IEC 62443 — segmentacja OT/IT w praktyce

Klient w sektorze energetycznym, audytor przed drzwiami: „Jak daleko jesteście z IEC 62443?" Klient odpowiada: „Mamy firewall między biurem a produkcją." To nie jest IEC 62443. To jest założenie, które złamie pierwszy penetration test. Niniejszy artykuł jest o tym, co rzeczywiście oznacza doprowadzenie IEC 62443-3-3 do poziomu, który przejdzie audyt i wytrzyma realny atak.

Dlaczego teraz — deadline NIS2

Dyrektywa NIS2 (UE 2022/2555) stała się obowiązująca dla operatorów essential services w Polsce od **17 października 2024** (transpozycja przez nowelizację Ustawy o krajowym systemie cyberbezpieczeństwa). Dla **operatorów NIS2 (energetyka, wodociągi, transport, służba zdrowia, produkcja krytyczna dla łańcucha dostaw, infrastruktura cyfrowa)** oznacza to obowiązek:

Risk management framework według uznanego standardu — IEC 62443 jest de facto referencją dla OT.
Incident reporting w ciągu **24 godzin** od detekcji znaczącego incydentu do CSIRT NASK / CSIRT MON / CSIRT GOV.
Kara do **€10 mln lub 2 % obrotu**, w zależności od tego, co wyższe.

Polska rzeczywistość: audyt UKE/CSIRT pierwszego roku NIS2 (jesień 2025) pokazał, że ~70 % operatorów essential services nie ma wdrożonego nawet modelu Z/C (strefy i conduits), nie mówiąc o segmentacji sieciowej, która odpowiadałaby SL-1 (Security Level 1).

Model Z/C — podstawa, którą rysuje się jako pierwsze

IEC 62443-3-2 wprowadza koncept **stref (Zones)** i **kanałów (Conduits)**. Strefa = grupa aktywów z takim samym wymogiem bezpieczeństwa. Conduit = nadzorowany kanał komunikacyjny między strefami.

Typowy model Z/C dla hali produkcyjnej z powiązaniem z ERP

Z0 — Internet / Untrusted (Wild West). Z1 — Enterprise IT (biura, ERP, email). Trust level Standard. Z2 — DMZ (web servers, VPN endpoint, jump servers). Trust level Stricter. Z3 — Operations Management / Historian / MES (Purdue Level 3). Trust level OT-Standard. Z4 — SCADA + HMI (Purdue Level 2). Trust level OT-Strict. Z5 — PLC + control devices (Purdue Level 1). Trust level OT-Critical. Z6 — Field instrumentation (Purdue Level 0). Trust level OT-Critical.

Conduits: C0↔1 — firewall + IDS. ALL deny by default, wyjątki dla HTTP/HTTPS outbound z VPN endpointu. C1↔3 — OT-IT DMZ z reverse proxy. Dane historian read-only kierunkiem górnym (Z3 → Z1). Żadnych komend kierunkiem dolnym. C3↔4 — diode lub unidirectional gateway dla danych SCADA → MES. Żadnych komend sterujących kierunkiem górnym. C4↔5 — protocol-aware firewall (Tofino Xenon, Hirschmann Eagle One z DPI dla Modbus/TCP, EtherNet/IP, S7Comm).

Gdzie w praktyce stoi firewall OT-IT

Typowy spór przy wdrożeniu: **gdzie fizycznie stoi firewall OT-IT**. Trzy warianty:

1. **Między Purdue L2 (SCADA) a L3 (Historian / MES)** — najczęstsze rozwiązanie. Tu wdraża się firewall sprzętowy z sygnaturami OT-specific: Fortinet FortiGate 1000F/2000F z OT Threat Intelligence, Cisco Industrial Security Appliance ISA-3000, Hirschmann EAGLE40-7G lub Tofino Xenon (Belden), jeśli jest wymóg „fail-secure". 2. **Między L3 a L4 (Enterprise IT)** — niektóre zespoły bezpieczeństwa preferują tę warstwę, ponieważ L3 jest już OT-zone. Działa, ale systemy L3 (Historian) potem oddychają według polityk IT i tłumią atak na dane bazowe. 3. **Obie (defense in depth)** — najlepszy wybór dla poziomu SL-2+. Dwie warstwy firewalli, różni dostawcy (Fortinet + Palo Alto to częsty mix), żaden single point of failure.

