Cyberbezpieczeństwo OT: najczęstsze błędy w sieciach przemysłowych

OT a IT: dlaczego bezpieczeństwo w sieciach przemysłowych jest tak trudne

Różnice między OT a klasycznym IT

W środowiskach biurowych priorytetem jest poufność danych i dostęp do systemów. W sieciach przemysłowych OT (Operational Technology) układ jest odwrócony: najważniejsza jest ciągłość pracy i bezpieczeństwo fizyczne ludzi oraz instalacji. To fundamentalna różnica, która sprawia, że wiele praktyk znanych z IT nie daje się przenieść jeden do jednego do zakładów przemysłowych.

Systemy OT sterują realnymi procesami: liniami produkcyjnymi, prasami hydraulicznymi, piecami, sprężarkami, systemami transportu, przepompowniami. Błąd konfiguracyjny czy źle zaplanowana aktualizacja może nie tylko zatrzymać produkcję, ale też doprowadzić do poważnych awarii, zniszczenia sprzętu czy zagrożenia dla ludzi. Dlatego wiele zakładów latami zwleka z modernizacją, co paradoksalnie zwiększa podatność na ataki.

Druga kluczowa różnica to cykl życia systemów. W IT sprzęt i oprogramowanie wymienia się co kilka lat. W OT sterowniki PLC, HMI czy systemy SCADA działają często kilkanaście–kilkadziesiąt lat, a ich producent dawno zakończył wsparcie. W efekcie sieci przemysłowe pełne są systemów legacy, które nigdy nie były projektowane z myślą o cyberbezpieczeństwie i komunikacji z Internetem.

Specyfika protokołów przemysłowych

Protokół Modbus, Profibus, Profinet, DNP3, OPC DA/UA, EtherNet/IP czy własnościowe protokoły producentów automatyki – większość z nich powstała w czasach, gdy zagrożenia cybernetyczne w przemyśle praktycznie nie istniały. Brak autoryzacji, brak szyfrowania, brak kontroli integralności – to standard, a nie wyjątek.

Konsekwencje są poważne. Osoba mająca dostęp do segmentu sieci OT, w której działa Modbus TCP, może bez większych przeszkód:

• odczytywać rejestry sterowników (np. parametry procesu),
• modyfikować nastawy (np. limity temperatury, ciśnienia),
• wysyłać komendy sterujące (start/stop, zmiana prędkości, położenia),
• podszywać się pod uprawnione urządzenia.

Jeśli dodatkowo połączenie między warstwą sterowania a warstwą nadrzędną (SCADA, MES, ERP) nie jest segmentowane ani filtrowane, atakujący z poziomu zwykłej stacji roboczej może dotrzeć aż do sterownika na hali. To właśnie połączenie „prostych” protokołów OT i słabej architektury sieci tworzy większość luk bezpieczeństwa.

Konsekwencje cyberataków na środowisko OT

W IT efekt ataku to zwykle utrata danych, wyciek informacji lub przestój usług. W OT w grę wchodzą realne szkody materialne oraz bezpieczeństwo ludzi. Poważny incydent może doprowadzić do:

• niekontrolowanego zatrzymania linii produkcyjnej w niebezpiecznej fazie cyklu,
• przekroczenia parametrów technologicznych (temperatura, ciśnienie, przepływ),
• awarii maszyn, zniszczenia narzędzi, form, oprzyrządowania,
• skażenia środowiska lub wydostania się niebezpiecznych substancji,
• wypadków przy pracy, obrażeń pracowników.

Oprócz strat bezpośrednich dochodzą koszty przestoju, kary umowne, utrata reputacji i konieczność wdrożenia działań naprawczych pod presją czasu. Nic dziwnego, że cyberbezpieczeństwo OT staje się jednym z kluczowych tematów w przemyśle, a regulatorzy (np. NIS2) wymagają coraz wyższych standardów ochrony.

Brak segmentacji sieci OT: najgroźniejszy, a wciąż powszechny błąd

Płaska sieć przemysłowa – przepis na katastrofę

Najczęstszy błąd w sieciach przemysłowych to tzw. płaska sieć (flat network). Wszystkie urządzenia – sterowniki PLC, HMI, napędy, panele operatorskie, stacje inżynierskie, kamery, nawet drukarki – działają w jednym lub w kilku bardzo szerokich VLAN-ach, często routowanych bez żadnych ograniczeń. Do tej samej puli adresowej podpięte są komputery biurowe, laptopy serwisantów i systemy SCADA.

W takiej architekturze pojedyncza zainfekowana stacja robocza może bez przeszkód skanować całą sieć OT, wysyłać broadcasty i multicast, a nawet próbować komunikacji ze sterownikami i napędami. Atakujący nie musi znać topologii – wystarczy prosty skaner, by znaleźć kluczowe urządzenia i usługi.

Segmentacja na strefy i kanały – model obrony

Skuteczną odpowiedzią na ten chaos jest podział sieci OT na strefy (zones) i kanały (conduits), zgodnie z ideą ISA/IEC 62443. Kluczowe założenie: nie każde urządzenie musi widzieć każde inne. Ruch między strefami jest ściśle kontrolowany, a wewnątrz strefy funkcjonują tylko te systemy, które rzeczywiście muszą się komunikować.

Praktyczny przykład podziału:

• strefa DMZ OT – serwery SCADA, historyczne serwery danych, bramy do systemów MES/ERP,
• strefa sterowania – sterowniki PLC, panele HMI, napędy w ramach jednej linii,
• strefa bezpieczeństwa – sterowniki SIS, systemy ESD, dedykowane sieci safety,
• strefa utrzymania ruchu – stacje inżynierskie, serwery zarządzania, narzędzia diagnostyczne,
• strefa biurowa IT – użytkownicy końcowi, aplikacje biznesowe.

