• Witaj na bpc-guide.pl
Baza systemów IT

Blog

Nie(bezpieczna) sztuczna inteligencja

Dostawcy systemów bezpieczeństwa IT uznają sztuczną inteligencję za cenne uzupełnienie istniejących systemów, procesów i ludzi. Niestety, podobnie myślą hakerzy.

W ciągu ostatnich dwóch lat niemal cały świat oszalał na punkcie sztucznej inteligencji. Coraz częściej słyszy się nie tylko o jej zaletach, ale również zagrożeniach, jakie ze sobą niesie. Przejście do bardziej zautomatyzowanego świata przyczyni się do wzrostu bezrobocia, boty będą generować fałszywe teksty, zaś perfekcyjne narzędzia pozwolą manipulować treściami multimedialnymi w taki sposób, że nawet najbardziej spostrzegawczy widzowie nie dostrzegą mistyfikacji. Jeśli wierzyć tym pesymistycznym wizjom, nadchodzi czas wielkich żniw dla wszelkiej maści oszustów.

O złej sztucznej inteligencji bardzo często wspomina się w kontekście cyberbezpieczeństwa. Szczególnie złą sławą, w przeciwieństwie do ChatGPT, cieszą się WormGPT, BadGPT czy FraudGPT – narzędzia powszechnie dostępne w Darknecie. Tak jak wielu pracowników biurowi korzysta z ChatGPT do pisania lepszych e-maili, hakerzy używają złośliwe wersje chatbotów do tworzenia fałszywych stron internetowych, pisania oprogramowania i wiadomości, w których podszywają się pod kierownictwo, czy inne zaufane podmioty. Co gorsza, świat złych chatbotów nie ogranicza się do kilku narzędzi. Naukowcy z Uniwersytetu w Indianie w bieżącym roku wykryli ponad 200 usług hakerskich sprzedawanych w Darknecie. Pierwszy taki program pojawił się na początku ubiegłego roku, a więc kilka miesięcy po publicznym udostępnieniu ChatGPT. Zdaniem naukowców większość szkodliwych programów oferowanych na czarnym rynku wykorzystuje wersje open source Meta Llama 2 lub wprowadza własne „rozszerzenia” do modeli takich dostawców jak OpenAI i Anthropic. Ceny usługi hakerskich AI wahają się od 5 do 199 dolarów miesięcznie.

  • Sztuczna inteligencja może być używana zarówno do dobrych, jak i złych celów. Wbrew temu, co mówią entuzjaści tej technologii, jak na razie nie dokonała ona jakiegoś wielkiego przełomu, przynajmniej po złej stronie mocy. Wprawdzie pozwala zwiększyć liczbę incydentów oraz ich szybkość, jednak nie zmienia zasadniczo wektorów ani powierzchni ataków. Choć w nieodległej przyszłości to może się zmienić. Dlatego z dużą uwagą śledzimy postępy napastników w zakresie wykorzystania AI, aby być krok przed nimi – mówi Michał Łabęcki, G DATA Software.

Pewnego rodzaju ciekawostką jest przykład Amazona, opisywany na łamach dziennika The Wall Street Journal, który każdego dnia odnotowuje średnio 750 milionów prób ataków. Jeszcze niespełna rok temu było ich około 100 milionów. Osoby odpowiedzialne za bezpieczeństwo IT w Amazonie uważają, że przyczyną takiego stanu rzeczy jest sztuczna inteligencja, pozwalająca realizować ataki osobom bez wielkiego doświadczenia w zakresie tworzenia złośliwych programów.

