Audyt bezpieczeństwa sieci w fabryce.

Przez
Filip Witkowski
-
0
26
1.5/5 - (2 votes)

Nawigacja:

Po co fabryce audyt bezpieczeństwa sieci? Kontekst biznesowy i techniczny

Realne zagrożenia dla sieci przemysłowej

Sieć w fabryce to dziś krwioobieg całego zakładu. Jeśli staje sieć, staje produkcja. Jeśli ktoś przejmie sterowanie, zagrożone są nie tylko maszyny, lecz także ludzie. Dlatego audyt bezpieczeństwa sieci w fabryce nie jest „fanaberią IT”, tylko narzędziem do panowania nad ryzykiem.

Jakie zagrożenia uderzają najczęściej w sieci przemysłowe?

  • Cyberatak – ransomware szyfrujące serwery produkcyjne, włamanie przez źle zabezpieczony zdalny dostęp, atak na sterowniki PLC przez podatne protokoły.
  • Sabotaż – celowe działania wewnątrz organizacji (np. niezadowolony pracownik, podwykonawca), który ma fizyczny lub logiczny dostęp do sieci.
  • Przypadkowa awaria – błędna konfiguracja przełącznika, aktualizacja oprogramowania bez testów, uszkodzenie kabla lub zasilania w szafie sterowniczej.
  • Błąd człowieka – podpięcie prywatnego routera Wi-Fi, wgranie złej wersji programu do PLC, podłączenie zainfekowanego pendrive’a.

Pytanie kontrolne: który z tych scenariuszy jest dziś u Ciebie najbardziej prawdopodobny? Bez odpowiedzi na to pytanie audyt bezpieczeństwa sieci przemysłowej będzie suchym ćwiczeniem, a nie realnym wsparciem dla biznesu.

Skutki biznesowe: przestoje, straty i odpowiedzialność

Bezpieczeństwo OT i IT w fabryce przestaje być tematem dla techników, gdy na stół trafiają twarde liczby. Zastanów się: ile kosztuje jedna godzina przestoju Twojej produkcji? Weź pod uwagę:

  • koszt niewyprodukowanego asortymentu,
  • karne opłaty za niedostarczenie zamówień do kluczowych klientów,
  • nadgodziny, restart linii, dodatkowe testy jakościowe po awarii,
  • ryzyko uszkodzenia maszyn (np. nagłe zatrzymanie, rozjechanie receptur, złe parametry procesu).

Do tego dochodzi warstwa prawna i reputacyjna:

  • RODO – jeżeli na serwerach sieci fabrycznej masz dane osobowe (HR, monitoring wizyjny, systemy przepustek), wyciek może oznaczać kary i postępowanie z UODO.
  • tajemnica przedsiębiorstwa – receptury, konfiguracje maszyn, parametry procesów, dane klientów i dostawców.
  • wymogi klientów – część koncernów wymaga określonych standardów bezpieczeństwa łańcucha dostaw, w tym audytów bezpieczeństwa.

Audyt bezpieczeństwa sieci w fabryce ma więc wymiar bardzo prosty: albo płacisz kontrolowanie za audyt i poprawę systemu, albo ryzykujesz niekontrolowany rachunek po incydencie.

Bezpieczeństwo IT vs OT: różne priorytety, wspólne konsekwencje

W biurze głównym priorytetem jest zwykle poufność danych. W halach produkcyjnych priorytet się odwraca – na pierwszym miejscu stoi dostępność i bezpieczeństwo procesu. Co Cię bardziej boli: wyciek pliku Excel czy zatrzymanie linii produkującej kluczowy komponent?

W środowisku IT typowa triada to: poufność, integralność, dostępność (CIA). W OT kolejność zmienia się na: bezpieczeństwo ludzi, dostępność, integralność, dopiero potem poufność. Dlatego narzędzia i procedury z klasycznego IT nie przeniosą się 1:1 na sieć przemysłową.

Przykład: w IT możesz zrestartować serwer po nieudanej aktualizacji. W OT restart sterownika PLC w złym momencie może zatrzymać piec, prasę lub roboty w trakcie cyklu – grozi to nie tylko złomem produkcyjnym, lecz także zagrożeniem dla operatorów.

Kiedy audyt staje się pilny, a nie „na kiedyś”

Niektóre sytuacje są wyraźnym sygnałem, że audyt bezpieczeństwa sieci przemysłowej nie powinien być odkładany:

  • Nowa linia produkcyjna lub modernizacja istniejącej – pojawiają się nowe sterowniki, systemy SCADA, często „tymczasowe” obejścia, które potem zostają na stałe.
  • Świeży incydent – atak ransomware, podejrzane logowania, nietypowe zachowanie sieci, niespodziewany przestój z niejasną przyczyną.
  • Wymóg klienta lub ubezpieczyciela – audyt jako warunek kontraktu lub lepszych warunków polisy.
  • Rosnąca złożoność – coraz więcej zdalnych dostępów, integracji z ERP, systemów wizyjnych, IoT, a dokumentacja i zasady nie nadążają.

