Jarosław Śliwa – dyrektor ds. Konstrukcyjnych i Inwestycyjnych w firmie Weldon.

– Firma działa w branży metalowej, wykonujecie m.in. konstrukcje stalowe – skąd wzięła się potrzeba ochrony przed cyberatakami w takiej branży?
Dzięki naszej współpracy z ERGO Hestią dowiedzieliśmy, że wchodzi nowe rozporządzenie dotyczące ochrony danych osobowych i każdy przedsiębiorca musi się odpowiednio zabezpieczyć przed ich – utratą.

– Jakie dane „newralgiczne” posiadacie, które wymagają specjalnych zabezpieczeń?
Przede wszystkim musimy spełniać wymagania rynku, na którym funkcjonujemy. Jednym z nich jest konieczność posiadania wielu certyfikatów i systemów zarządzania, takich jak na np. AQUAP. To jest system dla dostawców działających w branży wojskowej i pokrewnych. Są tam specyficzne wymagania m.in. odnośnie posiadania kancelarii do przechowywania różanego typu danych w tym tajnych. Bezpieczeństwo tego typu danych jest bardzo ważne i stanowi element dbałości przedsiębiorstwa o swoich klientów.
Drugim motywatorem jest chęć podzielenia się z kimś ryzykiem, jakie może powstać w przypadku ewentualnego cyberataku. Nasze maszyny produkcyjne są zaawansowane technologicznie, i działają w oparciu o kody programowe. Chcemy się zabezpieczyć, a potem ubezpieczyć na wypadek zatrzymania produkcji w efekcie cyberataku, wypływu danych czy wrogiego wyprowadzenia danych . Posiadając drogie maszyny od dostawców z zagranicy ich serwisowanie przez specjalistów z różnych krajów jest kosztowne. Chcemy w maksymalny sposób ograniczyć konieczność korzystania z ich usług.
Poza tym uczymy się na doświadczeniach – nie tylko własnych. Niedawno widziałem pięknego robota spawalniczego, który gubi ścieżki kodowania podczas spawania i to nie było spowodowane uszkodzeniem mechanicznym, tylko błędem czytania oprogramowania, przepływu danych. I teraz musimy sobie zadać pytanie, czy haker może się „włamać” i przejąć kontrolę nad takim urządzeniem w naszej firmie? Chcemy i musimy się zabezpieczyć również przed takim ryzykiem.

– Zakłady produkcyjne, malarnia, zakład cynkowania ogniowego – jak to można zaatakować zdalnie?
Wszystkie maszyny są sterowane numerycznie. Wytwarzają kody, które przesyłamy przez system wi-fi lub polaczeniem kablowym i tak przenosimy na dysk do urządzeń, , które dodatkowo mają zdolność łączenia z wewnętrznym intranetem. Te dane cały czas się obsługuje, ktoś je przetwarza, ktoś musi nad nimi panować. Jeśli w procesie produkcji dojdzie do błędu, który wyjdzie finalnie z maszyn – to taki błąd skutkuje z reguły potężnymi startami. Poza tym są rzeczy, których naprawić się już nie da. Nie możemy sobie na to pozwolić. Tworzenie świetnych produktów, które finalnie, na skutek błędu lub ingerencji z zewnątrz, zostaną źle wyprodukowane, jest niemożliwe do zaakceptowania z punktu widzenia celu biznesowego firmy. Zespoły projektowe i wykonawcze muszą wykonywać swoje zadania ze 100 % pewnością. Jednak nie tylko od nich zależy efekt finalny. Może zdarzyć się działanie nieporządne, które musimy wyeliminować.

– Zatrudniacie ok. 550 pracowników –często to właśnie ludzie są najsłabszym ogniwem w łańcuchu bezpieczeństwa. Jak Państwa pracownicy są przygotowani na zagrożenia nowej, cyfrowej gospodarki?
W technologicznym ciągu zdarzeń, zdecydowanie to człowiek jest często najsłabszym ogniwem. Dlatego warto przeprowadzić szkolenia z zakresu cyberbezpieczeństwa, jakie prowadzi ERGO Hestia. W ten sposób możemy uświadomić każdemu w firmie, że każdy z nas pracując na komputerze wytwarza i dystrybuuje dane. Niektóre z nich należą do kategorii danych osobowych lub takich, na których zależy innym. Dzięki szkoleniom nasi pracownicy z działów technicznych mają taką świadomość. Ludzie pracujący wiele lat z użyciem danych muszą je odpowiednio chronić.

– Dziś w Państwa firmie wykonywane są pen-testy, czyli – mówiąc w uproszczeniu – badanie odporności na ataki hakerskie. Czy planują Państwo dalszą współpracę z Hestią Loss Control?
Odpowiedź na to pytanie znajdziemy w protokole po pentestach, gdy zobaczymy wyniki prowadzonych obecnie działań. Podobnie jak w życiu – każdy w jakiś sposób się zabezpiecza i myśli, że to jest najwyższy możliwy poziom bezpieczeństwa, jaki mógł osiągnąć. To działa dopóki ktoś nie wyprowadzi nas z błędu… Dlatego moim zdaniem w każdej dziedzinie warto poznać swojego kontrolera i nie chodzi o to, aby pokazał nam, jak jesteśmy głupi, tylko abyśmy razem zastanowili się, jak być mądrzejszym.
Bardzo interesuje mnie wynik pentestów. Przede wszystkim źródło powstania i generowania dziur w systemach.. Bo że gdzieś są – każdy o tym wie, trudniej już jednak je zlokalizować. W tym miejscu muszę podkreślić, że działanie inżynierów z Hestii Loss Control w żaden sposób nie dyskredytuje działu IT wręcz przeciwnie – tutaj chodzi o współpracę oraz wymianę wiedzy i doświadczeń. Gdybyśmy uważali się za nieomylnych w swojej branży czy dziedzinie, którą się zajmujemy, nie byłoby tych badań. Zrobilibyśmy w mojej ocenie ważny krok naprzód. Chcemy, aby poziom techniczny, poziom świadomości, a co za tym idzie poziom ogólnej współpracy, był coraz wyższy w naszej firmie dlatego, musimy prowadzić takie działania. To inwestycja nie tylko w zabezpieczenie ale i w świadomość chronienia własnych danych.

About the author

POLECANE DLA CIEBIE