Sztuczna inteligencja po dobrej stronie mocy

Często można odnieść wrażenie, że dostawcy systemów bezpieczeństwo wprowadzili rozwiązania bazujące na sztucznej inteligencji oraz uczeniu maszynowym dopiero po debiucie ChatGPT. Ale jest to jeden z mitów związanych z AI. Brian Dye, ówczesny wiceprezydent firmy Symantec już w 2014 roku wyznał na łamach dziennika The Wall Street Journal, że antywirusy wykrywają tylko 45 procent ataków. Artykuł odbił się szerokim echem w branży cyberbezpieczeństwa, a także zapoczątkował zmiany mające na celu zwiększenie efektywności oprogramowania antywirusowego. Od samego początku bazowało ono na skanowaniu systemów pod kątem wyszukiwania zainfekowanych plików na podstawie sygnatur. Jednak wraz z pojawieniem się nowych rodzajów ataków (bezpikowe, zero-day) znana od lat metoda zaczęła zawodzić. Na rynku pojawiły się produkty wykorzystujące mechanizmy uczenia maszynowego i sztucznej inteligencji, koncentrujące się bardziej na detekcji niż prewencji. Przykładowo G DATA w 2018 roku udostępniła technologię DeepRay, gdzie sieć neuronowa współpracuje z adaptacyjnym algorytmem, który jest na bieżąco udoskonalany przez analityków. Jego działanie polega na kategoryzowaniu różnorodnych plików wykonywalnych w oparciu o szeroką paletę wskaźników – takich jak rozbieżność między rozmiarem pliku a ilością kodu wykonywalnego, wersje stosowanych kompilatorów czy ilość importowanych funkcji systemowych.

– Dostawcy oprogramowania bezpieczeństwa mają kilka lat przewagi nad hakerami, jeśli chodzi o użycie sztucznej inteligencji. Cyberprzestępcy sięgnęli po tę technologię nieco ponad rok temu. Naszym atutem jest także ilość zgromadzonych danych, dzięki którym możemy cały czas rozwijać nasze narzędzia. Jednak jak by nie patrzeć, mamy do czynienia wyścigiem, gdzie nie ma czasu na to, żeby na chwilę przystanąć lub popadać w samozachwyt, bowiem przeciwnik z pewnością wykorzysta każdy najmniejszy błąd – tłumaczy Michał Łabęcki.

Jednym z największych problemów, z jakim boryka się branża cyberbezpieczeństwa, jest brak rąk do pracy. W ubiegłym roku w Polsce na specjalistów ds. cyberbezpieczeństwa czekało 10 tysięcy miejsc pracy.

Przeciążeni pracą specjaliści często popełniają błędy. Jednak istnieje szansa, że wraz automatyzacją narzędzi bezpieczeństwa IT, pracownicy skoncentrują się na kluczowych kwestiach zamiast tracić czas na wykonywanie żmudnych, powtarzalnych czynności. O ile sztuczna inteligencja doskonale sprawdza się w automatyzacji powtarzalnych zadań, analizowaniu ogromnych ilości danych i identyfikowaniu wzorców, o tyle ludzka intuicja i osąd są nadal potrzebne do interpretacji tych spostrzeżeń, podejmowania krytycznych decyzji i dostosowywania strategii do zwalczania ewoluujących zagrożeń.

W najbliższej przyszłości nie należy się spodziewać radykalnego uproszczenia systemów ze względu na to, że cyberbezpieczeństwo jest obszarem o dużej dynamice zmian. Wraz rozwojem technologii pojawiają się zupełnie nowe zagrożenia, którym trzeba stawić czoła.

Pfeifer & Langen Polska S.A.– jeden z największych producentów cukru w kraju – wybiera platformę Comarch do integracji z systemem KSeF.

Choć Krajowy System e-Faktur (KSeF) stanie się obowiązkowy od 1 lutego 2026 r., to coraz więcej firm już teraz przygotowuje się na nadejście nowych przepisów. Aby pomóc im przystosować się do nadciągających zmian, Comarch rozszerzył swoją platformę EDI (Elektroniczna Wymiana Danych) o funkcjonalność integracji z systemem KSeF.