Co wyzwala temat u Ciebie – realny problem techniczny, presja biznesowa, czy raczej „czujesz, że to już za duże ryzyko, żeby je ignorować”?

Specyfika sieci w fabryce: co trzeba zrozumieć zanim zaczniesz audyt

Elementy, które tworzą sieć przemysłową

Sieć w zakładzie produkcyjnym to nie tylko przełączniki i routery. To ekosystem wielu warstw: od sterownika na maszynie po integrację z systemem ERP w centrali. Typowe elementy, które audyt bezpieczeństwa sieci w fabryce musi objąć, to między innymi:

  • Sterowniki PLC – serce linii, zarządza wejściami/wyjściami, logiką procesu. Często mają stare firmware, słabe lub brak uwierzytelniania.
  • Panele HMI – interfejs operatora, pozwala zmieniać receptury, parametry procesu, start/stop. Często z Windows lub wbudowanym systemem, nierzadko bez aktualizacji.
  • Systemy SCADA/MES – nadzorują procesy, zbierają dane, raportują produkcję. Wiele z nich ma szeroki dostęp do sterowników i baz danych.
  • Serwery receptur i konfiguracji – przechowują kluczowe parametry produktów, ustawienia maszyn, wzorce testów.
  • Systemy wizyjne – kamery kontrolne, systemy odczytu kodów, inspekcja jakości.
  • Roboty i kontrolery ruchu – często z własnymi sieciami, protokołami i narzędziami serwisowymi.
  • Magazyny automatyczne – systemy WMS, układnice, przenośniki, zintegrowane z ERP i produkcją.
  • Systemy pomocnicze – HVAC, BMS, sprężarkownie, oczyszczalnie, stacje energetyczne, CCTV, przeciwpożarowe – też zwykle wpięte w sieć.

Jaki element Twojej infrastruktury ma dziś największy wpływ na ciągłość produkcji, a jest konfigurowany „od zawsze tak samo” bez refleksji nad bezpieczeństwem?

Protokoły przemysłowe a klasyczne IT

W sieciach biurowych dominuje HTTP(S), SMB, DNS, poczta, VPN. W fabryce pojawiają się dodatkowo protokoły przemysłowe, które historycznie projektowano pod kątem niezawodności i prostoty, a nie bezpieczeństwa:

  • Modbus/TCP – bardzo prosty, często bez uwierzytelniania, popularny w sterowaniu i integracjach.
  • Profinet – standard w wielu liniach opartych o sterowniki Siemensa.
  • EtherNet/IP – często spotykany w środowiskach Rockwell/Allen-Bradley.
  • OPC UA – nowocześniejszy, z opcją szyfrowania i uwierzytelniania, ale w praktyce różnie konfigurowany.

Wiele z tych protokołów nie ma natywnych mechanizmów bezpieczeństwa. To oznacza, że każdy, kto dostanie się do odpowiedniego segmentu sieci, może potencjalnie wysyłać komendy do sterowników. Dlatego audyt bezpieczeństwa sieci przemysłowej musi brać pod uwagę nie tylko „czy jest firewall”, ale jak wygląda ruch i kto może go generować.

Dziedziczone systemy i „czarne skrzynki” od dostawców

W wielu fabrykach funkcjonują systemy sprzed kilkunastu lat, często kupione „pod klucz” od integratora. Działają, produkują, nikt nie chce ich ruszać. Znasz to?

Typowe problemy z takimi systemami:

  • brak aktualnej dokumentacji sieciowej i konfiguracyjnej,
  • system operacyjny bez wsparcia (np. Windows XP/7, stare Linuxy),
  • aplikacje producenta, których nie da się zaktualizować bez kosztownego upgrade’u całej linii,
  • „czarne skrzynki” – urządzenia, do których dostęp i wiedzę ma tylko dostawca linii.

Audyt bezpieczeństwa sieci w fabryce musi uderzyć w ten problem delikatnie, ale zdecydowanie. Nie da się wyeliminować wszystkich legacy systemów, ale można je izolować, otoczyć dodatkowymi zabezpieczeniami, wprowadzić procedury awaryjne i kontrolować z kim się komunikują.

Połączenia między IT a OT: mosty, przez które przychodzi ryzyko

Dawniej sieci przemysłowe były odseparowane. Dziś zwykle są połączone z siecią biurową i internetem, choćby pośrednio. Powody są biznesowo sensowne:

  • integracja z ERP – planowanie produkcji, zlecenia, raportowanie.
  • raportowanie do centrali – dane produkcyjne, OEE, zużycie energii.
  • zdalny serwis – dostawcy maszyn i linii potrzebują łączyć się zdalnie do diagnozy i wsparcia.
  • podłączanie laptopów serwisowych, pendrive’ów, czasem hotspotów LTE lub prywatnych Wi-Fi.

