Instytut Kościuszki: Bezpieczeństwo infrastruktury krytycznej jest kluczowe. Nie ma miejsca na błędy
KOMENTARZ
Dr Joanna Świątkowska – dyrektor programowy CYBERSEC, ekspert Instytutu Kościuszki
Ziemowit Jóźwik – ekspert Instytutu Kościuszki
Najwyższa Izba Kontroli zbadała bezpieczeństwo obiektów infrastruktury krytycznej. Pod lupę NIK trafili wybrani operatorzy tego strategicznego obszaru funkcjonowania państwa, a także podmioty odpowiedzialne za system zarządzania kryzysowego. Niestety, wnioski po raz kolejny nie napawają optymizmem. W odniesieniu do kwestii związanych z cyberbezpieczeństwem wskazano na szereg nieprawidłowości, w tym m.in. na fakt iż w kilku przypadkach nie wdrożono wszystkich rekomendacji audytu sieci informatycznych działających na potrzeby obiektów infrastruktury krytycznej, a także nie opracowano wewnętrznych regulacji związanych z bezpieczeństwem przemysłowego systemu teleinformatycznego.
Mając na uwadze kluczowe znaczenie infrastruktury krytycznej, nie można tolerować żadnych niedociągnięć, czy błędów w tym obszarze. Szczególnie, jeśli problemy związane z cyberbezpieczeństwem dotyczą najbardziej newralgicznego aspektu, czyli warstwy przemysłowej. Niestety, świadomość wagi tego problemu jest wciąż za niska, brakuje także ludzi i specjalistycznej wiedzy na temat tego, jak skutecznie zapewniać cyberbezpieczeństwo w przemyśle.
Na uwagę zasługują starania takich podmiotów jak Rządowe Centrum Bezpieczeństwa, które publikując poradniki oraz opracowując Narodowy Program Ochrony Infrastruktury Krytycznej, czyni starania mające na celu wzmocnienie cyberbezpieczeństwa tego obszaru. Jednak, to wciąż za mało, choćby dlatego, że RCB nie ma wystarczających narzędzi, aby wyegzekwować stosowanie najlepszych praktyk. Dobra wola i decyzja operatora infrastruktury krytycznej w niektórych przypadkach nie wystarczy. Instytut Kościuszki od dawna wskazuje w swoich rekomendacjach, że w polskim systemie rozwiązań związanych z ochroną infrastruktury krytycznej powinny być stosowane elementy regulacyjne.
Nadzieją napawają inicjatywy podejmowane oddolnie, wykorzystujące polską myśl technologiczną, mające dostarczyć narzędzia, wiedzę i zwiększyć świadomość w obszarze cyberbezpieczeństwa przemysłu. Instytut Kościuszki wraz z Katedrą Telekomunikacji AGH, Międzynarodowym Centrum Bezpieczeństwa Chemicznego (ICCSS), Instytutem Automatyki i Robotyki Politechniki Warszawskiej oraz PZU Lab koordynuje obecnie prace nad stworzeniem kompleksowego rozwiązania wzmacniającego cyberbezpieczeństwo systemów sterowania przemysłowego.
Instrument, w którego tworzenie zaangażowani są również przedstawiciele polskiego przemysłu, zakłada iż oprócz rozwoju technologii konieczne jest przygotowanie mapy drogowej w zakresie podnoszenia świadomości i odpowiedzialności, testów cyberbezpieczeństwa oraz szkoleń. Poza zapotrzebowaniem rynku wewnętrznego, narzędzie to mogłoby stać się naszym towarem eksportowym. Już na obecnym etapie prac, chęć wdrożenia polskiego rozwiązania wzmacniającego cyberbezpieczeństwo systemów sterowania przemysłowego wyraziła Federacja Chińskiego Przemysłu Petrochemicznego (CPCIF) zrzeszająca podmioty zatrudniające 8,5 mln pracowników. Widać wyraźnie, że istnieje miejsce na „polską specjalizację”, która wzmocni nie tylko cyberbezpieczeństwo kraju, ale także polską gospodarkę. Wyniki kontroli są alarmujące i powinny zmotywować kluczowe podmioty do solidnych, dalszych działań.
