PL EN DE
Najlepsze praktyki zarządzania usługami SAP

Dedykowana organizacja serwisowa SNP zapewnia jakość i ciągłość obsługi kontraktów SAP Managed Services. Pracujemy w oparciu o standardy ISO 20000 i ISO 27001. Posiadamy certyfikat PCoE - SAP Partner Center of Expertise.

SNP Poland to lider rynku usług SAP w Polsce.
Zapewniamy pełen zakres wdrożeń, rozwoju i utrzymania systemów SAP. Dostarczamy usługi bezpieczeństwa IT i rozwoju oprogramowania. Do 2017 roku działaliśmy jako BCC.

Jesteśmy częścią Grupy SNP – wiodącego światowego dostawcy rozwiązań do transformacji środowisk SAP.

Od 1995 roku zrealizowaliśmy z sukcesem setki projektów IT w Polsce i kilkudziesięciu innych krajach.

Nasi eksperci przedstawiają najciekawsze rozwiązania i nowości ze świata IT.

Zobacz archiwum nagrań z webinarów, zarejestruj się na kolejne edycje.

Dlaczego uważamy, że SNP Poland jest dobrym pracodawcą? Bo łączymy cechy rzadko spotykane w jednej organizacji - duże możliwości rozwoju, a zarazem dobrą atmosferę i elastyczność środowiska pracy. Dowiedz się więcej, na czym to polega w praktyce!

Bezpieczeństwo w energetyce – obserwacje praktyczne

Audyt na zgodność z dyrektywą NIS i ustawą o krajowym systemie cyberbezpieczeństwa

Udostępnij
Drukuj:
Rangę newralgicznego obszaru cyberbezpieczeństwa w strategicznych branżach podkreślają wdrażane w ostatnich latach, na poziomie krajowym i Unii Europejskiej, regulacje prawne. Dostosowując się do nowych wymagań, operatorzy usług kluczowych muszą mieć świadomość, jak szerokim pojęciem jest bezpieczeństwo systemów i sieci, jakie są największe zagrożenia i najsłabsze ogniwa. Wykonanie audytu bezpieczeństwa pozwala zidentyfikować bezpośrednie zagrożenia oraz może być punktem wyjścia do budowania kompleksowego systemu zarządzania bezpieczeństwem.
 

Pojawienie się dyrektywy NIS (dyrektywa Parlamentu Europejskiego i Rady 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii) oraz wejście w życie w Polsce powiązanej ustawy o krajowym systemie cyberbezpieczeństwa, skłoniło jednostki uznane za operatorów usług kluczowych, szczególnie z branży ciepłowniczej i energetycznej, do przeglądu stosowanych systemów i procedur bezpieczeństwa.

Wykonane w tym kontekście audyty zgodności z wymogami ustawy, korespondujących norm oraz dobrymi praktykami pozwoliły zdiagnozować szczególnie interesujące, newralgiczne i powtarzające się problemy. Ich zidentyfikowanie i rozwiązanie, w większości przypadków, pozwoliłoby znacznie podnieść bezpieczeństwo tych organizacji w zakresie znacznie wykraczającym poza zagadnienia wyłącznie cybernetyczne.

Możemy je podzielić na trzy obszary:

  • bezpieczeństwo fizyczne,
  • bezpieczeństwo środowiskowe,
  • bezpieczeństwo sieci i okablowania.

Bezpieczeństwo fizyczne

Piętą achillesową większości wizytowanych obiektów należących do firm ciepłowniczych i energetycznych są zagadnienia bezpieczeństwa fizycznego. Dotyczą one nie tylko aspektów dotykających warstwy IT/OT, ale często po prostu dostępu do obszarów produkcyjnych. Przy aktualnym stanie cyfryzacji przeprowadzenie ataku zdalnego okazuje się względnie kosztowne i niedające pewności powodzenia. Natomiast bezpośrednia infiltracja licznych obiektów przemysłowych w polskim ciepłownictwie i energetyce zazwyczaj umożliwia łatwy, niemal nieograniczony dostęp do szaf sterujących procesami produkcji i dystrybucji. Przy minimalnej wiedzy, którą można pozyskać chociażby od byłych pracowników, możliwe jest zakłócenie działania przedsiębiorstwa oraz jego klientów, a w skrajnych przypadkach nawet trwałe unieruchomienie na kilka dni.

