Rojszczak: Jak chronić energetykę w cyberprzestrzeni
– Jednym z sektorów gospodarki, odpowiadającym za świadczenie usług kluczowych w rozumieniu unijnej dyrektywy NIS jest energetyka. Zgodnie z załącznikiem II do tejże dyrektywy, jej zakresem objęci są szczególnie zarówno dostawcy energii elektrycznej, jak i operatorzy systemu dystrybucyjnego oraz przesyłowego – mówi portalowi BiznesAlert.pl Marcin Rojszczak, wiceprezes firmy PBSG.
Biorąc pod uwagę znaczenie dostaw energii dla prawidłowego funkcjonowania praktycznie wszystkich gałęzi gospodarki, wrażliwość sieci ICS/SCADA oraz potencjalne ryzyka związane z próbami ataku na tego typu sieci (na przykład niedawne incydenty na Ukrainie), sektor energetyczny wydaje się bez wątpienia jednym z kluczowych w zakresie wprowadzenia regulacji podnoszących poziom bezpieczeństwa IT.
Ciekawy głos w dyskusji na temat znaczenia, przyszłości i możliwych strategii w zakresie ochrony infrastruktury energetycznej stanowi opracowana dla Parlamentu Europejskiego analiza „Strategia cyberbezpieczeństwa sektora energii” (Cyber Security Strategy for the Energy Sector). Poza wskazaniem obecnej sytuacji na poszczególnych rynkach czy ryzyk związanych z wprowadzeniem takich technologii jak smart metering, w dokumencie omówiono także oczekiwane działania – w tym legislacyjne – jakie należy przeprowadzić w krajach członkowskich Unii Europejskiej w związku z podniesieniem odporności sektora na zagrożenia związane z bezpieczeństwem IT.
Postuluje się w niej szczególnie przeniesienie na grunt krajowych regulacji prawnych wymagań związanych z:
- wyznaczeniem jednego organu odpowiedzialnego za cyberbezpieczeństwo sektora;”
- obowiązkowym raportowaniem incydentów bezpieczeństwa;”
- utworzeniem ram potrzebnych do wymiany informacji pomiędzy podmiotami z branży;”
- zapewnieniem, aby działania związane z cyberbezpieczeństwem obejmowały systemy ICS/SCADA;”
- wypracowaniem standardów bezpieczeństwa dla systemów technicznych;”
- ustanowieniem zasad certyfikacji podmiotów.”
Naturalnie działania te mają różne priorytety. Natomiast warto podkreślić, że wszystkie powinny być uwzględnione w ramach przepisów prawnych, a nie wynikać z dobrowolnych działań poszczególnych spółek. Tylko bowiem w ten sposób ich realizacja przyczyni się do stworzenia spójnego systemu cyberbezpieczeństwa, a nie będzie miała wyłącznie charakteru punktowego i fragmentarycznego.
W oczekiwaniu na długo zapowiadany projekt ustawy o krajowym systemie cyberbezpieczeństwa, warto zwrócić uwagę, w jaki sposób problem odpowiedniej ochrony infrastruktury energetycznej jest rozwiązywany za granicą. Dobrym przykładem mogą być standardy opracowywane przez amerykański NIST (National Institute of Standards and Technology – Narodowy Instytut Standardów i Technologii). Od wielu lat są one najlepszym w branży puntem odniesienia zarówno w zakresie kompletności, jak i szczegółowości podejścia do zagadnień cyberbezpieczeństwa.
Trzy lata temu NIST opublikował pierwszą wersję standardu podniesienia cyberbezpieczeństwa infrastruktury krytycznej (Framework for Improving Critical Infrastructure Cybersecurity). Łączy ona dotychczasowe doświadczenia związane z opracowaniem standardów technicznych, uzupełniając je wspólnymi rozwiązaniami ramowymi w zakresie zarządzania ryzykiem. Instytut proponuje oparcie modelu ochrony infrastruktury krytycznej o znany z systemów zarządzania wariant modelu PDCA, a więc zamiast budowy rozwiązania opartego o konkretne zabezpieczenia i rozwiązania technologiczne – wdrożenie w obszarze cyberbezpieczeństwa modelu zarządzania przez ryzyko.
Standard wprowadza także poziomy dojrzałości w zakresie ochrony cyberbezpieczeństwa, które dodatkowo pomagają firmom sektora IK planować rozwój swoich systemów bezpieczeństwa IT. Model zaproponowany przez NIST wprowadza kompleksowe spojrzenie na cyberbezpieczeństwo: od najwyższego poziomu zarządczego aż do konkretnych standardów technicznych, na przykład związanych z zabezpieczeniem brzegowych urządzeń sieciowych, procedur kontroli i audytu infrastruktury Operational Technology czy mechanizmów zarządzania podatnością urządzeń i sieci. Odnosi się także do standardów zewnętrznych, takich jak COBIT czy ISO 27001 – również popularnych i funkcjonujących w polskich firmach branży energetycznej. W rezultacie model NIST prezentuje kompletną koncepcję podejścia do zagadnień cyberbezpieczeństwa – czytelną i adekwatną dla dużych firm infrastrukturalnych.