Zasada: **conduit między strefami z różnym poziomem Trust MUSI mieć explicit punkt kontrolny**. Switch z VLAN-ami nie jest conduitem. Switch jest topologią. Conduit potrzebuje inspekcji L3-L7.

SL-1 vs SL-2 vs SL-3 — gdzie leży granica

IEC 62443-3-3 definiuje 7 foundational requirements (FR), każdy z 4 poziomami (SL-0 do SL-4). Granica w praktyce:

SL-1 — protection against casual or coincidental violation

Minimum, które dzisiaj musi mieć każdy system przemysłowy. Konkretnie:

Identyfikacja i uwierzytelnianie użytkowników dla HMI/Engineering Workstation (hasło, żadnych shared accounts).
Warstwa access control (RBAC na poziomie HMI — operator, konserwator, inżynier, admin).
Logging zmian (kto się zalogował, co zmienił, kiedy).
Zakaz USB w engineering workstations (BIOS-level disable + GPO).
Antivirus / EDR na wszystkich stacjach Windows OS w strefach OT.

Koszty SL-1 dla średniej produkcji (50-100 stacji OT): **€30-60k** infrastruktura + **150-300 godzin** engineering.

SL-2 — protection against intentional violation using simple means with low resources

Tu cena radykalnie się zmienia. Konkretnie SL-2 ponad SL-1:

**MFA (multi-factor authentication)** dla privileged access. Najczęściej YubiKey 5 NFC (~€55/szt. × 30 osób = €1 650) lub Duo Security (€8/user/miesiąc).
**Anti-malware z sygnaturami OT** — Nozomi Networks Guardian, Claroty xDome, Dragos Platform, Forescout SilentDefense. Ceny: **€25-80k licencja/rok** zależnie od liczby monitorowanych node'ów.
**Segmentacja sieci na poziomie VLAN+ACL+firewall**, nie tylko VLAN. Microsegmentation w OT jest istotna, ale obliczeniowo droga — typowo wdraża się Cisco TrustSec lub Forescout eyeSegment.
**Szyfrowanie management traffic** (HTTPS zamiast HTTP dla HMI web access, SSH zamiast Telnet, żadnego SNMPv2c — tylko SNMPv3 z authPriv).
**Logging z integracją SIEM** — wszystkie firewall logi, alerty IDS, zdarzenia uwierzytelniania idą do SIEM. Splunk Enterprise (€2-4/GB/dzień), QRadar, Elastic Security lub open-source Wazuh + ELK, jeśli budżet napięty.
**Procedury backup / restore z kopiami offline.** Imm copy, air-gap, miesięczne testy odtwarzania.

Koszty SL-2: **€120-280k** infrastruktura + **500-1 000 godzin** engineering, plus **15-25 % rocznie** na maintenance + threat intelligence subscription.

SL-3 — protection against intentional violation using sophisticated means with moderate resources

Tu dodaje się:

**NIDS z deep packet inspection** dla protokołów OT (Modbus TCP, EtherNet/IP, S7Comm, OPC UA, DNP3) — Nozomi lub Claroty w trybie zaawansowanym.
**Active hardening** — port disable na nieużywanych interfejsach, certificate-based device authentication, application whitelisting (Microsoft AppLocker, Carbon Black Protection).
**Air-gapped engineering networks** — laptop inżynierski nigdy nie jest podłączony do OT i IT jednocześnie.
**Quarterly red team exercises.**
**Szczegółowo zwalidowany change management process** — żadna zmiana firmware PLC bez 3-stage approval (engineering, operations, security).

Koszty SL-3 są już diametralnie inne — **€500k-1,5M** infrastruktura + **2 000+ godzin** engineering + dedicated OT-security team (3-5 FTE). To poziom, który dzisiaj spełniają głównie energetyka (elektrownie jądrowe, sieci przesyłowe), krytyczne wodociągi, niektóre duże zakłady chemiczne.

NERC CIP — porównanie dla klientów energetycznych

Dla operatorów w energetyce (a zwłaszcza sieci przesyłowych, sieci gazowych) istotny jest również amerykański NERC CIP (Critical Infrastructure Protection). Różnica wobec IEC 62443:

**NERC CIP-007** (System Security Management): porównywalny z IEC 62443-3-3 FR3 + FR4.
**NERC CIP-005** (Electronic Security Perimeter): definiuje „Electronic Security Perimeter" (ESP), który jest bardziej restrykcyjny niż strefa IEC 62443 — wymaga **explicit inventory każdego access point przez ESP** i annual review.
**NERC CIP-010** (Configuration Change Management and Vulnerability Assessments): wymaga baseline configuration każdego control device, monthly vulnerability assessment. IEC 62443 pokrywa to w FR2.
**NERC CIP-008** (Incident Reporting): 1-godzinne okno reportingu dla NERC vs 24-godzinne dla NIS2.

