W 2025 roku ataki ransomware na sektor produkcyjny wzrosły o 56% – z 937 do 1 466 incydentów rocznie1. Manufacturing czwarty rok z rzędu jest najczęściej atakowaną branżą na świecie. W Polsce, według CERT Polska, liczba zarejestrowanych incydentów cyberbezpieczeństwa wzrosła w 2024 r. o 29% rok do roku2. Koszt jednej godziny przestoju linii produkcyjnej szacuje się dziś na 20–100 tys. zł w zależności od skali zakładu.
W tym samym czasie dyrektorzy ds. produkcji rozmawiają z dyrektorami IT o pierwszych pilotach AI. I za każdym razem słyszą to samo pytanie: „Gdzie pójdą nasze dane?”
Jeśli odpowiedź brzmi „do chmury jakiegoś dostawcy LLM”, rozmowa zwykle się kończy. Dla zakładów objętych dyrektywą NIS2, dla producentów części dla branży motoryzacyjnej, dla firm z umowami NDA z zagranicznymi OEM-ami – to nie pytanie retoryczne. To linia obrony.
Ten artykuł jest dla osób, które muszą tę rozmowę poprowadzić od drugiej strony stołu.
Co tak naprawdę wycieka z fabryki
Z perspektywy atakującego najcenniejsze dane w zakładzie produkcyjnym to nie e-maile pracowników. To informacje, które bezpośrednio przekładają się na konkurencyjność firmy lub bezpieczeństwo pracowników:
- Receptury i parametry procesów technologicznych – krzywe temperatury, ciśnienia, czasy cyklu, parametry obróbki.
- Mapy infrastruktury OT – topologia sieci, lista PLC, wersje firmware'u, harmonogramy serwisowe.
- Strumienie wideo z linii produkcyjnej – produkty przed launchem, układ stanowisk, wąskie gardła, identyfikacja pracowników.
- Logi z systemów MES/SCADA – wskaźniki OEE, dane jakościowe, historia incydentów.
Każdy strumień danych wysyłany do zewnętrznego API LLM – nawet w celu „tylko” inspekcji wizyjnej – może ujawnić któryś z powyższych punktów. To nie hipoteza. Według raportu Check Point/ClickMeeting (styczeń 2026), 91% organizacji regularnie używających GenAI jest narażonych na wysokie ryzyko wycieku wrażliwych danych3.
Czym jest architektura air-gapped
Air-gapped (z ang. dosłownie „z przerwą powietrzną”) to architektura, w której system jest fizycznie i logicznie odizolowany od niezaufanych sieci, w tym od publicznego internetu. Nie ma kabla. Nie ma Wi-Fi. Nie ma Bluetooth. Nie ma VPN-a „tylko do jednego dostawcy”.
Tradycyjnie air-gap stosowano w energetyce jądrowej, w systemach sterowania siecią przesyłową, w klasyfikowanych systemach wojskowych. Dziś coraz częściej trafia do zwykłych zakładów produkcyjnych – dlatego, że narzędzia AI dojrzały do tego, by działać w pełni lokalnie.
Według firmy Tabnine, prawdziwie air-gapped rozwiązanie AI musi spełnić cztery niepodlegające negocjacji kryteria:
- Zero zewnętrznych zależności – żadnych zdalnych API, żadnej inferencji w chmurze, żadnej hostowanej autoryzacji ani telemetrii.
- Modele uruchamiane lokalnie – wagi modelu w perimetrze klienta, nie pobierane przy starcie.
- Aktualizacje przez zaufane media offline – kontrolowany transfer, nie automatyczny pull.
- Brak telemetrii „do poprawy jakości” – nic nie wraca do dostawcy.
To wysoka poprzeczka. Wiele rozwiązań sprzedawanych jako „on-premise” w rzeczywistości potrzebuje stałego połączenia z chmurą dostawcy – choćby do walidacji licencji. Z perspektywy szefa IT to dyskwalifikacja.
Ważne rozróżnienie: segmentacja sieci (VLAN-y, firewalle) to nie to samo co air-gap. Segmentacja kontroluje przepływ danych w obrębie połączonej sieci. Air-gap usuwa łączność całkowicie. Obie techniki uzupełniają się – nie zastępują.
