PRZEMYSŁ 4.0

Cyberbezpieczeństwo w systemach OT/ICS – specyfika zagrożeń

W OT/ICS (Operational Technology/Industrial Control Systems) jedna godzina przestoju potrafi kosztować firmę od 5 000 do 50 000 PLN, a w branżach ciągłych wąskie gardło rośnie wielokrotnie. Najczęstsze wejścia atakującego to kompromitacja zdalnego dostępu i „most” między IT a OT. W praktyce najdroższa nie jest sama infekcja, tylko zatrzymanie procesu, degradacja jakości i czas odtworzenia offline.

Dofinansowanie na cyfryzację produkcji – programy UE 2026

Dlaczego OT/ICS różni się od klasycznego IT w kwestii ryzyka?

Zobacz też:

OT/ICS nie jest „mniej ważne”, tylko działa na innych prawach. W klasycznym IT przerwa w działaniu usługi zwykle kończy się na problemie dla pracowników (np. brak dostępu do aplikacji). W OT przerwa oznacza brak sterowania, nieprawidłową pracę linii, ryzyko przekroczenia parametrów i w skrajnym scenariuszu zagrożenie bezpieczeństwa ludzi oraz środowiska.

Różnice, które szczególnie wpływają na cyberbezpieczeństwo:

  • Wymagania czasowe (czas reakcji) – systemy sterowania często działają w milisekundach i dziesiątkach milisekund, więc wdrożenie „ciężkich” zabezpieczeń może zakłócić pracę.
  • Trwałość sprzętu – urządzenia OT bywają używane 10–20 lat. Często nie ma aktualizacji, a korygowanie podatności bywa trudne albo nieopłacalne.
  • Komunikacja deterministyczna – OT często korzysta z protokołów i topologii, które są specyficzne dla branży i tolerują tylko ograniczone zmiany.
  • Priorytety biznesowe – celem jest ciągłość produkcji, a nie maksymalizacja dostępności IT usług w rozumieniu SLA.

W projektach, które analizowałem, najczęściej problemem nie była „zła intencja”, tylko nieprzystawanie logiki bezpieczeństwa z IT do realiów linii produkcyjnych: kto ma zaakceptować przestój na test zmian, jak szybko wrócić do poprzedniej konfiguracji, kto odpowiada za skutki uboczne.

Jakie są typowe źródła ataków w OT/ICS?

W praktyce zagrożenia w OT/ICS rzadko pojawiają się „z zewnątrz przez Internet”. Zdecydowanie częściej atak zaczyna się od punktów, które organizacja już ma w IT – a potem przenosi się do środowiska sterowania.

Najczęstsze drogi wejścia:

  • Zdalny dostęp do inżynierskich stacji roboczych lub systemów nadzoru (RDP/VPN/ssh, często źle ograniczone do czasu i zakresu).
  • Wymiana danych i integracje między IT a OT (np. pliki, interfejsy produkcyjne, bramy danych). To miejsce najłatwiej „przepuścić” niechciane oprogramowanie.
  • Podmiana nośników – pamięci USB używane przy serwisie/konfiguracji, bez kontroli i skanowania.
  • Konta uprzywilejowane i niezweryfikowane uprawnienia (np. wspólne konta dla serwisu, brak audytu haseł i sesji).
  • Łańcuch dostaw – serwisanci, integratorzy, utrzymanie urządzeń, firmware i konfiguracje dostarczane „w paczkach”.

Statystycznie trudno wskazać jeden globalny „numer”, bo OT jest opisywane inaczej w raportach. Jednak z perspektywy wdrożeń: w większości środowisk to nie malware jako taki jest największym ryzykiem, tylko utrata kontroli nad konfiguracją sterowania (program PLC, parametry, logika alarmów) oraz brak możliwości szybkiego odtworzenia.

Jak przebiegają ataki na sterowanie i dlaczego skutki są inne niż w IT?