Pomiędzy tymi strefami ruch przechodzi wyłącznie przez zdefiniowane kanały (conduits) – najczęściej zapory sieciowe, routery z ACL lub dedykowane bramy przemysłowe. Otwiera się tylko te porty i protokoły, które są absolutnie niezbędne dla procesu, a cała reszta jest blokowana.

Praktyczne błędy przy projektowaniu segmentacji

Nawet jeśli segmentacja formalnie istnieje, często jest wykonana pozornie. Typowe błędy:

• wszystkie VLAN-y są przepuszczane przez przełączniki szkieletowe bez ograniczeń (brak ACL),
• zapory działają w trybie „any-any permit” z kilkoma wyjątkami zamiast „deny by default”,
• porty serwisowe (np. dla zdalnego serwisu) są otwarte na stałe, zamiast na czas konkretnej interwencji,
• jedna stacja inżynierska ma dwa interfejsy: w sieci biurowej i w sieci OT, tworząc mostek między środowiskami,
• urządzenia techniczne (HVAC, BMS, monitoring) są wpięte w tę samą sieć, co sterowniki procesowe.

W praktyce najlepszy efekt daje połączenie architektury warstwowej (model Purdue lub jego modyfikacje) z drobnoziarnistą segmentacją VLAN oraz kontrolą na poziomie L3/L4/L7. Celem jest sytuacja, w której pojedyncza stacja zarażona malware nie może samodzielnie dotrzeć do sterowników, a nawet jeśli – to napotyka na wielowarstwową obronę.

Nieaktualne systemy i brak zarządzania łatkami w OT

Dlaczego patch management w OT jest tak problematyczny

W sieciach biurowych aktualizacje systemów operacyjnych i aplikacji stosuje się cyklicznie – co miesiąc lub częściej. W OT to podejście często jest nierealne. Systemy sterowania pracują 24/7, każde okno serwisowe wymaga planowania, a restart komputera SCADA w złym momencie może przerwać proces.

Dodatkowo wiele rozwiązań automatyki jest certyfikowanych w określonej konfiguracji systemu operacyjnego, wersji bibliotek, środowisk wykonawczych. Dostawca systemu DCS/SCADA nie gwarantuje kompatybilności po dowolnej aktualizacji Windows czy Jav-y. W rezultacie operatorzy często blokują aktualizacje w ogóle, co z czasem zamienia te systemy w „muzea podatności”.

Typowe błędy w aktualizowaniu systemów przemysłowych

Najczęstsze nieprawidłowości w obszarze aktualizacji w OT to:

• całkowity brak polityki aktualizacji – decyzje o patchowaniu podejmowane ad hoc, często „po incydencie”,
• wyłączenie Windows Update bez zastąpienia go żadnym innym mechanizmem kontrolowanym,
• brak testów aktualizacji na środowisku testowym lub symulatorze – poprawki od razu trafiają na produkcję (albo w ogóle),
• brak pełnego inwentarza – nie wiadomo, jakie wersje systemów i aplikacji rzeczywiście działają w sieci OT,
• instalowanie poprawek bez konsultacji z dostawcą systemu DCS/SCADA/PLC.

Do tego dochodzi niedoszacowanie ryzyka. Spotyka się przekonanie, że „sieć OT jest zamknięta”, a więc brak aktualizacji nie jest krytycznym problemem. W praktyce większość zakładów ma choćby zdalne wsparcie producenta, łącza VPN, transfery danych do MES/ERP lub Wi-Fi dla serwisantów. Każde takie połączenie to droga potencjalnego ataku na niezałatane systemy.

Jak wdrożyć bezpieczne i realistyczne zarządzanie łatkami

Zarządzanie łatkami w OT musi być kompromisem między bezpieczeństwem a ciągłością procesu. Kilka kluczowych zasad:

• utworzenie pełnego inwentarza systemów (HW/SW) w OT wraz z wersjami,
• ustalenie krytyczności poszczególnych urządzeń i systemów (co możemy zaktualizować częściej, co rzadziej),
• zorganizowanie środowiska testowego lub przynajmniej symulacyjnego do weryfikacji poprawek,
• współpraca z dostawcami automatyki – korzystanie z list „approved patches” lub „tested updates”,
• planowanie okien serwisowych w cyklu rocznym/kwartalnym, z priorytetem dla łat bezpieczeństwa,
• dla systemów, których nie da się zaktualizować – zastosowanie kompensujących środków technicznych (segmentacja, whitelisting, izolacja).

Ważnym elementem jest też monitorowanie informacji o podatnościach (CVE, biuletyny producentów, CSIRT, ICS-CERT). Bez wiedzy, na co narażone są konkretne wersje urządzeń i oprogramowania, trudno podejmować racjonalne decyzje, które aktualizacje są krytyczne, a które mogą poczekać.

Słabe uwierzytelnianie i niebezpieczne konta w środowisku OT

Konta współdzielone i domyślne hasła w sterownikach

W wielu zakładach użytkownicy środowiska OT – operatorzy, technolodzy, utrzymanie ruchu, serwisanci – korzystają z tych samych kont na stacjach inżynierskich i w systemach SCADA. Dodatkowo sterowniki PLC, moduły komunikacyjne i panele HMI często działają z fabrycznymi loginami i hasłami, których nikt nie zmienił od momentu uruchomienia linii.

Konsekwencją jest pełna anonimowość działań. Nie da się ustalić, kto wykonał zmianę programu w sterowniku, kto wyłączył alarm w SCADA, kto zalogował się zdalnie do urządzenia. Z punktu widzenia bezpieczeństwa to sytuacja idealna dla napastnika – każde jego działanie może zostać przypisane „systemowi” lub „ogólnemu użytkownikowi”.

