i działać w pełni efektywnie?


Cyberbezpieczeństwo w firmach produkcyjnych – najczęstsze błędy i zagrożenia – skrót z webinaru

Cyberzagrożeniom powinniśmy przeciwdziałać nie tylko zabezpieczając się informatycznie, ale także pod względem prawnym, pod kątem procedur, organizacji, kultury bezpieczeństwa i podnoszenia świadomości pracowników. Konieczne jest kompleksowe podejście, żeby zapewnić skuteczność działań. „Cyberbezpieczeństwo w firmach produkcyjnych – najczęstsze błędy i zagrożenia” było tematem webinarium z cyklu How To? Przemysł 4.0. – technologie, najlepsze praktyki, strategie, realizowanego przez Krajową Izbę Gospodarczą Elektroniki i Telekomunikacji w ramach programu Diginno. Więcej informacji o cyklu na stronie https://kigeit.org.pl/diginno-webinary/. Webinarium poprowadzili: dr inż. Bożena Skibicka, pełnomocnik spółki mis², Krzysztof Chełpiński, Członek Zarządu, Krajowej Izby Gospodarczej Elektroniki i Telekomunikacji oraz Konrad Makar, aplikant radcowski, specjalista ds. cyberbezpieczeństwa w  Kancelarii Radcy Prawnego Tomasz Dauerman. Poniższy artykuł został przygotowany w oparciu o informacje z webinaru.

Malware, phishing i ransomware

Cyberataki to problem globalny, którego ofiarami coraz częściej stają się także organizacje w Polsce. W  2019 zaatakowanych zostało wiele urzędów gmin, organizacji pozarządowych, a także firmy.

Drugim ważnym pojęciem, które należy na wstępie zdefiniować jest ransomware. Jest to oprogramowanie, którego celem jest szantaż użytkownika. Jego źródło słowne wywodzi się od „ransom” – okup i od „software”  – oprogramowanie. W efekcie działania blokuje ono nasze dane. Aby się do nich dostać z powrotem przestępcy domagają się zapłacenia okupu. Phishing oznacza wykradanie, wyłudzanie danych. Polega on raczej na stosowaniu wiedzy socjotechnicznej niż technologii i wykorzystuje słabości ludzkie, opiera się na łatwowierności ofiary, przez którą daje się ona podejść różnym sztuczkom wykorzystywanym przez atakujących.

„Konsekwencje, które niesie za sobą ewentualny atak cybernetyczny to w pierwszej kolejności koszty. Są one bardzo wysokie jeżeli mamy do czynienia z szantażem i wówczas albo musimy zapłacić okup albo ponieść konsekwencje utraty i odtworzenia ważnych, często kluczowych danych firmowych. Oprócz tych czynników należy uwzględnić także odpowiedzialność cywilną i administracyjną firm i osób zarządzających oraz osobistą odpowiedzialność członków zarządu.” – mówi Bożena Skibicka, pełnomocnik  mis². Jeżeli w wyniku ataku wyciekły dane osobowe zobowiązani jesteśmy do poinformowania potencjalnych poszkodowanych. Konieczne jest także podjęcie działań PR, które musimy uruchomić, żeby powstrzymać proces utraty dobrego imienia, ograniczając  w pewnym stopniu poniesione szkody.

Środki zabezpieczeń przed cyberatakami

Przyczynami powodzenia cyberataków nie są, jak zwykle się uważa braki technologiczne w zabezpieczeniach systemów IT. One odpowiadają tylko za 17% udanych cyberataków. Nie mniej jednak warto dbać o ten aspekt zabezpieczenia naszych danych.

Główne przyczyny udanych cyberataków leżą w zarządzaniu przedsiębiorstwem. Brak procedur lub ich nieegzekwowanie, co dotyczy zwłaszcza polityki zmiany haseł i aktualizacji systemów informatycznych. Efekty negatywne przynoszą także zaniedbania w dziedzinie monitorowania zagrożeń. Jeżeli systemy do monitorowania nie funkcjonują osoby odpowiedzialne nie mają świadomości o lukach w bezpieczeństwie, podatnościach na zagrożenia, z opóźnieniem dowiadują się, że są atakowani.

