Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.


26.08.2021

Firma Fortinet rozszerzyła...

Firma Fortinet rozszerzyła ofertę o usługę FortiTrust, która dołączyła do innych usług...
26.08.2021

Aplikacje biznesowe

Ready_™ AppStore
26.08.2021

Automatyzacja chmur...

Integracja z Red Hat Ansible
26.08.2021

Backup kodu źródłowego

GitProtect.io dostępny na Github
26.08.2021

Wsparcie pracy hybrydowej

Zdalny SD WAN
26.08.2021

Nowy monitor Philips 498P9Z

Nowy monitor Philips 498P9Z to model wyposażony w 49-calowy, zakrzywiony panel VA o...
26.08.2021

Wytrzymały punkt dostępowy

D-Link DIS-2650AP
26.08.2021

Ekonomiczne dyski

SSD bez DRAM
26.08.2021

Petabajty pojemności

Serwery QNAP

Monitoring systemów automatyki przemysłowej

Data publikacji: 29-04-2021 Autor: Tomasz Cygan

Czy automatyka przemysłowa wiąże się z przetwarzaniem danych osobowych? Nie ulega wątpliwości, że ma ona na celu przetwarzanie danych technicznych lub przemysłowych. Czy jednak wykorzystywanie systemów służących do sterowania procesami przemysłowymi oraz analizy danych może obejmować także zbieranie informacji identyfikujących lub umożliwiających identyfikację osób fizycznych? Jeśli tak, to jaki może być cel wykorzystania takich informacji i które przepisy znajdą w takim przypadku zastosowanie?

 

Najprostsza odpowiedź na pierwsze pytanie brzmi: tak, z automatyką przemysłową może wiązać się przetwarzanie danych osobowych w sytuacji, gdy systemy, oprogramowanie lub urządzenia zbierają informacje o ich użytkownikach (operatorach). Najczęściej informacje te będą przyjmowały postać logów opisujących parametry operacji wykonywanych przez użytkowników (operatorów), umożliwiających ich zidentyfikowanie. W takim przypadku będą one stanowiły dane osobowe.

Oczywiście oprócz logów możliwe jest zbieranie innych informacji o użytkownikach w zależności od sposobu korzystania ze sprzętu komputerowego (np. korzystanie z portów, nośników itp.). oraz dostępnych programów (monitoring poczty elektronicznej w przypadku korzystania ze skrzynki pocztowej na urządzeniu wykorzystywanym także w automatyce przemysłowej). Dodatkowym problemem z punktu widzenia zagrożeń dla bezpieczeństwa automatyki przemysłowej może być brak jej separacji od innych sieci i systemów (w tym także Wi-Fi, co ciągle się zdarza, por. decyzja PUODO z dnia 11 stycznia 2021 r., DKN.5130.2815.2020).

Poza powyższymi obszar działania systemów automatyki przemysłowej może podlegać monitoringowi wizyjnemu. Zresztą należy zauważyć, że w zasadzie każda z przesłanek dopuszczalności monitoringu wizyjnego opisana w Kodeksie pracy (bezpieczeństwo osób, ochrona mienia, kontrola produkcji czy zapewnienie poufności informacji) może opisywać bezpieczeństwo automatyki przemysłowej. Biorąc pod uwagę niedawne doniesienia o przełamaniu zabezpieczeń, czego konsekwencją było zatrucie wody poprzez zmianę parametrów jej pitności, można wręcz przyjąć, że bezpieczeństwo osób to nie tylko bezpieczeństwo pracowników i że ma zasadnicze znaczenie w bezpieczeństwie automatyki przemysłowej. Oczywiście monitoring wizyjny nie jest przeznaczony do minimalizacji zagrożeń związanych z przełamaniem zabezpieczeń informatycznych, ale stanowi z pewnością jeden z elementów szeroko rozumianego bezpieczeństwa automatyki przemysłowej, a także wdrażanego również w Europie na coraz szerszą skalę Internetu Rzeczy, w którym monitoring wizyjny pełni bardzo ważną funkcję.

 

> OT w organizacji

Problem często polega na tym, że zabezpieczając IT, zapominamy o istnieniu i potrzebach OT. A te są w obecnych czasach wcale niemałe i nie mniej istotne niż potrzeby klasycznych systemów informatycznych służących do przechowywania, wyszukiwania i wysyłania informacji. Niektórzy wciąż pamiętają historię Stuxnet, dla innych większe znaczenie ma niedawna informacja o zatruciu wody. Jednocześnie samo zagadnienie bezpieczeństwa OT cieszy się dużo mniejszym zainteresowaniem prawodawcy, mimo obowiązywania choćby ustawy o krajowym systemie cyberbezpieczeństwa. Przyczyną najprawdopodobniej są dużo mniej spektakularne kary niż w przypadku np. rodo. Wydaje się jednak, że przyszłość to także większe zainteresowanie bezpieczeństwem OT, zwłaszcza że częstym problemem jest obecnie zagadnienie konwergencji IT/OT. Samo OT to nic innego jak sprzęt i oprogramowanie, które wykrywa lub powoduje zmianę poprzez bezpośrednie monitorowanie
lub kontrolę urządzeń przemysłowych, aktywów, procesów i zdarzeń.

