Kurek: Cyberprzestępcy mają nadal przewagę nad obrońcami infrastruktury krytycznej (ROZMOWA)
ROZMOWA
Dyrektor w dziale cyberbezpieczeństwa w firmie doradczej EY, Michał Kurek, opowiada o wpływie zagrożeń cybernetycznych na bezpieczeństwo sektora energetycznego.
BiznesAlert.pl: Dlaczego zapewnienie bezpieczeństwa cybernetycznego w sektorze energetycznym jest istotne?
Michał Kurek: Sektor energetyczny stanowi ważny element infrastruktury krytycznej. Świadczy usługi, których przerwanie lub zakłócenie powoduje problem z realizacją podstawowych funkcji biznesowych. W przypadku wystąpienia w miastach zjawiska rozległej awarii zasilania tzw. blackoutu dochodzi do paraliżu biznesu. Jest to również bardzo odczuwalny w skutkach problem dla zwykłych obywateli. Jak pokazują ostatnie wydarzenia to nie jest mrzonka czy hipotetyczne zjawisko. W grudniu ubiegłego roku na Ukrainie doszło do zaatakowania kilku elektrowni przy wykorzystaniu złośliwego oprogramowania. W efekcie doszło do przerwy w dostarczaniu energii do kilkuset tysięcy gospodarstw domowych i firm.
Wspomniał Pan o przykładzie Ukrainy. Czy my jako Polska, polskie firmy, jesteśmy pod tym względem bezpieczni?
Nie można niestety powiedzieć, że jesteśmy w pełni zabezpieczeni. To jest podstawowa zasada myślenia o bezpieczeństwie. Cyberprzestępcy są niestety zawsze o krok do przodu przed osobami broniącymi firm, organizacji czy obywateli. Dysponują informacjami o lukach w oprogramowaniu, o których nie wie nawet ich producent. To są tzw. luki zero day. Przez to są w stanie przygotować ataki, przed którymi praktycznie nie da się obronić. Oczywiście przygotowanie takich ataków wymaga dobrej organizacji oraz dużego zaawansowania technicznego cyberprzestępców. Często również dużych nakładów finansowych. Niestety, podziemie związane z cyberprzestępczością posiada już takie możliwości i samoorganizację. Jest finansowane przez bardzo duże środki pochodzące z cyberprzestępstw. W zeszłym roku, w ujęciu globalnym, straty związane z cyberprzestępczością były szacowane na 500 mld dolarów. W przypadku niektórych państw stanowi to 1% PKB. To ogromny przemysł i jednocześnie ogromny problem. Ciągle rośnie skala ataków. Była podjęta próba ataku na bank w Bangladeszu, gdzie próbowano wyprowadzić z systemu bankowego miliard dolarów. Skończyło się ,,jedynie” na 81 mln dolarów. Są to jednak bardzo duże kwoty.
Wracając do pytania czy polskie firmy są przygotowane na odparcie cyberataków to trzeba mieć świadomość, że taki nakierowany, bardzo dobrze przygotowany, sponsorowany przez duże podmioty atak ma bardzo duże szanse powodzenia, jeżeli chodzi o nasze firmy. Aczkolwiek wydaje mi się, że nie jest to jedynie polski problem. Każda organizacja będzie miała ogromny problem z odparciem dobrze przygotowanego, nakierowanego ataku.
Niedawno Polskie Sieci Elektroenergetyczne podpisały porozumienie z Centrum Doskonalenia ds. Sektora Energetycznego NATO o współpracy m.in. właśnie w obszarze cyberbezpieczeństwa. Czy takie podmioty międzynarodowe jak Sojusz czy Unia Europejska posiadają mechanizmy, które mogłoby wzmocnić nasze bezpieczeństwo w tym zakresie?
