80% brytyjskich producentów doświadczyło cyberincydentu w ciągu roku

Wprowadzenie do problemu / definicja

Cyberbezpieczeństwo w sektorze produkcyjnym nie jest już wyłącznie domeną działów IT. W nowoczesnych zakładach przemysłowych ryzyko cybernetyczne bezpośrednio wpływa na ciągłość działania, wyniki finansowe, realizację kontraktów oraz bezpieczeństwo procesów operacyjnych. Najnowsze dane z Wielkiej Brytanii pokazują, że skala zagrożenia jest bardzo wysoka: 80% producentów zadeklarowało, że w ciągu ostatnich 12 miesięcy doświadczyło incydentu cybernetycznego.

To ważny sygnał dla całego przemysłu, zwłaszcza w realiach rosnącej integracji systemów IT, OT, ERP, narzędzi chmurowych oraz zdalnego dostępu serwisowego. Każdy z tych elementów zwiększa powierzchnię ataku i utrudnia skuteczne zarządzanie bezpieczeństwem.

W skrócie

• 80% brytyjskich producentów odnotowało incydent cybernetyczny w ciągu roku.
• 95% badanych firm odczuło bezpośredni wpływ incydentu na działalność operacyjną.
• Ponad połowa organizacji zgłosiła straty finansowe wynikające z naruszenia bezpieczeństwa.
• Sektor produkcyjny pozostaje szczególnie narażony na ransomware, zakłócenia OT oraz ryzyko związane z łańcuchem dostaw.
• W wielu firmach nadal brakuje odpowiedniego zaangażowania zarządów w zarządzanie cyberryzykiem.

Kontekst / historia

Produkcja od lat znajduje się wśród najczęściej atakowanych sektorów gospodarki. Przyczyną jest połączenie wysokiej zależności od ciągłości pracy, obecności starszych systemów przemysłowych, trudności z aktualizacją komponentów OT oraz rozbudowanej współpracy z dostawcami i integratorami. W efekcie nawet ograniczony incydent może uruchomić efekt domina obejmujący planowanie produkcji, logistykę, jakość, utrzymanie ruchu i dystrybucję.

W brytyjskim przemyśle temat zyskał dodatkowe znaczenie wraz z rosnącą liczbą zakłóceń wpływających na działalność operacyjną przedsiębiorstw. Cyberatak przestał być postrzegany wyłącznie jako problem poufności danych. Coraz częściej oznacza on ryzyko zatrzymania linii produkcyjnych, opóźnień w dostawach, problemów z realizacją zamówień i utraty zaufania kontrahentów.

Dane wskazujące, że zdecydowana większość organizacji odczuwa bezpośredni wpływ incydentu na biznes, potwierdzają, że przemysł musi traktować bezpieczeństwo cyfrowe jako element odporności operacyjnej, a nie jedynie jako dodatkową warstwę ochronną.

Analiza techniczna

Środowisko produkcyjne charakteryzuje się znacznie szerszą powierzchnią ataku niż typowa organizacja biurowa. Obejmuje nie tylko klasyczne zasoby IT, takie jak poczta elektroniczna, katalogi tożsamości, VPN, stacje robocze czy aplikacje SaaS, ale również infrastrukturę przemysłową: sterowniki PLC, systemy SCADA, HMI, serwery historyczne, systemy MES i platformy integrujące warstwy IT i OT.

Typowy scenariusz incydentu rozpoczyna się od kompromitacji warstwy IT. Może do niej dojść poprzez phishing, przejęcie danych uwierzytelniających, wykorzystanie podatności w urządzeniu brzegowym, nadużycie dostępu zdalnego lub naruszenie bezpieczeństwa po stronie dostawcy. Następnie napastnik eskaluje uprawnienia, przemieszcza się lateralnie i próbuje dotrzeć do systemów wspierających planowanie, monitoring oraz sterowanie produkcją.

W przypadku ransomware pełne zaszyfrowanie środowiska OT nie zawsze jest konieczne, aby wywołać poważne szkody. Często wystarczy zakłócenie działania systemów ERP, planowania materiałowego, zarządzania recepturami, kontroli jakości lub obsługi zamówień, aby produkcja została spowolniona lub całkowicie zatrzymana.

Szczególnie niebezpieczne są organizacje z ograniczoną segmentacją sieci pomiędzy IT i OT, współdzielonymi kontami administracyjnymi, słabą kontrolą dostępu dostawców zewnętrznych oraz niepełną inwentaryzacją zasobów. W takich warunkach wykrycie incydentu następuje późno, a odtworzenie pełnej sprawności operacyjnej trwa znacznie dłużej.