Każde takie połączenie to nowy wektor ataku. Pytanie brzmi: czy wiesz, przez które konkretnie punkty Twoja sieć przemysłowa ma kontakt z internetem i innymi sieciami? Jeśli odpowiedź brzmi „mniej więcej tak”, to inwentaryzacja i audyt są pilne.

Nowoczesna serwerownia z podświetlonym na niebiesko sprzętem sieciowym
Źródło: Pexels | Autor: panumas nikhomkhai

Przygotowanie do audytu: cele, zakres i interesariusze

Ustalenie celu audytu bezpieczeństwa sieci w fabryce

Bez jasnego celu audyt łatwo zamienia się w gruby raport, który ląduje w szufladzie. Co chcesz osiągnąć?

  • Zgodność z wymaganiami – np. klient oczekuje standardu zbliżonego do ISO/IEC 62443 lub wewnętrznych wytycznych koncernu.
  • Redukcja ryzyka – po incydencie lub w obliczu rosnących integracji chcesz świadomie obniżyć prawdopodobieństwo przestojów i ataków.
  • Wycena inwestycji – potrzebujesz twardych argumentów i priorytetów, aby wystąpić o budżet na modernizację sieci przemysłowej.
  • Przegląd przed dużą zmianą – szykujesz digitalizację, wdrożenie MES, IoT i musisz poznać aktualny stan.

Pytanie: czy Twoim celem jest „papier do szuflady”, czy realna zmiana sposobu działania? Jeśli to drugie, musisz od początku włączyć w proces ludzi, którzy potem będą wdrażać rekomendacje.

Definiowanie zakresu audytu: gdzie są granice

Audyt bezpieczeństwa sieci w fabryce można zrobić w stylu „wszystko i wszędzie” albo etapami. W praktyce lepiej z góry ustalić realistyczny zakres, np.:

  • które hale i linie wchodzą do audytu,
  • jakie systemy: wyłącznie OT, czy także powiązane systemy IT (ERP, magazyn, raportowanie),
  • czy obejmujesz systemy pomocnicze: HVAC, BMS, CCTV, kontrola dostępu, stacje energetyczne, przepompownie,
  • czy badany będzie także zdalny dostęp (VPN, serwery zdalne, modemy LTE),
  • jak podchodzisz do systemów krytycznych, których nie można obciążyć testami (tylko analiza pasywna i konfiguracji).

Im bardziej precyzyjny zakres, tym mniejsze ryzyko rozczarowania po obu stronach: biznesu i audytorów. Przy okazji pojawia się pytanie: co w Twojej fabryce jest „zbyt wrażliwe, żeby dotykać” – i czy na pewno masz tam kontrolę?

Kogo trzeba zaangażować, aby audyt miał sens

Audyt bezpieczeństwa sieci przemysłowej to projekt przekrojowy, nie działa dobrze w trybie „tylko IT” albo „tylko utrzymanie ruchu”. Potrzebni są przynajmniej:

  • Produkcja – kierownicy linii, liderzy zmian; znają procesy, wrażliwe miejsca i ograniczenia czasowe.
  • Utrzymanie ruchu / automatyka – znają sterowniki, szafy, zależności między maszynami, mają kontakty do integratorów.
  • IT – odpowiada za infrastrukturę sieciową, serwery, backupy, monitoring.
  • BHP i bezpieczeństwo fizyczne – widzą aspekty bezpieczeństwa ludzi, dróg ewakuacji, kontroli dostępu.
  • Dostawcy linii – często konieczna jest ich wiedza i zgoda na pewne testy lub zmiany.
  • Zarząd / dyrekcja – bez ich wsparcia trudno o budżety i egzekwowanie rekomendacji.

Jak zaplanować komunikację i harmonogram audytu

Technicznie audyt da się zrobić „po cichu”. Tylko pytanie: czy chcesz mieć zespół, który z Tobą współpracuje, czy taki, który blokuje każde działanie, bo „znowu ktoś z zewnątrz przyszedł wszystko namieszać”?

Na etapie planowania zaplanuj nie tylko zakres, ale też jak audyt będzie „widoczny” w organizacji:

  • Komunikat startowy – kilka prostych informacji: po co jest audyt, kto go prowadzi, czego nie będzie wolno (np. podłączania własnych access pointów), do kogo zgłaszać problemy.
  • Harmonogram prac – kiedy mogą pojawić się krótkie przerwy, kiedy ktoś przyjdzie „do szafy”, kiedy będzie zbierany wywiad z operatorami i UR.
  • „Strefy ciszy” – zmiany, linie lub okresy, których audyt nie dotyka w godzinach szczytowej produkcji.
  • Procedura „stop” – kto może wstrzymać działania audytowe, jeśli pojawi się realne zagrożenie dla bezpieczeństwa ludzi lub produkcji.

