Budowanie odpornych systemów bezpieczeństwa zakładów przemysłowych i infrastruktury krytycznej
Infrastruktura krytyczna i zakłady przemysłowe stanowią fundament funkcjonowania społeczeństwa, zapewniając podstawowe usługi, takie jak energia elektryczna, woda czy produkty farmaceutyczne i chemiczne, a to zaledwie kilka przykładów. Zakłócenia w tych branżach mogą mieć poważne reperkusje, więc jest to bardzo ważne, by podmioty świadczące takie usługi mogły utrzymać ciągłość działania nawet w przypadku cyberataku, klęski żywiołowej, fizycznego naruszenia, wewnętrznego incydentu lub awarii.
Ewoluujące otoczenie regulacyjne
Rządy na całym świecie podejmują szereg kroków w celu zapewnienia, by krytyczne zasoby w odpowiednich branżach były odporne na wszelkie zagrożenia, a jednym z kluczowych podejść jest wprowadzanie przepisów, które rozkładają odpowiedzialność na cały łańcuch dostaw. Oznacza to, że każdy z zainteresowanych podmiotów — od użytkowników po dostawców — ma do odegrania pewną rolę w dbaniu o bezpieczeństwo i odporność infrastruktury krytycznej oraz zakładów przemysłowych.
W Europie takie przepisy jak dyrektywa NIS2, ukierunkowana na kwestie cyberbezpieczeństwa, czy szersza dyrektywa w sprawie odporności podmiotów krytycznych (Critical Entity Resilience Directive — CER) nakładają poważne wymagania na wiele branż mieszczących się obecnie pod szerokim parasolem pojęć: „infrastruktury krytycznej” czy „podmiotów krytycznych i istotnych”, w tym także na całe ich łańcuchy dostaw.
Przepisy te wymagają od firm i instytucji wdrożenia szeregu środków bezpieczeństwa, w tym okresowych ocen ryzyka i planów reagowania na incydenty. Nieprzestrzeganie tych przepisów może skutkować co najmniej wysokimi grzywnami. Koszty długoterminowe zaś — potencjalnie jeszcze wyższe — mogą obejmować uszczerbek na reputacji marki, utratę zdolności produkcyjnych bądź odszkodowania wypłacone stronom trzecim.
Większość dużych firm ma świadomość wymogów związanych z tymi przepisami; jednak mniej powszechnie wiadomo, że każda firma działająca w tych sektorach, niezależnie od wielkości, będzie musiała mieć świadomość ich implikacji oraz odpowiednio dostosować i ulepszyć swoje operacje biznesowe.
Szczególne wyzwanie stojące przed sektorami przemysłu i infrastruktury krytycznej
Dyrektywy NIS2 i CER mają zastosowanie do wielu sektorów, w których jakiekolwiek incydenty mogą mieć druzgocący wpływ na zdrowie i bezpieczeństwo obywateli, aktywność gospodarczą, środowisko czy nawet funkcjonowanie społeczeństwa jako całości.
W niektórych sektorach, zwłaszcza tych związanych z niebezpiecznymi materiałami i substancjami, firmy już muszą przestrzegać różnych obowiązujących przepisów. Chodzi m.in. o dyrektywę Seveso, której podlega 12 000 zakładów przemysłowych w całej Unii Europejskiej. Ma ona na celu zapobieganie poważnym awariom zakładów przemysłowych oraz minimalizowanie ich szkodliwego wpływu na ludzkie zdrowie i środowisko. Dyrektywa ta, nazwana dla upamiętnienia wycieku chemikaliów, do którego doszło w 1976 r. we włoskim mieście Seveso, doczekała się już swojej trzeciej edycji.
Jednak dyrektywy NIS2 i CER znacznie podnoszą poprzeczkę regulacyjną, a podmiotom z branż, na które te nowe przepisy mają wpływ, kończy się czas na wykazanie się zgodnością z wymogami tych przepisów. NIS2 musi znaleźć odzwierciedlenie w przepisach państw członkowskich Unii Europejskiej do października 2024 r., a CER — do połowy 2025 r.
Definicja pojęcia „odporność”
W dyrektywie CER zdefiniowano odporność jako „zdolność podmiotu krytycznego do zapobiegania incydentowi, ochrony przed nim, odpowiedzi na niego, stawiania mu oporu, łagodzenia i absorbowania incydentu oraz adaptacji i odtworzenia po incydencie”.
Prosto rzecz ujmując, oznacza to, że podmioty krytyczne muszą wykazać podjęcie kroków mających na celu zminimalizowanie możliwości wystąpienia awarii i są przygotowane na wypadek incydentu.
Odporność jest jeszcze ważniejsza, jeśli chodzi o pewne szczególne obszary zakładów przemysłowych i infrastruktury krytycznej, tak zwane „zasoby krytyczne” w ujęciu przepisów. Należą do nich na przykład centrale sterowania w elektrowniach jądrowych, magazyny substancji chemicznych, generatory prądu, reaktory w zakładach chemicznych i piece w hutach stali. Firmy, którym podlegają takie obiekty i zakłady, muszą wykazać, że wdrożyły środki umożliwiające monitorowanie oraz ochronę bezpieczeństwa wszystkich tych obszarów.