Narzędzie Comarch EDI KSeF zostało już wybrane przez wiele rodzimych i zagranicznych firm. Od teraz ich szeregi zasili także Pfeifer & Langen Polska S.A. – jeden z największych producentów cukru w kraju, wytwarzający ponad 600,000 ton cukru rocznie. Z produktów Pfeifer & Langen Polska S.A. korzystają mali
i średni przedsiębiorcy oraz duże polskie i międzynarodowe korporacje.

Pfeifer & Langen Polska S.A. podpisał umowę na wdrożenie rozwiązania Comarch EDI KSeF która pomoże usprawnić proces wymiany dokumentów oraz zapewnić pełną zgodność z nowymi przepisami. Korzystając
z Comarch EDI KSeF, producent cukru może liczyć też na zwiększoną transparentność przepływu faktur oraz optymalizację procesów AP/AR.

,,W Comarch priorytetem jest zapewnienie klientom na całym świecie dostępu do nowoczesnych
i niezawodnych narzędzi do wymiany danych. Bardzo cieszymy się, że do grona firm, które obdarzyły nas zaufaniem dołącza Pfeifer & Langen Polska S.A. Mamy nadzieję na długą i owocną współpracę” – tłumaczy Łukasz Barchański, Dyrektor Consultingu Comarch EDI.

,,Aby dostosować się do nowych przepisów dotyczących e-fakturowania, potrzebowaliśmy rozbudowanej technologii od doświadczonego dostawcy, który byłby w stanie wesprzeć nas podczas tej cyfrowej transformacji. Dlatego właśnie nasz wybór padł na Comarch EDI KSeF. Zaawansowana, jak i łatwa w użyciu, platforma od Comarch na pewno wspomoże nasze codzienne działania biznesowe” – mówi Maria Ciszewicz, Główna Księgowa w Pfeifer & Langen Polska S.A.

O firmie Comarch:

Comarch został założony w 1993 roku w Krakowie, a od 1999 roku jest notowany na warszawskiej Giełdzie Papierów Wartościowych. Jest jedną z największych firm informatycznych w Europie i prowadzi projekty dla czołowych marek z Polski i świata w najważniejszych sektorach gospodarki m.in.: telekomunikacji, finansach, bankowości i ubezpieczeniach, handlu i usług, infrastruktury IT, administracji publicznej, przemyśle, ochronie zdrowia oraz w sektorze małych i średnich przedsiębiorstw.

Z usług Comarch skorzystało kilkadziesiąt tysięcy światowych marek w ponad 100 krajach na 6 kontynentach m.in.: Allianz, Auchan, BNP Paribas Fortis, BP, Carrefour, Heathrow Airport, Heineken, ING czy LG U+, Orange, Telefónica, T-Mobile, Vodafone.

Firma zajmuje wysokie pozycje w rankingach analityków IT m.in.: Gartnera, Truffle 100,
TOP 200 „Computerworld”, IDC, Polskiej Akademii Nauk, EU Industrial R&D Investment Scoreboard. Corocznie Comarch inwestuje środki o wartości ok. 15 proc. przychodów w projekty innowacyjne. W 2023 roku nakłady na prace R&D wyniosły ponad 400 mln zł. Obecnie zatrudnia ponad 6400 ekspertów, w ponad 80 biurach
w ponad 30 krajach od Australii i Japonii przez Bliski Wschód oraz Europę aż po obie Ameryki.

Jak wyglądało cyberbezpieczeństwo w polskich firmach w 2024?

74 proc. polskich firm doświadczyło cyberataku! 8 na 10 firm deklaruje gotowość zapłaty okupu w przypadku ataku ransomware!

Tegoroczna edycja badania „Cyberbezpieczeństwo w polskich firmach 2024” szczegółowo analizuje świadomość zagrożeń i stosowanych przez polskie przedsiębiorstwa rozwiązań w obszarze ochrony danych IT, a także najważniejsze trendy w dziedzinie cyberbezpieczeństwa. Badanie potwierdza, że w kontekście wzrostu skali cyberzagrożeń, przedsiębiorstwa i instytucje muszą podejmować intensywne działania, związane z zabezpieczeniem infrastruktury informatycznej oraz rozwijaniem kompetencji tzw. czynnika ludzkiego. W przeciwnym razie ciężko będzie im sprostać wszystkim wyzwaniom, które przyniesie cyfrowa przyszłość i geopolityczne napięcia w naszej części Europy.