Proste, powtarzalne hasła i brak polityki haseł

Drugą plagą są proste, powtarzające się hasła. Spotyka się konfiguracje, w których:

• to samo hasło administratora działa na wszystkich stacjach OT,
• hasła nie są zmieniane latami,
• pojawiają się proste schematy typu „NazwaFirmy2023!”,
• hasła zapisane są na kartkach przy monitorach, w szafach sterowniczych lub w otwartych notatnikach.

W praktyce wystarczy krótki dostęp fizyczny do stanowiska (np. pod pretekstem serwisu), by pozyskać dane logowania do krytycznych systemów. Połączenie słabych haseł, braku dwuskładnikowego uwierzytelniania i szerokich uprawnień oznacza, że kompromitacja jednego konta otwiera drogę do całej sieci OT.

Jak poprawnie zorganizować uwierzytelnianie w OT

Bezpieczeństwo uwierzytelniania w OT musi uwzględniać realia produkcji, zmiany zmianowe i ograniczenia ergonomii. Kilka praktycznych zasad:

• likwidacja kont współdzielonych tam, gdzie to możliwe – każdy pracownik ma swój unikalny identyfikator,
• centralne zarządzanie tożsamością (np. integracja z AD), ale z odseparowaniem domeny OT od domeny biurowej,
• wprowadzenie haseł o rozsądnej złożoności i cyklicznej zmianie, bez przesady z długością (inaczej operatorzy zaczną je zapisywać na kartkach),
• ograniczenie liczby kont z uprawnieniami administratora – zasada najmniejszych uprawnień,
• oddzielne konta do pracy codziennej i do czynności administracyjnych,

Dodatkowe mechanizmy ochrony kont i haseł

Same hasła, nawet dobrze zarządzane, nie wystarczą. W krytycznych obszarach przydają się dodatkowe zabezpieczenia:

• uwierzytelnianie dwuskładnikowe dla zdalnego dostępu do sieci OT oraz paneli administracyjnych,
• systemy PAM (Privileged Access Management) do kontroli i nagrywania sesji uprzywilejowanych,
• automatyczna rotacja haseł kont serwisowych i technicznych,
• separacja kont zdalnych dostawców od kont wewnętrznych, z wyraźnie ograniczonym zakresem uprawnień,
• stosowanie rozwiązań typu password vault zamiast przechowywania haseł w arkuszach czy notatnikach.

W wielu przypadkach wystarczy zacząć od najprostszych kroków: zmienić domyślne hasła w sterownikach, ograniczyć dostęp administracyjny i wprowadzić rejestrowanie logowań. Taka „higiena” mocno podnosi poprzeczkę napastnikom.

Niewidoczność sieci OT – brak monitoringu i detekcji zagrożeń

Dlaczego tradycyjne narzędzia IT nie wystarczą

W środowiskach biurowych monitoring bezpieczeństwa opiera się zwykle na agentach EDR, skanerach antywirusowych i logach z serwerów. W OT to podejście często się nie sprawdza – instalacja agenta na stacji SCADA lub serwerze systemu czasu rzeczywistego bywa zabroniona przez dostawcę albo grozi destabilizacją systemu.

Dodatkowo komunikacja w sieciach przemysłowych opiera się na protokołach, których typowe narzędzia IT „nie rozumieją”: Modbus/TCP, Profinet, EtherNet/IP, OPC UA, DNP3, S7comm i wiele innych. Klasyczny IDS widzi tylko „dziwny ruch na nietypowych portach”, ale nie odróżnia normalnego cyklu sterowania od prób manipulacji parametrami procesu.

Typowe zaniedbania w monitoringu OT

W wielu zakładach spotyka się sytuacje, w których:

• brakuje centralnego zbierania logów z serwerów SCADA, stacji inżynierskich i urządzeń sieciowych,
• logi są nadpisywane co kilka dni z powodu zbyt małej przestrzeni dyskowej,
• nie skonfigurowano nawet podstawowych alertów (np. na wielokrotne błędne logowanie czy restart sterownika),
• nikt regularnie nie przegląda zapisów zdarzeń ani nie ma ustalonej procedury reagowania na nietypowe wpisy,
• nie ma żadnego narzędzia wyspecjalizowanego w analizie ruchu ICS/OT.

Efekt jest prosty: incydent wykrywa operator, gdy już widzi skutki w procesie – zatrzymaną linię, nieprawidłowe parametry, nieoczekiwane alarmy. Cała faza przygotowania ataku, rekonesans i próby włamania pozostają niewidoczne.

Budowa efektywnego monitoringu sieci przemysłowej

Model docelowy różni się w zależności od skali zakładu, ale kilka elementów powtarza się zawsze:

• pasyny monitoring ruchu (SPAN, TAP) w kluczowych punktach sieci OT – tak, aby nie ingerować w działanie urządzeń,
• system IDS/IPS dedykowany dla ICS, rozumiejący protokoły przemysłowe i potrafiący wykryć np. nieautoryzowaną zmianę programu PLC,
• centralny system SIEM lub przynajmniej serwer syslog gromadzący logi z serwerów, zapór, przełączników, VPN,
• jasno zdefiniowane progi alertów: co jest normalnym zachowaniem, a co wymaga reakcji dyżurnego lub zespołu OT,
• współpraca zespołów IT i automatyki – analityk SOC musi rozumieć, że „download programu do sterownika” to zdarzenie krytyczne.

Sprawdza się podejście etapowe. Najpierw wizualizacja topologii i inwentaryzacja ruchu, dopiero potem włączanie reguł detekcji. W jednym z zakładów już pierwszy tydzień pasywnego monitoringu ujawnił nieautoryzowane połączenia z laptopów serwisowych do PLC poza godzinami pracy zmiany.