Wskazane jest zatem pilne przeprowadzenie inwentaryzacji posiadanych obiektów przemysłowych i wykonanie dla nich procesu analizy ryzyka z uwzględnieniem możliwych ataków bezpośrednich, nawet przypadkowych, wykonywanych przez aktorów oportunistycznych. W przypadku braku możliwości zapewnienia stałej obecności personelu wewnętrznego lub wynajętych pracowników ochrony, wskazane może być zainstalowanie środków teletechnicznego monitoringu istotnych obiektów w postaci systemów sygnalizacji włamania i napadu lub wręcz monitoringu CCTV.

Nawet w obiektach obsadzonych przez personel firmy 24 godz. na dobę, nie można zignorować ich kubatury oraz panującego w nich hałasu. Zwykle wielkość tych budynków pozwala na swobodne poruszanie się po nich, bez ryzyka wykrycia, pominąwszy ryzyko przypadkowego natknięcia się na któregoś z pracowników.

W wielu przypadkach sprawdzane obiekty nie były wyposażone w żadne środki ochrony, poza najprostszymi, mechanicznymi, pozwalając często na ich swobodną penetrację, szczególnie poza godzinami pracy. W innych miejscach zainstalowane środki umiejscowione były nieprawidłowo lub w sposób niedający pełnego pokrycia chronionych obszarów.

Zdarzały się też obiekty umiejscowione w na terenie większych parków przemysłowych, polegające w całości na ochronie zewnętrznej (obwodowej) danej lokalizacji, z minimalnymi lub żadnymi (brak nawet zamków na drzwiach) środkami ochrony obiektów produkcyjnych. Obecność wielu innych podmiotów na obszarze takich parków oraz fakt częstych, zdiagnozowanych luk w ochronie zewnętrznej, powinien wymusić poważne przemyślenie zastosowanych środków bezpieczeństwa.

W tym zakresie bardzo wskazane jest powołanie dedykowanych osób w organizacjach, które skupiłyby odpowiedzialność za budowę i utrzymanie wymaganego standardu bezpieczeństwa – oficerów bezpieczeństwa korporacji. Brak takich dedykowanych stanowisk powoduje, że zagadnieniami w tym obszarze zajmują się wszyscy, a w efekcie – nie zajmuje się nimi nikt.

Bezpieczeństwo środowiskowe

W branży energetycznej obszary produkcyjne często są związane z nieprzyjaznymi warunkami środowiskowymi, związanymi z dużymi skokami temperatury lub stałą, wysoką temperaturą, wysoką wilgotnością lub wpływem ciągłych drgań, w tym akustycznych. W wielu miejscach stwierdziliśmy wykorzystywanie urządzeń przeznaczonych na rynek konsumencki, rozwiązań OTS, które nigdy nie były testowane ani certyfikowane do użycia w szkodliwym środowisku pracy. Większość takich rozwiązań również nie jest odpowiednio chroniona przed atakiem cybernetycznym, często nie pozwala też na przeprowadzenie konfiguracji, która by zapewniła taką ochronę. Urządzenia te nie posiadają też czujników pozwalających na zdalne śledzenie parametrów pracy, co pozwoliłoby podjąć działania naprawcze w razie wystąpienia sytuacji kryzysowej.

W przypadku wszelkich instalowanych urządzeń proces zarządzania zmianą w organizacji powinien obejmować analizę dostosowania wybieranych rozwiązań do środowisk, w których docelowo będą one funkcjonować, oraz to, czy ich budowa oraz konfiguracja są adekwatne do podatności, które wiążą się z pracą w takich warunkach.

Istniejące pracujące urządzenia powinny być zinwentaryzowane i poddane analizie ryzyka z uwzględnieniem odpowiednich dla miejsca pracy podatności środowiskowych.

Osobnym zagadnieniem bywa brak jakiejkolwiek kontroli środowiska w obszarach ewidentnie wymagających takich mechanizmów kontroli. Wielokrotnie można spotkać się z akumulatorowniami pozbawionymi sygnalizacji przeciwpożarowej lub wentylacji usuwającej potencjalnie szkodliwe gazy. Serwerownie nie posiadają wystarczającej liczby agregatów chłodniczych, są pozbawione systemów sygnalizacji p.poż. i gaśniczych, węzły komunikacyjne są zlokalizowane w miejscach niepozwalających na jakąkolwiek wentylację.