Lektura niniejszego Raportu, podsumowującego badanie w 2024 roku wskazuje, że nasze przewidywania, a także opinia przytłaczającej większości specjalistów okazały się słuszne. Niemal w każdym tygodniu, media i organizacje monitorujące naruszenia bezpieczeństwa danych, donosiły o kolejnych atakach hakerów, wyciekach danych i coraz nowszych metodach dokonywania przestępstw w sieci. Nie ma żadnych podstaw, aby oczekiwać odwrócenia tego trendu, szczególnie, że cyberprzestępczość wciąż zdaje się być o krok przed „jasną stroną cybernetycznej mocy”.

Przeczytaj cały raport vecto.pl/raport-2024

Wdrożenie systemu do zarządzania produkcją w kontekście normy ISO27001 oraz dyrektywy NIS2

W minionym roku mogliśmy usłyszeć o wielu incydentach związanych z wyciekiem lub utratą danych, jakie miały miejsce w polskich przedsiębiorstwach. Niestety takich zdarzeń jest coraz więcej i to pomimo rosnącej świadomości użytkowników oraz ciągłego wzrostu nakładów na cyberbezpieczeństwo.

Aby zminimalizować prawdopodobieństwo wystąpienia incydentu oraz ograniczyć jego wpływ na funkcjonowanie organizacji, część firm, nie czekając na wejście w życie regulacji prawnych zobowiązujących je do uruchomienia systemu zarządzania bezpieczeństwem informacji (SZBI), zdecydowała się wcześniej wdrożyć takie rozwiązanie bazując na wytycznych, jakie daje norma ISO 27001 [1]. Ponieważ mówimy tutaj o środkach organizacyjnych i technicznych mających objąć całość przedsiębiorstwa, nie mogą zostać pominięte systemy wspomagające zarządzenie produkcją takie jak MES (Manufacturing Execution System), APS (Advanced Planning and Scheduling) czy CMMS (Computerised Maintenance Management System). Dzieje się tak dlatego, że korzystają one z danych, które są kluczowe z punktu widzenia ciągłości działania procesów produkcyjnych, nawet jeżeli same systemy fizycznie znajdują się poza infrastrukturą IT organizacji.

Jednym z podstawowych założeń każdego systemu SZBI jest regularne zarządzanie ryzykiem związanym z zasobami, które obejmuje. Poprzez zarządzanie ryzykiem rozumie się identyfikację możliwych zdarzeń zagrażających bezpieczeństwu informacji, ocenę prawdopodobieństwa i skutków takiego zdarzenia oraz podjęcie odpowiednich działań mających je zminimalizować. W przypadku gdy mowa jest o projekcie wdrożenia nowego rozwiązania IT, to już na etapie wyboru oprogramowania i dostawcy należy przeprowadzić taką ocenę obejmującą sam produkt, jego producenta oraz firmę, która miałaby dane rozwiązanie wdrażać w organizacji.

Bezpieczeństwo informacji i incydenty

Bezpieczeństwo informacji rozumiemy jako zapewnienie nienaruszalności trzech składowych: poufności, dostępności i integralności danych. Jest to tzw. triada CIA – Confidentiality, Integrity, Availability. Poufność oznacza, że dostęp do informacji mają tylko osoby, które są do tego upoważnione. Jako dostępność rozumiemy możliwość korzystania z informacji wtedy, gdy jest ona niezbędna. Integralność z kolei oznacza kompletność i prawdziwość danych. Z incydentem bezpieczeństwa informacji będziemy mieli do czynienia przy każdym zdarzeniu związanym z faktem lub uzasadnionym podejrzeniem naruszenia jednej z trzech powyżej opisanych składowych. Mając tak zdefiniowane pojęcia łatwiej jest wyobrazić sobie, na co trzeba zwrócić uwagę przy określaniu potencjalnych zagrożeń i możliwych środków zapobiegawczych.