Klienci, którzy mają zarówno ekspozycję NERC CIP, jak i NIS2 (typowo duże pan-europejskie utility), zwykle mapują obie normy na **jeden wewnętrzny framework**, który spełnia wyższe z dwóch wymagań.

Deep packet inspection Modbus TCP — co to realnie robi

Modbus TCP to protokół SCADA z roku 1979 (Modbus RTU) z TCP wrapperem z roku 1999. **Żadnego uwierzytelniania, żadnego szyfrowania.** Każde urządzenie w sieci, które widzi port 502, może wysłać Write Single Coil (function code 5) i przerzucić wyjście.

Firewall deep packet inspection (DPI), na przykład Tofino Xenon lub Fortinet OT-aware, robi:

**Rozróżnienie Read-only vs Read-Write**: pozwala function code 1-4 (read coils, read registers), zakazuje function code 5-6, 15-16 (write single/multiple coil/register) ze źródeł nieautoryzowanych.
**Function code filtering**: niektóre kody funkcyjne (8 — diagnostic, 17 — report slave ID) zakazane całkowicie poza oknem konserwacyjnym.
**Address whitelisting**: SCADA → PLC adresy 1-247 są dozwolone, poza zakresem = drop + alert.
**Rate limiting**: > 10 write operacji na sekundę z jednego IP = anomalia, alert.

Realna detekcja ataku w Modbus TCP przez DPI: średnio **80-95 %** podstawowych ataków (replay, command injection, address scanning). Sophisticated ataki (Stuxnet-like) potrzebują **integralności konfiguracji PLC** (HMI sees same value as PLC sends), co jest zadaniem dla NIDS (Nozomi lub Claroty), nie dla samego firewalla.

„Patches" w środowisku OT — nie liczcie na miesięczny Patch Tuesday

W IT normą jest miesięczny cykl patch. W OT normą jest **2-4 patch windows rocznie**, typowo:

**Konserwacja wiosenna** (marzec-kwiecień): planowana outage 5-10 dni, pełne patchowanie OS, PLC firmware update, SCADA server upgrade.
**Konserwacja jesienna** (wrzesień-październik): ten sam scope.
**Nadzwyczajne okno przy critical CVE** (CVSS 9+) na produkcyjnie dostępnych service'ach, wymagające response 24-72 godziny.

Patch management w OT wymaga:

**Test bed / digital twin** — patche najpierw testuje się na duplicate hardware lub symulatorze (Mimic Simulation Software, Codesys SoftPLC), nigdy w live eksploatacji.
**Compensating controls** między patchowaniem — jeśli nie jest możliwy patch (vendor end-of-life, validated system), kompensacja regułami firewall, dodatkowym IDS monitoringiem lub network isolation.
**Approved baseline** — patch rozpowszechnia się tylko, jeśli wyszedł approved przez change management board.

Praktyczne kroki na pierwsze 90 dni dla operatora obowiązanego NIS2

Jeśli są Państwo w pozycji, gdzie audyt może przyjść w 6-12 miesięcy, a IEC 62443 to tylko termin w PowerPoincie:

1. **Inventory assets** (miesiąc 1). Pasywny scan sieci OT — Nozomi Guardian Trial, Claroty xDome PoC lub open-source GRASSMARLIN/Wireshark + custom skrypty. Cel: lista każdego PLC, HMI, switcha, przekaźnika, drive, robota — IP, MAC, wersja firmware, vendor. 2. **Draft modelu Z/C** (miesiąc 1-2). Warsztat z inżynierami OT + IT security + management. Output: jeden diagram na A1, który nakleja się na ścianę serwerowni. 3. **Risk assessment według IEC 62443-3-2** (miesiąc 2). Tabela: zone × threat × likelihood × consequence × SL target. 4. **Priorytetowe conduit'y do wdrożenia** (miesiąc 3). Typowo najwyższy score otrzymuje C3↔4 (SCADA-MES) i C1↔3 (IT-OT DMZ). Najrzadziej C5↔6 (PLC-field). 5. **Vendor selection + PoC** (miesiąc 3). Trzy dostawcy, dwa tygodnie każdy w środowisku laboratoryjnym, wybór based on protocol coverage + alerting accuracy + price.