Obszary tego typu powinny być relokowane do odpowiednich pomieszczeń, w razie potrzeb wyposażane w sygnalizację powiadamiającą odpowiednią komórkę reagowania na incydenty, a w przypadku braku możliwości odpowiedniego zabezpieczenia, powinny mieć zapewniony zasób redundantny, który przejmie pracę na wypadek awarii podstawowej instalacji.

Bezpieczeństwo sieci i okablowania

W branży energetycznej w Polsce wiele organizacji znajduje się w krytycznym momencie transferu do tzw. Industrie 4.0. Autonomiczne obiekty, często posiadające wyłącznie sterowanie ręczne i wymagające bezpośredniej interwencji człowieka, są usieciawiane i stopniowo coraz szerzej zdalnie monitorowane lub wręcz zarządzane. Nierzadko z użyciem wsparcia firm trzecich. Często odbywa się to jednak w trybie ad hoc, bez stosownego zarządzania zmianą, bez realizacji odpowiednich SLA z podwykonawcami i bez wprowadzania globalnie obowiązujących w organizacji polityk bezpieczeństwa. Gorzej, niektóre zmiany realizowane są z kompletnym pominięciem działów IT, które w takiej sytuacji nie są w stanie nawet wypowiedzieć się na temat potencjalnych ryzyk związanych z implementacją nowych rozwiązań. W wielu organizacjach brakuje też kompetencji, by tę metamorfozę przeprowadzić w sposób bezpieczny. Często nowymi zadaniami obciąża się pracowników z obszaru IT, którzy nie mają dość czasu i zasobów, aby proces ten realizować zgodnie z dobrymi praktykami.

Podłączanie istniejących rozwiązań do Internetu powinno się wiązać z zaplanowaną strategią. Taką strategię powinien stworzyć oficer bezpieczeństwa, wsparty przez architekta sieci oraz potencjalnie programistę-automatyka, którzy będą w stanie zaprojektować bezpieczne środowisko, utwardzić dotychczas wykorzystywane rozwiązania lub zbudują strefy bezpieczeństwa wokół urządzeń, których nie da się od ręki wymienić i odpowiednio zabezpieczyć.

Organizacje powinny mieć wdrożone globalne polityki bezpieczeństwa, w tym minimalne standardy, których realizacja będzie wymuszana umowami NDA i SLA z podwykonawcami. Działy IT powinny świadczyć usługi na rzecz biznesu, w oparciu o spójną politykę oraz przeprowadzoną analizę ryzyka, natomiast biznes musi zapewnić działom IT wsparcie niezbędne do realizacji tych usług na poziomie zgodnym z przyjętym planem postępowania z ryzykiem.

Konieczne też jest pełne wsparcie kierownictwa w ukróceniu wszelkich działań samowolnych, wykraczających poza obowiązującą politykę i procedurę zarządzania zmianą. Nie wolno dopuszczać do sytuacji, w których poza wiedzą IT do istniejącej infrastruktury wprowadzane są modyfikacje, tworzące niebezpieczne mosty pomiędzy Internetem lub siecią administracyjno-biurową, a bezpieczną siecią przemysłową, używaną do zarządzania obiektami produkcyjnymi. Samowolne uruchamianie nawet takich zasobów jak zdalnie sterowane zawory administrowane z poziomu aplikacji instalowanej na telefonie z OS Android powinno być niezwłocznie identyfikowane przez dedykowaną strukturę odpowiedzialną za bezpieczeństwo, traktowane jako rażące naruszenie i incydent bezpieczeństwa, objęte działaniami korygującymi i naprawczym, a także odpowiednią akcją dyscyplinarną.

Podsumowanie

Istniejący stan bezpieczeństwa, w kontekście szerszym niż tylko cybernetyczne, związane z ustawą o krajowym systemie cyberbezpieczeństwa, wskazuje na kumulowane latami zaniedbania. Impuls wywołany ustawą pozwala takie luki i problemy wykryć i powinien skłaniać do ich naprawienia. W wielu przypadkach jedyną przyczyną braku incydentów skutkujących poważnymi zaburzeniami produkcji i dystrybucji jest ignorancja otoczenia i nieświadomość istnienia poważnych niedociągnięć, szczególnie w obszarze bezpieczeństwa fizycznego.