Warto zaznaczyć w tym miejscu, że bezpieczeństwo informacji opiera się na filarach, którymi są: ludzie, procedury i rozwiązania technologiczne. Niestety to człowiek jest zazwyczaj tym najsłabszym ogniwem i dlatego wymaga uwagi oraz odpowiedniego przygotowania. Wdrożenie dużego systemu informatycznego to stres związany z odpowiedzialnością nie tylko za uruchomienie nowego rozwiązania, ale też za utrzymanie ciągłości działania zainteresowanej komórki w etapie przejściowym. W połączeniu z naciskiem na dotrzymanie terminów może to przyczynić się do utraty koncentracji, a tym samym do błędu lub zwykłego niedopatrzenia.

Zakres danych, jakimi posługują się systemy MES, CMMS i APS

Szczegółowe informacje mówiące o tym jakimi danymi posługuje się wdrażany system IT i z jakimi innymi systemami są one wymieniane, zazwyczaj dostarczane są przez dostawcę rozwiązania po zakończeniu analizy przedwdrożeniowej. Możemy jednak założyć, że dane, którymi posługuje się każdy system klasy MES i APS dzielimy na dwie grupy: dane osobowe i dane mające znaczenie biznesowe.

Często pracownicy realizując swoje zadania w systemie MES posługują się swoim nazwiskiem, natomiast w przypadku monitorowania pracy działu utrzymania ruchu przy użyciu CMMS, jest to po prostu konieczność. Dane te objęte są prawnym obowiązkiem ochrony na mocy Rozporządzania Parlamentu Europejskiego nr 2016/267 znanego jako RODO [2]. Ponadto informacje te mogą czasem mieć wartość dającą przewagę konkurencyjną np. w przypadku wymaganej obszernej wiedzy specjalistycznej na konkretnym stanowisku pracy.

Warunkiem utrzymania wspomnianej przewagi konkurencyjnej jest zachowanie w tajemnicy wiedzy o możliwościach produkcyjnych zakładu. Informacje o nich przetwarzane są m.in. przez systemy klasy ERP, MES i APS w postaci zapisów obejmujących m.in. technologie produkcji, wielkości oraz składniki parku maszynowego oraz wolumeny, na które opiewają zlecenia produkcyjne. Zdarza się, że w systemie MES w powiązaniu ze zleceniem produkcyjnym występują również niezakodowane nazwy klientów. W połączeniu z wcześniej wymienionymi danymi są to informacje, które ujawnione publicznie lub przechwycone przez konkurencję mogą ostatecznie doprowadzić do wyeliminowania firmy z rynku.

Odpowiedzialność prawna zamawiającego

Częścią każdego projektu, do którego zatrudniani są zewnętrzni dostawcy, są odpowiednie zapisy umowne mające zobowiązać podmiot zewnętrzny do należytego wykonania zlecenia przy uwzględnieniu bezpieczeństwa informacji niejawnych. Warunki te obwarowane są wysokimi karami umownymi mającymi to zagwarantować. Niestety zabezpieczenia prawne, takie jak umowa NDA (Non Disclosure Agreement) oraz zapisy dotyczące bezpieczeństwa informacji w pozostałych umowach, choć są niezbędne, nie dają 100% pewności, że dane będą bezpieczne i nie zdejmują odpowiedzialności za skutki incydentów z podmiotu zlecającego. Niektóre z przepisów prawa dotyczących zarządzania bezpieczeństwem informacji mówią o tym wprost.

