Polska zbrojeniówka jest gotowa na ataki?

O tym, jakie mogą być skutki ataku na ucyfrowione procesy produkcyjne, przypomniał moderujący debatę Jakub Syta, zastępca dyrektora Morskiego Centrum Cyberbezpieczeństwa Akademii Marynarki Wojennej. 

Przypominał przypadek firmy Jaguar Land Rover, która na skutek cyberataku z końca sierpnia stanęła. Pojawiają się szacunki, że działalność znanej marki samochodów zostanie wznowiona w grudniu, co oznacza straty liczone nawet w miliardach funtów. Przypomnijmy, że spółka dostarcza 4 proc. przychodu Wielkiej Brytanii.

Polska zbrojeniówka musi być gotowa

„Jako polski przemysł musimy być przygotowani na odparcie ewentualnych ataków, by zminimalizować ryzyko takiej sytuacji w jakiej znalazła się firma Jaguar” – powiedział wiceprezes PGZ Piotr Zawieja. 

Zastrzegł, że żadna organizacja nie jest w stanie obronić się przed wszystkimi atakami, a ryzyka nie wyeliminowałoby także odcięcie od sieci zewnętrznej. 

Wiceprezes PGZ podkreślił, że jedną z pierwszych decyzji obecnego zarządu był audyt cyberbezpieczeństwa spółek tworzących Grupę. Każda z nich ma specjalistów zajmujących się odpieraniem cyberataków. 

Dodatkowo, PGZ organizuje szkolenia dla zarządów, których członków – jak zaznaczył wiceprezes – nie trzeba przekonywać o konieczności zapobiegania cyberzagrożeniom.

Bo u nas liczy się cena

„Mówimy o sobie, że jesteśmy jedną z najsilniejszych gospodarek świata, a od strony technologicznej, polski rynek jest jednym z najmniejszych na świecie dla globalnych spółek” – zaznaczyła szefowa Hewlett Packard Enterprise Polska Kinga Piecuch. 

Dodała, że „mamy światowych gigantów w produkcji mebli, śrubek i metalowych półproduktów”, zarazem poziom wydatków na nowe technologie jest niski w porównaniu z firmami w innych krajach. „Nasz rynek nie inwestuje tak bardzo w technologie jakby mógł” – stwierdziła.

Zwróciła też uwagę, że przepisy o zamówieniach publicznych, które premiują przede wszystkim cenę, powodują, że uczestnicy przetargów wybierają tańszych dostawców technologii informatycznych.

Zbrojeniówka lepiej zabezpieczona

Doradczyni ds. technologii cyfrowych i członkini rady nadzorczej WB Electronics Olga Wojciechowska podkreśliła, że spółki zbrojeniowe są lepiej zabezpieczone niż inne firmy. Wynika to z m.in. tego, że potrzebują rozwiązań niezbędnych do przetwarzania informacji niejawnych i posiadać certyfikaty. 

Podała przykład swojej firmy, która dba, by stosowane w jej produktach systemy operacyjne były dostosowane do wyrobów i wymagań odbiorców, a jednym ze sposobów jest „wyizolowanie niepotrzebnych części oprogramowania”, unikanie rozwiązań od stron trzecich i z otartych źródeł. 

„Nasi inżynierowie stawiają sobie cel minimalizację ryzyka i korzystanie z własnych rozwiązań” – dodała.

Kto kontroluje przemysł?

Dyrektor pionu obronnego i kosmicznego w spółce Control Tec Jacek Cheda zauważył, że firmy działające na rynku cywilnym są obecnie bardziej zautomatyzowane i zdigitalizowane, co często wiąże się z większą skalą produkcji. Przemysł obronny – dodał Cheda – dopiero wchodzi w automatyzacje i robotyzację, bez czego nie uda się np. osiągnąć zakładanego skokowego zwiększenia produkcji amunicji 155 mm.

Według Chedy debatę o cyberbezpieczeństwie należałoby zacząć od pojęcia cybersuwerenności.

„Cybersuwerennośc to nie zakup zautomatyzowanej linii od zachodnich dostawców; suwerenność to panowanie nad kodami źródłowymi, nad protokołami komunikacji” – podkreślił.

Sprzedaż sprzętu bez dostępu do kodu źródłowego porównał do zakupu mebli, do których sprzedawca dodaje nakaz, jak je poustawiać w mieszkaniu z żądaniem, by „raz na kwartał płacić za przestawienie kanapy”. 

„Faktycznie kontroluje przemysł ten, kto ma kody źródłowe do oprogramowania. Polski przemysł prywatny ma kompetencje, by włączyć się w budowę suwerenności” – podkreślił Cheda, który jest podpułkownikiem rezerwy. 

Zaapelował do osób, które w siłach zbrojnych formułują wymagania, by uwzględniały w nich cybersuwerenność.

Szybkość reakcji jest decydująca

Zadaniem firmy produkcyjnej nie jest budowanie własnego cyberbezpieczeństwa, od tego są inni – zauważył dyrektor programu Defence & Security w Orange Polska Tomasz Sawko.

Jego zdaniem doradztwo w sprawach cyberbezpieczeństwa warto zlecić komuś z zewnątrz, ponieważ lepiej zrobi to ktoś, kto patrzy na firmę z boku, niż ten, kto jest wewnątrz. Ważne przy tym – jak zaznaczył – jest nie tylko to, co kupujemy, jaką usługę, ale i od kogo; a pytanie nie brzmi czy, tylko kiedy cię zaatakują.

Jak dodał, by dbać o bezpieczeństwo danych, systemów, infrastruktury i komunikacji, można kupować usługi i technologie. Za niezbędne uznał ciągłe testy odporności, ponieważ szybkość reakcji ma decydujące znaczenie i ogranicza skutki ataku. 

Podsunął sposób na przekonanie zarządu spółki do inwestowania w cyberbezpieczeństwo: „Pozwalamy przeżyć na żywo, jak wygląda cyberatak i jakie ma konsekwencje. Taka symulacja w bardzo wielu przypadkach otwiera oczy wszystkim członkom zarządu, nie tylko tym, którzy odpowiadają za IT”.

Pomyślmy o potencjalnym konflikcie już teraz

Syta przypomniał, że cyberbezpieczeństwo jako przedmiot akademicki jest nauczane dopiero od kilku lat i większość managerów nie miała okazji zetknąć się z tym zagadnieniem na studiach.

Przytoczył radę, jaką usłyszał od delegatów z Ukrainy: jeżeli chcemy myśleć o przyszłości i potencjalnym konflikcie, powinniśmy dokonać gwałtownego skoku w zakresie cyberodporności, nie chodzi tu o spokojne budowanie – na to nie ma czasu.