Istnieje dziś nierównowaga w siłach pomiędzy hakerami – zorganizowanymi grupami cyberprzestępców, a organizacjami broniącymi się przed ich działalnością. Jedyną drogą aby zbilansować tę dysproporcję jest wymiana informacji. Dlatego pewne porozumienia w zakresie wymiany informacji o cyberzagrożeniach, zarówno w ramach sektorów, jak i międzynarodowe są obecnie kluczowym kierunkiem, do którego powinny zmierzać organizacje, aby lepiej przygotować się na odparcie ewentualnych ataków cybernetycznych. To już zaczyna mieć miejsce.
W Polsce opracowywana jest strategia cyberbezpieczeństwa. Ma to związek z wymogami Unii Europejskiej i dyrektywą NIS (Network and Information Security), która wymaga od wszystkich państw członkowskich przygotowania takiej strategii. W ramach tych dokumentów państwa są zobligowane do stworzenia struktur wymieniającymi się informacjami o cyberzagrożeniach. Również w relacji międzynarodowej. Jeżeli hakerzy napiszą nowy rodzaj złośliwego oprogramowania (malware) i użyją go w jednym państwie członkowskim i jeżeli ten malware zostanie dobrze zdiagnozowany, wówczas zostaną wypracowane metody ochrony przed nim. Informacja na ten temat nie powinna pozostawać w jednym miejscu, lecz zostać rozprzestrzeniona w skali całego świata po to, aby w innych miejscach udaremnić zastosowanie tego samego rodzaju ataku. Wówczas hakerzy będą musieli znacznie więcej inwestować w rozwój ataków, tracąc tym samym ogromną przewagę jaką mają obecnie nad firmami.
A jak wyglądają statystyki jeżeli chodzi o wykrywalność takich ataków?
Niestety nie jest dobrze. EY (dawniej Ernst & Young – przyp. red.) prowadzi coroczne badanie Global Information Security Survey. Przeszło połowa z prawie dwóch tysięcy respondentów (firm z całego świata) stwierdziła, że jest świadoma tego, iż nie jest w stanie wykryć dobrze przygotowanego ataku. Co więcej, odpowiedzi respondentów, którzy już padli ofiarą ataków pokazują, że w przypadku dwóch trzecich firm cyberatak został wykryty nie przez dedykowaną do tego jednostkę (czy to centrum monitorowania bezpieczeństwa, czy też dział IT) tylko przez biznes i strony trzecie. Wykrywanie cyberataków wciąż jest na bardzo niskim poziomie.
Czy wobec tego pewnego rodzaju rozwiązaniem mogłaby być współpraca władz centralnych z biznesem?
Zdecydowanie tak. Optymistyczny jest kierunek, w którym obecnie zmierza Ministerstwo Cyfryzacji. Bardzo intensywnie pracuje właśnie nad partnerstwem publiczno-prywatnym. Chce przyciągnąć operatorów firm telekomunikacyjnych do monitorowania bezpieczeństwa. Najbardziej zaawansowanym pod względem przeciwdziałaniu cyberprzestępczości jest sektor finansowy. Również pomiędzy Ministerstwem Cyfryzacji a sektorem bankowym jest prowadzony dialog. Ten kierunek jest bardzo istotny. Skuteczna współpraca może wymagać wprowadzania zmian prawnych. Bądźmy dobrej myśli.
Biorąc pod uwagę wspomnianą wcześniej Ukrainę, jej niestabilną sytuację polityczną czy też prowokacyjne względem Unii Europejskiej zachowania Rosji, czy podziela Pan pogląd, że ataki cybernetyczne mogą stać się elementem wojny hybrydowej w Europie?
Dzisiejsze działania cybernetyczne wykorzystujące haking, przełamywanie zabezpieczeń informatycznych mogą bardzo skutecznie wspomóc konwencjonalne działania militarne. Obecnie cyberwojna jest jak najbardziej realnym pojęciem. Co prawda nikt w tej wojnie nie ginie, ale straty związane z jej prowadzeniem mogą być olbrzymie.
Rozmawiał Piotr Stępiński