Rozwiązania technologiczne wspomagające spełnianie wymogów
Wykorzystanie inteligentnych, połączonych urządzeń opartych na przykład na technologii wizyjnej, a także danych, które te urządzenia mogą generować, jest atrakcyjnym rozwiązaniem w wielu obszarach zakładów przemysłowych i infrastruktury krytycznej, które stanowi cenną warstwę weryfikacji wizualnej i funkcji ułatwiających rozeznanie sytuacji, a także rozpoznawanie obiektów lub inne analizy. Typowe scenariusze:
- Bezpieczeństwo: ochrona obwodu i określonych obszarów terenu, odstraszanie sprawców przestępstw oraz pomoc w ochronie ludzi i mienia.
- Monitorowanie procesów i weryfikacja wizualna: monitorowanie temperatury i drgań, wykrywanie anomalii, monitorowanie obchodzenia się z niebezpiecznymi substancjami oraz weryfikacja poprawności wykonywania procedur.
- Zdrowie, bezpieczeństwo i ochrona środowiska: wykrywanie wycieków, monitorowanie naruszeń zasad bezpieczeństwa, monitorowanie warunków w otoczeniu, detekcja dymu i ognia oraz upewnianie się, że pracownicy noszą odpowiednie środki ochrony osobistej (PPE).
Kamery — dawniej używane głównie do dozoru — mogą teraz służyć również jako czujniki do monitorowania procesów i ochrony osób.
Jednak nie wszystkie obszary produkcyjne można łatwo monitorować. Ze względu na wysokie zagrożenie zapłonem wynikające z obecności gazu i/lub pyłu, należy zachowywać szczególną ostrożność, jeśli chodzi o stosowanie urządzeń elektrycznych, ponieważ mogą one wytwarzać iskry lub nadmierne ciepło i powodować zapłon.
W zależności od prawdopodobieństwa wybuchu takie obszary dzieli się na strefy i w każdej z tych stref należy stosować urządzeń elektroniczne cechujące się odpowiednim stopniem ochrony.
Tradycyjnie kamery z ochroną przeciwwybuchową są konstruowane z zastosowaniem obudowy ze stali nierdzewnej z myślą o stosowaniu w bardziej niebezpiecznych miejscach kategorii Zone/Division 1. Tymczasem większe obszary zaliczają się do mniej niebezpiecznej kategorii Zone/Division 2. W takich przypadkach bardziej ekonomiczne jest stosowanie kamer z ochroną przeciwwybuchową o konstrukcji przeznaczonej specjalnie do miejsc kategorii Zone/Division 2 — pozwala to na korzystanie w pełni z potencjału nowoczesnych technologii kamer w obszarach, w których wcześniej nieczęsto realizowano takie wdrożenia ze względu na koszty.
Możliwość ekonomicznego zadbania o szersze spektrum sytuacji wiele zmieni na polu dążeń do odporności.
Zapewnianie cyberbezpieczeństwa
Korzystanie z połączonych technologii i danych ma niezaprzeczalne zalety, ale użytkownicy zdecydowanie powinni być świadomi zagrożeń. Unijna dyrektywa NIS2 ma więc na celu zapewnienie, by wszelkie rozwiązania stosowane przez podmioty obsługujące zakłady przemysłowe i infrastrukturę krytyczną były dobrze przygotowane również z perspektywy cyberbezpieczeństwa.
Ze względu na ich znaczenie w naszym codziennym życiu zakłady przemysłowe i infrastruktura krytyczna są oczywistym celem cyberataków i poszukiwań słabych punktów. Ochrona połączonych urządzeń jest więc priorytetem. Firmy będą stosować szereg narzędzi w celu ograniczenia ryzyka cyberzagrożeń, w tym oprogramowanie i urządzenia z wbudowanymi funkcjami ochrony cyberbezpieczeństwa, a także najlepsze praktyki w zakresie wzmacniania zabezpieczeń urządzeń i eliminowania luk.
Partnerska współpraca w zakresie budowania odporności
Czas nagli. W związku ze zbliżającymi się terminami wejścia w życie dyrektyw NIS2 i CER, oprócz już istniejących przepisów Seveso, przedsiębiorstwa muszą podejmować odpowiednie kroki. Współpraca z zaufanymi partnerami pozwoli zadbać o solidny fundament pod odporność. Rozwiązania charakteryzujące się wyważeniem jakości, niezawodności i opłacalności, oparte na otwartych standardach, które pozwolą na późniejsze skalowanie i ulepszenia, zaspokoją obecne i przyszłe potrzeby — bez względu na to, jakie jeszcze wymogi prawne się pojawią.
Jeśli chcesz poszerzyć swoją wiedzę o tym, jak monitorowanie obszarów niebezpiecznych wspomaga odporność, na początek pobierz nasz e-book.