W przypadku danych osobowych to administrator jest odpowiedzialny za bezpieczeństwo danych i zobowiązany jest do ich przetwarzania z uwzględnieniem odpowiednich środków zabezpieczających, o czym mówi art. 24.§1 RODO. Dotyczy to także sytuacji, gdy przetwarzanie jest zlecane firmie zewnętrznej na podstawie odpowiedniej umowy powierzenia. Prezes Urzędu Ochrony Danych Osobowych podkreśla to w uzasadnieniach dla kar administracyjnych nakładanych na mocy art. 83 RODO na podmioty zlecające przetwarzanie. Warto przypomnieć, że w myśl paragrafu 1. przytoczonego artykułu kary powinny być „skuteczne, proporcjonalne i odstraszające”.

Wspomniany na wstępie artykułu obowiązek wdrożenia SZBI wynika z przygotowywanej nowelizacji Ustawy o Krajowym Systemie Cyberbezpieczeństwa [3]. Nowelizacja ta ma zaimplementować do polskiego porządku prawnego obowiązującą już dyrektywę PE 2022/2555 „W sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa”, tzw. NIS2 [4]. W porównaniu do poprzednich wersji dyrektywy NIS i ustawy o KSC znacząco poszerza się katalog branż, których regulacje będą dotyczyć, definiując jednocześnie grupy podmiotów kluczowych i ważnych. Z lektury załączników do projektu wspomnianej ustawy wynika, że do grup tych kwalifikuje się większość firm produkcyjnych używających lub zainteresowanych wdrożeniem oprogramowania klasy MES i APS. W myśl art. 8c projektu nowelizacji to najwyższe kierownictwo podmiotu wg definicji z ustawy w o rachunkowości [5], czyli członkowie Zarządu, odpowiadają osobiście za dochowanie obowiązków związanych z bezpieczeństwem informacji w podmiotach z grupy kluczowych lub ważnych. Dzieje się tak również wtedy, gdy obowiązki w tym zakresie zostały delegowane na inne osoby. Dyrektywa NIS2 oraz wprowadzająca ją ustawa przewidują, podobnie jak w przypadku RODO, wysokie kary finansowe dla podmiotów niespełniających wymagań dotyczących zarządzania bezpieczeństwem informacji.

Dodatkowym źródłem odpowiedzialności strony zamawiającej wdrożenie rozwiązania IT są oczywiście wszelkie zobowiązania wynikające z umów z interesariuszami. Patrząc z tej perspektywy role się odwracają i teraz to organizacja będąca zamawiającym wdrożenie systemu musi zadbać o to, aby być wiarygodnym partnerem biznesowym dla swoich klientów, nie tylko pod kątem rzetelnej realizacji zamówień, ale też bezpieczeństwa powierzonych i przetwarzanych informacji.

Wdrożenie systemów IT w kontekście systemu zarządzania bezpieczeństwem informacji

Bez względu na to, czy w organizacji zamierzającej wdrożyć nowy system MES lub APS funkcjonuje system zarządzania bezpieczeństwem informacji zbudowany w oparciu o normę ISO 27001, czy jeszcze nie, warto przy implementacji nowego rozwiązania posłużyć się wskazówkami, które w tym kontekście dostarcza przywołana norma. Punkt 5.8 załącznika A do normy ISO27001 wymaga, aby bezpieczeństwo informacji było uwzględniane przy zarządzaniu projektami, a sama norma mówi, że podejmowane działania powinny być oparte o zarządzanie ryzykiem. Ważne jest, aby zagadnienia te były brane pod uwagę od samego początku, czyli etapu przygotowania projektu, jeszcze przed formalnym startem przedsięwzięcia. Podejście takie zalecają również powszechnie stosowane metodyki prowadzenia projektów, takie jak PRINCE2 czy PMBOK.