Zadaj sobie pytanie: kto w Twojej fabryce dowie się o audycie jako pierwszy – dyrekcja, mistrz zmiany czy pracownik słyszący plotkę w szatni? To często ustawia nastawienie całego zespołu.

Inwentaryzacja zasobów: co jest w sieci naprawdę, a nie tylko na papierze

Dlaczego dokumentacja z szafy nie wystarczy

W wielu zakładach segregator z „dokumentacją sieci” ma wiek podobny do najstarszej linii. Aktualizacje robi się „przy okazji”, czyli nigdy. Efekt? Teoretycznie wiesz, co masz, a praktycznie – liczysz na szczęście.

Inwentaryzacja w audycie bezpieczeństwa ma odpowiedzieć na kilka prostych, ale niewygodnych pytań:

  • jakie urządzenia są faktycznie podłączone do sieci (nie tylko planowane),
  • jakie mają adresy IP, MAC, role,
  • gdzie kończą się sieci „tymczasowe”, które działają od pięciu lat,
  • jakie urządzenia komunikują się ze sobą w praktyce, a nie w projekcie.

Pytanie do Ciebie: kiedy ostatnio ktoś fizycznie otwierał szafy, porównując je z rysunkami sieci? Jeśli odpowiedź to „przy dużej awarii”, inwentaryzacja będzie pierwszym poważnym zderzeniem z rzeczywistością.

Metody zbierania informacji o infrastrukturze

Inwentaryzacja nie musi oznaczać tygodni „biegania z kartką”. Da się ją prowadzić kilkoma torami równolegle:

  • Przegląd fizyczny – przejście po szafach, oznaczenie przełączników, routerów, firewalli, punktów dostępowych; robienie zdjęć, zbieranie numerów seryjnych.
  • Odczyt konfiguracji urządzeń sieciowych – eksport konfiguracji z przełączników i routerów (VLAN-y, routing, listy ACL, tablice ARP/MAC).
  • Skany sieci – ostrożne skanowanie wybranych segmentów, z zachowaniem zasad bezpieczeństwa dla OT (pasywne lub bardzo ograniczone aktywne skany).
  • Wywiad z zespołami – rozmowy z UR, automatyką i IT: gdzie są „dziwne” połączenia, które nie przeszły formalnym projektem.

Kluczowa decyzja: jak agresywne mogą być skany i testy? W środowiskach wrażliwych (stare PLC, protokoły bez kontroli) bezpieczniej oprzeć się na konfiguracjach i ruchu pasywnym niż na „pełnym” skanowaniu portów.

Jak katalogować urządzenia OT, by miało to sens

Zebrane dane trzeba uporządkować. Zamiast tworzyć kolejny „ładny, ale martwy” arkusz, przygotuj minimum, które będzie żyło także po audycie. Dobrze, jeśli każde urządzenie ma przynajmniej:

  • unikalny identyfikator (oznaczenie w zakładzie, numer szafy, numer linii),
  • typ i producenta (np. PLC Siemens, robot Fanuc, HMI B&R),
  • lokalizację (hala, linia, numer szafy, pozycja na planie),
  • adres(y) sieciowe (IP, VLAN, podsieć, ewentualnie adresy w sieciach polowych),
  • rolę w procesie (krytyczny dla produkcji, wsparcie, system pomocniczy),
  • właściciela biznesowego (kto odpowiada: produkcja, UR, energetyka, logistyka),
  • informacje o wersjach (firmware, system operacyjny, wersja aplikacji).

Zapytaj siebie: czy w razie incydentu potrafisz w 5 minut odpowiedzieć, jakie urządzenia znajdują się w danej podsieci i kto jest za nie odpowiedzialny? Jeśli nie, katalog aktywów musi być jednym z głównych efektów audytu.

Wykrywanie „dzikich” elementów infrastruktury

W każdej fabryce są niespodzianki: switch kupiony „na szybko” z marketu, stary router z Wi-Fi, modem LTE zawieszony w szafie, laptop serwisowy na stałe podpięty do sieci PLC.

Podczas inwentaryzacji warto świadomie polować na takie elementy:

  • sprzęt bez oznaczeń i wpisu w dokumentacji,
  • punkty Wi-Fi, o których nikt oficjalnie nie wie,
  • modemy GSM/LTE, przejściówki Ethernet–LTE,
  • laptopy serwisowe pełniące rolę „bridge” między różnymi sieciami.

Dobre pytanie kontrolne: jeśli odłączysz „podejrzany” przełącznik, ile osób zadzwoni w ciągu 10 minut? Odpowiedź pokaże, na ile dzikie elementy są wpięte w krytyczne procesy.

