Robots
Cookies

Ustawienia cookies

Strona Teraz Środowisko wykorzystuje cookies. Część z nich jest niezbędna do funkcjonowania strony. Inne służą poprawianiu jakości naszych usług.
Więcej  ›
17.04.2021 17 kwietnia 2021

Pracownik - najsłabsze czy najsilniejsze ogniwo systemu cyberbezpieczeństwa?

Liczba cyberataków na sektor wod-kan rośnie i będzie rosła – ostrzegają eksperci. Zamiast paniki zalecają konsekwentne wdrażanie zabezpieczeń, szkolenie pracowników oraz naukę na własnych (i cudzych) błędach.

   Powrót       25 marca 2021       Woda   

Kancelaria Premiera Rady Ministrów wydała ostatnio „Rekomendacje cyberbezpieczeństwa dla sektora wodno-kanalizacyjnego (R-CYBER-01/2021)(1)”. - Sektor wodno-kanalizacyjny jest jednym z elementów infrastruktury krytycznej państw i obejmuje zarówno obiekty zarządzane przez administrację rządową, jak i przez jednostki samorządu terytorialnego – napisano.

12 rekomendacji do wdrożenia w przedsiębiorstwach wod-kan

W poradniku znajdujemy przykłady ataków oraz listę 12 sposobów na poprawę bezpieczeństwa przedsiębiorstwa. Wśród zaleceń jest np. oddzielenie systemów OT (ang. Operational Technology) od systemów IT (ang. Information Technology) zorientowanych na klienta oraz monitorowanie i kontrolowanie interakcji pomiędzy tymi dwoma obszarami. Zaleca się unikanie podłączeń urządzeń przemysłowych do Internetu.

Ważny jest przegląd zdalnego dostępu i ograniczenie go do niezbędnego minimum (w szczególności zwrócenie uwagi na modemy komórkowe i metody zdalnego dostępu podwykonawców). Gdy zdalny dostęp jest niezbędny, realizowanie go za pomocą VPN(2) z wykorzystaniem konfiguracji umożliwiającej zastosowanie uwierzytelnienia wieloskładnikowego. A w razie konieczności zdalnego przesyłu danych telemetrycznych przez sieć komórkową korzystanie z dedykowanych prywatnych APN(3).

Ponadto przypomina się o dobrych praktykach zarządzania hasłami, aktualizowaniu oprogramowania w przemyślany sposób oraz ustaleniu ścieżki kontaktu z odpowiednimi służbami i zgłaszanie im niebezpiecznych incydentów(4).

Własne struktury cyberbezpieczeństwa czy outsourcing?

- Trzy filary bezpieczeństwa to ludzie, procesy (np. system zarządzania bezpieczeństwem informacji) i technologia. Zadbać należy o wszystkie – mówił Michał Ślósarz podczas webinarium pt. "Cyberbezpieczeństwo w branży wod-kan(5)". Na co jeszcze zwracali uwagę eksperci?

Łukasz Kałuziński z Net Complex jako pierwszy i kluczowy krok do poprawy cyberbezpieczeństwa wskazywał rzetelny audyt w przedsiębiorstwie. Gdy już wiadomo, na czym się stoi, nadchodzi czas decyzji. - Przy wybieraniu rozwiązań warto odpowiedzieć na kilka pytań. Jaka jest widoczność w sieci OT? Co w przypadku awarii? Jakie będą koszty? Jaki jest przewidywany cykl życia rozwiązań? – wymieniał Paweł Śmigielski ze Stormshield.

Operatorzy usług kluczowych(6), do których należą duże przedsiębiorstwa wod-kan, mają obowiązek zapewnienia struktur cyberbezpieczeństwa. - Mogą powołać w tym celu własną komórkę lub skorzystać ze świadczonych przez inne podmioty usług – wyjaśniała Monika Bogdał z Kancelarii Prawnej Piszcz i Wspólnicy. Decydując się na outsourcing trzeba jasno określić własne potrzeby i warunki współpracy i znaleźć wykonawcę godnego zaufania. Michał Ślósarz zauważył, że podczas tworzenia takiej jednostki we własnych strukturach, wyzwaniem dla przedsiębiorstwa wod-kan może okazać się rekrutacja kompetentnych osób.

Najsłabsze ogniwo….

Wojciech Gębski z Unisoft zobrazował bezpieczeństwo IT jako piramidę. U jej podstawy leży infrastruktura sieciowa, drugi poziom to baza danych, trzeci to procedury przedsiębiorstwa, a czwarty to zintegrowany system informatyczny. Na czubku piramidy znajduje się człowiek – w rozumieniu pracowników, ale też podejścia osób decyzyjnych do tematu cyberzagrożeń.