Pierwszym i jednym z najważniejszych kroków w opartym o ryzyko zarządzaniu projektem IT jest inwentaryzacja zasobów informacyjnych, których wdrożenie dotyczy oraz możliwych ryzyk z nimi związanych. Należy przy tym uwzględnić elementy systemów informatycznych, w których informacje są pozyskiwane i przetwarzane, poszczególne fazy wdrożenia oraz produkcyjnego użytkowania systemu, a także persony mające mieć do nich dostęp. Dla tak skomponowanej listy identyfikujemy możliwe zdarzenia mogące zakłócić jeden ze składników triady CIA, a następnie szacujemy poziom ryzyka będący wypadkową prawdopodobieństwa wystąpienia zdarzenia oraz konsekwencji możliwych negatywnych skutków. Innymi słowy tworzymy rejestr ryzyk. Do realizacji tego zadania należy wyznaczyć wewnętrzny zespół składający się m.in. z kierownika projektu, osoby odpowiedzialnej za utrzymanie systemu bezpieczeństwa informacji, przedstawiciela działu zajmującego się utrzymaniem firmowych systemów informatycznych oraz osób zajmujących się bezpośrednio produkcją, takich jak: planista, technolog oraz kierownik produkcji.

Na tym etapie widać już obszary, na które należy zwrócić szczególną uwagę podczas dalszych prac nad projektem i jakie należy podjąć działania, aby maksymalnie zredukować prawdopodobieństwo wystąpienia oraz skutki potencjalnego incydentu. Warto w tym miejscu posłużyć się listą punktów kontrolnych z załącznika A normy ISO27001 tak, aby pokryć zabezpieczenia z wszystkich czterech grup – technologicznych, fizycznych, osobowych i organizacyjnych. Te ostatnie związane są z przydzielaniem ról w zespołach projektowych dostawcy i zamawiającego oraz zakresem informacji, do których te osoby powinny mieć dostęp. Szczególny nacisk należy położyć na minimalizację tych zakresów do niezbędnego minimum wg zasady POLP (Principle of Least Privilege).

Z lektury tak sporządzonego rejestru ryzyk wynikać będzie również, czy obecne założenia projektu, w tym funkcjonalności wdrażanego systemu, spełniają wymagania stawianych regulacji prawnych takich jak RODO i NIS2. Na bazie powyższych powinno się sporządzić listę kontrolną i skonfrontować ją z możliwościami potencjalnych rozwiązań oraz ich dostawców. Sam rejestr ryzyk projektu powinien być dokumentem aktualizowanym na bieżąco w trakcie trwania całego procesu wdrożenia, aby stać się ostatecznie częścią rejestru ryzyk SZBI w momencie produkcyjnego uruchomienia oprogramowania.

Wymagania stawiane producentom oprogramowania i firmom wdrożeniowym

Przed rozpoczęciem projektu wdrożeniowego z zewnętrznym dostawcą należy już na etapie wyboru potencjalnego partnera sprawdzić, czy posiada on odpowiednie kompetencje w zakresie zarządzania bezpieczeństwem informacji. W każdej organizacji, która uruchomiła oraz certyfikowała SZBI wg normy ISO 27001 zasady zarządzania bezpieczeństwem informacji funkcjonują na co dzień i są częścią jej kultury. Organizacja taka wdrożyła już odpowiednie środki organizacyjne i techniczne oraz dba o wysoki poziom świadomości cyberbezpieczeństwa u swoich pracowników m.in. poprzez regularne szkolenia. Co więcej, zgodnie z wymaganym normą schematem PDCA, wszystkie powyższe działania są na bieżąco monitorowane i udoskonalane.

Najprostszą i najszybszą metodą oceny wiarygodności potencjalnego dostawcy na tym etapie projektu jest więc sprawdzenie, czy dany podmiot posiada aktualny certyfikat wdrożenia ISO 27001 wydany przez renomowaną jednostkę certyfikującą i czy certyfikacja obejmuje zakres zarządzania projektami wdrożeniowymi. W przypadku wdrożenia systemu MES lub APS jest to niezwykle istotne, gdyż, jak wykazano powyżej, konsultanci firmy wdrożeniowej będą pracować na danych krytycznych z punktu widzenia przedsiębiorstwa będącego klientem. Każdy taki dostęp powinien zatem odbywać się w sposób opisany i kontrolowany odpowiednim regulaminem, procedurami oraz instrukcjami.