Po 90 dniach mają Państwo audit-defensive dokumentacyjny pakiet + roadmap na wdrożenie, które trwa dodatkowych 12-18 miesięcy dla SL-2 / 24-36 miesięcy dla SL-3.

Najczęstsze błędy w polskich wdrożeniach

**„Mamy firewall."** Pytajcie: czy ma sygnaturę OT-aware? Inspekcję Modbus/S7Comm? Logi idą do SIEMu? Jeśli nie, mają Państwo filtr pakietów L3, nie security boundary.
**„VLAN-ami wszystko oddzieliliśmy."** VLAN bez ACL lub bez firewalla L3 pomiędzy to tylko broadcast separation. Atakujący w tym samym switchu z VLAN hopping (DTP/802.1Q double tagging) przeskoczy przez 30 sekund.
**„PLC nie są w internecie."** Po 6 miesiącach przy każdym audycie znaleźliśmy co najmniej jeden PLC, który był przez nieudokumentowany modem 4G (bezpośrednio do panelu dla szybkiego „updatu z domu") osiągalny przez Shodan.
**„Vendor robi update zdalnie przez TeamViewer."** TeamViewer / AnyDesk / VNC w strefach OT bez jump hosta i MFA to punkt wejścia dla supply chain attack. Zastąpić bastion hostem z recordingiem (Wallix, BeyondTrust lub open-source Apache Guacamole + audit log).
**„Nie mamy czego chronić, jesteśmy małą firmą."** NIS2 obejmuje również **medium entity** w łańcuchu dostaw essential services. Jeśli są Państwo dostawcą dla dużego utility, ich audyt przyniesie audyt również do Państwa.

---

*Piszemy to jako partner techniczny, który w ostatnich 8 latach wdrażał segmentację OT w energetyce, wodociągach i produkcji. Jeśli czeka Państwa audyt NIS2 lub wdrożenie IEC 62443, pierwsza konsultacja (90 minut) przejdzie Państwa model Z/C, obecne conduit'y i roadmap, i da Państwu realistyczne oszacowanie CAPEX i godzin engineering dla SL-1 lub SL-2 zgodnie z Państwa profilem ryzyka.*

Dlaczego teraz — deadline NIS2

Risk management framework według uznanego standardu — IEC 62443 jest de facto referencją dla OT.
Incident reporting w ciągu **24 godzin** od detekcji znaczącego incydentu do CSIRT NASK / CSIRT MON / CSIRT GOV.
Kara do **€10 mln lub 2 % obrotu**, w zależności od tego, co wyższe.

Model Z/C — podstawa, którą rysuje się jako pierwsze

Typowy model Z/C dla hali produkcyjnej z powiązaniem z ERP

Gdzie w praktyce stoi firewall OT-IT

Typowy spór przy wdrożeniu: **gdzie fizycznie stoi firewall OT-IT**. Trzy warianty:

Zasada: **conduit między strefami z różnym poziomem Trust MUSI mieć explicit punkt kontrolny**. Switch z VLAN-ami nie jest conduitem. Switch jest topologią. Conduit potrzebuje inspekcji L3-L7.

SL-1 vs SL-2 vs SL-3 — gdzie leży granica

IEC 62443-3-3 definiuje 7 foundational requirements (FR), każdy z 4 poziomami (SL-0 do SL-4). Granica w praktyce:

SL-1 — protection against casual or coincidental violation

Minimum, które dzisiaj musi mieć każdy system przemysłowy. Konkretnie:

Identyfikacja i uwierzytelnianie użytkowników dla HMI/Engineering Workstation (hasło, żadnych shared accounts).
Warstwa access control (RBAC na poziomie HMI — operator, konserwator, inżynier, admin).
Logging zmian (kto się zalogował, co zmienił, kiedy).
Zakaz USB w engineering workstations (BIOS-level disable + GPO).
Antivirus / EDR na wszystkich stacjach Windows OS w strefach OT.

Koszty SL-1 dla średniej produkcji (50-100 stacji OT): **€30-60k** infrastruktura + **150-300 godzin** engineering.

