Czy przemysł lekceważy kwestie cyberbezpieczeństwa?

Przeczytaj także: Energetyka w ogniu cyberataków

Dziś przemysł to obszar, który niemal nieustannie znajduje się na celowniku zaawansowanych ataków cyberprzestępczych. Z tego też względu stosowanie się do restrykcyjnych reguł cyberbezpieczeństwa jest ważne jak nigdy dotąd. Od regulacji wynikających z RODO, po standardy ustalone przez Międzynarodową Komisję Elektrotechniczną (IEC) - firmy przemysłowe muszą działać w zgodzie z narzuconymi odgórnie wymogami. Czy tak się dzieje? Praktyka pokazuje, że sytuacja pozostawia sporo do życzenia.

Jak wynika bowiem z opracowanego przez Kaspersky raportu odnośnie cyberbezpieczeństwa przemysłowego w 2019 r., całkiem pokaźna rzesza firm z dość dużą lekkością podchodzi do wymogu zgłaszania incydentów. Dlaczego? Najprawdopodobniej chodzi tu o uniknięcie kar oraz publicznego nagłaśniania zdarzeń, które mogłyby zaważyć na reputacji i wizerunku firmy. Odpowiedzi udzielone przez respondentów wskazują, że przeszło połowa (52%) incydentów prowadzi do naruszenia wymogów regulacyjnych. Ponadto 63% respondentów jako jedną z głównych obaw związanych z prowadzeniem działalności podaje utratę zaufania klientów na skutek incydentu naruszenia cyberbezpieczeństwa.

Pozostałe wyniki badania sugerują, że poza koniecznością zgłaszania incydentów przemysł traktuje przestrzeganie przepisów z dużą powagą – tylko jedna piąta (21%) przedsiębiorstw przemysłowych przyznała, że nie stosuje się obecnie do obowiązkowych regulacji branżowych. Co istotne, przedsiębiorstwa, mimo niezgłaszania incydentów, zdają sobie sprawę z konieczności przestrzegania wymogów regulacyjnych. W przypadku 55% respondentów zgodność z przepisami jest głównym czynnikiem uwzględnianym w strategiach inwestycji w cyberbezpieczeństwo. Jednak koncentrując się przede wszystkim na procedurach, firmy mogą zacząć lekceważyć jakość rozwiązań cyberbezpieczeństwa, nie zwracając uwagi na rzeczywiste zagrożenia – tylko 28% respondentów wskazało krajobraz zagrożeń jako główny czynnik uwzględniany podczas ustalania budżetu.

Przestrzeganie wymogów przemysłowych i regulacyjnych nie powinno być lekceważone. Należy jednak pamiętać, że rzeczywisty krajobraz zagrożeń zmienia się dynamicznie. Skuteczne rozwiązanie cyberbezpieczeństwa w połączeniu z jasną polityką powinno pomóc firmom osiągnąć niezbędny poziom ochrony zgodny z wymogami regulacyjnymi. Takie rozwiązania powinny stosować środki ukierunkowane na technologie, ocenę luk w zabezpieczeniach, zapewniać reagowanie na incydenty oraz inicjatywy zwiększania świadomości wszystkich pracowników mających do czynienia z systemami automatyzacji przemysłowej – powiedział Gieorgij Szebuldajew, szef działu odpowiedzialnego za rozwój produktu Kaspersky Industrial Cybersecurity.