Edge AI jako naturalna realizacja air-gap
Tu pojawia się punkt, który zmienił układ sił w ciągu ostatniego roku. Modele AI, które jeszcze 18 miesięcy temu wymagały klastra serwerów w Kalifornii, dziś mieszczą się na urządzeniu wielkości routera.
NVIDIA Jetson Thor dostarcza 2070 TFLOPS w trybie FP4 przy poborze 40–130 W – 7,5× więcej niż poprzednia generacja Orin, przy 3,5× lepszej efektywności energetycznej. To wystarczy, by w urządzeniu na szynie DIN uruchomić model wizyjno-językowy klasy 70B z kwantyzacją Q4 i jednocześnie analizować strumień 4K z kilku kamer (więcej w naszym artykule VLM na linii produkcyjnej).
Otwarte modele LLM również dogoniły rozwiązania chmurowe. Qwen 3.5 (Apache 2.0) w benchmarku OmniDocBench (rozumienie dokumentów) osiąga 90,8% – wyżej niż GPT-5.2 (85,7%) i Claude Opus 4.5 (87,7%). Działa lokalnie dzięki architekturze Mixture-of-Experts: z 397 mld parametrów aktywuje 17 mld na token. Mieści się na dwóch MSI EdgeXpert (256 GB pamięci, ok. 30 800 zł netto za parę). Szczegóły konfiguracji rozpisaliśmy w analizie sprzętowej Qwen 3.5.
Wniosek dla zespołu Security jest prosty: dziś można zbudować kompletną platformę AI w fabryce, nie wysyłając ani jednego bajtu do internetu. Dane zostają w firmie. To nie kompromis – to nowy standard.
Edge vs chmura – porównanie pod kątem bezpieczeństwa
| Aspekt | Chmura (publiczne API LLM) | Edge / on-prem |
|---|---|---|
| Powierzchnia ataku | Duża, scentralizowana | Mała, lokalna |
| Dane w tranzycie | Tak – eksponowane na interceptację | Nie opuszczają obiektu |
| Zależność od 3rd party | Dostawca, ISP, CDN | Brak |
| Eksfiltracja przez prompt injection | Realna i udokumentowana | Niemożliwa |
| Awaria vendora = przestój produkcji | Tak | Nie |
| Compliance NIS2 / IEC 62443 | DPIA, klauzule, audyt chmury | Strefa wydzielona – prosto do udokumentowania |
| Suwerenność danych | Złożona (szczególnie US-based) | Pełna |
| Predykcyjność kosztów | Niska (per-token) | Wysoka (CAPEX raz) |
Cloud ma swoje miejsce. W naszym artykule Edge computing vs chmura pisaliśmy, że oba światy się uzupełniają – chmura sprawdza się przy treningu modeli, agregacji danych z wielu zakładów i analityce historycznej. Ale dla danych operacyjnych przetwarzanych w czasie rzeczywistym punkt wyjścia powinna stanowić warstwa lokalna.
W kontekście bezpieczeństwa argumenty są jednoznaczne. Dane, których nie wysyłasz, nie zostaną przejęte w tranzycie. Modele, które pracują lokalnie, nie zostaną zatrute prompt injection od innego klienta SaaS.
Co mówi NIS2, IEC 62443 i RODO
W Polsce 3 kwietnia 2026 weszła w życie nowelizacja Ustawy o Krajowym Systemie Cyberbezpieczeństwa (UKSC), wdrażająca dyrektywę NIS2. Manufacturing – w szczególności wyroby medyczne, komputerowe, elektroniczne, maszyny i pojazdy – jest sektorem objętym wprost.
Konsekwencje dla zarządu i zespołu IT:
- Kary do 10 mln EUR lub 2% rocznego obrotu globalnego (podmioty kluczowe).
- Obowiązek zgłoszenia incydentu w 24 h (wstępnie) i 72 h (szczegółowo).
- Odpowiedzialność osobista zarządu.
- Audyty cykliczne co 3 lata; pierwszy do 24 miesięcy od wejścia w życie.
W warstwie technicznej standardem branżowym jest IEC 62443 – w szczególności część 3-2 (strefy i kanały) oraz 3-3 / 4-2 (wymagania techniczne). Architektura air-gapped jest tu wskazywana wprost jako jeden z legitymowanych scenariuszy ochrony stref o najwyższym poziomie bezpieczeństwa (Security Level 3 i 4). Siemens zapowiedział na drugą połowę 2026 r. release Industrial Edge z certyfikowanym IEC 62443-4-2 trybem air-gapped – to potwierdza, że to standard branżowy, nie egzotyka.