Mapowanie przepływów danych między strefami

Same listy urządzeń nie pokażą, gdzie realnie płynie ryzyko. Trzeba zrozumieć, które systemy rozmawiają ze sobą, w jakim kierunku i w jakim celu. To nie musi być super dokładny diagram od 1. dnia; ważne są główne kanały:

  • połączenia między ERP / BI / systemami centralnymi a siecią produkcyjną,
  • przepływ danych pomiędzy SCADA/MES a sterownikami i bazami danych,
  • komunikacja między liniami produkcyjnymi a systemami magazynowymi,
  • kanały zdalnego serwisu do poszczególnych maszyn i linii.

Zadaj sobie pytanie: czy potrafisz na kartce narysować główne strzałki danych z i do Twojej hali? Jeśli nie, mapowanie flows będzie dla Ciebie jednym z najbardziej otwierających oczy etapów audytu.

Dłoń technika regulująca sprzęt sieciowy w centrum danych fabryki
Źródło: Pexels | Autor: panumas nikhomkhai

Analiza ryzyka w środowisku produkcyjnym

Jak definiować ryzyko, gdy „czas to pieniądz (i złom)”

W biurze incydent bezpieczeństwa to często utrata danych lub chwilowy brak dostępu do systemu. Na produkcji każdy przestój pierwszej linii przekłada się na realne straty, opóźnienia dostaw, a czasem złom produkcyjny. Ryzyko ma więc inne wagi.

Ryzyko w sieci fabrycznej można opisać przez trzy proste pytania:

  • co może pójść źle (scenariusz incydentu),
  • jakie będą konsekwencje (ludzie, produkcja, środowisko, reputacja),
  • jakie jest prawdopodobieństwo (biorąc pod uwagę aktualne zabezpieczenia i podatności).

Pomyśl konkretnie: czy bardziej boisz się wycieku danych, tygodniowego przestoju, czy sytuacji zagrażającej zdrowiu ludzi? Ta hierarchia pomaga później ustawiać priorytety rekomendacji.

Identyfikacja scenariuszy zagrożeń specyficznych dla OT

Standardowe słowniki zagrożeń IT (ransomware, phishing, DDoS) są nadal aktualne, ale w OT dochodzą specyficzne scenariusze. Podczas audytu warto nazwać je po imieniu, np.:

  • nieautoryzowana zmiana receptury lub parametrów procesu (np. temperatura, czas obróbki),
  • zatrzymanie lub rozregulowanie linii poprzez sterownik lub system nadrzędny,
  • manipulacja pomiarami (systemy wizyjne, czujniki, wagi), co prowadzi do przepuszczania wadliwego produktu,
  • blokada systemów logistycznych (magazyny automatyczne, WMS), zatrzymująca cały przepływ materiałów,
  • nadużycia zdalnego serwisu (przejęte konta dostawcy, tunel do sieci PLC).

Zadaj sobie pytanie: który z tych scenariuszy, jeśli wystąpi jutro rano, wywoła największy chaos u Ciebie na zakładzie? To są obszary, które w analizie ryzyka dostają najwyższy priorytet.

Ocena wpływu incydentów: produkcja, ludzie, środowisko

Nie każdy incydent ma tylko wymiar finansowy. Na etapie audytu dobrze jest wspólnie z BHP, produkcją i energetyką określić, co dla Was znaczy „poważny” incydent. Można posłużyć się prostą siatką:

  • Bezpieczeństwo ludzi – ryzyko urazów, wypadków, sytuacji zagrożenia życia.
  • Ciągłość produkcji – czas zatrzymania, wpływ na kluczowe linie, możliwość przepięcia produkcji na inne zakłady.
  • Jakość i zgodność produktu – ryzyko reklamacji, zwrotów, wycofań z rynku.
  • Środowisko – ryzyko wycieków, emisji, naruszenia norm środowiskowych.
  • Reputacja i umowy – kary umowne, utrata zaufania kluczowych klientów.

Dobre ćwiczenie: weź jedną linię produkcyjną i przejdź z zespołem scenariusz „linia stoi przez 24 godziny z powodu incydentu w sieci”. Co dokładnie się dzieje? Kogo trzeba powiadomić? Jak liczysz straty? Taka rozmowa bardzo urealnia analizę ryzyka.

Łączenie podatności technicznych z realnym ryzykiem

Wyniki skanów i przeglądu konfiguracji pokażą dziesiątki, czasem setki „podatności”. Samo ich wymienienie niewiele daje. Potrzebne jest przełożenie na konkret: co z tego wynika dla Twojej fabryki.

Podczas audytu dobrze działa proste podejście:

  1. Identyfikacja podatności (np. stary firmware PLC, brak hasła do HMI, otwarte porty do całego świata).
  2. Przypisanie do konkretnego zasobu i procesu (jaką linię to dotyczy, jakiego produktu, jakiego etapu).
  3. Opis potencjalnego scenariusza nadużycia (co może zrobić osoba z dostępem do tej podatności).
  4. Ocena prawdopodobieństwa i wpływu razem z biznesem.

