Od czasu wybuchu wojny na Ukrainie zwiększyła się intensywność działań wrogich w cyberprzestrzeni, ale jesteśmy do nich dobrze przygotowani – mówi Ryszard Bryła, dyrektor departamentu projektów, architektury i informatyki PKP Energetyka w rozmowie z BiznesAlert.pl.
BiznesAlert.pl Jak PKP Energetyka identyfikuje zagrożenia płynące z cyberprzestrzeni i jakie są największym wyzwaniem dla spółki?
Ryszard Bryła: Taka firma jak PKP Energetyka posiada generalnie dwie przestrzenie cyfrowe. Pierwsza, czyli klasyczna IT jak dla większości korporacji, a więc ta gdzie toczą się procesy biznesowe back-office. Drugą przestrzenią jest tak zwane OT czyli sieć technologiczna służąca do zarzadzania – nadzór i sterowanie pracą sieci energetycznej (dystrybucyjnej i trakcyjnej). W przypadku zagrożeń dla części pierwszej, czyli IT, wektor jest podobny do innych firm działających w Polsce, a więc głównym zagrożeniem jest włamywanie się hakerów pozyskujących dane wrażliwe, dostęp do maili, skrzynek przy wykorzystania różnych metod m.in. phishingu. Do czasu wojny obserwowaliśmy normalny poziom takich prób, a z kierunków wschodnich po jej wybuchu znacznie zwiększyły się próby ataków na naszą sieć. Identyfikujemy to jako element wojny w cyberprzestrzeni.
A czy byliście już ofiarą zmasowanego ataku, np. takiego jak widać było niedawno w północnych landach niemieckich?
Na razie nie zarejestrowaliśmy tego typu ataków. Znacznie zwiększyliśmy nadzór oraz kontrole procesów i infrastruktury szczególnie w zakresie sieci OT. Z punktu widzenia bezpieczeństwa państwa jest ona istotniejsza niż nasza sieć IT. W przypadku sieci IT mamy różnego rodzaju zabezpieczenia w tym backupy, mniej obawiamy się np. zaszyfrowania danych. Skuteczny atak na sieć OT może spowodować zatrzymanie dostaw energii dla kolei co w praktyce paraliżuje jej działalność. To co widzieliśmy w Niemczech było typowym atakiem fizycznym na infrastrukturę. Należy jednak pamiętać, że zagrożenie z cyberprzestrzeni to nie tylko włamanie się do systemów informatycznych danej firmy. To również wiedza, w których miejscach atak fizyczny może doprowadzić do paraliżu danej sieci. To nie jest wiedza ogólna, a przy okazji działalności w cyberprzestrzeni atakujący może taką umiejętność posiąść. Chronienie tej wiedzy jest równie istotne co ochrona samej infrastruktury.
To zresztą też podnoszą eksperci Ukraińscy, którzy w atakach rosyjskich rakiet i bezzałogowców na ukraińską sieć elektroenergetyczną upatrują rosyjskich pracowników sektora energetycznego, którzy posiadają odpowiednią wiedzę, gdzie i jak uderzyć aby szkody były maksymalnie duże.
Dokładnie tak. Zniszczenie jednego odcinka sieci nie sprawia zasadniczych problemów. Naprawić się go da bardzo szybko. Kluczem jest zniszczenie ważnych węzłów, strategicznych rozdzielni itp. Podkreślam zatem, że ochrona wiedzy na temat lokalizacji witalnych z perspektywy firmy aktywów jest niemniej ważne aniżeli ochrona fizyczna samych tych urządzeń.
Czy sama wojna wpłynęła na strategie czy metody ochrony cybernetycznej PKP Energetyka?
Generalnie wojna nie wpłynęła zasadniczo na metody i strategie ochrony w naszej firmie. Taka strategia ochrony była przyjęta znacznie wcześniej, kiedy identyfikowaliśmy co i jak chronić. Cały czas te metody i narzędzie usprawniamy oraz dostosowujemy do współczesnych, coraz nowszych zagrożeń. Jedyne co uległo zmianie to sposób myślenia np. o awariach. Kiedyś jakaś usterka czy awaria z założenia traktowana była jako zużycie sprzętu z powodu końca jego resursu czy po prostu awarii technicznej. Dzisiaj w pierwszej kolejności bierzemy pod uwagę potencjalne oddziaływanie wrogich nam sił zewnętrznych.
Jak zatem chronić spółkę przed takimi atakami? Jakie są metody i narzędzia?
Generalnie są trzy strumienie ochrony. Pierwszy jest czysto technologiczny, czyli różnego rodzaju systemy ochrony i nadzoru wbudowane w sieć, umiejscowione wewnątrz i na krawędziach ale również naszych partnerów biznesowych np. firmy telekomunikacyjne. Ten strumień musi być dobrze zaplanowany. Drugim elementem jest organizacja, czyli procesy i procedury wewnątrz organizacji. Procesy związane m.in. z zarządzaniem ryzykiem, zarządzaniem zmianą czy projektami. To metody dopuszczania do pracy w systemach pracowników i kontrahentów. A przede wszystkim podejście „security by design” czyli niejako wbudowywanie elementów bezpieczeństwa teleinformatycznego na etapie projektowania systemów a nie dopiero w momencie ich uruchomienia. Trzecim strumieniem jest podnoszenie świadomości zagrożeń występujących w przestrzeni cybernetycznej wśród wszystkich pracowników. W tym aspekcie podejmujemy działania dwutorowo. Dotyczy to zarówno pracowników biurowych, kadry inżynierskiej jak i pracowników liniowych pracujących przy rozwoju i utrzymaniu sieci dystrybucyjnej i trakcyjnej. Pierwszym elementem jest przedstawianie zagrożeń w sposób interesujący np. poprzez case study – organizujemy szkolenia i warsztaty. Drugim elementem jest sprawdzanie pewnych zachowań w praktyce. Oprócz całego cyklu szkoleń obowiązkowych realizujemy systematyczne sprawdzanie reakcji naszych pracowników na symulowane ataki. Chodzi o wyuczenie pewnych zachowań i uczulenie pracownika na niebezpieczeństwo. Najważniejsze jest ciągłe monitorowanie podatności i sukcesywne, konsekwentne ich usuwanie. Obowiązkiem każdego pracownika jest zgłoszenie zauważonego zagrożenia i na to uczulamy nasz zespół.
Cyberprzestępczość to nie tylko problem PKP Energetyka. Czy współpracujecie z innymi firmami, agencjami, instytucjami w tej dziedzinie?
Wszelkie standardy współpracy, są zgodne z polityką funduszu CVC, który jest właścicielem PKP Energetyka i jako amerykański inwestor ma doświadczenie w tym aspekcie, a dbałość o bezpieczeństwo wpisane w swoje DNA. Są to standardy związane z naszą organizacją korporacyjną. Współpracujemy z polskimi służbami, jesteśmy informowani i ostrzegani o wektorach zagrożeń. Realizujemy te wszystkie aspekty również z naszymi dostawcami usług i partnerami. W naszych codziennych działaniach tworzymy wspólny front dzięki czemu my jako PKP Energetyka mamy pewność, że dostarczane usługi są niezawodne i bezpieczne, a firmy, które nas w nie zaopatrują są pewne, że nie wprowadzimy zagrożenia do ich produktu czy przestrzeni.
Rozmawiał Mariusz Marszałkowski