•    Czy pamięta pan sytuację awaryjną, która spowodowała, że zaczęła panu szybciej krążyć krew w żyłach?

Odpowiem przekornie: specjalistom nie może „szybciej krążyć krew w żyłach”. Należy być spokojnym, rozważnym i bez emocji podejmować decyzję. Prowadzić analizę zagrożeń i przewidywać możliwe skutki. Jednak, rzeczywiście, przywołuję w pamięci trzy groźne sytuacje.

•    A mianowicie?

To dość odległe zdarzenie, ale moim zdaniem było początkiem otwartej debaty dotyczącej cyberbezpieczeństwa w Europie. Był nim zmasowany atak cybernetyczny 17 maja 2007 roku na Estonię. Byłem osobiście zaangażowany w pomoc dla rządu Estonii, który starał się oszacować straty i podjął błyskawiczne działania w celu przeciwdziałania tego typu zdarzeniom w przyszłości. To jeden z pierwszych przypadków, które uwydatniły nowy problem – cyberbezpieczeństwa w przemyśle.

Drugą taką sytuacją było pojawienie się Stuxnet  – działającego w systemie Windows robaka komputerowego, po raz pierwszy wykrytego w czerwcu 2010. Był on prawdopodobnie pierwszym znanym robakiem używanym do szpiegowania i przeprogramowywania instalacji przemysłowych. Został odkryty przy okazji ataku na irańską elektrownię atomową w mieście Bushehr.

•    Co wtedy pan pomyślał?

Zrozumiałem, jak ważne jest bezpieczeństwo w przemyśle i jak wielkie straty może powodować umiejętnie przeprowadzony atak w cyberprzestrzeni. Od tamtego czasu minęło 8 lat, pojawiły się kolejne mutacje Stuxnetu i jednocześnie zdecydowanie wzrosło zagrożenie dla wielu systemów przemysłowych – zarówno państwowych, jak i prywatnych.

•    A jakiś ostatni przykład?

Atak w 2017 roku na systemy przemysłowe, rządowe i bankowe Ukrainy, by wprowadzić wirusa komputerowego Petya (zamiennie: Petya.A, Pietia).  Zaatakowano wówczas m.in. Bank Narodowy Ukrainy (NBU), holding medialny TRK Liuks, sieci komunikacyjne: Ukrpoczta, Nowa Poczta, Ukrtelekom, koncern naftowy Rosnieft oraz wiele obiektów przemysłowych w Europie.

•    Mówi pan o atakach, ale i krokach podejmowanych w celu przeciwdziałania tego typu zdarzeniom w przyszłości. Jak ocenia pan dzisiejszy poziom zabezpieczenia polskiego przemysłu, w szczególności chemicznego?

Trudno jednoznacznie odpowiedzieć. Mamy w kraju wiele systemów przemysłowych, które są w różnym stopniu zabezpieczone. Występują jednak pewne zapóźnienia, a szybki rozwój cyfryzacji procesów przemysłowych powoduje pojawianie się nowych zagrożeń, które należy eliminować. Polska chemia szybko reaguje na zmieniające się otoczenie cyfrowe, czego najlepszym przykładem są dyskusje w ramach konferencji, które materializują się bezpośrednio w działaniach konkretnych firm.

•    Obserwując systemy bezpieczeństwa polskich zakładów przemysłowych, gdzie popełniane są najczęściej błędy przy ich wdrażaniu?

Systemy polskich zakładów przemysłowych wdrażane są zgodnie ze standardami przyjętymi na całym świecie. Korzysta się z dobrych praktyk zarówno krajowych, jak i zagranicznych. Gdzie szukać ewentualnych błędów? Myślę, że w braku systematyczności działania i budowaniu kompleksowej strategii w zakresie bezpieczeństwa. Oczywiście należy pamiętać też o najsłabszym ogniwie każdego systemu, którym jesteśmy my – uczestnicy procesu zarządzania. To pracownicy popełniają najczęściej błędy i niestety je ukrywają.

•    Na co w takim razie zwrócić uwagę przy tworzeniu strategii przedsiębiorstwa w zakresie bezpieczeństwa?

Uważam, że brakuje testów realizowanych przez jednostki zewnętrzne, takich pozorowanych ataków, które pokazałyby słabości systemów i wyznaczyły kierunki dalszego działania.

•    Pozostaje jeszcze kwestia Przemysłu 4.0. Jak spółki muszą przygotować się na współczesne wyzwania z nim związane?

To bardzo szeroki aspekt działalności polskiego przemysłu. Przemysł 4.0 to zbiorcze pojęcie oznaczające integrację inteligentnych maszyn, systemów oraz wprowadzanie zmian w procesach produkcyjnych mających na celu zwiększanie wydajności m.in. wytwarzania. Dotyczy nie tylko technologii, ale też nowych sposobów pracy i roli ludzi w przemyśle.

•    Od tej roli powinniśmy zacząć…

Budowanie świadomości, szkolenia pracowników oraz regularne informowanie o zagrożeniach jest kluczem każdego działania, także we współczesnych wyzwaniach w przemyśle. Nowoczesne technologie stały się już codziennością w wielu zakładach przemysłowych, jednak ich wdrażaniem zajmują się ludzie i od ich skutecznego działania zależy powodzenie Przemysłu 4.0.

Rozmowa z płk dr Piotrem Potejko opublikowana została również w nr 1/2019 magazynu Chemia Przemysłowa.