Dodatkowo źródła ryzyk i podatności dla systemów automatyki przemysłowej wydają się być zazwyczaj nie do pomyślenia w przypadku systemów IT. Przyjmuje się jednak, że najczęstszą ich przyczyną jest brak świadomości zagrożeń po stronie organizacji, stosowanie stosunkowo starych protokołów oraz urządzeń, a problemy audytowe związane są choćby z brakiem możliwości rejestrowania zdarzeń oraz dostępów. W pozostałym zakresie – nihil novi: wyciek danych lub naruszenie ich integralności (fałszowanie, manipulacja), manipulacja urządzeniem i nieautoryzowana zmiana jego konfiguracji (także zakłócanie jego pracy, podszywanie się, hakowanie i szpiegowanie urządzeń), wykorzystanie luki w zabezpieczeniach (zwłaszcza w przypadku starszych i niejednokrotnie nieposiadających żadnych zabezpieczeń protokołów i urządzeń) czy też brak aktualizacji oprogramowania. Same zagrożenia wynikają z kolei ze złośliwego oprogramowania, ransomware, ataków typu ATP, ataków na hasła.

Podsumowując, z jednej strony systemy automatyki przemysłowej są narażone na powszechnie znane zagrożenia wykorzystujące znane podatności, a jednocześnie niejednokrotnie są one bagatelizowane w związku z brakiem stosownych wymagań prawnych w tym zakresie. Jednakże w przypadku systemów automatyki przemysłowej z uwagi na obecność użytkowników (operatorów) oraz fakt dostępu do internetu nie ulega wątpliwości, że wdrożenie rozwiązań z zakresu monitoringu powinno stanowić jeden z elementów ich bezpieczeństwa.

 

> Monitoring użytkowników

Rodo w motywie 49 wskazuje na dopuszczalność przetwarzania danych osobowych pochodzących z monitoringu użytkownika. Zgodnie z jego treścią „przetwarzanie danych osobowych w zakresie bezwzględnie niezbędnym i proporcjonalnym do zapewnienia bezpieczeństwa sieci i informacji – tj. zapewnienia odporności sieci lub systemu informacyjnego na danym poziomie poufności na przypadkowe zdarzenia albo niezgodne z prawem lub nieprzyjazne działania naruszające dostępność, autentyczność, integralność i poufność przechowywanych lub przesyłanych danych osobowych – oraz bezpieczeństwa związanych z nimi usług oferowanych lub udostępnianych poprzez te sieci i systemy przez organy publiczne, zespoły reagowania na zagrożenia komputerowe, zespoły reagowania na komputerowe incydenty naruszające bezpieczeństwo, dostawców sieci i usług łączności elektronicznej oraz dostawców technologii i usług w zakresie bezpieczeństwa jest prawnie uzasadnionym interesem administratora, którego sprawa dotyczy. Może to obejmować na przykład zapobieganie nieuprawnionemu dostępowi do sieci łączności elektronicznej i rozprowadzaniu złośliwych kodów, przerywanie ataków typu „odmowa usługi”, a także przeciwdziałanie uszkodzeniu systemów komputerowych i systemów łączności elektronicznej”.

Zasadnicze znaczenie dla monitoringu użytkowników (operatorów) systemów automatyki przemysłowej ma regulacja zawarta w art. 22 (3) § 1–4 kp (patrz ramka „Art. 22 (3) Monitoring poczty elektronicznej”), a także na skutek odesłania zawartego w art. 22 (3) § 3 kp regulacja zawarta w art. 22 (2) § 1–10 kp (patrz ramka „Art. 22 (2) Monitoring w zakładzie pracy”).

 

[...]

 

Adwokat, inspektor ochrony danych, wykładowca, publicysta, audytor wewnętrzny normy PN-ISO/IEC 27001:2014-12. Ukończył kurs „Data Protection and Privacy Rights” organizowany przez Radę Europy Help Programme, kurs „Cybersecurity for Critical Urban Infrastructure” prowadzony przez Massachusetts Institute of Technology oraz kurs „Cybersecurity Risk Management” prowadzony przez Rochester Institute of Technology.

Artykuł pochodzi z miesięcznika: IT Professional

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"