Dla danych osobowych pracowników (np. obraz z kamer) RODO wymaga adekwatnych środków technicznych. Lokalne przetwarzanie eliminuje konieczność DPIA dla zagranicznego processora i upraszcza audyt.
Argument do CISO: edge AI w wydzielonej strefie air-gap mapuje się 1:1 na wymagania NIS2 i IEC 62443. Jest prostszy do udokumentowania niż integracja z chmurowym API.
„Muszę przekonać szefa IT” – siedem najczęstszych obiekcji
W praktyce rozmowa z zespołem Security toczy się wokół tych samych siedmiu pytań. Tu krótkie odpowiedzi.
1. „AI to czarna skrzynka – kto wie co wyśle.”
Edge AI nie wysyła nic poza obiekt. Ruch sieciowy z urządzenia jest audytowalny i można go zablokować na firewallu. Reguła „default deny” + monitoring DNS = pełna kontrola.
2. „RODO i NIS2 – co z transferami danych?”
Lokalne przetwarzanie = brak transferów. Brak transferów = brak DPIA dla zagranicznego processora. Compliance staje się prostszy, nie trudniejszy.
3. „A co jak dostawca AI padnie albo zmieni warunki?”
W modelu lokalnym nie dotyczy. Wagi modelu zostają na dyskach klienta, fabryka pracuje. Jeśli używasz modelu open-weights (Apache 2.0), nie ma nawet ryzyka zmiany licencji.
4. „Audyt – jak wykazać compliance?”
Edge AI w wydzielonej strefie to dokładnie to, czego oczekuje IEC 62443-3-2: jasno zdefiniowana zone, kontrolowane conduit. Audytor widzi granicę i listę aktywów w niej.
5. „OT nie znosi przerw.”
Edge działa offline. Jeśli internet padnie, linia produkcyjna jedzie dalej z pełną funkcjonalnością AI. W modelu chmurowym – nie jedzie. To również argument biznesowy.
6. „USB i insider – air gap się nie obroni.”
Prawda, i nie ma sensu udawać inaczej. Air gap eliminuje wektor zdalny, ale nie zastępuje innych kontroli (polityka nośników, MetaDefender Kiosk, RBAC, monitoring). To nie jest argument przeciwko air-gap. To argument za stosowaniem warstw obrony, w których air-gap jest jedną z warstw.
7. „A patch management?”
Planowane okna serwisowe + transfer kontrolowany offline + podpisane obrazy. Standardowa praktyka w środowiskach OT od dwudziestu lat. Niczego nowego się nie wymyśla.
Jak Elmatic projektuje „island mode” – trzy scenariusze
Termin island mode pochodzi z energetyki – opisuje system, który działa samowystarczalnie po odłączeniu od sieci nadrzędnej. Adaptujemy go do AI w fabryce: każdy węzeł obliczeniowy jako wyspa, samowystarczalna i odporna na awarię łącza.
Z naszej praktyki wdrożeniowej wyłaniają się trzy typowe konfiguracje. Każda ma sens w innych warunkach.
Przy maszynie – inspekcja i kontrola jakości
Kiedy wybrać: krytyczna kontrola jakości, dane stanowią tajemnicę handlową, wymóg NDA z OEM-em, brak zaufania do dostawców chmurowych.
Sprzęt: ETA 743-AT (Advantech z NVIDIA Jetson Thor) lub Nuvo-10108GC z kartą NVIDIA RTX. Praca w warunkach przemysłowych: −20 do +60°C, wibracje, wilgoć.
Jak działa: model VLM uruchomiony lokalnie na urządzeniu. Kamera podłączona przez GigE Vision. Decyzja OK/NOK + raport diagnostyczny w 200–500 ms. Brak fizycznego połączenia z internetem. Aktualizacje modelu – przez kontrolowany transfer offline w oknie serwisowym.
Co zyskuje Security: w panelu monitoringu widać tylko ruch wewnątrz strefy. Z perspektywy NIS2 to jedna zone z jasno zdefiniowanymi conduit-ami. Audyt prosty.