Ostateczny wybór warto poprzedzić przeprowadzeniem audytu u potencjalnego partnera biznesowego w zakresie zagadnień związanych z cyberbezpieczeństwem, również w obszarze zarządzania projektem oraz sprawdzić podczas wizyty referencyjnej, jak powyższe zagadnienia zostały zaopiekowanie u jego obecnych klientów.

Podsumowanie

Wdrożenie systemu wspomagającego zarządzenie produkcją, takiego jak MES czy APS, jest dużym przedsięwzięciem wymagającym współpracy wielu interesariuszy wewnętrznych oraz zewnętrznych. Poziom złożoności takiego projektu z natury generuje więc wiele ryzyk związanych z bezpieczeństwem informacji. Pochodzą one zarówno z przebiegu samego procesu wdrożeniowego, wykorzystanych technologii, jak i funkcjonalności wdrażanego systemu. Bez względu jednak na źródła, wspomniane ryzyka powinny zostać zidentyfikowane na etapie przygotowania projektu i odpowiednio zarządzane podczas trwania wdrożenia, zarówno przez zamawiającego, jak i dostawcę. Tylko takie podejście pozwala zminimalizować prawdopodobieństwo wystąpienia incydentów bezpieczeństwa oraz ograniczyć do akceptowalnego minimum ich ewentualne skutki. Jest to niezwykle istotne, gdyż prawidłowo wdrożony system MES lub APS powinien przynieść poprawę wydajności procesów produkcyjnych, ale też poprawne funkcjonowanie tych systemów może okazać się warunkiem ciągłości działania całego przedsiębiorstwa.

Jest to jeden z powodów, dla którego tak ważny jest nie tylko wybór odpowiedniego systemu, ale też zaufanego dostawcy, czyli takiego, który potrafi wykazać, że poważnie traktuje zagadnienia związane z cyberbezpieczeństwem. Dowodem na takie podejście jest z całą pewnością działający w organizacji certyfikowany system zarządzania bezpieczeństwem informacji oparty o normę ISO 27001. Należy również pamiętać, że nie można oddelegować całej odpowiedzialności w tym zakresie na dostawcę. Pomijając obowiązki nakładane przez przepisy prawa, to ścisłe kierownictwo organizacji będącej klientem odpowiada za jej efektywne funkcjonowanie i dlatego też musi zadbać, aby strona zamawiająca aktywnie nadzorowała proces wdrożenia, także pod kątem bezpieczeństwa informacji.

Warto w tym miejscu podkreślić raz jeszcze korzyści wynikające z wdrożenia i certyfikacji normy ISO 27001 w organizacji. Porządkuje ono zagadnienia związane z bezpieczeństwem informacji we wszystkich obszarach działalności przedsiębiorstwa. Tworzy przejrzyste procedury i instrukcje postepowania również w przypadku wyboru nowych systemów, realizacji projektów wdrożeniowych i późniejszej eksploatacji. Podejście oparte o zarządzenie ryzykiem nie tylko znacznie ułatwia wybór docelowych rozwiązań, ale sprawia też, że w dłuższej perspektywie będą to wybory uzasadnione ekonomiczne.

Łukasz Widera, ekspert ds hardware i IoT w dziale analiz eq system

Przypisy

[1] PN-EN ISO/IEC 27001:2023-08 „Bezpieczeństwo informacji, cyberbezpieczeństwo i ochrona prywatności, Systemy zarządzania bezpieczeństwem informacji, Wymagania”
[2] ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
[3] https://mc.bip.gov.pl/projekty-aktow-prawnych-mc/902927_projekt-ustawy-o-zmianie-ustawy-o-krajowym-systemie-cyberbezpieczenstwa-oraz-niektorych-innych-ustaw.html
[4] [DYREKTYWA PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dyrektywa NIS 2 Ustawa z dnia 29 września 1994 r. o rachunkowości Dz.U. 1994 nr 121 poz. 591, art. 3 ust. 1 pkt 6

1 13 14 15 16 17 423