Zdalny dostęp i wsparcie serwisowe jako wektor ataku

„Tymczasowe” VPN-y i modemy, które zostają na lata

Zdalne wsparcie ze strony integratorów, dostawców linii czy producentów sterowników jest dziś standardem. Problem zaczyna się wtedy, gdy:

• tymczasowy dostęp VPN nie zostaje zamknięty po zakończeniu projektu,
• modem GSM/LTE w szafie sterowniczej ma włączony domyślny dostęp z Internetu,
• tunel zestawiany jest bezpośrednio do sieci sterowników, z pominięciem DMZ i kontroli ruchu,
• kontrola nad tym, kto i kiedy łączy się z zakładem, jest iluzoryczna („mają dostęp, gdy potrzebują”).

Takie kanały bywają najsłabszym ogniwem ochrony OT. W przeszłości odnotowano przypadki, w których intruz dostał się do sieci przemysłowej właśnie przez pozostawiony kanał serwisowy, a nie poprzez sieć biurową.

Bezpieczna organizacja zdalnego dostępu do OT

Zdalny dostęp można zorganizować bezpiecznie, jeśli potraktuje się go jak pełnoprawny element architektury bezpieczeństwa, a nie „dodatek”:

• wszystkie połączenia zdalne przechodzą przez centralną bramę dostępową (jump server, bastion), umieszczoną w DMZ OT,
• każde logowanie wymaga MFA oraz akceptacji po stronie zakładu (model „call-back” lub „just-in-time access”),
• dostęp jest ograniczany w czasie – po zakończeniu prac okno serwisowe wygasa automatycznie,
• zdalne sesje są nagrywane lub przynajmniej logowane z dokładnością do pojedynczych komend,
• serwisanci korzystają z własnych kont imiennych, a nie jednego „konto_serwisowe”,
• ruch zdalny jest filtrowany na poziomie portów i adresów – serwisant nie ma pełnego dostępu do całej sieci OT.

Przy modernizacji istniejących rozwiązań warto stopniowo eliminować dzikie modemy, a w ich miejsce wprowadzać standaryzowane, zarządzane bramy zdalnego dostępu, zgodne z polityką bezpieczeństwa firmy.

Brak kopii zapasowych i procedur odtwarzania OT

Co trzeba backupować poza serwerami SCADA

Kopie zapasowe w środowisku przemysłowym nie mogą ograniczać się do serwerów z bazą alarmów i trendów. Równie istotne (a często pomijane) są:

• programy sterowników PLC wraz z wersjonowaniem i historią zmian,
• konfiguracje paneli HMI, receptury, ekrany synoptyczne,
• konfiguracje przełączników, routerów, zapór sieciowych,
• projekty systemów bezpieczeństwa (SIS, ESD),
• obrazy systemów (image) stacji inżynierskich i serwerów OT,
• licencje, klucze sprzętowe, pliki instalacyjne specyficznych aplikacji.

W wielu zakładach konfiguracja sterownika istnieje tylko w jego pamięci i na laptopie jednego automatyka. Utrata tego sprzętu lub awaria sterownika oznaczają długotrwały przestój i ręczne odtwarzanie logiki na podstawie dokumentacji – o ile w ogóle jest aktualna.

Najczęstsze błędy w backupie systemów przemysłowych

Zaniedbania w tym obszarze często wynikają z przekonania, że „systemy działają stabilnie od lat”. Typowe błędy:

• brak regularnego harmonogramu kopii – backup wykonywany „od czasu do czasu”,
• przechowywanie kopii wyłącznie w tej samej lokalizacji fizycznej, co system produkcyjny,
• niesprawdzanie możliwości odtworzenia z kopii (backup istnieje, ale nikt nie weryfikował, czy działa),
• brak standaryzacji nazewnictwa i wersjonowania projektów PLC/HMI,
• trzymanie jedynej kopii na prywatnym laptopie lub niezabezpieczonym dysku USB.

Dla ataków typu ransomware brak sprawdzonego backupu konfiguracji OT oznacza przejście z incydentu bezpieczeństwa do pełnoprawnej katastrofy produkcyjnej.

Jak zorganizować skuteczne kopie zapasowe w OT

Dobrze działający system backupu w OT powinien uwzględniać zarówno ograniczenia produkcyjne, jak i specyfikę urządzeń:

• zdefiniowany katalog krytycznych systemów i obiektów do backupu (nie tylko serwery),
• zautomatyzowane tworzenie kopii, zsynchronizowane z oknami serwisowymi i zmianami w oprogramowaniu,
• co najmniej jedna kopia przechowywana offline lub w odseparowanej strefie, odporna na ransomware,
• cykliczne testy odtwarzania – np. przy każdej większej modernizacji linii,
• uporządkowane repozytorium projektów PLC/HMI z kontrolą dostępu i historią zmian,
• procedury na wypadek utraty całej stacji lub serwera – kto, w jakiej kolejności i z jakich źródeł odtwarza system.

Praktycznym krokiem jest powiązanie backupu z procesem zarządzania zmianą: każda zmiana w programie sterownika wymaga aktualizacji repozytorium i utworzenia nowej, opisanej wersji projektu.



Brak zarządzania konfiguracją i zmianą w środowisku OT

Konfiguracje „żyjące własnym życiem”

W wielu zakładach konfiguracja systemów OT rozwijała się przez lata: kolejne projekty, modernizacje, awarie, szybkie „obejścia”. Brak jednolitego procesu zarządzania zmianą powoduje, że:

• nikt nie ma pełnego obrazu, jak wygląda aktualna konfiguracja sieci i urządzeń,
• zmiany wprowadza się bez formalnej akceptacji i dokumentowania,
• różne ekipy serwisowe modyfikują te same elementy w oderwaniu od siebie,
• rysunki, schematy i opisy sieci nie odpowiadają stanowi faktycznemu.

