Świadomość pracowników kluczem w budowaniu cyberbezpieczeństwa w branży chemicznej – wywiad z Konradem Wardzińskim, ABB
W dobie cyfyzacji cyberbezpieczeństwo staje się kluczowym aspektem w branży chemicznej. Jakie kroki podejmują liderzy w tej dziedzinie, by przeciwdziałać zagrożeniom i budować świadomość wśród pracowników? Dlaczego dbanie o własne bezpieczeństwo cybernetyczne jest równie ważne jak to zawodowe? W wywiadzie, w ramach Projektu Chemia 4.0, Konrad Wardziński, Starszy specjalista ds. sprzedaży – cyberbezpieczeństwa w ABB, opowiada o wyzwaniach, z jakimi mierzą się współczesne firmy, omawia wnioski z raportów oraz prezentuje działania ABB na rzecz bezpieczeństwa cyfrowego i edukacji pracowników. Z ekspertem rozmawiała Aleksandra Sutryk, Główna Specjalistka ds. Legislacji w Pionie Rzecznictwa i Legislacji Polskiej Izby Przemysłu Chemicznego.
Aleksandra Sutryk: Konradzie, podczas warsztatu, który odbył się na wrześniowym wydarzeniu Izby, Cyfrowa i Bezpieczna Chemia – Workshops & Networking, starałeś się znaleźć Świętego Graala cyberbezpieczeństwa i opowiadałeś, jak można minimalizować ryzyko cyberataków. Ponadto firma ABB zaprosiła uczestników na wizytę studyjną do Korporacyjnego Centrum Technologicznego. Chciałabym nawiązać do Twojego warsztatu i danych, które przytoczyłeś. Czy mógłbyś nakreślić, przed jakimi wyzwaniami pod kątem cyberbezpieczeństwa, stoją teraz firmy?
Konrad Wardziński: Podczas wystąpienia przytoczyłem trzy źródła danych. Nie chciałem wzbudzać strachu w uczestnikach warsztatu, moim zdaniem natomiast te dane rzeczywiście są bardzo niepokojące i warto sobie je uświadomić. Pierwszym źródłem, na które się powoływałem, był raport roczny z działalności CERT Polska z ubiegłego roku. Dokument ten pokazuje, że liczba incydentów cyberbezpieczeństwa w ciągu ostatnich 10 lat znacząco wzrosła, tj. w ostatnim roku odnotowano ponad 80 tys. takich incydentów, a rok wcześniej było to niecałe 40 tys. Mamy zatem do czynienia z dwukrotnym wzrostem liczby incydentów na przestrzeni ostatnich dwóch lat. Ta liczba rośnie i jestem ciekaw, jak będzie ona wyglądać za 2024 r., biorąc pod uwagę trwający konflikt w Ukrainie i sytuację geopolityczną. Drugim źródłem, na które się powoływałem, było badanie przeprowadzone przez Komisję Europejską – „Cyber Skills”. Zawiera ono bardzo ciekawe dane związane z tym, jak ważne jest cyberbezpieczeństwo w naszych firmach, w porównaniu do priorytetu w pozostałych krajach Unii Europejskiej. Priorytet cyberbezpieczeństwa w naszych firmach jest na nieznacznie wyższym poziomie niż w pozostałych krajach członkowskich. Zawiera też interesujące informacje dotyczące zakresu stanowisk i funkcji, które są zaangażowane w obszar cyberbezpieczeństwa w firmach, z punktu widzenia rekrutacji. Okazuje się, że osób wykształconych w kierunku cyberbezpieczeństwa jest bardzo mało, a dla większości, które wcześniej zajmowały się innymi obszarami, są to czynności dodatkowo zlecone przez pracodawcę. Z doświadczenia ABB wynika, że są to osoby, które wcześniej zajmowały się automatyką, np. pracownicy działu IT, którym został przydzielony nowy obszar zadań. Trzecim źródłem, na które powoływaniem się w Krakowie, była siódma edycja raportu KPMG „Barometr Cyberbezpieczeństwa”. Wnioski w nim zawarte potwierdzają te, które wymieniłem wcześniej, czyli duży przyrost firm, które odnotowały przynajmniej jeden incydent związany z cyberbezpieczeństwem, trudności związane z rekrutacją i utrzymaniem wykwalifikowanych pracowników w tym obszarze, a także inne wyzwania stojące przed firmami. Należy do nich zaliczyć szybko zmieniające się przepisy prawa, a także brak świadomości zagrożeń wśród pracowników. Moim zdaniem to świadomość pracowników jest tym Świętym Graalem cyberbezpieczeństwa.