Atak na OT często ma inny cel niż w IT. W IT atakujący zwykle dąży do kradzieży danych, ransomware lub eskalacji uprawnień. W OT celem bywa:

  • Zatrzymanie procesu (czasem jako element presji, czasem jako efekt uboczny).
  • Degradacja jakości – zmiana parametrów w sposób „subtelny”, aby produkt nie spełniał norm, a to dopiero na końcu generuje koszty.
  • Ukryte utrudnianie diagnozy – manipulacja logiką alarmów, zakresami pomiarowymi lub harmonogramami serwisowymi.

Konsekwencje potrafią być wielowarstwowe:

  • Downtime – koszt przestoju w branżach ciągłych bywa liczony w tysiącach lub dziesiątkach tysięcy PLN za godzinę.
  • Kaskada strat – brak surowca/wyrobów, brak możliwości wysyłki, ryzyko kar umownych i utrata SLA wobec klientów.
  • Odtworzenie stanu – przywracanie konfiguracji, programów sterowników, testy na linii. To nie jest „kliknięcie restore”.

Warto dodać jedną praktyczną obserwację: ataki w OT często kończą się „trwałym” uszkodzeniem procesu, nawet jeśli malware został usunięty. Powód jest prosty: zmiany w konfiguracji mogą pozostać, a personel może nawet nie zauważyć różnic w krótkim horyzoncie.

Ransomware w OT/ICS: co jest najbardziej niebezpieczne?

Ransomware w środowiskach przemysłowych nie działa jak w IT. W OT nie zawsze chodzi o sam okup. Największym problemem jest to, że atak może:

  • zablokować dostęp do HMI/SCADA i paneli operatorskich,
  • uniemożliwić zdalne diagnozowanie,
  • zmienić pliki konfiguracyjne lub harmonogramy.

W typowym scenariuszu organizacja ma kopie zapasowe, ale w OT problemem jest brak spójnego „łańcucha odtworzeniowego”: kopie danych nie wystarczą, jeśli nie masz wersji programu sterownika, konfiguracji przekaźników i ustawień bezpieczeństwa. Dodatkowo dochodzi wymóg walidacji na linii, co wydłuża proces powrotu do produkcji.

Druga rzecz, która często zaskakuje: nawet jeśli operator nie uruchomi zainfekowanej stacji, to ransomware potrafi „przepchać się” przez kanały integracyjne. Dlatego separacja IT/OT nie może być hasłem — ma mieć mierzalne zasady ruchu, kontrolę usług i architekturę strefową.

Jak poprawnie podejść do architektury bezpieczeństwa w OT/ICS?

W OT nie kupuje się „jednego narzędzia”, tylko buduje system kontroli i widoczności. Najczęściej działa podejście strefowe i model ograniczeń komunikacji, ale z uwzględnieniem specyfiki procesu.

Praktyczne elementy, które realnie zmniejszają ryzyko:

  • Segmentacja OT – strefy dla urządzeń sterujących, stacje inżynierskie, stacje operatorskie i strefy pośrednie. Każda strefa ma jasno zdefiniowane zasady ruchu.
  • Kontrola komunikacji między IT i OT – nie „otwarte przejście”, tylko kontrolowane bramy usług (np. tylko konkretne protokoły, adresy, porty, kierunki).
  • Monitorowanie zdarzeń – wykrywanie anomalii w ruchu sieciowym i zmian w zachowaniu, a nie tylko sygnatury malware.
  • Zarządzanie konfiguracją – wersjonowanie i kontrola zmian programów sterowników oraz ustawień krytycznych.
  • Plan odtwarzania – procedury przywracania „z maszyny” i testy odtworzenia, nie tylko kopie plików.