Z perspektywy cyberbezpieczeństwa oznacza to, że nie da się wiarygodnie ocenić ryzyka ani szybko zareagować w razie incydentu – choćby dlatego, że nie wiadomo, które urządzenia są połączone z którymi.

Elementy skutecznego zarządzania zmianą w OT

Nie trzeba od razu wdrażać rozbudowanych systemów ITIL. Kluczowe są podstawy:

• jasna zasada: żadnych zmian w OT bez zgłoszenia i akceptacji odpowiedzialnej osoby (np. inżyniera systemów),
• rejestr zmian z opisem: co, kiedy, kto, dlaczego i jak można cofnąć tę modyfikację,
• aktualizowanie dokumentacji technicznej po każdej większej zmianie,
• spójność kanału wdrożeniowego – zmiany testuje się najpierw w środowisku testowym, potem wdraża na produkcję,
• powiązanie procesu zmiany z backupem oraz z systemem zarządzania podatnościami (czy nowa wersja nie wprowadza dodatkowych ryzyk).

Dobrą praktyką jest też okresowy przegląd konfiguracji sieci i systemów (np. raz do roku), prowadzony wspólnie przez zespół OT i specjalistów ds. bezpieczeństwa. W trakcie takich przeglądów często ujawniają się „samowolne” modyfikacje i zapomniane urządzenia.

Czynnik ludzki i kultura bezpieczeństwa w OT

Operatorzy jako pierwsza linia obrony

Żaden system techniczny nie zastąpi czujności ludzi pracujących na zmianach. To operatorzy i utrzymanie ruchu najszybciej dostrzegają:

• nietypowe okna na ekranach HMI lub komunikaty na stacjach SCADA,
• nieoczekiwane restarty sprzętu,
• dziwne zachowanie maszyn po zdalnej interwencji serwisu,
• obecność nieznanych osób z laptopami w strefach technicznych.

Bez podstawowej świadomości zagrożeń takie sygnały są często bagatelizowane. Dopiero później, przy analizie incydentu, okazuje się, że „coś faktycznie było dziwnego tydzień temu”.

Najczęstsze błędy po stronie ludzi

Obok technicznych podatności często ważniejsze są zaniedbania organizacyjne:

• brak szkoleń dedykowanych dla OT – zamiast tego ogólne prezentacje IT, oderwane od realiów produkcji,
• traktowanie procedur bezpieczeństwa jako przeszkody w pracy („omijamy, żeby szybciej uruchomić linię”),
• brak jasnej ścieżki zgłaszania incydentów i wątpliwości,
• tolerowanie „na skróty”: użyczanie kont, przepuszczanie serwisantów bez rejestracji, podłączanie prywatnych nośników USB,
• nagradzanie wyłącznie za czas uruchomienia, a nie za bezpieczne wykonanie pracy.

Nawet najlepiej zaprojektowane segmentacje czy systemy IDS nie pomogą, jeśli pracownicy będą rutynowo obchodzić kontrolę dostępu, bo tak jest wygodniej.

Budowanie realnej kultury bezpieczeństwa

Praktyczne działania wzmacniające postawy pracowników

Kultura bezpieczeństwa nie rodzi się od regulaminu. Tworzą ją konkretne nawyki, które trzeba wspierać na poziomie codziennej pracy:

• krótkie, cykliczne briefingi bezpieczeństwa na zmianach – 10 minut o ostatnich incydentach, „prawie-wypadkach” i dobrych praktykach,
• czytelne instrukcje na stanowiskach (piktogramy, proste zasady: co wolno podłączać, kiedy dzwonić po wsparcie),
• „champion bezpieczeństwa” w każdej brygadzie – osoba, która zna procedury i pomaga kolegom w wątpliwych sytuacjach,
• omawianie incydentów bez szukania winnych – celem jest poprawa procesu, a nie kara dla operatora, który coś zgłosił,
• łączenie szkoleń z symulacjami – np. pokaz „fałszywego serwisanta” próbującego wejść na halę bez rejestracji.

Dobrze działający program bezpieczeństwa w OT nagradza ludzi za to, że zatrzymali uruchomienie z powodu wątpliwości, zamiast karać ich za opóźnienie produkcji.

Rola kierownictwa i komunikacji wewnętrznej

Jeżeli przełożeni ignorują procedury, pracownicy zrobią to samo. Spójność komunikatów „z góry” jest krytyczna:

• kadra kierownicza bierze udział w szkoleniach OT, a nie wysyła wyłącznie podwładnych,
• cele bezpieczeństwa (np. brak naruszeń polityki dostępu) są elementem ocen okresowych,
• przy decyzjach o wyłączeniach zabezpieczeń (bypass, tryb serwisowy) kierownictwo wyraźnie komunikuje, że to wyjątek, a nie norma,
• komunikaty o incydentach są przekazywane otwarcie, z wnioskami i zaleceniami, a nie chowane w wąskim gronie IT.

Pracownicy bardzo szybko wyczuwają, czy „cyber” jest dla firmy realnym priorytetem, czy tylko hasłem na slajdach.