SL-2 — protection against intentional violation using simple means with low resources

Tu cena radykalnie się zmienia. Konkretnie SL-2 ponad SL-1:

**MFA (multi-factor authentication)** dla privileged access. Najczęściej YubiKey 5 NFC (~€55/szt. × 30 osób = €1 650) lub Duo Security (€8/user/miesiąc).
**Anti-malware z sygnaturami OT** — Nozomi Networks Guardian, Claroty xDome, Dragos Platform, Forescout SilentDefense. Ceny: **€25-80k licencja/rok** zależnie od liczby monitorowanych node'ów.
**Segmentacja sieci na poziomie VLAN+ACL+firewall**, nie tylko VLAN. Microsegmentation w OT jest istotna, ale obliczeniowo droga — typowo wdraża się Cisco TrustSec lub Forescout eyeSegment.
**Szyfrowanie management traffic** (HTTPS zamiast HTTP dla HMI web access, SSH zamiast Telnet, żadnego SNMPv2c — tylko SNMPv3 z authPriv).
**Logging z integracją SIEM** — wszystkie firewall logi, alerty IDS, zdarzenia uwierzytelniania idą do SIEM. Splunk Enterprise (€2-4/GB/dzień), QRadar, Elastic Security lub open-source Wazuh + ELK, jeśli budżet napięty.
**Procedury backup / restore z kopiami offline.** Imm copy, air-gap, miesięczne testy odtwarzania.

Koszty SL-2: **€120-280k** infrastruktura + **500-1 000 godzin** engineering, plus **15-25 % rocznie** na maintenance + threat intelligence subscription.

SL-3 — protection against intentional violation using sophisticated means with moderate resources

Tu dodaje się:

**NIDS z deep packet inspection** dla protokołów OT (Modbus TCP, EtherNet/IP, S7Comm, OPC UA, DNP3) — Nozomi lub Claroty w trybie zaawansowanym.
**Active hardening** — port disable na nieużywanych interfejsach, certificate-based device authentication, application whitelisting (Microsoft AppLocker, Carbon Black Protection).
**Air-gapped engineering networks** — laptop inżynierski nigdy nie jest podłączony do OT i IT jednocześnie.
**Quarterly red team exercises.**
**Szczegółowo zwalidowany change management process** — żadna zmiana firmware PLC bez 3-stage approval (engineering, operations, security).

NERC CIP — porównanie dla klientów energetycznych

Dla operatorów w energetyce (a zwłaszcza sieci przesyłowych, sieci gazowych) istotny jest również amerykański NERC CIP (Critical Infrastructure Protection). Różnica wobec IEC 62443:

**NERC CIP-007** (System Security Management): porównywalny z IEC 62443-3-3 FR3 + FR4.
**NERC CIP-005** (Electronic Security Perimeter): definiuje „Electronic Security Perimeter" (ESP), który jest bardziej restrykcyjny niż strefa IEC 62443 — wymaga **explicit inventory każdego access point przez ESP** i annual review.
**NERC CIP-010** (Configuration Change Management and Vulnerability Assessments): wymaga baseline configuration każdego control device, monthly vulnerability assessment. IEC 62443 pokrywa to w FR2.
**NERC CIP-008** (Incident Reporting): 1-godzinne okno reportingu dla NERC vs 24-godzinne dla NIS2.

Deep packet inspection Modbus TCP — co to realnie robi

Firewall deep packet inspection (DPI), na przykład Tofino Xenon lub Fortinet OT-aware, robi:

**Rozróżnienie Read-only vs Read-Write**: pozwala function code 1-4 (read coils, read registers), zakazuje function code 5-6, 15-16 (write single/multiple coil/register) ze źródeł nieautoryzowanych.
**Function code filtering**: niektóre kody funkcyjne (8 — diagnostic, 17 — report slave ID) zakazane całkowicie poza oknem konserwacyjnym.
**Address whitelisting**: SCADA → PLC adresy 1-247 są dozwolone, poza zakresem = drop + alert.
**Rate limiting**: > 10 write operacji na sekundę z jednego IP = anomalia, alert.

„Patches" w środowisku OT — nie liczcie na miesięczny Patch Tuesday

W IT normą jest miesięczny cykl patch. W OT normą jest **2-4 patch windows rocznie**, typowo:

**Konserwacja wiosenna** (marzec-kwiecień): planowana outage 5-10 dni, pełne patchowanie OS, PLC firmware update, SCADA server upgrade.
**Konserwacja jesienna** (wrzesień-październik): ten sam scope.
**Nadzwyczajne okno przy critical CVE** (CVSS 9+) na produkcyjnie dostępnych service'ach, wymagające response 24-72 godziny.