Lepszy Biznes

magazyn klientów SNP

Przejdź do bazy artykułów
Udostępnij
Drukuj:

Formularz kontaktowy





  1. Dane osobowe przetwarzane są na podstawie art. 6 ust. 1 lit. a Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. – ogólnego rozporządzenia o ochronie danych osobowych.
  2. Administratorem Danych Osobowych jest SNP Poland Sp. z o.o. z siedzibą w Złotnikach, ul. Krzemowa 1 62-002 Suchy Las. Dane kontaktowe do Inspektora Ochrony Danych: dpo.pl@snpgroup.com.
  3. Zgoda na przetwarzanie danych jest dobrowolna, ale niezbędna w celu kontaktu. Zgodę można wycofać w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem
  4. Dane będą przetwarzane do realizacji określonych powyżej celów i do momentu wycofania niniejszej zgody, a dostęp do danych będą miały tylko wybrane osoby posiadające stosowne upoważnienie do ich przetwarzania.
  5. Każda osoba podając dane osobowe ma prawo dostępu do treści swoich danych i ich sprostowania, usunięcia, ograniczenia przetwarzania, prawo do wniesienia sprzeciwu wobec przetwarzania i przenoszenia danych, prawo do ograniczenia przetwarzania i prawo sprzeciwu wobec przetwarzania danych, prawo do przenoszenia danych.
  6. Każda osoba, której dane są przetwarzane, ma prawo do wniesienia skargi do organu nadzorczego jakim jest Prezes Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa).
  7. Dane osobowe mogą być udostępniane innym jednostkom należącym do grupy kapitałowej, do której należy SNP Poland Sp. z o.o. – również znajdujących się poza Europejskim Obszarem Gospodarczym, w celach marketingowych. SNP Poland zapewnia, że dane przekazywane tym podmiotom są właściwie zabezpieczone, a osoba, której dane są przetwarzane, ma prawo do uzyskania kopii udostępnionych danych oraz informacji o miejscu udostępnienia danych.

Napisz maila lub zadzwoń

E-mail: office.pl@snpgroup.com
Tel. 61 827 7000

SNP Poland Sp. z o.o.

Centrala:
Złotniki, ul. Krzemowa 1
62-002 Suchy Las k. Poznania

Skontaktuj się z nami

W czym możemy pomóc?
Napisz do nas
Wyślij email
Zadzwoń





  1. Dane osobowe przetwarzane są na podstawie art. 6 ust. 1 lit. a Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. – ogólnego rozporządzenia o ochronie danych osobowych.
  2. Administratorem Danych Osobowych jest SNP Poland Sp. z o.o. z siedzibą w Złotnikach, ul. Krzemowa 1 62-002 Suchy Las. Dane kontaktowe do Inspektora Ochrony Danych: dpo.pl@snpgroup.com.
  3. Zgoda na przetwarzanie danych jest dobrowolna, ale niezbędna w celu kontaktu. Zgodę można wycofać w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem
  4. Dane będą przetwarzane do realizacji określonych powyżej celów i do momentu wycofania niniejszej zgody, a dostęp do danych będą miały tylko wybrane osoby posiadające stosowne upoważnienie do ich przetwarzania.
  5. Każda osoba podając dane osobowe ma prawo dostępu do treści swoich danych i ich sprostowania, usunięcia, ograniczenia przetwarzania, prawo do wniesienia sprzeciwu wobec przetwarzania i przenoszenia danych, prawo do ograniczenia przetwarzania i prawo sprzeciwu wobec przetwarzania danych, prawo do przenoszenia danych.
  6. Każda osoba, której dane są przetwarzane, ma prawo do wniesienia skargi do organu nadzorczego jakim jest Prezes Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa).
  7. Dane osobowe mogą być udostępniane innym jednostkom należącym do grupy kapitałowej, do której należy SNP Poland Sp. z o.o. – również znajdujących się poza Europejskim Obszarem Gospodarczym, w celach marketingowych. SNP Poland zapewnia, że dane przekazywane tym podmiotom są właściwie zabezpieczone, a osoba, której dane są przetwarzane, ma prawo do uzyskania kopii udostępnionych danych oraz informacji o miejscu udostępnienia danych.

Kontakt ogólny do firmy
office.pl@snpgroup.com

Pytania o produkty i usługi
info.pl@snpgroup.com

Pytania na temat pracy i staży
kariera@snpgroup.com

61 827 70 00

Biuro jest czynne
od poniedziałku do piątku
w godz. 8:00 – 17:00