Abstrahując od celowych działań na niekorzyść firmy, błąd ludzki niejednokrotnie wynika z braku świadomości zagrożeń. – Pracownik może być najsłabszym ogniwem – mówił Grzegorz Górka z Sądeckich Wodociągów. Praca zdalna wiąże się zaś z dodatkowymi słabymi punktami, dlatego w Sądeckich Wodociągach wprowadzono regulamin zasad korzystania z oprogramowania i ze sprzętu do pracy zdalnej, ograniczono dostęp w ramach uprawnień, nauczono pracowników obchodzenia się z danymi, zapewniono firmowe laptopy z aktualnym programem antywirusowym i dostęp do internetu, wprowadzono automatyczne wylogowywanie i wymóg zmiany haseł, a połączenie z systemem informatycznym odbywa się tylko za pośrednictwem szyfrowanego kanału VPN możliwego tylko dla stałych adresów IP.

… lub ostatni poziom zabezpieczeń

Kompetentny pracownik może zareagować, jeśli rozpozna niepokojącą sytuację. I dotyczy to zarówno przeszkolenia w obszarze cyberataków, jak i dobrej znajomości funkcjonowania zakładu. Jako przykład Bogdał podała incydent, podczas którego przestępcy zaatakowali sterowniki PLC w mieszalnikach na stacji uzdatniania wody i zmienili proporcje dozowania m.in. chloru. Atak wykryto dzięki czujności pracownika stacji, który spostrzegł zmianę.

Eksperci podkreślają wagę regularnego i skutecznego edukowania zespołu. – Pamiętajmy, że pracownik wyznaczony do cyberbezpieczeństwa nie może zajmować się tymi zadaniami w międzyczasie, pomiędzy innymi obowiązkami – przypominała Bogdał. Warto ponadto zauważyć, że cyberataki nie grożą tylko dużym przedsiębiorstwom, ale także tym mniejszym.

Trwają prace nad nowym unijnym pakietem cyberbezpieczeństwa. W jakim stopniu dotknie on sektor wod-kan? O tym w kolejnym artykule.

Dominika Adamska: Sekretarz redakcji, geograf Teraz SamorządWięcej treści dotyczących samorządów w zakładce Teraz Samorząd.

Przypisy

1/ Dokument pt. Rekomendacje cyberbezpieczeństwa dla sektora wodno-kanalizacyjnego do pobrania tutaj:
https://www.teraz-srodowisko.pl/media/pdf/aktualnosci/10103-rekomendacje-cyberbezpieczenstwa-dla-sektora-wod-kan.pdf
2/ Virtual Private Network - mechanizm działania sieci VPN opiera się przede wszystkim na ukryciu prawdziwego adresu IP urządzenia oraz na szyfrowaniu danych, przesyłanych podczas trwania połączenia internetowego.3/ Access Point Name – nazwa bądź adres bramy pomiędzy siecią komórkową operatora a zewnętrzną siecią komputerową, umożliwiającą m.in. rutowanie pakietów między tymi sieciami.4/ Informacje o przekazywaniu informacji o incydencie przez operatora usługi kluczowej dostępne tutaj:
https://www.gov.pl/web/cyfryzacja/krajowy-system-cyberbezpieczenstwa-
5/ Webinarium zostało zorganizowane przez firmę Abrys wraz z mecenasem oraz partnerami wydarzenia. Odbyło się 24 marca br.6/ Rozporządzenie Rady Ministrów z dnia 11 września 2018 r. w sprawie wykazu usług kluczowych oraz progów istotności skutku zakłócającego incydentu dla świadczenia usług kluczowych
https://www.teraz-srodowisko.pl/prawo/rozporzadzenie-z-dnia-11-09-2021-dz.-u.-2018-poz.-1806-4927.html

Polecamy inne artykuły o podobnej tematyce:

Trwają konsultacje Programu Inwestycyjnego w zakresie poprawy jakości i ograniczenia strat wody pitnej (14 kwietnia 2021)Skąd się biorą podwyżki opłat za wodę i ścieki? (13 kwietnia 2021)IGWP z nowym prezesem (02 kwietnia 2021)Cyfrowy nadzór nad nieczystościami płynnymi z szamb jest już możliwy (31 marca 2021)Trwa analiza wniosków taryfowych. Szykują się podwyżki za wodę i ścieki? (30 marca 2021)
©Teraz Środowisko - Wszystkie prawa zastrzeżone.
Kopiowanie i publikacja tekstów, zdjęć, infografik i innych elementów strony bez zgody Wydawcy są zabronione.
▲  Do góry strony