Systemy A vs. System B (typowe dylematy decydentów):

Obszar „Podejście A”: narzędzia ochronne w OT „Podejście B”: architektura strefowa + proces/konfiguracja
Cel Wykrycie i blokada malware, ochrona endpointów Ograniczenie powierzchni ataku i zapewnienie odtwarzalności
Ryzyko utrzymania Możliwe „przegrzanie” środowiska OT: wyjątki, trudne reguły, tuning Mniej zależności od podatności/patchy, większa stabilność operacyjna
Efekt biznesowy Szybsza reakcja na incydent Niższy koszt przestoju dzięki ograniczeniu wpływu i sprawnym procedurom
Warunek sukcesu Jakość danych telemetrycznych i zdolność zespołu OT/IT do reagowania Wysoka jakość dokumentacji stref i procesów zarządzania zmianą

W praktyce najlepsze wyniki daje połączenie: architektura ograniczająca ruch + widoczność + kontrola konfiguracji. Narzędzie bez procesu będzie źródłem fałszywych alarmów, a proces bez architektury bywa „ładnym planem” na papierze.

Koszty, czas wdrożenia i plan startu: co jest realne w firmie produkcyjnej?

Szacunki w OT różnią się mocno w zależności od liczby stref, wielkości zakładu, liczby linii i dojrzałości dokumentacyjnej. Mimo to, w projektach dla firm produkcyjnych typowe widełki wyglądają następująco:

  • Audyt i mapowanie środowiska OT/ICS (inwentaryzacja urządzeń, protokołów, strumieni ruchu): 20 000–80 000 PLN lub 4–8 tygodni.
  • Projekt architektury strefowej i reguł ruchu (w tym plan komunikacji IT–OT): 30 000–120 000 PLN oraz 6–12 tygodni.
  • Wdrożenie segmentacji i kontroli przepływu (firewalle przemysłowe, bramy, konfiguracje, testy): 80 000–250 000 PLN, często 2–4 miesiące.
  • Monitorowanie i integracja z systemem analiz/zbierania zdarzeń: 60 000–200 000 PLN, zwykle 6–10 tygodni na pierwszą użyteczną wersję.
  • Plan odtwarzania i testy (procedury + próbne przywrócenia): 25 000–90 000 PLN, 4–8 tygodni.

Na co uważać (typowe pułapki wdrożeniowe):

  1. Brak pełnej inwentaryzacji i „znikające” urządzenia – jeśli nie zobaczysz wszystkich stacji inżynierskich, jump hostów i serwisowych laptopów, to segmentacja będzie dziurawa już po pierwszym incydencie.
  2. Ignorowanie wpływu na proces – reguły ruchu i polityki bezpieczeństwa muszą przejść testy na fragmentach linii. Uderzenie „na produkcję” kończy się przestojem i zniechęceniem operatorów.
  3. Liczenie tylko czasu wdrożenia, a nie czasu walidacji – w OT „go-live” to dopiero początek. Realny koszt rośnie, gdy trzeba poprawiać konfiguracje i wracać do poprzednich wersji.
  4. Vendor lock-in w konfiguracji bezpieczeństwa – brak możliwości przenoszenia reguł, zależność od jednego narzędzia i skryptów bez standardów utrzymania.

Jak zacząć sensownie (kolejność, która działa):

  1. Zacznij od bezpieczeństwa „strumieni”: jakie protokoły i kierunki ruchu łączą IT z OT oraz OT między sobą.
  2. Zrób krytyczne profile urządzeń: co steruje ruchem, co raportuje, co pełni rolę bramy danych.
  3. Ustal zasady z obszarem produkcji: okna serwisowe, dopuszczalne ryzyka testów, odpowiedzialności (IT/OT/produkcja).
  4. Wprowadź minimalny zakres „quick wins”: ograniczenie zdalnego dostępu (czas, zakres, MFA), kontrola urządzeń serwisowych, baza zmian konfiguracji.
  5. Dopiero potem rozbudowuj segmentację i monitorowanie – gdy masz mapę rzeczywistości.