Strefa air-gap z bramą jednokierunkową do raportowania
Kiedy wybrać: chcesz, by wyniki analiz trafiały do systemu ERP/MES, ale surowe dane mają zostać w hali. To kompromis dla zakładów, które chcą KPI w boardroomie bez wynoszenia know-how.
Sprzęt: klaster edge na hali (Jetson Thor / RTX) + brama z data diodą (połączenie jednokierunkowe wymuszone sprzętowo) do warstwy IT.
Jak działa: modele AI pracują na surowych danych lokalnie. Do warstwy IT wychodzą wyłącznie zagregowane wyniki – np. „linia A: 247 detali OK, 3 NOK, klasy defektów 12, 5, 5”. Surowe obrazy i sygnały zostają w wydzielonej zone.
Co zyskuje Security: kontrolowany kanał z hardware'owym wymuszeniem kierunku ruchu. Audytowalny zakres przepływu danych. Spełnienie zasady minimum koniecznego (least privilege) na poziomie architektury.
„Wyspa” dla wielu linii produkcyjnych
Kiedy wybrać: zakład wielolinijny, potrzebujesz jednego modelu trenowanego na danych z całej fabryki, ale nie chcesz wynosić ich poza obiekt.
Sprzęt: serwery NVIDIA MGX z kartami H200 NVL lub RTX PRO 6000 w serwerowni zakładu. Połączenie z linią produkcyjną przez wydzielony VLAN OT, bez routingu do internetu. Cała „wyspa” zamknięta w obiekcie zakładu.
Jak działa: centralny inferencyjny „hub” obsługuje 10–20 linii jednocześnie. Trenowanie modeli – w tej samej infrastrukturze, na danych zebranych ze wszystkich linii. Latencja w sieci LAN poniżej 5 ms, więc decyzje czasu rzeczywistego nadal są możliwe.
Co zyskuje Security: centralizacja w jednej, dobrze pilnowanej zone. Łatwiej zarządzać niż dziesiątkami rozproszonych edge nodes. Pełna kontrola nad danymi i modelami w obrębie obiektu.
W każdym z trzech scenariuszy zachowujemy zasadę: dane operacyjne nie opuszczają obiektu. Hybryda z chmurą jest możliwa (np. agregowane KPI do raportowania zarządu, asynchroniczne backupy modeli), ale jako świadoma decyzja architektoniczna – nie domyślne ustawienie dostawcy AI.
Poznaj komputery NVIDIA Jetson, stacje robocze z NVIDIA RTX oraz serwery NVIDIA MGX, które stanowią fundament wszystkich trzech architektur opisanych powyżej.
Co dalej
Architektura air-gapped przestała być kompromisem. Dzisiejszy hardware (Jetson Thor, RTX, MGX) plus dojrzałe otwarte modele (Qwen 3.5, Llama 4, modele wizyjno-językowe klasy 70B) pozwalają zbudować kompletną platformę AI w fabryce bez wysyłania danych poza zakład – i bez znaczącego kompromisu jakościowego.
Dla zespołu Security oznacza to mniej rozmów o transferach, mniej dokumentacji DPIA, mniej zależności od zewnętrznych dostawców i prostszy audyt NIS2. Dla zespołu produkcji – odporność na awarie sieci i przewidywalne koszty operacyjne.
Bez chmury, bez abonamentu, dane zostają w firmie.
Pomożemy Ci zaprojektować architekturę air-gapped dla Twojej fabryki
Niezależnie od tego, czy stoisz przed pierwszą rozmową z zespołem IT Security, czy projektujesz konkretne wdrożenie – doradzimy, które rozwiązanie najlepiej sprawdzi się w Twoim przypadku. Zapewniamy wsparcie od etapu koncepcji, przez dobór sprzętu, aż po znalezienie integratora i serwis.
Napisz lub zadzwoń, a nasz zespół pomoże Ci wybrać optymalne rozwiązanie i przeprowadzi przez każdy etap wdrożenia.
elmatic@elmark.com.pl
22-763-91-03
Przypisy:
1 Check Point – Manufacturing Threat Landscape 2026
2 CERT Polska – Krajobraz bezpieczeństwa polskiego internetu 2024
3 Check Point / ClickMeeting – raport o bezpieczeństwie GenAI 2026
