Infrastruktura krytyczna i zakłady przemysłowe stanowią fundament funkcjonowania społeczeństwa, zapewniając podstawowe usługi, takie jak energia elektryczna, woda czy produkty farmaceutyczne i chemiczne, a to zaledwie kilka przykładów. Zakłócenia w tych branżach mogą mieć poważne reperkusje, więc jest to bardzo ważne, by podmioty świadczące takie usługi mogły utrzymać ciągłość działania nawet w przypadku cyberataku, klęski żywiołowej, fizycznego naruszenia, wewnętrznego incydentu lub awarii.

Ewoluujące otoczenie regulacyjne

Rządy na całym świecie podejmują szereg kroków w celu zapewnienia, by krytyczne zasoby w odpowiednich branżach były odporne na wszelkie zagrożenia, a jednym z kluczowych podejść jest wprowadzanie przepisów, które rozkładają odpowiedzialność na cały łańcuch dostaw. Oznacza to, że każdy z zainteresowanych podmiotów — od użytkowników po dostawców — ma do odegrania pewną rolę w dbaniu o bezpieczeństwo i odporność infrastruktury krytycznej oraz zakładów przemysłowych.

W Europie takie przepisy jak dyrektywa NIS2, ukierunkowana na kwestie cyberbezpieczeństwa, czy szersza dyrektywa w sprawie odporności podmiotów krytycznych (Critical Entity Resilience Directive — CER) nakładają poważne wymagania na wiele branż mieszczących się obecnie pod szerokim parasolem pojęć: „infrastruktury krytycznej” czy „podmiotów krytycznych i istotnych”, w tym także na całe ich łańcuchy dostaw.

Przepisy te wymagają od firm i instytucji wdrożenia szeregu środków bezpieczeństwa, w tym okresowych ocen ryzyka i planów reagowania na incydenty. Nieprzestrzeganie tych przepisów może skutkować co najmniej wysokimi grzywnami. Koszty długoterminowe zaś — potencjalnie jeszcze wyższe — mogą obejmować uszczerbek na reputacji marki, utratę zdolności produkcyjnych bądź odszkodowania wypłacone stronom trzecim.

Większość dużych firm ma świadomość wymogów związanych z tymi przepisami; jednak mniej powszechnie wiadomo, że każda firma działająca w tych sektorach, niezależnie od wielkości, będzie musiała mieć świadomość ich implikacji oraz odpowiednio dostosować i ulepszyć swoje operacje biznesowe.

Szczególne wyzwanie stojące przed sektorami przemysłu i infrastruktury krytycznej

Dyrektywy NIS2 i CER mają zastosowanie do wielu sektorów, w których jakiekolwiek incydenty mogą mieć druzgocący wpływ na zdrowie i bezpieczeństwo obywateli, aktywność gospodarczą, środowisko czy nawet funkcjonowanie społeczeństwa jako całości.

W niektórych sektorach, zwłaszcza tych związanych z niebezpiecznymi materiałami i substancjami, firmy już muszą przestrzegać różnych obowiązujących przepisów. Chodzi m.in. o dyrektywę Seveso, której podlega 12 000 zakładów przemysłowych w całej Unii Europejskiej. Ma ona na celu zapobieganie poważnym awariom zakładów przemysłowych oraz minimalizowanie ich szkodliwego wpływu na ludzkie zdrowie i środowisko. Dyrektywa ta, nazwana dla upamiętnienia wycieku chemikaliów, do którego doszło w 1976 r. we włoskim mieście Seveso, doczekała się już swojej trzeciej edycji.

Jednak dyrektywy NIS2 i CER znacznie podnoszą poprzeczkę regulacyjną, a podmiotom z branż, na które te nowe przepisy mają wpływ, kończy się czas na wykazanie się zgodnością z wymogami tych przepisów. NIS2 musi znaleźć odzwierciedlenie w przepisach państw członkowskich Unii Europejskiej do października 2024 r., a CER — do połowy 2025 r.

Definicja pojęcia „odporność”

W dyrektywie CER zdefiniowano odporność jako „zdolność podmiotu krytycznego do zapobiegania incydentowi, ochrony przed nim, odpowiedzi na niego, stawiania mu oporu, łagodzenia i absorbowania incydentu oraz adaptacji i odtworzenia po incydencie”.

Prosto rzecz ujmując, oznacza to, że podmioty krytyczne muszą wykazać podjęcie kroków mających na celu zminimalizowanie możliwości wystąpienia awarii i są przygotowane na wypadek incydentu.

Odporność jest jeszcze ważniejsza, jeśli chodzi o pewne szczególne obszary zakładów przemysłowych i infrastruktury krytycznej, tak zwane „zasoby krytyczne” w ujęciu przepisów. Należą do nich na przykład centrale sterowania w elektrowniach jądrowych, magazyny substancji chemicznych, generatory prądu, reaktory w zakładach chemicznych i piece w hutach stali. Firmy, którym podlegają takie obiekty i zakłady, muszą wykazać, że wdrożyły środki umożliwiające monitorowanie oraz ochronę bezpieczeństwa wszystkich tych obszarów.

