Za zaporą sieciową: Zabezpieczanie tego, co ważne, w GEA

7 lipca 2025 roku

Firmy takie jak GEA przetwarzają i przechowują duże ilości danych wrażliwych. Jednak zagrożenia dla bezpieczeństwa, od ataków ransomware po fizyczne wtargnięcia i szpiegostwo przemysłowe, rozprzestrzeniają się bardziej niż kiedykolwiek wcześniej. Skuteczne chronienie przez GEA danych partnerów biznesowych – a także jej własnych informacji – staje się istotną formą przewagi konkurencyjnej. W rozmowie z nami Iskro Mollov, dyrektor ds. bezpieczeństwa informacji GEA, opowiada, jak wygląda zapewnianie bezpieczeństwa w międzynarodowej firmie w niestabilnym świecie.

Czym jest bezpieczeństwo informacji?

Iskro Mollov (IM): W szerszym ujęciu bezpieczeństwo informacji oznacza ochronę informacji firmy, w tym oczywiście danych cyfrowych. Może to dotyczyć informacji wrażliwych klientów, dostawców i partnerów biznesowych, a także naszych własnych informacji dotyczących między innymi własności intelektualnej, strategii i sytuacji finansowej oraz danych osobowych naszych pracowników. Ochrona tych danych to przede wszystkim kompleksowe zadanie zarządcze. Jego celem jest zapobieganie atakom hakerskim i aktom szpiegostwa, a także zapewnienie zgodności z przepisami i umowami, ochrona kluczowych systemów czy niedopuszczenie do przerwania działalności biznesowej. Nasi kontrahenci słusznie żądają zapewnienia, że ich informacje będą bezpieczne: nie tylko w czasie normalnego działania, ale przede wszystkim w przypadku okoliczności nadzwyczajnych, takich jak cyberataki czy katastrofy naturalne.

W jaki sposób GEA zapewnia bezpieczeństwo informacji?

IM: W GEA wszystkie obszary i funkcje analizujemy kompleksowo, aby zrozumieć zagrożenia dla bezpieczeństwa firmy. Na podstawie tych analiz wdrażamy skuteczne i wydajne rozwiązania z zakresu bezpieczeństwa. Bezpieczeństwo informacji jest szczególnie ważne w przypadku technologii informacyjnej (IT), technologii operacyjnej (OT), naszych produktów i procesów rozwijania produktów, obecności w sieci, aktywów fizycznych oraz zakładów, dostawców i zasobów ludzkich. Co niezwykle ważne, kwestia bezpieczeństwa wiąże się także z ważnym komponentem kulturowym: Aby być naprawdę bezpieczną, organizacja musi promować kulturę, w ramach której bezpieczeństwo to drugie imię każdego z pracowników – niezależnie od tego, jakie stanowisko zajmuje – w odróżnieniu od podejścia, w którym przyjmuje się, że za bezpieczeństwo odpowiadać mają wyłącznie specjaliści do spraw bezpieczeństwa.  

Jakie są Pańskie najważniejsze zadania na stanowisku dyrektora ds. bezpieczeństwa informacji GEA (CISO) i czym zajmuje się Pański zespół? 

IM: Mam trzy powiązane ze sobą, współzależne zadania. Pierwsze z nich dotyczy stałego analizowania i usprawniania procesu zarządzania bezpieczeństwem informacji w GEA. W naszym zespole stosujemy wiele środków, które pomagają osiągnąć ten cel. Obejmują one sterowanie naszymi międzynarodowymi systemami zarządzania bezpieczeństwem informacji (ISMS), zdobywanie certyfikatów bezpieczeństwa i gwarantowanie zgodności, a także nadzorowania procesu zarządzania zagrożeniami dla bezpieczeństwa, szkoleń pracowników, zarządzania tożsamością i dostępami, odpowiadanie na zdarzenia naruszające ochronę, mierzenie wydajności oraz realizowanie audytów i testów penetracyjnych. Ponadto regularnie testujemy nasze systemy i produkty cyfrowe za pomocą symulowanych ataków hakerskich.

Drugie z moich zadań polega na zapewnianiu ciągłości biznesowej. W praktyce przekłada się to na dbanie o płynną pracę GEA nawet w niecodziennych okolicznościach. Oznacza to przygotowanie na różne rodzaje możliwych zakłóceń naszych działań, takie jak ataki ransomware, przerwanie produkcji czy łańcucha dostaw, katastrofy naturalne, przerwy w dostawie mediów, niepokoje społeczne, pandemie czy problemy prawne.