Błędy w monitorowaniu i reagowaniu na incydenty OT

Dlaczego klasyczne SOC z IT nie wystarcza

Systemy OT generują inne sygnały niż środowisko biurowe. Klasyczny SOC, skupiony na logach z serwerów Windows i ruchu HTTP, często:

• ignoruje protokoły przemysłowe (Modbus, Profinet, DNP3, OPC UA),
• nie rozumie, co jest „normalnym” ruchem na danej linii,
• traktuje każdy restart PLC jak awarię sprzętu, a nie potencjalny efekt ataku,
• nie ma kontaktu z dyspozytorem czy mistrzem zmiany, więc nie weryfikuje nietypowych zdarzeń operacyjnych.

Skutek jest taki, że realne anomalie w produkcji przechodzą bez reakcji, a równocześnie SOC zasypywany jest fałszywymi alarmami, których nikt nie potrafi zinterpretować.

Najczęstsze zaniedbania w monitoringu OT

W wielu zakładach monitoring ogranicza się do tego, co „dają z pudełka” serwery SCADA. Typowe braki:

• brak centralnego zbierania logów z przełączników, zapór, serwerów i stacji inżynierskich OT,
• brak korelacji zdarzeń technicznych z alarmami procesowymi (np. spadek wydajności po zmianie w konfiguracji sieci),
• brak dedykowanych reguł detekcji pod kątem OT – np. nieautoryzowanych zmian w programach PLC,
• poleganie wyłącznie na antywirusie na kilku komputerach inżynierskich,
• brak jasnego podziału odpowiedzialności: kto odbiera alarmy z systemów OT i kto może podjąć decyzję o zatrzymaniu procesu.

Do tego dochodzi problem „alarm fatigue” – jeżeli ludzie widzą setki alertów dziennie, przestają reagować również na te ważne.

Jak zbudować skuteczny monitoring zdarzeń w OT

Lepsza jest prosta, ale przemyślana architektura niż rozbudowane narzędzia, których nikt nie obsługuje:

• wydzielenie dedykowanego strumienia logów OT do SIEM lub osobnego systemu analitycznego,
• wdrożenie pasywnego monitoringu sieci OT (network TAP / SPAN) z analizą protokołów przemysłowych,
• zdefiniowanie kilku–kilkunastu kluczowych scenariuszy alarmowych: np. zmiana konfiguracji PLC poza oknem serwisowym, nowe urządzenie w sieci, zmiana reguł na firewallu OT,
• ustalenie procedury potwierdzania incydentów wspólnie przez SOC i dyspozytora/utrzymanie ruchu,
• regularne „ćwiczenia na sucho” – symulacja incydentu (np. nagła zmiana programu sterownika) i przejście całej ścieżki reakcji.

Przykładowo, przy nagłym spadku wydajności linii SOC widzi wzrost ruchu na nietypowym porcie w segmencie OT, dyspozytor zgłasza równocześnie dziwne restarty HMI – razem składa się to na incydent, a nie „przypadkową awarię”.

Niedocenianie testów i walidacji bezpieczeństwa OT

Brak bezpiecznych środowisk testowych

W wielu zakładach jedynym „laboratorium” jest produkcja. Każda poprawka, nowa wersja SCADA czy zmiana w programie PLC ląduje od razu na działającej instalacji, bo:

• nie ma środowiska testowego,
• brakuje licencji lub sprzętu do wirtualizacji systemów OT,
• harmonogram produkcji nie przewiduje okien na testy.

To prosta droga do wprowadzenia do sieci przemysłowej nieprzetestowanych komponentów oprogramowania, podatnych na ataki lub powodujących nieprzewidziane efekty uboczne.

Bezpieczne testowanie zmian w systemach przemysłowych

Da się znacząco ograniczyć ryzyko, nawet przy ograniczonych zasobach sprzętowych:

• budowa minimalnego standu testowego: sterownik, kilka wejść/wyjść, panel HMI, przełącznik,
• korzystanie z emulatorów PLC i symulatorów procesów tam, gdzie to dopuszcza producent,
• odtwarzanie kopii konfiguracji na testowych maszynach wirtualnych zamiast na produkcyjnych stacjach,
• testy scenariuszy awaryjnych: co się stanie, gdy zostanie wgrany błędny program, utracona zostanie komunikacja z nadrzędnym serwerem, pojawią się opóźnienia w sieci,
• dokumentowanie wyników testów jako załącznika do wniosku o zmianę – to ułatwia późniejszą analizę, jeśli coś pójdzie nie tak.

Przy jednym z projektów migracji SCADA prosty stand w warsztacie ujawnił problem z błędną obsługą alarmów wysokiego priorytetu – błąd, który na produkcji mógłby skutkować przeoczeniem realnego zagrożenia procesowego.

Błędne założenia dotyczące odpowiedzialności za bezpieczeństwo OT

„To sprawa IT” kontra „to sprawa automatyki”

Spór o to, kto „ma się tym zająć”, często paraliżuje sensowne działania. Typowe schematy:

• dział IT uważa, że „nie dotyka PLC”, więc ogranicza się do firewalli na brzegu sieci,
• dział automatyki twierdzi, że „nie jest od cybera”, bo jego rolą jest zapewnienie ciągłości procesu,
• dostawcy systemów przerzucają odpowiedzialność na klienta, a klient – na dostawców.

W praktyce nikt nie zarządza całością ryzyka, a luki w zabezpieczeniach pojawiają się dokładnie na styku kompetencji.

Model współodpowiedzialności i ról

Sprawdzony schemat opiera się na jasnym podziale:

• OT/automatyka – odpowiada za integralność procesu, konfigurację sterowników, wpływ zmian na produkcję,
• IT/Cybersecurity – odpowiada za ogólną architekturę bezpieczeństwa, sieci, systemy monitoringu, polityki dostępu,
• właściciele biznesowi (produkcja, utrzymanie ruchu) – definiują akceptowalne poziomy ryzyka i priorytety,
• dostawcy – mają jasno opisane obowiązki w umowach: aktualizacje, wsparcie, raportowanie podatności.