Aleksandra Sutryk: Do takiego wniosku doszliście również z uczestnikami podczas warsztatu w Krakowie. Widzimy, że ta świadomość rośnie. Tak jak wspomniałeś, zmieniają się kompetencje pracowników, pojawiają się nowe stanowiska, ale te osoby mogą jeszcze nie być wystarczająco wykwalifikowane, aby w pełni pracować w tym obszarze. Chciałabym teraz zapytać o to, co ABB proponuje, aby budować tę świadomość? Jakie działania prowadzicie w tym kierunku?
Konrad Wardziński: Pierwszy sposób to budowanie świadomości wewnątrz, wśród naszych pracowników. Drugi – to budowanie jej wśród naszych klientów. Podczas ostatnio organizowanego dwudniowego spotkania z naszymi klientami „ABB Customer Cyber Day” poruszaliśmy różne bieżące sprawy związane m.in. z cyberbezpieczeństwem. Mówiliśmy o tym, jak budować świadomość, prowadzić projekty inwestycyjne w tym obszarze, zarządzać zespołem, który odpowiada za cyberbezpieczeństwo, jakie są trendy w cyberatakach, również z punktu widzenia systemów sterowania. We współpracy z przedstawicielem Ministerstwa Cyfryzacji poruszaliśmy też kwestie związane ze zmianą prawa m.in. z nowelizacją Ustawy o Krajowym Systemie Cyberbezpieczeństwa (NIS2). W ten sposób staramy się budować świadomość wśród ludzi pracujących w tym obszarze. Z kolei prelegent z ABB opowiadał budowaniu świadomości wśród pracowników naszej firmy. Pokazał m.in. daily planner, który zawiera różnego rodzaju rebusy, zadania związane z cyberbezpieczeństwem, łamigłówki, krzyżówki, ale posiada również miejsce na notatki, gdzie każdy może zapisać, w jaki sposób podnoszone jest jego indywidualne cyberbezpieczeństwo. Przedstawiciel ABB podkreślił, że ważne jest budowanie świadomości cyberbezpieczeństwa wśród pracowników zarówno w życiu zawodowym, jak i prywatnym. Zwrócił uwagę na kwestie zabezpieczeń prywatnych laptopów i telefonów, częstotliwości zmian PIN-ów do kart i haseł, sposobów weryfikacji tożsamości, aktywności w mediach społecznościowych. Wszystkie te czynniki mają przełożenie na budowanie całościowej świadomości, w obu sferach. Zespół ABB, który odpowiada za ten obszar, opracował też bardzo ciekawe gry planszowe, które również prezentowaliśmy podczas spotkania z naszymi klientami. Zatem możemy wyróżnić dwie takie perspektywy – budowanie świadomości w firmie i wśród klientów oraz budowanie jej w życiu prywatnym.
Aleksandra Sutryk: Myślę, że po tej wypowiedzi mogą pojawić się zainteresowani wspomnianymi plannerami.
Konrad Wardziński: Daily plannery można było wygrać poprzez aktywność na spotkaniu ABB „Customer Cyber Day”, dlatego w przyszłym roku, jeżeli zaszczycą nas Państwo swoją obecnością i aktywnością być może również uda Wam się zdobyć takie gadżety.
Aleksandra Sutryk: Myślę, że taka aktywizacja w czasie prywatnym to dobry sposób, żeby dbać o cyberbezpieczeństwa. Jeżeli budujemy tę świadomość jedynie w firmie, a nie do końca później stosujemy się do tego w życiu prywatnym, to będzie to tylko wyuczony, nieskuteczny mechanizm. Chciałabym zapytać jeszcze o to, jakie działania mogą podjąć inne firmy, aby budować świadomość wśród swoich pracowników?
Konrad Wardziński: Aby zabezpieczyć swoją firmę w obszarze cyberbezpieczeństwa, kluczowe są dwa elementy. Jest to przede wszystkim spójna i jasna strategia firmy, na każdym polu funkcjonowania jej i pracowników. Drugi obszar jest szczególnie istotny z punktu widzenia ABB, ponieważ to my zabezpieczamy nasze systemy sterowania procesami firmy. Odpowiadają za nie głównie automatycy, to tzw. warstwa OT. Jest też drugi zespół – IT, który opiekuje się firmą na poziomie biurowym. Ważna jest komunikacja między tymi zespołami i ich spójny pogląd na działania w obszarze cyberbezpieczeństwa. Charakterystyczną cechą tych zespołów jest odmienność priorytetów. Automatykom może zależeć na tym, aby systemy sterowania były ogólnodostępne, niezawodne, a proces produkcyjny nie zatrzymywał się. Dla zespołu IT natomiast bardzo często najwyższym priorytetem jest poufność informacji, to, aby żadne dane nie wyciekły na zewnątrz. Można zatem stwierdzić, że drugim Świętym Graalem jest to, aby te dwa zespoły komunikowały się ze sobą i miały wspólny cel.