Trzecie zadanie polega na zarządzaniu kryzysowym. Kryzysy w firmach mogą przyjąć różne formy. W przeszłości mierzyliśmy się z tymi wywołanymi pandemią Covid czy konfliktami międzynarodowymi (zbrojnymi). Ważnym scenariuszem, na który starannie się przygotowujemy, są oczywiście ataki ransomware o międzynarodowym zasięgu. I wreszcie zarządzanie kryzysowe to zadanie złożone i intensywne, które może obejmować wiele różnych stanowisk, a tym samym wymaga perfekcyjnej koordynacji.  

Jak wygląda Pański zespół?

IM: Powiedziałbym, że jest dosyć różnorodny! Nasz zespół Bezpieczeństwa informacji, Ciągłości biznesowej oraz Zarządzania kryzysowego składa się z profesjonalistów z całego świata o wielu różnych ścieżkach zawodowych. Mamy w szeregach ekspertów z rozmaitych obszarów bezpieczeństwa, tj. fizycznego, informatycznego (IT), operacyjnego (OT) czy produktów, a także specjalistów ds. zarządzania ciągłością biznesową, ogólnym bezpieczeństwem czy ryzykiem. Także ich wykształcenie jest bardzo różnorodne: inżynieryjne, informatyczne czy biznesowe.

Dlaczego kwestia bezpieczeństwa informacji jest dziś tak ważnym składnikiem sukcesu firmy?

IM: Bezpieczeństwo informacji ewoluuje od obszaru wsparcia po dedykowane stanowisko, które zapewnia nam przewagę konkurencyjną w naszej branży. Jeśli jest odpowiednio realizowane, najwyższej jakości zarządzanie bezpieczeństwem informacji może stanowić kluczowy czynnik decydujący o przyciąganiu nowych klientów. Niestety, liczba ataków cybernetycznych i aktów szpiegostwa wzrasta. Dla przykładu w 2024 roku dziewięć na dziesięć organizacji na całym świecie padło ofiarą co najmniej jednego ataku ransomware. A wskutek zjawisk takich jak ransomware as a service wystarczy kilka dolarów i niewielki wysiłek, aby przeprowadzić atak o niszczycielskim potencjale. Niemal wszystkie firmy z branży inżynierii mechanicznej i procesowej, a także wiele innych, słusznie sięgają po rozwiązania z zakresu łączności, sztucznej inteligencji czy systemy w chmurze, aby czerpać korzyści z postępów cyfryzacji. Minus: Powodują one rozszerzenie obszaru podatnego na ataki. Bardziej podatne na ataki stały się także globalne łańcuchy dostaw. Ponadto wszyscy obserwujemy, jak w ostatnich latach sytuacja geopolityczna staje się coraz mniej stabilna.

Do tego dochodzą bardziej złożone przepisy: Obszerne regulacje, takie jak ustawa o odporności cybernetycznej czy dyrektywa NIS2 w UE, odnoszące się bezpośrednio do operatorów i budowniczych zakładów. GEA pełni obie te role. Nie dość, że obsługujemy własne zakłady, to także budujemy instalacje i urządzenia dla naszych klientów. Z perspektywy bezpieczeństwa informacji to połączenie jest dla nas korzystne: Daje nam kompleksowe doświadczenie „dotykania trawy” w kwestii szerokiego wachlarza wymogów, możliwości i potencjalnych trudności w wielu branżach. Dzięki naszej wyjątkowej pozycji i doświadczeniu jesteśmy w stanie zapewniać wiodące i nierzadko wysoce spersonalizowane rozwiązania z zakresu bezpieczeństwa informacji zgodne z najbardziej aktualnymi wymogami regulacyjnymi.

Czy zauważa Pan wzrost poziomu świadomości i zapotrzebowania ze strony klientów na rozwiązania z zakresu bezpieczeństwa informacji? 

IM: Zdecydowanie. Znaczenie tego tematu cały czas wzrasta. Widać to bardzo wyraźnie w informacjach, jakie otrzymujemy od kolegów z działów sprzedaży w naszych oddziałach i regionach; wszyscy podkreślają coraz większe znaczenie bezpieczeństwa informacji w interakcjach z klientami. Klienci potrzebują naszej pomocy, aby rozwijać swoje firmy. Oferowanie świetnych rozwiązań z zakresu zarządzania bezpieczeństwem jest kluczem do budowania i utrzymywania ich zaufania, a także do zdobywania nowych klientów przez GEA.