Kluczowym narzędziem jest wspólny komitet sterujący OT security, który podejmuje decyzje o dużych zmianach, akceptuje wyjątki od polityk i cyklicznie przegląda stan zabezpieczeń. Bez takiego forum konflikt „IT vs. OT” wraca przy każdym projekcie.

Integracja OT security z zarządzaniem ryzykiem biznesowym

Od „projektów technicznych” do decyzji biznesowych

Inwestycje w cyberbezpieczeństwo OT często są postrzegane jako koszt techniczny, niepowiązany z wynikami zakładu. To błąd, bo:

• przestój linii z powodu ataku może oznaczać utratę kontraktu lub karę umowną,
• incydent w systemach bezpieczeństwa technologicznego niesie ryzyko wypadku i odpowiedzialności karnej,
• utrata danych procesowych utrudnia spełnienie wymagań jakościowych i regulacyjnych.

Jeśli te konsekwencje nie są przeliczone na język strat i zysków, projekty OT security zawsze przegrają z nową maszyną zwiększającą wydajność.

Jak powiązać bezpieczeństwo OT z celami zakładu

Dobrą praktyką jest opis ryzyk w kategoriach znanych zarządowi i dyrekcji produkcji:

• mapowanie systemów OT na kluczowe produkty i linie – które systemy są krytyczne dla jakiego klienta lub wolumenu,
• szacowanie maksymalnego tolerowanego czasu przestoju (MTD) dla każdej linii i porównanie go z obecnymi możliwościami odtworzenia po ataku,
• łączenie wskaźników bezpieczeństwa (liczba poważnych podatności, czas reakcji na incydent) z KPI produkcyjnymi,
• rozpisanie scenariuszy „co jeśli” – np. atak ransomware w przeddzień wysyłki dużego zamówienia.

Takie podejście ułatwia podjęcie decyzji, czy np. dodatkowa brama zdalnego dostępu z MFA i monitoringiem jest naprawdę „za droga”, czy jednak tańsza niż potencjalny tygodniowy przestój.

Stopniowe podnoszenie dojrzałości bezpieczeństwa OT

Priorytetyzacja działań zamiast „zrobimy wszystko naraz”

Próba jednoczesnego uregulowania wszystkich obszarów zwykle kończy się paraliżem. Znacznie lepiej sprawdza się podejście etapowe, oparte na prostych krokach:

• najpierw identyfikacja krytycznych linii i systemów – tam trafiają pierwsze projekty (segmentacja, backup, monitoring),
• później porządkowanie zdalnego dostępu i usuwanie najbardziej ryzykownych rozwiązań (modemy, niezarządzane VPN-y),
• następnie budowa procesu zarządzania zmianą i repozytorium konfiguracji,
• w międzyczasie – krótkie, cykliczne szkolenia i komunikacja do pracowników, żeby nowe zasady nie były zaskoczeniem.

Nawet częściowe wdrożenie powyższych kroków znacząco redukuje typowe błędy w sieciach przemysłowych i utrudnia atakującym wykorzystanie najprostszych dróg wejścia do środowiska OT.

Najczęściej zadawane pytania (FAQ)

Czym różni się cyberbezpieczeństwo OT od klasycznego bezpieczeństwa IT?

W IT głównym celem jest ochrona poufności danych, ich integralności oraz dostępności usług. W OT (Operational Technology) priorytetem jest ciągłość pracy instalacji, bezpieczeństwo ludzi oraz ochrona sprzętu i środowiska. Dane są ważne, ale kluczowe jest to, aby proces technologiczny nie wymknął się spod kontroli.

W praktyce oznacza to, że wiele standardowych rozwiązań z IT (np. częste aktualizacje, agresywne skanowanie, automatyczne restarty) może być niebezpiecznych lub trudnych do zastosowania w sieciach przemysłowych. Systemy OT sterują realnymi urządzeniami – ich błędna konfiguracja lub przerwa w działaniu mogą spowodować awarie, przestoje i zagrożenie dla ludzi.

Dlaczego sieć OT nie powinna być „płaska” i co to właściwie znaczy?

„Płaska” sieć OT (flat network) to taka, w której większość urządzeń – PLC, HMI, SCADA, stacje inżynierskie, komputery biurowe, a nawet urządzenia pomocnicze – działa w jednej domenie sieciowej lub w kilku szerokich VLAN-ach bez realnych ograniczeń komunikacji. Każdy z każdym może się „widzieć” i wymieniać dane.

Taka architektura jest bardzo ryzykowna, ponieważ jedna zainfekowana stacja robocza może bez przeszkód skanować całą sieć, komunikować się ze sterownikami i próbować je przejąć. Brak segmentacji znacząco ułatwia rozprzestrzenianie się malware i ataków lateralnych. Bez podziału na strefy i kontrolowanych kanałów ruchu trudno jest wdrożyć skuteczną obronę warstwową.

Jak prawidłowo segmentować sieć OT, żeby zwiększyć bezpieczeństwo?

Podstawą jest podział sieci na strefy (zones) i kanały komunikacyjne (conduits), zgodnie z zaleceniami norm ISA/IEC 62443. Urządzenia, które muszą się ze sobą komunikować w ramach jednego procesu, umieszcza się w tej samej strefie, natomiast ruch między strefami przechodzi wyłącznie przez kontrolowane punkty – zapory, routery z ACL lub dedykowane bramy przemysłowe.

Przykładowa segmentacja obejmuje: osobną strefę DMZ OT (serwery SCADA, archiwizacja danych), strefę sterowania (PLC, HMI, napędy), strefę bezpieczeństwa (SIS, ESD), strefę utrzymania ruchu (stacje inżynierskie) i odseparowaną strefę IT (biuro). Zasada jest prosta: minimalizować liczbę dozwolonych połączeń i otwartych portów, a domyślnie wszystko blokować („deny by default”).