„Wiele organizacji nie podchodzi do tego zagadnienia właściwe, w sposób planowy. Często brakuje opracowanego i zatwierdzonego systemu zapewnienia ciągłości działania. Tymczasem systemy informatyczne, jeżeli mają działać w sposób ciągły, muszą mieć zagwarantowane duplikowanie zarówno danych jak i funkcji. Ponieważ każdy komponent systemu informatycznego może ulec awarii, oznacza to, że należy zapewnić ciągłość działania systemów, oprogramowania i sprzętu. Konieczne jest także przygotowanie kadry i gotowych procedur na wypadek, gdyby którykolwiek z elementów tego systemu miał zawieść. W szczególności, jeżeli są to systemy krytyczne z punktu widzenia firmy, pracownicy muszą działać praktycznie automatycznie, w sposób wcześniej przygotowany i przećwiczony.” – zauważa Krzysztof Chełpiński, Członek Zarządu, Krajowa Izba Gospodarcza Elektroniki i Telekomunikacji.

Kolejnym elementem jest zabezpieczanie danych poprzez backup oraz aktualizacja systemów wynikająca w głównej mierze z konieczności załatania luk w ochronie przed możliwymi atakami. Należy pamiętać o tym, że o bezpieczeństwie całego przedsiębiorstwa decyduje jego najsłabszy element. Przestępcy mogą dostać się do naszej organizacji i dokonać ataku korzystając z luk w oprogramowaniu nawet takich urządzeń jak na przykład drukarki.

Niezwykle istotne jest stałe podnoszenie świadomości pracowników. Ustawiczne przypominanie użytkownikom, o tym, że systemy organizacji zawierają dane żywotne z punktu widzenia firmy, a ich utrata, albo dostęp do systemów przez osoby nieuprawnione może spowodować, że stracą pracę, przyczyni się do zwiększenia świadomości i motywacji pracowników.

Ważnym elementem ochrony przed skutkami cyberataku może być wykupienie odpowiedniej polisy ubezpieczeniowej chroniącej firmę przed finansowymi konsekwencjami incydentów bezpieczeństwa.

Bezpieczeństwo telepracy

W czasach epidemii pracownicy często działają zdalnie korzystając z własnego sprzętu. W tym przypadku zasadnym jest przyjęcie jednolitych reguł i rozwiązań w ramach organizacji, które odnosiłyby się do minimalnych standardów, które muszą być spełnione przez sprzęt własny pracowników. Druga ewentualność to praca wyłącznie w oparciu o sprzęt firmowy. W wielu organizacjach znaczna część informacji związanych z wykonywaniem pracy wysyłana jest za pośrednictwem prywatnych telefonów komórkowych. Warto mieć na uwadze, że sporo urządzeń nie posiada żadnych systemów antywirusowych.

„Bardzo często zdarza się, że informacje te wysyłane są przez portale społecznościowe, takie jak np. Messenger na FB, czy WhatsApp. Dlatego, dopóki pracownicy nie uzyskają jasnych i klarownych informacji o tym, że nie jest to zgodne z procedurami bezpieczeństwa organizacji, to nie można spodziewać się, że będą tego świadomi.” – podkreśla Konrad Makar, aplikant radcowski, specjalista ds. cyberbezpieczeństwa, z Kancelarii Radcy Prawnego Tomasza Dauermana.

Wprawdzie pojawiają się wzmianki medialne, że ustawodawca pracuje nad wprowadzeniem rozwiązań do kodeksu pracy, które regulować będą te kwestie, jednak trudno obecnie stwierdzić, kiedy faktycznie wejdą one w życie. Z tego powodu warto zastanowić we własnym zakresie się nad kompleksowym podejściem do problemu i przygotowaniem pewnych wytycznych – na jakich zasadach, w jaki sposób realizowana jest praca zdalna.

Znaczenie audytu bezpieczeństwa

Istotnym elementem podnoszenia standardów bezpieczeństwa jest audyt. Dotyczy on zarówno kwestii informatycznych jak i organizacyjno-prawnych. Realizacja każdego audytu powinna zakończyć się sporządzeniem raportu końcowego, czyli pewnego podsumowania przeprowadzonych działań i rekomendacjami, zapewniającymi zwiększenie standardów bezpieczeństwa w organizacji. Mowa tutaj przede wszystkim o ocenie kompletności posiadanych systemów informatycznych, stwierdzeniu, które z elementów teleinformatycznych są szczególnie ważne dla bezpieczeństwa przedsiębiorstwa i powinny być regularnie testowane z uwagi na ważkość przetwarzanych danych. Ponadto, konieczne jest wskazanie braków w dokumentacji, która ma ująć całą działalność systemów informatycznych, w tym również elementy związane z umowami i ochroną danych osobowych.

O czym powinny pamiętać zarządy firm?

Cyberatak może dotknąć każdą firmę. Obrona przed cyberatakami wymaga kompleksowego podejścia – zarząd musi zabezpieczyć firmę nie tylko od strony technologicznej. Musi ją zabezpieczyć przede wszystkim od strony systemu zarządzania – wprowadzić odpowiednie rozwiązania prawne i organizacyjne.

Musi pamiętać o cyklicznych audytach prawnych i informatycznych. Przede wszystkim zaś musi zadbać o szkolenie załogi, tak by systematycznie budować w firmie kulturę bezpieczeństwa cybernetycznego. Na koniec może rozważyć przeniesienie finansowych konsekwencji cyberataków na firmę ubezpieczeniową.

Webinaria „How to? Przemysł 4.0. – technologie, najlepsze praktyki, strategie” są częścią programu Diginno mającego na celu przyspieszenie cyfryzacji firm produkcyjnych. Więcej informacji o programie: https://kigeit.org.pl/diginno/

Temat Przemysłu 4.0. będzie kontynuowany podczas FG Time w marcu 2021 (https://fgtime.pl/)

Prelegent: dr inż. Bożena Skibicka, doradca mis²  

Doktor nauk ekonomicznych, absolwentka Politechniki Wrocławskiej. Prowadziła prace naukowe z zakresu jakości zarządzania na Akademii Ekonomicznej we Wrocławiu (obecnie Uniwersytet Ekonomiczny), odbyła staże naukowe na Uniwersytecie w Tsukubie (Japonia) oraz w Wyższej Szkole Handlowej w Mariborze (Słowenia). Od ponad 20 lat specjalizuje się we wdrażaniu systemów informatycznych w obszarze automatyzacji procesów, a od ponad 5 lat prowadzi wdrożenia z zakresu zawansowanej analityki biznesowej.

Prelegent: Krzysztof Chełpiński, Członek Zarządu, Krajowa Izba Gospodarcza Elektroniki i Telekomunikacji

Informatyk, absolwent Wydziału Elektroniki Politechniki Warszawskiej, w branży informatycznej ponad 30 lat, z czego 16 lat w firmie IBM Polska. Doświadczenie zawodowe od programisty, kierownika zespołu wdrożeniowego, do kierowania działami handlowymi i usługowymi międzynarodowej korporacji w Polsce i poza Polską. Obecnie Prezes Zarządu firmy stb24 sp. z o.o. specjalizującej się w dostarczaniu rozwiązań z zakresu automatyzacji procesów i elektronicznego obiegu dokumentów  w publicznej i prywatnej chmurze obliczeniowej (cloud computing). Członek Zarządu Krajowej Izby Gospodarczej Elektroniki i Telekomunikacji. Specjalizuje się w zagadnieniach bezpieczeństwa systemów informatycznych, ze szczególnym uwzględnieniem informatycznej ciągłości działania przedsiębiorstwa.

Prelegent: Konrad Makar, Aplikant radcowski, specjalista ds. cyberbezpieczeństwa, Kancelaria Radcy Prawnego Tomasz Dauerman

Absolwent Wydziału Prawa Uniwersytetu Wrocławskiego. Specjalizuje się w doradztwie z zakresu prawa ochrony danych osobowych i cyberbezpieczeństwa. Świadczy bieżącą pomoc prawną przedsiębiorcom w zakresie przeprowadzania audytów zgodności z RODO w tym przygotowywania niezbędnej dokumentacji oraz prowadzenia szkoleń dla firm.

Sprawdź pozostałe Webinaria „How to…” w tej serii