Patch management w OT wymaga:

**Test bed / digital twin** — patche najpierw testuje się na duplicate hardware lub symulatorze (Mimic Simulation Software, Codesys SoftPLC), nigdy w live eksploatacji.
**Compensating controls** między patchowaniem — jeśli nie jest możliwy patch (vendor end-of-life, validated system), kompensacja regułami firewall, dodatkowym IDS monitoringiem lub network isolation.
**Approved baseline** — patch rozpowszechnia się tylko, jeśli wyszedł approved przez change management board.

Praktyczne kroki na pierwsze 90 dni dla operatora obowiązanego NIS2

Jeśli są Państwo w pozycji, gdzie audyt może przyjść w 6-12 miesięcy, a IEC 62443 to tylko termin w PowerPoincie:

Po 90 dniach mają Państwo audit-defensive dokumentacyjny pakiet + roadmap na wdrożenie, które trwa dodatkowych 12-18 miesięcy dla SL-2 / 24-36 miesięcy dla SL-3.

Najczęstsze błędy w polskich wdrożeniach

**„Mamy firewall."** Pytajcie: czy ma sygnaturę OT-aware? Inspekcję Modbus/S7Comm? Logi idą do SIEMu? Jeśli nie, mają Państwo filtr pakietów L3, nie security boundary.
**„VLAN-ami wszystko oddzieliliśmy."** VLAN bez ACL lub bez firewalla L3 pomiędzy to tylko broadcast separation. Atakujący w tym samym switchu z VLAN hopping (DTP/802.1Q double tagging) przeskoczy przez 30 sekund.
**„PLC nie są w internecie."** Po 6 miesiącach przy każdym audycie znaleźliśmy co najmniej jeden PLC, który był przez nieudokumentowany modem 4G (bezpośrednio do panelu dla szybkiego „updatu z domu") osiągalny przez Shodan.
**„Vendor robi update zdalnie przez TeamViewer."** TeamViewer / AnyDesk / VNC w strefach OT bez jump hosta i MFA to punkt wejścia dla supply chain attack. Zastąpić bastion hostem z recordingiem (Wallix, BeyondTrust lub open-source Apache Guacamole + audit log).
**„Nie mamy czego chronić, jesteśmy małą firmą."** NIS2 obejmuje również **medium entity** w łańcuchu dostaw essential services. Jeśli są Państwo dostawcą dla dużego utility, ich audyt przyniesie audyt również do Państwa.

---

Sześć filarów,jedna dostawa.

Przemysł i inżynieria

Instalacje elektryczne i automatyka

Automatyka & Sterowanie

Centra danych i serwerownie

Software, web i cloud

Smart home i IoT

IEC 62443 — segmentacja OT/IT w praktyce

Dlaczego teraz — deadline NIS2

Model Z/C — podstawa, którą rysuje się jako pierwsze

Typowy model Z/C dla hali produkcyjnej z powiązaniem z ERP

Gdzie w praktyce stoi firewall OT-IT

SL-1 vs SL-2 vs SL-3 — gdzie leży granica

SL-1 — protection against casual or coincidental violation

SL-2 — protection against intentional violation using simple means with low resources

SL-3 — protection against intentional violation using sophisticated means with moderate resources

NERC CIP — porównanie dla klientów energetycznych

Deep packet inspection Modbus TCP — co to realnie robi

„Patches" w środowisku OT — nie liczcie na miesięczny Patch Tuesday

Praktyczne kroki na pierwsze 90 dni dla operatora obowiązanego NIS2

Najczęstsze błędy w polskich wdrożeniach

IEC 62443 — segmentacja OT/IT w praktyce

Dlaczego teraz — deadline NIS2

Model Z/C — podstawa, którą rysuje się jako pierwsze

Typowy model Z/C dla hali produkcyjnej z powiązaniem z ERP

Gdzie w praktyce stoi firewall OT-IT

SL-1 vs SL-2 vs SL-3 — gdzie leży granica

SL-1 — protection against casual or coincidental violation

SL-2 — protection against intentional violation using simple means with low resources

SL-3 — protection against intentional violation using sophisticated means with moderate resources

NERC CIP — porównanie dla klientów energetycznych

Deep packet inspection Modbus TCP — co to realnie robi

„Patches" w środowisku OT — nie liczcie na miesięczny Patch Tuesday

Praktyczne kroki na pierwsze 90 dni dla operatora obowiązanego NIS2

Najczęstsze błędy w polskich wdrożeniach