Zamiast setek „CVSS 9.8” w raporcie, wolisz mieć 10 jasno opisanych scenariuszy: „przez ten otwarty port można zatrzymać tę konkretną linię, co kosztuje X dziennie”. Taki język rozumie zarząd i kierownicy produkcji.

Priorytetyzacja działań: co naprawiać najpierw

Analiza ryzyka prowadzi do kluczowego wniosku: nie da się naprawić wszystkiego od razu. Trzeba wybrać, czym zająć się w pierwszej kolejności. Kryteria mogą być proste:

  • wysokie ryzyko dla bezpieczeństwa ludzi,
  • poważny wpływ na ciągłość produkcji (kluczowe linie, wąskie gardła),
  • niski koszt i szybki czas wdrożenia („quick wins”),
  • zależności techniczne (co trzeba zrobić, zanim uruchomisz kolejne zabezpieczenia).

Zadaj sobie pytanie: gdybyś miał budżet tylko na 3 zmiany w tym roku, co by to było? Odpowiedź warto skonfrontować z wynikami audytu – często się pokryją, czasem pokażą rozjazd między intuicją a faktami.

Architektura sieci i segmentacja: od chaosu do uporządkowanej struktury

Dlaczego „jedna wielka sieć” to proszenie się o kłopoty

W wielu fabrykach wciąż funkcjonuje model: jedna podsieć dla całej hali, wszystkie urządzenia widzą się nawzajem, a bezpieczeństwo opiera się na „niech nikt obcy tu nie wejdzie”. Do czasu pierwszego zainfekowanego laptopa serwisowego.

Segmentacja sieci to nic innego jak świadome dzielenie jej na strefy o różnym poziomie zaufania i roli. Celem nie jest utrudnianie życia UR czy automatykowi, tylko ograniczenie skutków potencjalnego incydentu: żeby problem na jednej maszynie nie położył całej fabryki.

Zastanów się: czy awaria lub kompromitacja jednego urządzenia może obecnie „przejść” na pozostałe w Twojej sieci? Jeśli tak – segmentacja to nie luksus, tylko konieczność.

Podział na strefy i poziomy: IT, OT i DMZ w praktyce

Punkt wyjścia to odpowiedź na pytanie: ile realnie potrzebujesz stref sieciowych i po co każda z nich istnieje? Nie chodzi o akademicki model, tylko o strukturę, którą da się utrzymać w ruchu fabryki.

Typowy, zdrowy podział obejmuje:

  • Strefę biurową (IT) – komputery użytkowników, drukarki, serwery biznesowe, systemy ERP/BI.
  • Strefę DMZ przemysłową – bufor między IT a OT: serwery pośredniczące, repozytoria plików dla automatyków, jump serwery do zdalnych połączeń, systemy aktualizacji.
  • Strefę nadrzędną OT – SCADA, MES, serwery raportowe OT, bazy danych technologicznych.
  • Strefy linii / komórek produkcyjnych – sieci dla konkretnych linii, gniazd, maszyn; sterowniki, HMI, panele operatorskie.
  • Strefy urządzeń specjalnych – systemy wizyjne, laboratoria, testery, R&D, które rządzą się własnymi prawami.

Zadaj sobie pytanie: gdzie kończy się u Ciebie IT, a zaczyna OT – i czy jest wyraźny „bufor” pomiędzy? Jeśli odpowiedź brzmi „nie wiem” albo „to ten jeden router w korytarzu”, masz pierwszy kandydat do przebudowy.

Zasady komunikacji między strefami: kto z kim i po co

Sam podział na VLAN-y niewiele zmieni, jeśli wszystkie ruchy przepuścisz „bo inaczej nie będzie działać”. Potrzebne są jasne zasady: kto może rozmawiać z kim i w jakim protokole.

Praktycznie możesz zastosować trzy kroki:

  1. Określ cele biznesowe komunikacji – np. „MES musi czytać raporty z linii X”, „serwer aktualizacji ma dostarczać paczki na HMI”. Bez celu nie ma ruchu.
  2. Ogranicz ruch do minimum – konkretny port, konkretny kierunek, tylko wymagane adresy. Zamiast „pełny dostęp do sieci linii”, zadaj pytanie: jaki dokładnie ruch jest niezbędny?
  3. Wprowadź zasadę „deny by default” między strefami – co nie jest jawnie dozwolone, jest blokowane.

Jeśli dziś firewall między IT a OT ma regułę typu „any–any allow, bo kiedyś coś nie działało”, wpisz na listę zadań: posprzątać i uszczelnić reguły po audycie. To jedna z najczęstszych „bomb zegarowych” w fabrykach.

Segmentacja logiczna (VLAN, VRF) kontra fizyczna

Częste pytanie: czy trzeba kupić nową, osobną infrastrukturę dla OT, czy wystarczy sprytne użycie VLAN-ów i routerów? Odpowiedź brzmi: „to zależy, gdzie dziś jesteś”.

