Prawie połowa badanych nie posiada programów cyberbezpieczeństwa lub posiada podstawowe, bez zaplanowanych działań naprawczych oraz udokumentowanych procedur - wynika z raportu „Control System Cybersecurity Annual Report 2024”. Według autorów publikacji, pomimo postępów w rozwijaniu zabezpieczeń systemów przemysłowych, wciąż pojawiają się trudności w osiągnięciu "oczekiwanego poziomu dojrzałości" w tym zakresie.
Pomimo większej świadomości w zakresie zagrożeń związanych z cyberbezpieczeństwem systemów automatyki przemysłowej, w wielu firmach ten temat wciąż nie jest w pełni uwzględniony w strategii zarządzania cyberbezpieczeństwem. Najczęściej wskazywanym przez ankietowanych zakresem zabezpieczeń systemów OT, który miałby się najbardziej zwrócić z inwestycji jest segmentacja sieci. W tym przypadku 8 proc. respondentów zapowiedziało podwyżkę wydatków o ponad 30 proc. natomiast 10 proc. planuje zainwestować o połowę więcej - wynika z badania przeprowadzonego przez KPMG we współpracy z Międzynarodowym Stowarzyszeniem Cyberbezpieczeństwa Systemów Sterowania. Wskazano także inwentaryzacje i zarządzanie aktywami, w co planuje zainwestować 25 proc. ankietowanych.
"Analiza wyników ankiety cyberbezpieczeństwa OT ujawnia istotne tendencje. Rosnąca liczba organizacji oceniających stosunkowo dobrze swój poziom dojrzałości w obszarze cyberbezpieczeństwa systemów OT może potwierdzać zaangażowanie w inwestycje w tym zakresie. Zwiększenie budżetu na bezpieczeństwo przez 21 proc. firm jest pozytywnym trendem, jednak spadek na wyższych poziomach może wskazywać na trudności w utrzymaniu wdrożonych standardów. Prawie połowa firm deklaruje, że nie miała incydentów w ciągu ostatnich 12 miesięcy, co może wynikać zarówno z dobrze działających procesów, jak i z braków w monitorowaniu i wykrywaniu włamań" – skomentował Szef Grupy Kompetencyjnej Cyberbezpieczeństwa OT w KPMG Łukasz Staniak.
W publikacji wskazano, że firmy rozwijają swoje zabezpieczenia, jednak ataki nadal generują duże straty. 37 proc. badanych twierdzi, że w ciągu 12 miesięcy w ich przedsiębiorstwie nie doszło do incydentu związanego z cyberbezpieczeństwem systemów OT, natomiast 25 proc. zadeklarowało, że incydenty miały miejsce, jednak nie wpłynęły na działanie firmy. Najczęstszy efekt ataków - zakłócenia operacyjne - nie niósł ze sobą strat finansowych, co zadeklarowało 31 proc. badanych. Dodano jednak, że wzrósł odsetek firm zgłaszających straty finansowe oraz utratę produktu w wyniku incydentów.
"Wyniki najnowszego raportu wskazują na wzrost świadomości w zakresie cyberbezpieczeństwa OT, szczególnie na poziomie kierownictwa. Globalnie obserwujemy wzrost liczby organizacji, które podniosły poziom bezpieczeństwa w ostatnim roku. Jednak w Europie nadal większość firm ocenia dojrzałość cyberbezpieczeństwa OT jako podstawową. Przepisy dyrektywy NIS2 mogą stać się kluczowym impulsem dla firm przemysłowych, skłaniając je do wzmocnienia ochrony systemów OT oraz poprawy zdolności wykrywania i reagowania na incydenty" – ocenił ekspert w Grupie Cyberbezpieczeństwa OT w KPMG Piotr Chmielewski.
W głównej części badania wzięło udział ponad 630 osób. Respondenci reprezentowali kraje z regionów zrzeszonych w Control System Cybersecurity Association International, czyli z Ameryki Północnej, Europy, Eurazji, Indo-Pacyfiku, Bliskiego Wschodu i Afryki Północnej, Afryki Subsaharyjsiej, Ameryki Łacińskiej i Karaibów.
PAP / mł
Skomentuj artykuł