O cyberbezpieczeństwie w dobie digitalizacji i automatyzacji procesów z Zuzanną Wieczorek, Prezes Zarządu i Dyrektorem Technicznym, TEKNISKA Polska Przemysłowe Systemy Transmisji Danych Sp. z o.o. rozmawiała Izabela Żylińska.

Zuzanna Wieczorek,
Prezes Zarządu i Dyrektor Techniczny,
TEKNISKA Polska Przemysłowe Systemy Transmisji Danych*:

W dniach 20-21 maja br. w Katowicach odbyła się organizowana przez Państwa konferencja CyberTek. Jak udało się spotkanie i czy osiągnięte zostały założone cele?

Byliśmy przekonani, że takie wydarzenie jest potrzebne i że mamy na nie konkretny pomysł, ale liczba gości, zainteresowanie oraz pozytywne opinie o naszej pracy nad tym przedsięwzięciem przerosły nasze oczekiwania i motywują do dalszej pracy nad przygotowaniem kolejnej, jeszcze lepszej edycji. Jestem dumna, że udało nam się zaprosić międzynarodowe grono ekspertów oraz wywołać ciekawe, ważne i głęboko merytoryczne dyskusje.

W dobie digitalizacji i automatyzacji procesów niezwykle ważnym aspektem jest cyberbezpieczeństwo. Czy w Polsce dbamy o nie wystarczająco?

Podkreślam, że niezależnie od skali o cyberbezpieczeństwie należy mówić jako o procesie i dbać o nie w sposób ciągły, a nie poprzez jednorazowe działanie lub pozyskany dokument. W Polsce ten proces postępuje – tempo jest różne w zależności od sektora, natomiast oceniam, że wiele jeszcze przed nami, szczególnie w aspekcie zarządzania cyberbezpieczeństwem i ryzykiem w przedsiębiorstwach. Powstające przepisy na pewno mobilizują, rośnie świadomość zagrożeń, natomiast według nas powinniśmy popracować nad holistycznym i strategicznym podejściem do problematyki cyberbezpieczeństwa, dlatego promujemy podejście Defence in Depth w połączeniu z analizą ryzyka i bezpieczeństwa.

Jak sytuacja wygląda w branży energetycznej obszarach ICT i OT?

Obszar energetyki, jako jeden z elementów infrastruktury kluczowej, jest już zaawansowany, jeżeli chodzi o odrobienie lekcji związanych z budowaniem świadomości i stopniowo wdraża rozwiązania na poszczególnych szczeblach infrastruktury. W sposób naturalny w zakresie ICT te prace są bardziej posunięte, natomiast w OT, którego specyfika jest inna i wymaga odmiennego podejścia, też stawiane są pierwsze kroki. Podobnie jak w innych branżach problemem pozostaje brak wystarczającej liczby specjalistów, szczególnie cyberbezpieczeństwa OT, brak pomysłu (lub nie do końca słuszne) na zarządzanie cyberbezpieczeństwem i rozdział kompetencji. Cyberbezpieczeństwo wymaga strategicznego i całościowego podejścia ponieważ na tym polu bardziej niż na innych można się dotkliwie przekonać, że obowiązuje reguła najsłabszego ogniwa.

Czy możemy skutecznie bronić się przed atakami hakerów?

Zarówno atak, jak i obronę, można rozpatrywać w kontekście motywów oraz kosztów. Trzeba doprowadzić do sytuacji, w której ryzyko ataku będzie na akceptowalnym dla naszej firmy poziomie. W skrócie trzeba sprawić, aby przeprowadzenie skutecznego ataku było na tyle trudne, ryzykowne  lub nieopłacalne, że prawdopodobieństwo jego wystąpienia zostanie zminimalizowane do poziomu, który uważamy (jako zarząd firmy) za stosowne. Za tym powinno pójść określenie i akceptacja budżetu potrzebnego i dostosowanego do osiągnięcia i utrzymania takiego stanu rzeczy. Bezpieczeństwo kosztuje i są to koszty zarówno CAPEX, jak i OPEX, które powinny być ujęte w budżetowaniu wszelkich projektów związanych z wdrażaniem systemów automatyki. Natomiast decyzja koszt vs. akceptowalny poziom ryzyka należy każdorazowo do zarządów firm, ponieważ to na nich bezpośrednio spoczywa odpowiedzialność. Aby skutecznie się bronić, należy przede wszystkim na bieżąco swoją ochronę sprawdzać i poprawiać w stosunku do zmieniających się dynamicznie okoliczności (nowe podatności, nowo zidentyfikowane zagrożenia).

Na czym polega ekosystem bezpieczeństwa i jak można go wykorzystać?

Wszystkich specjalistów z branży, lub tych którzy takimi specjalistami chcieliby się, stać czeka ciągła nauka, najlepiej poprzez wymianę doświadczeń z innymi specjalistami z całego świata, klientami, dostawcami rozwiązań, uniwersytetami. Cała tematyka jest bardzo rozległa, ponieważ wymaga interdyscyplinarnej wiedzy (systemy i protokoły automatyki specyficzne dla poszczególnych branż, systemy i protokoły IT, szacowanie i zarządzanie ryzykiem, zarządzanie zespołami i projektami związanymi z cyberbezpieczeństwem, pen-testy (różne metodologie ICT i OT), wykrywanie i analiza podatności, analityka incydentów itd...) . Perfekcję da się osiągnąć jedynie przez skupienie i specjalizację w jakimś konkretnym zagadnieniu, ponieważ jest to bardzo czasochłonne, a wiedza ulega ciągłym dynamicznym zmianom. Stąd zamiast próbować „doktoryzować” się w każdym aspekcie, najlepiej jest stworzyć sieć relacji, platformy wymiany doświadczeń i wiedzy dla ekspertów, które umożliwią im pozyskiwanie wiedzy i rozwój w efektywny sposób. My jako firma budujemy platforomę, do której zapraszamy naszych partnerów, czyli dostawców technologii, ośrodki badawcze i uczelnie wyższe, klientów oraz niezależnych ekspertów z poszczególnych branż – sami dzięki temu motywujemy się do ciągłego rozwoju kompetencji w zespole i dotrzymywania kroku najlepszym specjalistom z całego świata.

Serdecznie dziękuję za rozmowę.

* Zuzanna Wieczorek - w Tekniska Polska Sp. z o.o. trzyma ster, w trakcie wpływania na nowe wody. Dba o najwyższą jakość obsługi oraz kompetencji technicznych firmy. Mgr Elektroniki i Telekomunikacji z ponad 13-letnim doświadczeniem w obszarze transmisji danych w przemyśle. Specjalizuje się w zagadnieniach związanych z sieciami przemysłowymi. Autorka publikacji oraz szkoleń dotyczących projektowania sieci Ethernet oraz Cyberbezpieczeństwa sieci OT. Nie stoi w miejscu, podobnie jak firma Tekniska Polska Sp. z o.o., która cały czas się rozwija, zwiększając kompetencje oraz zakres produktów i rozwiązań w kolejnych obszarach.