Możliwe warianty, które pojawiają się w praktyce:

  • Na start – segmentacja logiczna na istniejących przełącznikach (VLAN + ACL), by szybko odizolować najbardziej krytyczne urządzenia od reszty świata.
  • Dla nowych linii – wydzielona infrastruktura szaf sieciowych i uplinków, z wyraźną granicą do reszty zakładu.
  • Dla usług wspólnych (backupy, monitoring, time server) – oddzielne VRF lub dedykowane interfejsy, zamiast „wszystko jednym tunelem”.

Zadaj sobie pytanie: gdzie fizyczne oddzielenie da Ci największy zysk bezpieczeństwa za rozsądne pieniądze? Czasem jest to jeden kluczowy węzeł, czasem cała strefa R&D, która „kombinuje” z nowymi maszynami.

Strefa zdalnego dostępu: kontrolowane wrota do hali

Zdalny serwis, praca inżynierów z domu, wsparcie dostawcy z zagranicy – to realia większości fabryk. Pytanie brzmi: czy wiesz, którędy ci ludzie faktycznie wchodzą do Twojej sieci?

Dobrą praktyką jest wydzielenie specjalnej strefy dla zdalnego dostępu:

  • VPN kończący się w DMZ OT, a nie bezpośrednio w sieci PLC.
  • Jump serwery (bastion hosty), na których użytkownik loguje się jednym protokołem (np. RDP), a dopiero z nich można łączyć się dalej do urządzeń w OT.
  • Rozdzielenie ról – inny dostęp ma serwisant od producenta maszyny, inny automatyk zakładowy, inny integrator systemów.
  • Sesje nagrywane lub logowane – przynajmniej dla dostawców zewnętrznych i kont o wysokich uprawnieniach.

Zastanów się: czy dzisiaj potrafisz odpowiedzieć, kto wczoraj łączył się zdalnie do konkretnego sterownika? Jeśli nie, segmentacja połączona z bastionami i logowaniem powinna być jednym z priorytetów po audycie.

Separacja sieci produkcyjnych od Wi-Fi i gości

Jednym z najsłabszych punktów bywa „tymczasowe” połączenie: ktoś podłączył access point do gniazdka w hali, żeby mieć Internet na tablecie. Po kilku miesiącach nikt nie pamięta, po co on był, ale dalej działa.

Bezpieczniejszy model to:

  • osobne SSID i VLAN dla gości, z wyjściem wyłącznie do Internetu, bez trasy do OT,
  • oddzielne SSID dla urządzeń produkcyjnych (wózki, skanery, tablety operatorów), spięte z siecią OT przez kontrolowany firewall,
  • zakaz „przedłużania sieci” przez dzikie AP – zapisany w procedurach UR/IT i okresowo weryfikowany podczas przeglądów.

Zadaj sobie pytanie: jeżeli ktoś podłączy dziś tani router Wi-Fi do gniazdka przy linii, kto to zauważy? Jeżeli odpowiedź brzmi „nikt”, masz jasny sygnał, że brakuje zarówno segmentacji, jak i monitoringu.

Integracja starych i nowych technologii bez tworzenia „mostów ryzyka”

W jednej hali spotkasz PLC sprzed kilkunastu lat i nowe maszyny z wbudowanym Windows lub Linux. Te światy komunikują się często przez „sprytne” mosty: laptopy serwisowe, konwertery, mini-routery.

Podczas audytu zwróć uwagę, gdzie powstają takie mosty i zadaj trzy pytania:

  1. Czy to połączenie jest naprawdę konieczne do działania procesu, czy tylko „tak wyszło” przy uruchomieniu?
  2. Czy można je przenieść do kontrolowanej strefy (np. DMZ OT) z monitoringiem?
  3. Czy można zastosować jednokierunkową wymianę danych (data diode, eksport raportów), zamiast pełnego dwukierunkowego dostępu?

Przykład z praktyki: stary PLC, który nie wspiera szyfrowania, komunikuje się z serwerem raportowym. Zamiast pozwalać serwerowi na pełny dostęp do sieci PLC, lepiej postawić pośrednika w DMZ, który sam odpytuje PLC, a na zewnątrz wystawia tylko wyniki.

Standardy i wytyczne jako punkt odniesienia, a nie kajdanki

Przy projektowaniu segmentacji dobrze jest mieć kompas. W środowisku przemysłowym najczęściej pojawiają się takie dokumenty jak IEC 62443 czy NIST SP 800-82. Nie musisz od razu wdrażać każdego paragrafu, ale możesz je wykorzystać jako:

  • listę kontrolną – czy masz strefy i kanały zdefiniowane zgodnie z koncepcją „zones & conduits” (strefy i przewody komunikacyjne),
  • język do rozmowy z dostawcami – „oczekujemy, że Państwa rozwiązanie będzie wspierało segmentację wg IEC 62443”,
  • ramę do dalszych projektów – nowe inwestycje projektujesz już z założeniem odpowiednich stref.

