Infrastrukturze krytycznej, do której należy zaliczyć także infrastrukturę wirtualną – informacyjną, zagrażają zarówno ataki konwencjonalne np. podłożenie bomby, jak i niekonwencjonalne, np. cyberataki. O ile w przypadku ataków konwencjonalnych potrzebne są duże nakłady finansowe, to ataki prowadzone przy użyciu narzędzi teleinformatycznych są relatywnie tanie. W przypadku przeprowadzenia skutecznego cyberataku łatwo i szybko można doprowadzić do destabilizacji państwa.
W najnowszym raporcie Instytutu Kościuszki pt. Bezpieczeństwo Infrastruktury krytycznej – wymiar teleinformatyczny, wysunięto wniosek, że coraz większym zagrożeniem dla IK będą w przyszłości cyberataki.
Zdecydowanie. Obecnie, większość systemów należących do IK jest skomputeryzowana. Do dokonania ataku, a w efekcie zakłócenia bądź zniszczenia IK, wystarczy komputer i podłączenie do sieci. Co więcej, cyberprzestępcy bardzo często pozostają anonimowi.
Nie ma żadnych sposobów na wykrycie sprawcy?
Tak naprawdę, stuprocentowe ustalenie prawdziwego źródła/autora ataku jest bardzo trudne. Jeżeli cyberprzestępca nie popełni błędu, to szanse na wykrycie ataku są niewielkie. Trudne jest już samo zidentyfikowanie adresu IP. A nawet jeżeli się to uda, identyfikacja maszyny nie jest jednoznaczna ze wskazaniem sprawcy.
Kto podnosi odpowiedzialność za bezpieczeństwo IK, w tym także za ochronę przed cyberatakami?
Zapewnienie bezpieczeństwa IK to obowiązek właścicieli i operatorów systemów. Sprawa jest złożona, ponieważ część infrastruktury należy do podmiotów prywatnych, a część do państwa. Problemem jest to, że świadomość cyberzagrożeń jest wciąż niska.
W Polsce także brakuje świadomości?
Trudno oceniać wszystkie podmioty jednakowo. Jeżeli chodzi o państwo, to wydaje się, że rzeczywiście wśród decydentów brakuje jeszcze wystarczającej świadomości o zagrożeniu, jego konsekwencjach i konieczności podejmowania zdecydowanych środków zaradczych. Świadczą o tym chociażby zapisy zawarte w „Polityce ochrony cyberprzestrzeni Rzeczpospolitej Polskiej” (TUTAJ). Zgodnie z dokumentem, działania związane z cyberbezpieczeństwem nie powinny generować kosztów dla budżetu państwa. Oznacza to, że nie przewiduje się żadnych inwestycji w tym zakresie. W ten sposób ciężko budować skuteczne działania.
Jeden z rozdziałów raportu Instytutu Kościuszki poświęcono efektywnej współpracy publiczno-prywatnej (WPP) w ochronie IK. Na czym ona polega?
WPP to jeden z najbardziej obiecujących sposobów na zwiększenie bezpieczeństwa IK. Chodzi o intensyfikację współpracy podmiotów publicznych i prywatnych, a więc operatorów i właścicieli systemów. Może ona polegać np. na wymianie informacji o zagrożeniach, dobrych praktykach, czy też wspólnych ćwiczeniach. Problemem jest jednak to, że firmy nie zawsze dostrzegają sens poświęcania środków finansowych na cyberbezpieczeństwo.
Jak zachęcić podmioty prywatne do inwestycji?
Moim zdaniem, to państwo, poza wymaganiami ustawowymi, powinno wspierać – także finansowo – podmioty prywatne. Mogą być to np. ulgi podatkowe, granty, ubezpieczenia, czy preferencyjne kredyty. Firmy, motywowane korzyściami finansowymi, położyłyby większy nacisk na ochronę infrastruktury krytycznej, którą zarządzają.
Współpraca publiczno–prywatna powinna być obligatoryjna?
Jeżeli chodzi o sektory strategiczne to tak.
W przypadku Polski, która infrastruktura jest najbardziej zagrożona?
W Polsce, ze względu na sytuację geopolityczną, sektorem szczególnie narażonym na cyberataki jest energetyka. Z kolei w przypadku Unii Europejskiej, najbardziej wrażliwy wydaje się być sektor finansowy. Niektórzy eksperci przewidują nawet, że następny kryzys finansowy będzie spowodowany właśnie cyberatakami.
W jaki sposób UE zapobiega cyberatakom na infrastrukturę krytyczną?
Obecnie państwa UE samodzielnie regulują zasady zapewniania cybebezpieczeństwa. Niektóre kraje radzą z tym sobie bardzo dobrze, jednak poziom ochrony jest w UE zróżnicowany. Ważnym narzędziem unijnym może być dyrektywa ws. bezpieczeństwa informacji i sieci. To pierwszy dokument, który ma zapewnić wysoki poziom bezpieczeństwa we wszystkich państwach UE. Nie znamy jeszcze ostatecznego kształtu dyrektywy, ale chociażby wprowadzenie obowiązkowego raportowania o zagrożeniach to krok w dobrym kierunku.
Co poza implementacją dyrektywy należy zrobić w Polsce, aby w większym stopniu zadbać o bezpieczeństwo IK?
W raporcie uwzględniono wiele rekomendacji dla Polski. Z pewnością trzeba rozważyć możliwość uzupełnienia definicji IK w taki sposób, aby nie pozostawiała wątpliwości, że obejmuje ona również infrastrukturę wirtualną. Należy zastanowić się także nad wprowadzeniem wymagań regulacyjnych i kontrolnych dla właścicieli i operatorów infrastruktury krytycznej. Poza tym kluczowa w procesie zapewnienia bezpieczeństwa IK będzie edukacja o zagrożeniach.