lotos

Grupa LOTOS to jedno z największych przedsiębiorstw w kraju. Jest koncernem naftowym zajmującym się wydobyciem i przerobem ropy naftowej oraz sprzedażą hurtową i detaliczną wysokiej jakości produktów naftowych. Jest producentem i dostawcą m.in. benzyny bezołowiowej, oleju napędowego, oleju napędowego do celów opałowych (lekki olej opałowy), paliwa lotniczego oraz ciężkiego oleju opałowego. Koncern specjalizuje się także w produkcji i sprzedaży olejów smarowych i asfaltów.
W połowie lat 70. powstała w Gdańsku niezwykle nowoczesna rafineria, o której pisano, że jest najnowocześniejsza na świecie i z największym w Europie Blokiem Olejowym. Była to pierwsza inwestycja w PRL-u oparta na zachodnich technologiach. Z czasem rafineria utraciła tę nowoczesność, lecz twórcza załoga i „gen rozwoju” doprowadziły do wielkich inwestycji i ekspansji w latach 1998-2020, dzięki czemu znów należy do najnowocześniejszych na świecie. W tym czasie czterokrotnie zwiększyła produkcję i z regionalnej rafinerii stała się ogólnopolskim koncernem paliwowym, który zintegrował południowe rafinerie i rozwinął działalność wydobywczą w Polsce i za granicą.

Fakty i dane

Pełna nazwa

Pełna nazwa

Grupa Lotos S.A.

Branża

Branża

Energia i paliwa

Zatrudnienie

Zatrudnienie

Powyżej 2000

Czego oczekiwał klient?

Jako operator usługi kluczowej w obszarze wytwarzania paliw ciekłych Grupa Lotos oczekiwała i wymagała w określonych obszarach IT oraz automatyki OT dostosowania procesów i świadczenia usługi kluczowej zgodnie z wymaganiami wynikającymi z ustawy o Krajowym Systemie Cyberbezpieczeństwa. Wyznanie stanowiła rozproszona dokumentacja elementów wymaganych przepisami o Krajowym Systemie Cyberbezpieczeństwa oraz wymagań norm ISO/IEC 27001 i ISO 22301.

Co zrobiliśmy?

PRZEPROWADZILIŚMY AUDYT BEZPIECZEŃSTWA

Zweryfikowaliśmy gotowość Grupy Lotos do spełnienia wymagań i obowiązków wynikających z przepisów ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC) Zebraliśmy i zbadaliśmy posiadaną dokumentację, przeprowadziliśmy wywiady i badania na podstawie list kontrolnych. Na postawie szerokich konsultacji i analiz wyznaczyliśmy granice systemu zarządzania cyberbezpieczeństwem usługi kluczowej i określiliśmy, które systemy IT/OT oraz w jakim zakresie powinny zostać uwzględnione w budowaniu lub optymalizowaniu wewnętrznych procedur.

OPRACOWANIE MODELU ZARZĄDZANIA RYZYKIEM

Opracowaliśmy model zarządzania ryzkiem w obszarze cyberbezpieczeństwa i zapewniliśmy zgodność procedur z już istniejącymi w obszarze zarządzania ryzykiem korporacyjnym. Takie podejście umożliwiło wykorzystanie i adaptację istniejącej metodyki w zakresie opisu ryzyka i oceny prawdopodobieństwa z uwzględnieniem zmian w zakresie oceny wpływu (aspekty norm ISO – integralność, poufność i dostępność) oraz identyfikacji aktywów informacyjnych.

DOKUMENTACJA CYBERBEZPIECZEŃSTWA

Sprostaliśmy największemu wyzwaniu, które było związane z rozproszeniem dokumentacji. Zaproponowaliśmy modyfikację struktury, która uwzględniła rozproszenie poszczególnych jej elementów i opracowanie dokumentów nadrzędnych, które odsyłają do już istniejących procedur. Z perspektywy użytkownika końcowego dokumentacji ograniczyliśmy i zminimalizowaliśmy ilość wprowadzanych zmian, a finalnie wypracowana struktura umożliwiła wyższe zrozumienie wymagań przepisów KSC i dostęp do informacji wewnętrznej.

TRANSFER WIEDZY

Zorganizowaliśmy szkolenia dla pracowników Grupy Lotos, którzy są zaangażowani w funkcjonowanie i nadzór nad usługą kluczową, w tym nadzór nad jej bezpieczeństwem. Zakres szkoleń został dostosowany do poziomu zaawansowania poszczególnych uczestników. Szkolenia uwzględniały poziom podstawowy, średniozaawansowany i zaawansowany. Zastosowane techniki szkoleniowe umożliwiły wymianę doświadczeń oraz poznanie dobrych praktyk z zakresu cyberbezpieczeństwa.

Jakie były rezultaty?

Projekt obejmował dostosowania procesów i świadczenia usługi kluczowej zgodnie z wymaganiami wynikającymi z ustawy o Krajowym Systemie Cyberbezpieczeństwa.
Jako operator usługi kluczowej Grupa Lotos otrzymała kompleksowe wsparcie w zakresie wdrożenia ustawy o krajowym systemie cyberbezpieczeństwa. Zbudowaliśmy wymaganą zdolność organizacyjno-techniczną dla zapewnienia właściwego poziomu bezpieczeństwa systemów IT służących do świadczenia usługi kluczowej. Przeprowadziliśmy audyt bezpieczeństwa, dokonaliśmy analizy ryzyka i wytypowaliśmy obszary krytyczne mogące wpłynąć na zakłócenia w dostępności usługi kluczowej. Finalnie zaktualizowaliśmy dokumentację, której wymóg jest określony w ustawie KSC i przeszkolimy kluczowy personel. W efekcie Grupa Lotos spełnia wymagania ustawy o KSC.

Co zyskał klient?

Zgodność z wymaganiami i obowiązakami wynikającymi z przepisów ustawy o Krajowym Systemie Cyberbezpieczeństwa.

Wzrost poziomu bezpieczeństwa informacji.

Optymalizację kosztów dotyczących cyberbezpieczństwa.

Wprowadzenie najlepszych praktyk w zakresie zarządzania ryzkiem.

Aktualną dokumentację procedur bezpieczeństwa.

Wzrostu poziomu nadzorowania ryzyka i bezpieczeństwa zgodnie z ustawą KSC.

Wzrost świadomości cyberbezpieczństwa na wszystkich szczeblach zarządzania.

Usprawnienie i optymalizacja procesów i procedur w zakresie bezpieczeństwa informatycznego i informacji.

Wzmocnienie ładu korporacyjnego.

Sprawdź pozostałe Case Studies

Zainteresowaliśmy Cię? Napisz do nas i porozmawiajmy o Twoim projekcie.