Firma produkcyjna spod Warszawy trafiła do nas nie po incydencie, lecz po piśmie od dużego kontrahenta. Klient zapowiedział audyt bezpieczeństwa dostawców i poprosił o wypełnienie obszernej ankiety. Przy okazji okazało się, że producent, jako ogniwo istotne dla swoich odbiorców, sam mieści się w gronie podmiotów, których dotyczą obowiązki wynikające z NIS2. Trzeba było przejść od intuicji do konkretów.

Sytuacja na wejściu

Cała firma pracowała w jednej płaskiej sieci. W tym samym segmencie znajdowały się komputery księgowości, laptopy handlowców, drukarki, kamery, a także sterowniki i stacje inżynierskie sterujące maszynami na hali. Nie istniała analiza ryzyka ani spis aktywów, więc nikt nie potrafił jednoznacznie powiedzieć, które urządzenia są krytyczne i co z czym się komunikuje. Monitoringu praktycznie nie było: o awarii zespół IT dowiadywał się od operatora, który podnosił rękę, bo maszyna stanęła.

Dlaczego to było pilne

Płaska sieć oznacza, że jedno zainfekowane urządzenie widzi wszystkie pozostałe. Ransomware, który wszedłby przez załącznik w księgowości, mógł bez przeszkód dotrzeć do systemów sterowania produkcją. W zakładzie, gdzie przestój liczy się w wielotysięcznych stratach na godzinę, to nie jest ryzyko teoretyczne. Do tego dochodziła presja z dwóch stron naraz: audyty łańcucha dostaw prowadzone przez kontrahentów oraz wymóg formalnego spełnienia dyrektywy NIS2. Odkładanie tematu groziło utratą kontraktów.

Jak poprowadziliśmy wdrożenie

Zaczęliśmy od analizy ryzyka i wdrożenia wymogów NIS2, bo bez mapy aktywów segmentacja byłaby zgadywanką. Spisaliśmy urządzenia, pogrupowaliśmy je według funkcji i wyznaczyliśmy strefy zaufania.

Kolejnym krokiem była segmentacja sieci. Płaską strukturę rozbiliśmy na sześć segmentów VLAN: produkcja, stacje inżynierskie, biuro, goście, urządzenia peryferyjne oraz sieć zarządzania. Ruch między strefami przechodzi przez zaporę z jawnymi regułami. Sieć maszyn została odcięta od internetu i od biura, a dostęp inżynierów do sterowników odbywa się wyłącznie przez kontrolowaną ścieżkę. Dzięki temu promień rażenia ewentualnej infekcji zawęża się do jednego segmentu.

Segmentację prowadziliśmy etapami, poza godzinami szczytu produkcyjnego, tak aby nie zatrzymać hali. Każdą regułę testowaliśmy na realnym ruchu, zanim odcięliśmy to, co zbędne.

Na tak uporządkowanej sieci uruchomiliśmy monitoring. Objęliśmy nim wszystkie krytyczne zasoby, zebraliśmy logi w jednym miejscu i ustawiliśmy alerty na zdarzenia, które wcześniej pozostawały niewidoczne: nietypowe logowania, skanowanie sieci czy próbę komunikacji maszyny na zewnątrz.

Co się zmieniło

Dziś infekcja lub awaria w części biurowej nie sięga już linii produkcyjnej, bo zapora zatrzymuje ją na granicy segmentu. Zespół IT dostaje alert i widzi zdarzenie w kilkanaście minut, zamiast czekać, aż ktoś na hali zauważy problem. Zakład ma komplet dokumentów, których wcześniej brakowało: analizę ryzyka, rejestr aktywów, politykę bezpieczeństwa i procedurę reagowania na incydent z jasnym podziałem ról.

Producent przeszedł audyt kontrahenta bez czerwonych flag, a status podmiotu objętego NIS2 przestał być abstrakcją. Zamiast reagować pod presją ankiet, firma ma teraz uporządkowaną podstawę, którą łatwo utrzymać i rozwijać. Regularny monitoring infrastruktury pilnuje, żeby ten stan się nie cofnął.