Syta: Energetyka jest coraz bezpieczniejsza w cyberprzestrzeni

16 listopada 2018, 07:30 Cyberprzestrzeń

W polskiej energetyce rośnie liczba osób, które wiedzą jak bronić się przed wirtualnymi zagrożeniami. Sektor energetyczny nie ma wyjścia – gdy przerwana zostanie ciągłość tych usług kluczowych w sposób natychmiastowy skutki rozprzestrzenią się na pozostałe sektory – mówi Jakub Syta, ekspert ds. cyberbezpieczeństwa.

Laptop cyberbezpieczeństwo
fot. Pixabay/CC

Energetyka jest bardzo silnie zależna od technologii informatycznych. Towarzyszy jej od samego początku – od momentu sterowania procesem jej wytwarzania, poprzez systemy przesyłu i dystrybucji, aż po elektroniczne liczniki prądu i urządzenia końcowe zasilane energią elektryczną i równocześnie podłączone do Internetu. Cały złożony system pilnuje by system energetyczny kraju funkcjonował stabilnie.

Jednak tam, gdzie informatyka, tam są błędy. Zapewnienie cyberbezpieczeństwa jest odwrotnie proporcjonalne do złożoności chronionych rozwiązań – w prostszych systemach łatwiej jest wykryć błędy czy je zabezpieczyć. Tymczasem systemy obsługujące energetykę są niezwykle skomplikowane. A dodatkowo obejmuje często technologie tworzone w bardzo różnym czasie, które niekoniecznie były przygotowane z myślą o konieczności sprostania zaawansowanym atakom sieciowym. Jak każdy inny system, tak i te są więc podatne na zagrożenia. Zadaniem służb zajmujących się cyberbezpieczeństwem w sektorze energetycznym jest więc wykrycie i zabezpieczenie luk jak również umiejętność reakcji na ataki.

Dla większości osób bezpieczeństwo w cyberprzestrzeni kojarzy się z zapewnieniem poufności. Tymczasem istotne w przypadku usług kluczowym bardzo istotne są inne właściwości bezpiecznych systemów informacyjnych – zapewnienie integralności i dostępności. Kluczowa jest dostępność, potrzebujemy stałego dostępu do prądu więc systemy muszą być odporne na awarie czy destrukcyjne ataki. Zapewnienie integralności w polega na tym, byśmy mogli traktować informacje, przede wszystkim z systemów sterowania, jako wiarygodne. W historii miały już miejsce ataki, których istotnym elementem było zafałszowanie informacji prezentowanych w systemach sterowania tak by dyspozytorzy nie mogli wykryć modyfikacji parametrów pracy.

Zidentyfikowanie kto dokonał cyberataku jest niemalże niemożliwe. Wiemy, że ktoś się włamał, wiemy w jaki sposób, ale rzadko zdarza się, że możemy powiedzieć kto to zrobił. Najczęściej możemy wnioskować to po tym, kto na danym ataku skorzystał. Jeżeli na Ukrainie dwa lata z rzędu w okresie bożonarodzeniowym miały miejsce awarie zasilania, to biorąc pod uwagę sytuację geopolityczną możemy zakładać komu na tym mogło najbardziej zależeć. Ale niestety często są to wyłączne spekulacje, bez możliwości jednoznacznego wskazania atrybucji. Podczas olimpiady w Soczi miał miejsce cyberatak, a podejrzenia padły na wielu graczy – Rosjan, Chińczyków, a nawet Brazylijczyków, ale po samej metodzie włamywania nie można ocenić kto ich dokonał. A nawet wstępne potwierdzenia autorstwa ataku – np. DDoS na Estonię czy stworzenia Stuxnet bywają skutecznie dementowane.

Dużo ciekawszym zagadnieniem dla ekspertów cyberbezpieczeństwa jest potwierdzenie, czy i w jaki sposób dokonywane są ataki. To też nie jest zagadnieniem trywialnym, ponieważ przestępcom zależy na tym, by nie demonstrować tego, że przejęli cudze sieci. Bardzo często dostają się oni do sieci wewnętrznych organizacji, wykorzystując nowoczesne techniki, tzw. luki „zero date”. Takie ataki nazywają się APT (ang. advanced persistent threat) i polegają na trwałej i niewykrywalnej obecności w cudzej infrastrukturze. Po zdobyciu pierwszych przyczółków hakerzy pozostawiają tzw. tylne furtki, które miesiące, a nawet lata później mogą zostać użyte do pewnych celów. Może to być na przykład związane z decyzją o wyłączeniu systemu energetycznego u naszych wschodnich sąsiadów. Do takich ataków dochodzi coraz częściej i zazwyczaj dowiadujemy się o nich post factum, albo dokonując analiz zauważamy coś dziwnego i niepokojącego. Warto przypomnieć, że kilka tygodni temu pojawiły się informacje o innym tego typu zagrożeniu – GreyEnergy, którego pierwsze ślady prowadziły do Polski.

Świadomość zagrożeń pochodzących z sieci jest wysoka wśród osób zarządzających polską energetyką. Zaczynając od szczytu władzy, przez osoby, które w państwie odpowiadają za energetykę, do zarządów spółek, wszyscy zdają sobie sprawę z zagrożeń i podejmowane są kolejne działania mające na celu budowę odpornej infrastruktury oraz powiększanie zdolności monitorowania i reagowania na cyberataki. Kolejne spółki energetyczne zamawiają usługi SOC (Security Operation Center), W 2012 oraz 2017 roku miały miejsce ćwiczenia Cyber-Exe nakierowane na bezpieczeństwo sektor energetycznego w przypadku cyberatakówy.

W ubiegłym tygodniu odbyły się zaawansowane polsko-amerykańskie ćwiczenia symulujące ataki na system energetyczny w Polsce, zorganizowane przez PSE wraz Departamentem Energii USA i FBI i przy współpracy z SANS. Przedstawiciele tych organizacji przylecieli do Polski, by podzielić się swoją zaawansowaną wiedzą i pokazać jak się bronić przed atakami. W poszczególnych ćwiczeniach zespoły ćwiczyły możliwość wykrywania cyberincydentów, reagowania na nie a również atakowania by samemu się przekonać jak właściwie należy zabezpieczać systemy. W tej inicjatywie brało udział przeszło dwieście osób. Do bardzo dobry znak – w polskiej energetyce rośnie bowiem liczba osób, które wiedzą jak bronić się przed cyberzagrożeniami. Ale sektor energetyczny nie ma wyjścia – gdy przerwana zostanie ciągłość tych usług kluczowych w sposób natychmiastowy skutki rozprzestrzenią się na pozostałe sektory