ROI (zwrot z inwestycji) w OT zwykle liczony jest przez redukcję kosztów przestojów i skrócenie czasu odtworzenia. W praktyce, jeśli uda się obniżyć liczbę i „głębokość” incydentów o 20–40% w skali roku, ROI potrafi przekroczyć 10–25% w horyzoncie 2–3 lat, nawet przy rosnących kosztach utrzymania. Klucz: mierzenie efektów przez zdarzenia produkcyjne, a nie tylko „liczbę alertów”.

Kontrolowana niedoskonałość: w większości firm startuje się od „co widzimy na sieci”, a dopiero później schodzi do szczegółów programów sterowników. To jest akceptowalne, o ile równolegle budujesz plan kontroli zmian konfiguracji; inaczej bezpieczeństwo stanie się tylko warstwą sieciową „na powierzchni”.

Alternatywa: cloud vs. on-premise oraz outsourcing vs. własny zespół

Decydenci często zadają dwa pytania: gdzie trzymać dane z monitoringu i czy oddelegować utrzymanie bezpieczeństwa do zewnętrznego partnera.

Cloud vs. on-premise w OT/ICS:

  • On-premise bywa wybierany dla danych krytycznych, gdzie liczy się niski czas reakcji i ograniczenie przepływu danych poza zakład.
  • Cloud może przyspieszać analizę i skalowanie, ale wymaga dobrze zaprojektowanych kanałów (szyfrowanie, kontrola dostępu, zasady retencji). W OT każde „dodatkowe łącze” musi mieć zgodę operacyjną.

Outsourcing vs. własny zespół:

  • Własny zespół OT/IT daje większą kontrolę nad konfiguracją i zmianami, ale wymaga kompetencji i ciągłego utrzymania.
  • Outsourcing przyspiesza wdrożenia i może obniżać TCO (Total Cost of Ownership, łączny koszt posiadania), jednak rośnie ryzyko vendor lock-in oraz ryzyko „braku ręki” po stronie firmy, gdy trzeba reagować w godzinach produkcyjnych.

Najbardziej praktyczna zasada jest prosta: nawet jeśli monitoring i część operacji oddasz na zewnątrz, odpowiedzialność za decyzje procesowe musi pozostać po stronie zakładu. To produkcja wie, co znaczy błąd „na hali”, a nie tylko w logach.

Podsumowanie: jak zredukować ryzyko bez zatrzymania produkcji?

Cyberbezpieczeństwo w OT/ICS to nie transplantacja zasad IT do świata sterowania. To praca na styku: ciągłość procesu, bezpieczeństwo ludzi, kontrola konfiguracji i architektura komunikacji. Największe straty generują przestoje i nieodwracalne skutki zmian w logice sterowania, a nie sam fakt „wykrycia” malware.

Zanim zdecydujesz się na wdrożenie:

  • upewnij się, że masz mapę połączeń IT–OT i stref (oraz że obejmuje ona serwis i kanały zewnętrzne),
  • zaplanuj walidację reguł w oknach serwisowych,
  • zbuduj odtwarzalność: wersjonowanie konfiguracji i testy przywrócenia,
  • ustal role w reakcji na incydent (IT, OT, produkcja) i mierniki efektu w odniesieniu do downtime.

Jeśli chcesz, przygotuję dla Twojej organizacji krótką checklistę „OT-ready” (maksymalnie 1–2 tygodnie pracy po stronie zespołu) i zaproponuję kolejność działań pod konkretny zakład: od zdalnego dostępu i kontroli zmian po segmentację oraz monitorowanie.

Znacznik
redakcja polfirmy.pl

Jesteśmy wyjątkowym zespołem łączącym świat akademicki z realiami biznesu. Nasza redakcja to unikalne połączenie. Łączymy głęboką wiedzę akademicką z praktycznym doświadczeniem, oferując naszym czytelnikom unikalne spojrzenie na świat systemów ERP. Naszą misją jest dostarczanie treści, które nie tylko informują, ale inspirują do innowacji i doskonalenia procesów biznesowych.

zobacz wszystkie wpisy

Powiązane wpisy

Opublikuj komentarz

Mogłeś ominąć