Siemens je u Hrvatskoj snažno prisutan s IT i inim rješenjima u energetici, komunalnoj infrastrukturi, prometu, industriji i drugim područjima. Svi su oni danas izloženi cyber napadima pa smo o tom problemu razgovarali s voditeljem prodaje Siemensa Daliborom Markovićem.
Koja su danas najtraženija rješenja iz područja ICT sigurnosti?
Uobičajeno je da se u industriji sve više strojeva povezuje u mrežu. Pri tome se prirodno traži upravljiva mrežna oprema naprednijih mogućnosti, vatrozidi za industrijske uvjete, virtualni tuneli, a i konzultantske usluge postaju sve traženije.
Koje su industrije najviše izložene opasnostima cyber napada?
Od kibernetičke prijetnje ugrožene su sve industrijske branše i cijela infrastruktura koju koristimo poput električne mreže, vodoopskrbe, prometa, tvornica i dr. Upravljački sustavi koji se koriste u njima su zapravo univerzalni ili su zasnovani na određenim standardima – samo se prilagođavaju zahtjevima pojedine branše prilikom implementacije. Industrijski sustavi se nakon ugradnje koriste čak i nekoliko desetaka godina, a uobičajeno vrijeme uporabe je između 10 i 20 godina. To znači da je većina postrojenja bazirana na rješenjima koja su razvijana kada kibernetička prijetnja nije postojala, barem ne ozbiljno na industrijskoj razini. Upravo smo na jednom sastanku prije nekoliko dana razgovarali o razlikama između uobičajenih informatičkih sustava i industrije. Osim toga, ono što je ključno razumjeti je činjenica da u industriji kibernetička prijetnja može djelovati na fizičku infrastrukturu – uređaje, strojeve, opremu, a štete pri tomu mogu biti nesagledive. Zastoji proizvodnje mogu biti enormni i moguće ih je trenutno izračunati.
Kad pogledate pet godina unazad i to usporedite s današnjom situacijom, vidite li napredak u prepoznavanju važnosti ICT sigurnosti u domaćoj poslovnoj zajednici?
Napredak apsolutno postoji, pogotovo sad kad svi razgovaraju o digitalizaciji pa se izazov ICT sigurnosti sam po sebi nameće kao jedan od najvećih. Svi žele imati jednostavan pristup podacima, a istovremeno i siguran. Ipak, moramo istaknuti da je u ovom osjetljivom području potreban puno veći iskorak od prepoznavanja važnosti.
Što tvrtke smatraju cyber napadom i razmišljaju li dovoljno o tim opasnostima?
Razmišljaju itekako. Pogotovo oni koji su na neki način odgovorni, poput direktora proizvodnje, mrežnih specijalista, dispečera u nadzornim centrima, servisera, održavatelja. Međutim, kada pogledate management neke tvrtke koji se svakodnevno susreće s brojnim izazovima, obično se opasnost kibernetičkog napada vidi kao nešto što se još nije dogodilo – što može riješiti sutra. Samim tim nije na listi prioriteta. Većina opasnost povezuje s infrastrukturom spojenom na internet. Međutim, kibernetičke aktivnosti danas uključuju više različitih elemenata, kompleksna tehnička rješenja, uključuje mogućnost napada na sustave koji su čak izolirani, a vrlo bitan element je socijalni inženjering.
Koja vi rješenja nudite u području cyber sigurnosti?
Prije svega naši proizvodi i rješenja značajno se razlikuju od onih u klasičnom ICT-u ali koriste i niz alata iz tog područja. Upravo zbog kompleksnosti potencijalnih kibernetičkih prijetnji u industrijskim sustavima razvijeni su posebni standardi u različitim dijelovima svijeta. Mi se u Europi i Hrvatskoj pozivamo na IEC 62443 koji je u svijetu standardizacije procesa harmoniziran s ISO 27001. U skladu s tim cijela kompanija je krenula sama od sebe i razvila interne procedure, formirala posebne timove, svi zaposlenici obvezni su proći redovite edukacije. Za sve obitelji proizvoda i sve tvornice postoje posebni CERT timovi. Mi u Siemensu danas intenzivno surađujemo s tvrtkama upravo na konkretnoj primjeni rješenja koja se povezuju s digitalnom transformacijom tvrtki i cijelog društva. Vrlo važan segment na tom putu su uređaji, alati i usluge povezani s kibernetičkom zaštitom industrijskih sustava, a zasnovani su na spomenutom IEC standardu. Tako primjerice tvrtkama možemo osim proizvoda ponuditi usluge procjene razine sigurnosti i ugroze, predložiti mjere, implementaciju, pa čak i održavanje sustava kibernetičke sigurnosti u određenoj mjeri.
Koliko je u ovom području važno obrazovanje? Naime, istraživanja pokazuju da su najčešći oblici cyber napada oni putem socijalnog inženjeringa. Što vi po tom pitanju nudite i savjetujete tvrtkama?
Već godinama cijela tvrtka u Hrvatskoj posebnu pozornost posvećuje suradnji sa školama i fakultetima. Ove godine proslavit ćemo 20 godina suradnje s FER-om na području edukacije. A upravo na području kibernetičke sigurnosti prije godinu dana započeli smo suradnju s Fakultetom elektrotehnike, računarstva i informacijskih tehnologija u Osijeku koji nam je također dugogodišnji partner. Elementi socijalnog inženjeringa povezani s kibernetičkom prijetnjom danas se praktično trebaju uvesti u nastavu od osnovne škole jer već prvašići posjeduju mobilne uređaje. Edukacija o ovoj osjetljivoj temi potrebna je svima. I mi je provodimo redovito. Obvezna je za svakog od 375.000 zaposlenih u cijelom svijetu. Evo jednog lijepog nenametljivog primjera. Svi zaposlenici su nedavno dobili mail od vodstva tvrtke s prijedlogom da u neformalne razgovore, uobičajeno čavrljanje na početku sastanka ili uz jutarnju kavu, 'ubace' temu o sigurnosti i potencijalnim opasnostima socijalnog inženjeringa. Današnje opasnosti obično za industrijske sustave uključuju više elemenata, a socijalni inženjering je jedan od važnijih.
Važna obavijest:
Sukladno članku 94. Zakona o elektroničkim medijima, komentiranje članaka na web portalu Poslovni.hr dopušteno je samo registriranim korisnicima. Svaki korisnik koji želi komentirati članke obvezan je prethodno se upoznati s Pravilima komentiranja na web portalu Poslovni.hr te sa zabranama propisanim stavkom 2. članka 94. Zakona.Uključite se u raspravu