Zadaj sobie pytanie: czy Twoja obecna architektura OT jest udokumentowana w sposób, który da się odnieść do jakiegokolwiek standardu? Jeżeli nie, audyt to dobry moment, żeby choć z grubsza dopasować strategię do jednego z uznanych modeli.

Monitoring ruchu między strefami: „radar” dla sieci fabrycznej

Segmentacja bez wglądu w to, co dzieje się między strefami, szybko zamienia się w „zapomnianą konfigurację”. Pytanie do Ciebie: czy dziś widzisz, jakie nietypowe połączenia pojawiają się między IT a OT?

Elementy, które pomagają:

  • NetFlow/sFlow na routerach i przełącznikach brzegowych – żeby widzieć, jakie adresy i porty generują najwięcej ruchu.
  • IDS/IPS przemysłowe – systemy rozpoznające specyficzne protokoły (Modbus, Profinet, Ethernet/IP) i wykrywające anomalie.
  • Centralne logowanie z firewalli i kluczowych urządzeń, z prostymi alertami (np. nowy typ ruchu między strefą biura a linią).

Nawet prosty krok – raport tygodniowy z listą nowych połączeń między strefami – potrafi ujawnić zaskakujące „skróty”, które ktoś sobie zrobił, żeby „na chwilę coś przetestować”.

Procedury zmian: jak nie zniszczyć segmentacji po pół roku

Nawet najlepsza architektura padnie, jeśli każde uruchomienie maszyny będzie rozwiązywane telefonem: „otwórz mi wszystko, bo nie działa”. Zastanów się: jak dziś wygląda u Ciebie proces dodawania nowego połączenia w sieci OT?

Przydatne są proste zasady:

  • Wniosek o zmianę musi zawierać: cel biznesowy, opis urządzeń, wymagane porty/protokóły, strefy źródła i celu.
  • Odpowiedzialny właściciel procesu akceptuje zmianę (np. kierownik produkcji, szef UR), a nie tylko administrator sieci.
  • Okres testowy – po którym zmiana jest weryfikowana; jeśli nie jest już potrzebna, jest usuwana.
  • Rejestr zmian w regułach – wiesz, kto, kiedy i dlaczego dodał konkretną regułę między strefami.

Zapytaj siebie i zespół: ile reguł firewalli potraficie dziś wytłumaczyć biznesowo, a które są „bo kiedyś coś nie działało”? Wynik tej rozmowy dobrze pokazuje, jak pilnie trzeba uporządkować proces zmian.

Testowanie odporności architektury na incydenty

Po wdrożeniu segmentacji kolejny krok to sprawdzenie, czy faktycznie ogranicza ona skutki problemów. Nie trzeba od razu organizować wielkich ćwiczeń, można zacząć małymi krokami.

Propozycje prostych testów, które często robi się po audycie:

  • Symulacja awarii urządzenia w jednej strefie – np. odłączenie przełącznika linii testowej. Czy problem „przelewa się” dalej, czy zatrzymuje w swojej strefie?
  • Test „zainfekowanego laptopa” – kontrolowane podłączenie urządzenia z nietypowym ruchem do VLAN-u serwisowego. Czy monitoring i reguły zadziałają?
  • Test dostępności zdalnej – czy serwisant z zewnątrz może połączyć się wyłącznie przez przewidziane bastiony, czy znajdzie „skrót”?

Zadaj sobie pytanie: czy odważyłbyś się dziś odłączyć losowo wybrany „podejrzany” switch i być spokojnym, że nie zatrzymasz przypadkiem całej fabryki? Jeśli nie, docelowa architektura powinna dążyć właśnie do takiej odporności.

Architektura docelowa jako mapa drogowa zmian po audycie

Audyt nie kończy się na liście błędów – jednym z jego najcenniejszych efektów jest prosty, zrozumiały dla zarządu i utrzymania ruchu obraz sieci „docelowej”. Nie musi być perfekcyjny technicznie; ma służyć jako kompas przy kolejnych inwestycjach.

Taki obraz zwykle zawiera:

  • zdefiniowane strefy (IT, DMZ OT, nadrzędna OT, strefy linii, strefy specjalne),
  • kluczowe połączenia między strefami wraz z głównymi kontrolami bezpieczeństwa,
  • główne punkty kontroli – firewalle, jump serwery, systemy monitoringu,
  • etapy wdrożenia – co realnie można zrobić w 3, 6, 12 miesięcy przy dostępnych zasobach.

Zastanów się: gdyby jutro pojawił się nowy projekt linii za kilka milionów, czy masz na czym oprzeć wymagania do integratora? Architektura docelowa po audycie daje Ci narzędzie, żeby od początku budować te inwestycje w sposób spójny i bezpieczny, zamiast za każdym razem „od nowa wymyślać sieć”.

Polecane dla Ciebie: