Grupa LOTOS to jedno z największych przedsiębiorstw w kraju. Jest koncernem naftowym zajmującym się wydobyciem i przerobem ropy naftowej oraz sprzedażą hurtową i detaliczną wysokiej jakości produktów naftowych. Jest producentem i dostawcą m.in. benzyny bezołowiowej, oleju napędowego, oleju napędowego do celów opałowych (lekki olej opałowy), paliwa lotniczego oraz ciężkiego oleju opałowego. Koncern specjalizuje się także w produkcji i sprzedaży olejów smarowych i asfaltów.
W połowie lat 70. powstała w Gdańsku niezwykle nowoczesna rafineria, o której pisano, że jest najnowocześniejsza na świecie i z największym w Europie Blokiem Olejowym. Była to pierwsza inwestycja w PRL-u oparta na zachodnich technologiach. Z czasem rafineria utraciła tę nowoczesność, lecz twórcza załoga i „gen rozwoju” doprowadziły do wielkich inwestycji i ekspansji w latach 1998-2020, dzięki czemu znów należy do najnowocześniejszych na świecie. W tym czasie czterokrotnie zwiększyła produkcję i z regionalnej rafinerii stała się ogólnopolskim koncernem paliwowym, który zintegrował południowe rafinerie i rozwinął działalność wydobywczą w Polsce i za granicą.

Zweryfikowaliśmy gotowość Grupy Lotos do spełnienia wymagań i obowiązków wynikających z przepisów ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC) Zebraliśmy i zbadaliśmy posiadaną dokumentację, przeprowadziliśmy wywiady i badania na podstawie list kontrolnych. Na postawie szerokich konsultacji i analiz wyznaczyliśmy granice systemu zarządzania cyberbezpieczeństwem usługi kluczowej i określiliśmy, które systemy IT/OT oraz w jakim zakresie powinny zostać uwzględnione w budowaniu lub optymalizowaniu wewnętrznych procedur.

Opracowaliśmy model zarządzania ryzkiem w obszarze cyberbezpieczeństwa i zapewniliśmy zgodność procedur z już istniejącymi w obszarze zarządzania ryzykiem korporacyjnym. Takie podejście umożliwiło wykorzystanie i adaptację istniejącej metodyki w zakresie opisu ryzyka i oceny prawdopodobieństwa z uwzględnieniem zmian w zakresie oceny wpływu (aspekty norm ISO – integralność, poufność i dostępność) oraz identyfikacji aktywów informacyjnych.

Sprostaliśmy największemu wyzwaniu, które było związane z rozproszeniem dokumentacji. Zaproponowaliśmy modyfikację struktury, która uwzględniła rozproszenie poszczególnych jej elementów i opracowanie dokumentów nadrzędnych, które odsyłają do już istniejących procedur. Z perspektywy użytkownika końcowego dokumentacji ograniczyliśmy i zminimalizowaliśmy ilość wprowadzanych zmian, a finalnie wypracowana struktura umożliwiła wyższe zrozumienie wymagań przepisów KSC i dostęp do informacji wewnętrznej.

Zorganizowaliśmy szkolenia dla pracowników Grupy Lotos, którzy są zaangażowani w funkcjonowanie i nadzór nad usługą kluczową, w tym nadzór nad jej bezpieczeństwem. Zakres szkoleń został dostosowany do poziomu zaawansowania poszczególnych uczestników. Szkolenia uwzględniały poziom podstawowy, średniozaawansowany i zaawansowany. Zastosowane techniki szkoleniowe umożliwiły wymianę doświadczeń oraz poznanie dobrych praktyk z zakresu cyberbezpieczeństwa.