Aleksandra Sutryk: Czyli rozmowa i budowanie świadomości. Oczywiście w ABB świadomość jest wysoka, więc macie inne sposoby, a rozmowy są na bardziej szczegółowym poziomie, warto zaznaczyć, od czego należy zacząć. Konieczne jest stwierdzenie, że jest to ważny temat i do tego nawiązuje moje kolejne pytanie – dlaczego cyberbezpieczeństwa powinno być ważne dla firm?
Konrad Wardziński: Może nie każdy jest tego świadomy, ale jednym z elementów budujących wartość firm, w których pracujemy, jest jej reputacja. Jeżeli będą docierać do nas informacje o częstych cyberatakach na tę firmę, wyciekach danych klientów, to zaufanie będzie spadać, a klienci i akcjonariusze mogą się od takiego przedsiębiorstwa odwrócić. Wydaje mi się, że gdy spojrzymy długoterminowo, to wspólnym mianownikiem dla budowania świadomości wśród pracowników, budowania spójnej strategii, wspólnych interesów wielu zespołów, które odpowiadają na różnych poziomach organizacji, za cyberbezpieczeństwa, jest właśnie reputacja i bezpieczeństwo przechowywanych danych. Konkurencja nie śpi, więc to naturalne, że zastanawiamy się o zmianie usługi, kiedy dowiadujemy się, że nasze dane wyciekły. Każdy z nas myśli o tych kategoriach bezpieczeństwa, więc reputacja firmy, w której my pracujemy i ochrona tych informacji jest niezwykle istotna. Wydaje mi się, że te dwa punkty powinny być dla każdego jasnym celem.
Aleksandra Sutryk: Teraz chciałabym porozmawiać o Krajowym Systemie Cyberbezpieczeństwa. Czekamy na publikację ostatecznej wersji ustawy, a skrót NIS2 wzbudza emocje. Wszyscy chcą się dowiedzieć, co czeka branżę, jakie obowiązki będzie trzeba spełnić. Jaki powinien być ten pierwszy krok w firmie do ochrony cyberbezpieczeństwa?
Konrad Wardziński: Jesteśmy już prawie miesiąc po ostatecznym terminie, jaki wyznaczyła Unia Europejska do dostosowania przez kraje członkowskie praw krajowych do kierunków, które nakreśla Dyrektywa NIS2 w obszarze cyberbezpieczeństwa. Odpowiadając na to, jaki powinien być ten pierwszy krok, chciałbym zachęcić wszystkich do wejścia na stronę ABB i odszukania dokumentu o nazwie „Mapy redukcji ryzyka” albo „Risk Reduction Roadmap”. W tym dokumencie opisane są poszczególne kroki, od których należy zacząć oraz to, co nam daje wprowadzenie pewnych rozwiązań, które są w nim podane, w kontekście realizacji wymagań Dyrektywy NIS2. Konieczne jest określenie swoich zasobów i celów. Powinniśmy stworzyć analizę ryzyka i pewien plan działania tego, jakie cele chcemy zrealizować. Poza architekturą referencyjną, która jest zgodna z pewnymi założeniami i normami, powinniśmy dysponować także systemami backupowymi, ochroną antywirusową itd. Pamiętajmy natomiast, że nie ma sensu stosować rozwiązań, które są dedykowane do bardzo dużych organizacji w małych firmach. Być może ryzyko wystąpienia w nich cyberataku nie jest tak duże i bardzo wysoki poziom zabezpieczeń nie będzie aż tak wymagany. Zatem mierzmy siły na zamiary, dobrze planujmy i określmy cel, który chcemy osiągnąć – to są te pierwsze kroki.
Aleksandra Sutryk: Myślę, że to bardzo wartościowe, aby zapoznać się z tą mapą. Plan, budowanie świadomości, komunikacja – te czynniki przewijały się przez wszystkie Twoje wypowiedzi. Czekamy oczywiście też na publikację ostatecznej wersji Ustawy o Krajowym Systemie Cyberbezpieczeństwa, zwłaszcza, że przemysł chemiczny również jest tam wymieniony. Firmy czeka wiele zmian, ponieważ tych wymagań rzeczywiście pojawia się bardzo dużo, m.in. wdrożenie systemu zarządzania bezpieczeństwem informacyjnym, który dla części przedsiębiorstw będzie czymś zupełnie nowym. Liczę, że będziemy kontynuować nasze rozmowy o cyberbezpieczeństwie. Mam nadzieję, że naszych słuchaczy równie mocno zainteresował temat cyberbezpieczeństwa i sięgną po materiały, o których wspominałeś, do czego serdecznie zachęcamy. Dziękuję za rozmowę.