Rozwiązania przemysłu 4.0, tak jak i inne poddane digitalizacji obszary działalności człowieka, są narażone na groźne cyberataki. Jako przykład z może posłużyć atak przy wykorzystaniu socjotechnik na system sterowania przemysłowego huty stali w Niemczech w 2014 roku, który doprowadził do zniszczenia instalacji oraz wybuch rurociągu w pobliżu miasta Erzincan (Turcja), spowodowany włamaniem do sieci kamer monitorujących, a następnie przedostaniem się do sieci wewnętrznej nadzorującej pracę rurociągu, skutkujący dziennymi stratami w wysokości 5 mln USD. Wskazuje to, że przemysłowe systemy sterowania wciąż posiadają podstawowe braki w aspekcie cyberbezpieczeństwa, przez co znacząco odbiegają od systemów IT i stwarzają ryzyko katastrof oraz ogromnych strat materialnych.
Dyrektywa NIS i Akt o cyberbezpieczeństwie
Cyberbezpieczeństwo zostało uznane za jeden z pięciu filarów programu Cyfrowa Europa i od kilku lat jest przedmiotem intensywnych działań legislacyjnych na poziomie UE. Pierwszym kompleksowym aktem prawnym z obszaru cyberbezpieczeństwa jest przyjęta w 2016 roku dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii, tzw. dyrektywa NIS; drugim – Rozporządzenie Parlamentu Europejskiego i Rady (EU) 2019/881 z dnia 17 kwietnia 2019 r. w sprawie ENISA (Agencji Unii Europejskiej ds. Cyberbezpieczeństwa) oraz certyfikacji cyberbezpieczeństwa w zakresie technologii informacyjno-komunikacyjnych tzw. Akt o cyberbezpieczeństwie.
Krajowy system cyberbezpieczeństwa
Dyrektywa NIS została implementowana do polskiego prawa w ramach ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, popularnie zwanej „cyberustawą”. Obok dostawców usług cyfrowych i podmiotów publicznych, cyberustawa wyróżnia operatorów usług kluczowych i nakłada na nich szereg obowiązków związanych z zachowaniem bezpieczeństwa systemów informacyjnych. Wprawdzie systemy informacyjne objęte ustawą są szeroko zdefiniowane i obejmują również systemy OT (operational technology), jednakże jako operatorzy usług kluczowych mogą zostać wyznaczone jedynie podmioty wskazane w rozporządzeniu do ustawy, pochodzące m.in. z sektora energetycznego i transportu. Tym samym znajduje ona zastosowanie do branży przemysłowej jedynie w ograniczonym zakresie.
Status operatora usługi kluczowej uzyskuje się na podstawie decyzji wydanej przez właściwego ministra. Operatorzy usług kluczowych są zobowiązani do wdrożenia systemu zarządzania bezpieczeństwem w systemie informacyjnym wykorzystywanym do świadczenia usługi kluczowej wraz z odpowiednią dokumentacją. W ramach systemu operatorzy dokonują obsługi i zgłaszania incydentów, a system powinien być co najmniej raz na dwa lata poddawany audytom. W celu realizacji obowiązków wynikających z ustawy operator usługi kluczowej powołuje wewnętrzne struktury odpowiedzialne za cyberbezpieczeństwo lub zawiera umowę z podmiotem świadczącym usługi z zakresu cyberbezpieczeństwa, który powinien spełniać szczegółowe wymogi wskazane w rozporządzeniu wykonawczym do ustawy.
Certyfikacje cyberbezpieczeństwa
Akt o cyberbezpieczeństwie określa kompetencje Europejskiej Agencji ds. Bezpieczeństwa Sieci i Informacji (ENISA) oraz zawiera przepisy dotyczące europejskich certyfikacji w zakresie cyberbezpieczeństwa. Certyfikacją zostały objęte produkty, usługi i procesy ICT. Akt określa trzy poziomy bezpieczeństwa, w zależności od poziomu ryzyka związanego z użyciem danego produktu, usługi lub procesu: poziom podstawowy, poziom istotny i poziom wysoki. Na poziomie podstawowym możliwa będzie ocena zgodności przez stronę pierwszą, czyli producenta.
Aktualnie trwają prace nad europejskimi programami certyfikacyjnymi. Przy ich opracowaniu, zgodnie z wytycznymi Aktu, będą brane pod uwagę aktualnie istniejące europejskie standardy z zakresu cyberbezpieczeństwa. Dla przemysłu 4.0 będą to na przykład normy IEC 62443, dotyczące bezpieczeństwa w systemach sterowania i automatyki przemysłowej. Punktem wyjścia będą zapewne również opracowania dotyczące cyberbezpieczeństwa w przemyśle 4.0, które już dziś można znaleźć na stronie internetowej ENISA (np. Good Practices for Security of Internet of Things in the Context of Smart Manufacturing, Industry 4.0 Cybersecurity: Challenges & Recommendations). Certyfikacja będzie miała na razie charakter dobrowolny, co przez niektórych uczestników rynku wskazywane jest jako słaby punkt tworzonego europejskiego systemu cyberbezpieczeństwa.
Artykuł autorstwa A. Besiekierska ukazał się w miesięczniku Automatyka 2/2020