Kto odpowiada za cyberbezpieczeństwo? Odpowiedzialność w przemyśle elektronicznym

Na kim tak naprawdę spoczywa odpowiedzialność za bezpieczeństwo produktu cyfrowego? Adam Lipiec (Łukasiewicz ITR), Piotr Siwek (hub4industry i ICsec S.A.) i Janusz Wasylew (Technosystem), podczas panelu „Cyberbezpieczeństwo w erze zintegrowanych systemów elektronicznych” na Evertiq Expo Kraków 2025, szukali odpowiedzi na powyższe pytanie.

„To jest wspólna praca czterech grup: projektanta, programisty, producenta i użytkownika”, powiedział Janusz Wasylew. “Tylko wtedy będziemy mogli uważać, że bezpiecznie wprowadziliśmy jakiś produkt do życia.”

Projektant

„Projektanci na etapie projektowania powinni być odpowiedzialni za takie systemy, ponieważ to jest ich pomysł, ich wizja”, powiedział Adam Lipiec.

Jak zauważył Lipiec, to właśnie projektanci sprzętu i oprogramowania, wiedząc jakie funkcje powinien spełniać powstający produkt, mają możliwość jako pierwsi podjąć działania prowadzące do zapewnienia bezpiecznego użytkowania. Lipiec zaznaczył, że projektanci nie działają w próżni. Nie zawsze też znają specyfikę procesów produkcyjnych. Konieczne są konsultacje i wymiana wiedzy z producentami, którzy dysponują większym doświadczeniem z zakresu wykonalności projektu i istniejących ograniczeń technologicznych.

Programista

Drugą z warstw systemu cyberochrony, po zabezpieczeniach sprzętowych, stanowi kod. Błędy i luki w oprogramowaniu są w stanie zaprzepaścić wysiłki projektantów i otworzyć nowe furtki dla potencjalnych ataków.

„Twórca kodu musi również zweryfikować układy, które zaproponował projektant, aby tam nie było możliwości pojawienia się jakiegoś backdooru,” zauważył Janusz Wasylew.

Odpowiedzialnością programisty nie jest wyłącznie napisanie funkcjonalnego kodu, ale też uniemożliwienie nieautoryzowanych ingerencji w system, między innymi poprzez stosowanie dobrych praktyk kodowania, zabezpieczenie potencjalnych wektorów ataku i testowanie podatności, zwłaszcza w przypadku oprogramowania wbudowanego, działającego w krytycznych urządzeniach.

Producent

Producent nie tylko składa elementy projektu w całość. W wielu przypadkach to właśnie on musi podjąć ostateczną decyzję w obszarach jakości i klasy fizycznych zabezpieczeń, sposobie aktualizacji firmware’u czy możliwości integracji z innymi systemami.

„My, zgodnie z zasadami wspólnie ustalonymi z projektantami i programistami, musimy wykonać projekt”, podkreślił Wasylew.

To właśnie producenci elektroniki biorą przed klientem końcowym odpowiedzialność za jakość oferowanego rozwiązania. Oni również odpowiadają za poziom bezpieczeństwa długoterminowego: utrzymują kontakt z klientami, zapewniają serwis i aktualizacje.

Użytkownik końcowy

Nawet najlepiej zaprojektowane i wdrożone urządzenie jest potencjalnie niebezpieczne. Wszystko zależy od tego, w jaki sposób będzie użytkowane. Jak zgodnie zauważyli paneliści, odpowiedzialność po stronie klienta końcowego sprowadza się do właściwej konfiguracji sieci, segmentacji dostępu, przeprowadzania wymaganych aktualizacji oprogramowania i reagowania na zaistniałe incydenty.

„Użytkownik musi stosować dobre praktyki: odpowiednia aktualizacja, bezpieczne użytkowanie urządzenia”, zaznaczył Wasylew.

Użytkownik końcowy jest na pierwszej linii cyberataku, jednak pozostali uczestnicy łańcucha mogą go wspierać poprzez odpowiednio przygotowane instrukcje i materiały edukacyjne oraz wydajne i intuicyjne w użytkowaniu systemy zabezpieczeń.

Odpowiedzialność i regulacje

W idealnej sytuacji każdy z uczestników łańcucha ponosiłby część odpowiedzialności, zapewniając harmonijne działanie systemu. Jednak w rzeczywistości, bez jasno ustalonych zasad, ciężko określić kto i za co powinien właściwie odpowiadać. W wypadku obszarów rozwijających się tak dynamicznie jak elektronika, proces legislacyjny często nie nadąża za tempem zmian. Na pytanie prowadzącej panel Eweliny Bednarz odnośnie obowiązujących norm i regulacji dla projektantów PCB i urządzeń IoT, Piotr Siwek odpowiedział:

„Tak naprawdę to już wszystko powinno być zaimplementowane i w Europie, i w Polsce. Trochę się to przeciąga. Przecieki mówią, że nowy Prezydent ma podpisać nowelizację ustawy o Krajowym Systemie Cyberbezpieczeństwa, ale ja to słyszę od dwóch lat i nie jestem przekonany.”

Nowelizacja UKSC, podobnie jak to miało miejsce w wypadku RODO, ma wprowadzić realne konsekwencje finansowe dla firm, które nie spełnią określonych wymagań. Jednak na chwilę obecną oficjalnych wytycznych brakuje i wyłącznie od firm zależy, czy podejmą jakieś działania w tym obszarze.

Jedną z konkretnych propozycji, która padła podczas panelu, było powołanie dedykowanych stanowisk w firmach, odpowiedzialnych wyłącznie za cyberbezpieczeństwo.

„Czy macie w firmie osobę odpowiedzialną tylko za cyberbezpieczeństwo? Nie mówię o informatyku, który chodzi i resetuje komputery. Mówię o kimś, kto naprawdę zna się na zabezpieczeniach przemysłowych”, pytał Siwek.

Według panelistów taki inspektor cyberbezpieczeństwa, analogicznie do inspektora RODO, mógłby koordynować działania, szkolić zespół i być ogniwem kontaktowym w razie wystąpienia incydentu. Cyberbezpieczeństwo przemysłowe bez sprecyzowanego właściciela procesu pozostaje niczyje, a rozmyta odpowiedzialność zanika.

Dzielona odpowiedzialność to wspólna odpowiedzialność

W wypadku zaistnienia incydentu naruszającego cyberbezpieczeństwo winy nie ponosi jeden podmiot. Wszystkie ogniwa łańcucha współdzielą odpowiedzialność i wspólnie powinny dążyć do maksymalizacji bezpiecznego użytkowania elektroniki. Jak zauważyli goście panelu dyskusyjnego, wymaga to realnej współpracy między projektantami, producentami, twórcami oprogramowania i użytkownikami. Ważnymi uczestnikami procesu są instytucje państwowe, dostarczające odpowiednie normy prawne i wspierające rozwój tej gałęzi gospodarki w bezpiecznych i uregulowanych warunkach.

Bezpieczeństwo w erze zintegrowanych systemów elektronicznych to nie kwestia wyboru, to fundament wymagający wspólnej pracy.

O tematach poruszanych przez ekspertów w trakcie tegorocznego panelu Evertiq Expo Kraków 2025 pisaliśmy również w tekstach “Od IT do OT - cyberbezpieczeństwo przemysłowe” i “Czy wygoda integracji zagraża bezpieczeństwu? O ryzyku produkcji przyszłości”. 

Kolejna edycja Evertiq Expo Kraków odbędzie się 7 maja 2026 w Centrum Konferencyjnym CKF13 na ulicy Fabrycznej. Rejestracja na wydarzenie już ruszyła!