Dlaczego protokoły przemysłowe (Modbus, Profinet itd.) są tak podatne na ataki?

Większość popularnych protokołów przemysłowych powstała w czasach, gdy zagrożenia cybernetyczne dla przemysłu praktycznie nie istniały. Projektowano je pod kątem niezawodności i prostoty, a nie bezpieczeństwa. W efekcie standardem jest brak szyfrowania, brak autoryzacji użytkowników oraz brak ochrony integralności danych.

Dla atakującego oznacza to, że po uzyskaniu dostępu do segmentu sieci OT może stosunkowo łatwo odczytywać parametry procesu, zmieniać nastawy, wysyłać komendy start/stop czy podszywać się pod inne urządzenia. Bez segmentacji sieci i filtracji ruchu te słabości protokołów stają się bardzo poważnym wektorem ataku.

Jakie mogą być skutki cyberataku na sieć OT w zakładzie przemysłowym?

W przeciwieństwie do środowisk biurowych, w OT skutki ataku mają wymiar fizyczny. Może dojść do niekontrolowanego zatrzymania linii w krytycznej fazie, przekroczenia dopuszczalnych parametrów technologicznych (temperatura, ciśnienie, przepływ), a w konsekwencji do awarii maszyn, zniszczenia narzędzi czy instalacji.

Najpoważniejsze scenariusze obejmują wypadki przy pracy, skażenie środowiska, wydostanie się niebezpiecznych substancji lub długotrwałe przestoje produkcji. Dodatkowo pojawiają się koszty kar umownych, utrata reputacji oraz konieczność przeprowadzenia drogich i czasochłonnych działań naprawczych.

Dlaczego tak trudno aktualizować systemy OT i zarządzać łatkami bezpieczeństwa?

Systemy OT często działają w trybie 24/7, a każdy restart lub krótka przerwa może wymagać kosztownego postoju instalacji i szczegółowego planowania. Dodatkowo wiele platform DCS/SCADA jest certyfikowanych w ściśle określonej konfiguracji systemu operacyjnego i bibliotek – dostawca nie zawsze gwarantuje poprawne działanie po dowolnej aktualizacji Windows czy środowisk uruchomieniowych.

W efekcie organizacje często całkowicie blokują aktualizacje lub wykonują je ad hoc, bez testów na środowisku testowym i bez pełnego inwentarza systemów. Z czasem prowadzi to do powstania „muzeum podatności” – działających, ale archaicznych systemów, które są łatwym celem dla atakujących.

Jakich błędów unikać przy wdrażaniu cyberbezpieczeństwa w OT?

Najczęstsze błędy to: utrzymywanie płaskiej sieci bez realnej segmentacji, stosowanie zapór z regułą „allow all” i kilkoma wyjątkami, pozostawianie otwartych portów serwisowych na stałe oraz używanie stacji z dwoma interfejsami (IT i OT) jako niekontrolowanych mostów między sieciami.

W obszarze aktualizacji typowymi problemami są: brak formalnej polityki patch managementu, wyłączenie automatycznych aktualizacji bez alternatywy, brak testów poprawek w środowisku testowym oraz instalowanie łatek bez konsultacji z dostawcą systemu. Unikanie tych błędów i wdrożenie podejścia warstwowego zgodnego z ISA/IEC 62443 znacząco podnosi poziom bezpieczeństwa OT.

Esencja tematu

• W OT priorytetem jest ciągłość pracy i bezpieczeństwo fizyczne, co diametralnie odróżnia je od IT i uniemożliwia proste kopiowanie praktyk bezpieczeństwa znanych z biur.
• Długi cykl życia systemów OT powoduje masowe występowanie nieaktualizowanych, niewspieranych urządzeń legacy, które nie były projektowane z myślą o cyberbezpieczeństwie ani komunikacji z Internetem.
• Większość protokołów przemysłowych (np. Modbus, Profinet, DNP3) nie zapewnia autoryzacji, szyfrowania ani kontroli integralności, co pozwala atakującym łatwo odczytywać i modyfikować parametry procesów oraz wysyłać komendy sterujące.
• Brak segmentacji i płaska architektura sieci OT sprawiają, że jedna zainfekowana stacja robocza może skanować całą infrastrukturę, docierając aż do kluczowych sterowników i napędów.
• Skuteczną strategią ochrony jest podział na strefy i kanały (ISA/IEC 62443) oraz ścisłe kontrolowanie ruchu między nimi, z zasadą minimalizacji niezbędnych połączeń i domyślnego blokowania reszty.
• Nawet wdrożona segmentacja często jest iluzoryczna, gdy VLAN-y są przepuszczane bez ograniczeń, zapory mają reguły „any-any permit”, a porty serwisowe pozostają stale otwarte.
• Skutki cyberataków w OT wykraczają poza utratę danych: mogą powodować awarie maszyn, przekroczenia parametrów technologicznych, skażenie środowiska i bezpośrednie zagrożenie życia ludzi, generując ogromne straty finansowe i wizerunkowe.

Te artykuły mogą Cię zainteresować:

• 

  Operator Pras Hydraulicznych – Praca pod Ogromnym Ciśnieniem

• 

  Retencja wody na terenach przemysłowych – przykłady wdrożeń

• 

  Zawód Instalatora Systemów Przemysłowych

• 

  Projektowanie stref przemysłowych od zera

• 

  BHP w projektowaniu nowych zakładów przemysłowych

• 

  Zawód Monter Instalacji Przemysłowych – Żyły…