Konsekwencje / ryzyko

Najpoważniejszą konsekwencją cyberataku dla producenta pozostaje przestój. Każda godzina niedostępności przekłada się na utracone przychody, ryzyko niewykonania dostaw, kary umowne, zaburzenia w łańcuchu dostaw oraz dodatkowe koszty operacyjne. Jeśli incydent obejmuje środowiska OT, pojawia się także ryzyko wpływu na bezpieczeństwo fizyczne, integralność procesu i jakość produktu.

Drugim wymiarem są skutki finansowe. Obejmują one nie tylko koszty reakcji i odtworzenia systemów, ale również wydatki na usługi prawne, audyty, komunikację kryzysową, wdrożenie dodatkowych zabezpieczeń oraz obsługę relacji z partnerami biznesowymi. W razie wycieku danych dochodzą także zobowiązania regulacyjne i reputacyjne.

Trzeci obszar ryzyka ma charakter długoterminowy. Po incydencie organizacje często muszą przebudować architekturę sieci, zmienić model zdalnego serwisu, ponownie ocenić zaufanie do dostawców i wdrożyć bardziej dojrzałe mechanizmy odporności. Oznacza to, że pojedynczy atak może stać się punktem zwrotnym wymuszającym kosztowną transformację bezpieczeństwa.

Rekomendacje

Producenci powinni traktować cyberbezpieczeństwo jako integralną część ciągłości działania. Priorytetem powinna być skuteczna segmentacja sieci IT i OT, ograniczenie możliwości ruchu bocznego oraz ścisła kontrola wszystkich połączeń zdalnych, szczególnie tych realizowanych przez partnerów serwisowych i integratorów.

Drugim kluczowym filarem jest zarządzanie tożsamością i uprawnieniami. Niezbędne są eliminacja współdzielonych kont administracyjnych, wdrożenie uwierzytelniania wieloskładnikowego tam, gdzie to możliwe, stosowanie zasady najmniejszych uprawnień oraz regularne przeglądy dostępu uprzywilejowanego.

Równie ważna pozostaje pełna inwentaryzacja zasobów. Organizacja musi wiedzieć, jakie urządzenia, aplikacje, zależności sieciowe i ścieżki komunikacji funkcjonują w środowisku produkcyjnym. Bez tego nie da się skutecznie wykrywać anomalii, priorytetyzować podatności ani planować odtworzenia po awarii.

Firmy powinny także rozwijać zdolności detekcji i reagowania. Obejmuje to centralizację logów, monitorowanie punktów styku IT i OT, regularne ćwiczenia scenariuszy ransomware oraz przygotowanie planów odtworzeniowych uwzględniających realia pracy zakładu produkcyjnego. Kopie zapasowe muszą być nie tylko wykonywane, ale również testowane i zabezpieczone przed manipulacją.

Nie mniej istotne jest zaangażowanie zarządu. Jeśli cyberatak może wstrzymać działalność zakładu, decyzje dotyczące budżetu, akceptacji ryzyka, priorytetów inwestycyjnych i gotowości kryzysowej powinny być podejmowane na poziomie strategicznym, a nie wyłącznie technicznym.

Podsumowanie

Dane z brytyjskiego rynku jasno pokazują, że incydenty cybernetyczne w sektorze produkcyjnym stały się elementem codziennego krajobrazu ryzyka. Skoro 80% producentów zgłasza incydent w skali roku, a zdecydowana większość odczuwa jego bezpośredni wpływ na działalność, cyberodporność musi być planowana równie poważnie jak utrzymanie ruchu, jakość i ciągłość dostaw.

Dla przemysłu najważniejsze pytanie nie brzmi już, czy dojdzie do ataku, lecz czy organizacja będzie potrafiła ograniczyć jego zasięg, utrzymać kluczowe procesy i szybko wrócić do bezpiecznej pracy.

Źródła

• https://www.infosecurity-magazine.com/news/eight-10-uk-manufacturers-hit/
• https://www.makeuk.org/node/4664
• https://www.makeuk.org/insights/reports/2022/12/01/cyber-security-in-manufacturing
• https://www.ncsc.gov.uk/collection/ncsc-annual-review-2025
• https://content.blackkite.com/ebook/manufacturing-tprm-report-2025/