Rozwiązania technologiczne wspomagające spełnianie wymogów

Wykorzystanie inteligentnych, połączonych urządzeń opartych na przykład na technologii wizyjnej, a także danych, które te urządzenia mogą generować, jest atrakcyjnym rozwiązaniem w wielu obszarach zakładów przemysłowych i infrastruktury krytycznej, które stanowi cenną warstwę weryfikacji wizualnej i funkcji ułatwiających rozeznanie sytuacji, a także rozpoznawanie obiektów lub inne analizy. Typowe scenariusze:

• Bezpieczeństwo: ochrona obwodu i określonych obszarów terenu, odstraszanie sprawców przestępstw oraz pomoc w ochronie ludzi i mienia.
• Monitorowanie procesów i weryfikacja wizualna: monitorowanie temperatury i drgań, wykrywanie anomalii, monitorowanie obchodzenia się z niebezpiecznymi substancjami oraz weryfikacja poprawności wykonywania procedur.
• Zdrowie, bezpieczeństwo i ochrona środowiska: wykrywanie wycieków, monitorowanie naruszeń zasad bezpieczeństwa, monitorowanie warunków w otoczeniu, detekcja dymu i ognia oraz upewnianie się, że pracownicy noszą odpowiednie środki ochrony osobistej (PPE).

Kamery — dawniej używane głównie do dozoru — mogą teraz służyć również jako czujniki do monitorowania procesów i ochrony osób.

Jednak nie wszystkie obszary produkcyjne można łatwo monitorować. Ze względu na wysokie zagrożenie zapłonem wynikające z obecności gazu i/lub pyłu, należy zachowywać szczególną ostrożność, jeśli chodzi o stosowanie urządzeń elektrycznych, ponieważ mogą one wytwarzać iskry lub nadmierne ciepło i powodować zapłon.

W zależności od prawdopodobieństwa wybuchu takie obszary dzieli się na strefy i w każdej z tych stref należy stosować urządzeń elektroniczne cechujące się odpowiednim stopniem ochrony.

Tradycyjnie kamery z ochroną przeciwwybuchową są konstruowane z zastosowaniem obudowy ze stali nierdzewnej z myślą o stosowaniu w bardziej niebezpiecznych miejscach kategorii Zone/Division 1. Tymczasem większe obszary zaliczają się do mniej niebezpiecznej kategorii Zone/Division 2. W takich przypadkach bardziej ekonomiczne jest stosowanie kamer z ochroną przeciwwybuchową o konstrukcji przeznaczonej specjalnie do miejsc kategorii Zone/Division 2 — pozwala to na korzystanie w pełni z potencjału nowoczesnych technologii kamer w obszarach, w których wcześniej nieczęsto realizowano takie wdrożenia ze względu na koszty.

Możliwość ekonomicznego zadbania o szersze spektrum sytuacji wiele zmieni na polu dążeń do odporności.

Zapewnianie cyberbezpieczeństwa

Korzystanie z połączonych technologii i danych ma niezaprzeczalne zalety, ale użytkownicy zdecydowanie powinni być świadomi zagrożeń. Unijna dyrektywa NIS2 ma więc na celu zapewnienie, by wszelkie rozwiązania stosowane przez podmioty obsługujące zakłady przemysłowe i infrastrukturę krytyczną były dobrze przygotowane również z perspektywy cyberbezpieczeństwa.

Ze względu na ich znaczenie w naszym codziennym życiu zakłady przemysłowe i infrastruktura krytyczna są oczywistym celem cyberataków i poszukiwań słabych punktów. Ochrona połączonych urządzeń jest więc priorytetem. Firmy będą stosować szereg narzędzi w celu ograniczenia ryzyka cyberzagrożeń, w tym oprogramowanie i urządzenia z wbudowanymi funkcjami ochrony cyberbezpieczeństwa, a także najlepsze praktyki w zakresie wzmacniania zabezpieczeń urządzeń i eliminowania luk.

Partnerska współpraca w zakresie budowania odporności

Czas nagli. W związku ze zbliżającymi się terminami wejścia w życie dyrektyw NIS2 i CER, oprócz już istniejących przepisów Seveso, przedsiębiorstwa muszą podejmować odpowiednie kroki. Współpraca z zaufanymi partnerami pozwoli zadbać o solidny fundament pod odporność. Rozwiązania charakteryzujące się wyważeniem jakości, niezawodności i opłacalności, oparte na otwartych standardach, które pozwolą na późniejsze skalowanie i ulepszenia, zaspokoją obecne i przyszłe potrzeby — bez względu na to, jakie jeszcze wymogi prawne się pojawią.

Jeśli chcesz poszerzyć swoją wiedzę o tym, jak monitorowanie obszarów niebezpiecznych wspomaga odporność, na początek pobierz nasz e-book.