Dlaczego certyfikaty są tak ważne w obszarze bezpieczeństwa informacji?

IM: Wielu klientów świadomie wybiera współpracę z firmami posiadającymi certyfikaty, takie jak ISO/IEC 27001. Jest to międzynarodowa norma dotycząca systemów zarządzania bezpieczeństwem informacji. Określa wymogi w zakresie tworzenia, wdrażania, utrzymywania i stałego ulepszania kompleksowego systemu zarządzania bezpieczeństwem w organizacji. Coraz więcej spośród tych firm uważa go za obowiązkowy wymóg wstępny. Uznane certyfikaty stanowią standard w obszarze bezpieczeństwa informacji i zapewniają naszym klientom obiektywny i transparenty wgląd w restrykcyjne standardy bezpieczeństwa informacji, które obowiązują w GEA. Są przyznawane wyłącznie przez wiodące instytucje kontrolne, takie jak niemiecka TÜV Rheinland.

W 2021roku GEA uzyskała pierwszą certyfikację parasolową potwierdzającą zgodność z normą ISO/IEC 27001. Każdego roku podobne certyfikaty zdobywały kolejne zakłady i podmioty prawne GEA. Ostatnia ponowna certyfikacja z 2024 roku, tym razem potwierdzająca zgodność z najnowszą wersją normy ISO/IEC 27001 z 2022 roku, obejmuje wszystkie obszary biznesowe w 53 zakładach GEA na całym świecie. To ważne osiągnięcie, ponieważ standard ISO/IEC 27001 jest wiodącą międzynarodową normą w zakresie systemów zarządzania bezpieczeństwem informacji – powszechnie respektowaną w różnych branżach. Także nasze zakłady produkcyjne oraz proces opracowywania produktu uzyskały certyfikaty IEC 62443 2-1 oraz 4-1, które stanowią wiodące normy w zakresie automatyzacji przemysłowej i bezpieczeństwa systemów kontroli. To także grupa certyfikacji parasolowych, w której z każdym rokiem znajduje się coraz więcej naszych lokalizacji.

W obszarze certyfikacji nastąpił spory postęp. Co dalej?

IM: Naszym celem jest uzyskanie certyfikatów bezpieczeństwa dla wszystkich odpowiednich zakładów i produktów do końca 2027 roku w ramach naszego Globalnego Programu Bezpieczeństwa GEA. Ponadto, aby uzyskiwać jeszcze wyższe certyfikacje międzynarodowe ESG, stawiamy sobie za cel objęcie certyfikacją ponad 75 procent pracowników do końca 2025 roku. Innym wysoce priorytetowym zadaniem jest przygotowanie GEA na kolejne nadchodzące regulacje. Do takich należy Ustawa o Odporności Cybernetycznej UE (CRA), która zobliguje producentów do uwzględniania kwestii cyberbezpieczeństwa na każdym etapie cyklu życia produktu, a także do stosowania restrykcyjnych norm oraz rozbudowanych wymogów w zakresie raportowania.

Ale jeszcze ważniejsze od tych międzynarodowych kwestii jest wspieranie naszych klientów i pomaganie im w zwiększaniu poziomu bezpieczeństwa, zgodności i przygotowania na przyszłość. Dlatego z jednej strony zapewniamy bezpieczne produkty GEA i usługi cyfrowe, a z drugiej proponujemy w ofercie GEA dedykowane produkty i usługi z obszaru bezpieczeństwa GEA, takie jak GEA Asset Care.

W jakim kierunku zmierza obszar bezpieczeństwa informacji w GEA w dłuższej perspektywie? 

IM: To proste: GEA angażuje się na rzecz ciągłego wzmacniania systemu zarządzania bezpieczeństwem informacji w celu zwiększania poziomu innowacyjności i zaufania. Chcemy, by tak jak nasza reputacja w zakresie doskonałości inżynieryjnej, także nasze wysokie standardy bezpieczeństwa informacji stanowiły jeden z kluczowych powodów, dla których klienci wybierają GEA. W związku z naszym stałym zwiększaniem poziomu doskonałości w tym obszarze mamy potencjał, by dzielić się zdobytą szeroką wiedzą i w ten sposób pomagać innym firmom. Kompleksowy charakter naszej działalności biznesowej oraz środowisko legislacyjne, z jakim się mierzymy, zapewniają nam dobrą pozycję, by się tym zająć.