ROZMOWA
Michał Jarski, Dyrektor Regionalny ds. Sprzedaży w Trend Micro, opowiada o tym, jakie są zagrożenia dla polskiej cyberprzestrzeni i jak skutecznie na nie odpowiadać.
BiznesAlert.pl: Czego dowodzą ataki za pomocą oprogramowania Black Energy na Ukrainę i USA?
Michał Jarski: Przede wszystkim należy wyjaśnić, że Black Energy nie można nazwać oprogramowaniem czy wirusem. Jest to prowadzona przez grupę APT całościowa kampania wykorzystująca wiele rodzajów narzędzi atakujących (w tym złośliwego oprogramowania), której celem jest sparaliżowanie czy też sabotaż firm z sektora energetycznego. Już od dawna wiadomo o istnieniu kampanii tych działań, jednakże ostatnie zdarzenia na Ukrainie i w USA dowodzą tego, że atakujący są coraz bardziej skuteczni. Aktywność Black Energy potwierdza również nasze wcześniejsze założenia, że struktury podziemne kierują się już nie tylko motywacją ekonomiczną, lecz są także sterowane poprzez ośrodki rządowe dążące do osiągnięcia konkretnych celów politycznych. Skuteczność kampanii Black Energy, która ujawniła się w postaci paraliżu na Ukrainie pokazuje, że motywacja polityczna dziś jest realnym zagrożeniem. Przez wzgląd na położenie geopolityczne naszego kraju należy spodziewać podobnych ataków, które będą wymierzone również w polskie firmy – na przykład z sektora energetycznego.
Aby temu przeciwdziałać, niezbędne jest podjęcie odpowiednich działań na wielu płaszczyznach, które będą polegać zarówno na edukacji społeczeństwa i pracowników na temat rozwiązań technologicznych, jak również na koordynacji działań poszczególnych jednostek, tak żeby rzeczywiście móc bronić się przed takimi elementami wojny hybrydowej.
Jaki jest stan cyberbezpieczeństwa sektora prywatnego w Polsce?
Można pokusić się o stwierdzenie, że cyberbezpieczeństwo w firmach nigdy nie jest na wystarczająco dobrym poziomie – w większości przedsiębiorstw rozwiązania techniczne i proceduralne są bardzo słabe i przestarzałe. Skuteczne działania w tej dziedzinie można zaobserwować jedynie w sektorach, na które odgórnie narzucono pewne regulacje prawne dotyczące zapewnienia zabezpieczenia usług internetowych. W szczególności są to organizacje z sektora telekomunikacyjnego i bankowego, chociaż nawet w tym ostatnim przypadku zdarzają się firmy, które podchodzą do sprawy w dość nonszalancki sposób. Na pewno banki będące członkami większych grup globalnych są zmuszone zachowywać zgodność nie tylko z regulacjami polskimi, lecz także wiążącymi je standardami międzynarodowymi. Niemniej dla pozostałych organizacji prywatnych w Polsce cyberbezpieczeństwo postrzegane jest nadal jako niepotrzebny koszt. W znakomitej większości przypadków podczas audytu struktury informatycznej firmy niemal zawsze można zidentyfikować aktywny wrogi kod czy aktywne wrogie działania, które są przez te firmy bagatelizowane lub pomijane.
Jaki jest stan zagrożenia dla sektorów strategicznych, takich jak zbrojeniowy, energetyka czy inne?
Rozwiązania z zakresu cyberbezpieczeństwa są niezbędne w elementach struktury krytycznej, którą budują firmy z sektora energetycznego, finansowego, publicznego czy telekomunikacyjnego oraz wszystkie te związane ze służbami mundurowymi, mającymi zapewnić bezpieczeństwo fizyczne. W tym przypadku zagrożenie jest bardzo wysokie, zwłaszcza w obecnej sytuacji geopolitycznej oraz działań, które można zakwalifikować jako elementy wojny hybrydowej. To zagrożenie będzie coraz bardziej powszechne. Działalność tego typu jest obecna od bardzo długiego czasu, jednak nikt z zarządzających firmami zarówno komercyjnymi, jak i publicznymi nie jest zainteresowany ujawnieniem skali tego zagrożenia.
Mam nadzieję, że sytuacja ta ulegnie diametralnej zmianie w momencie spodziewanego wdrożenia nowych dyrektyw unijnych nakazujących ujawnianie wszelkich przypadków naruszenia bezpieczeństwa informacji w organizacjach publicznych i komercyjnych.
Czy ministerstwo ds. cyfryzacji podejmuje inicjatywę?
Niewątpliwie pojawiają się w mediach wypowiedzi pani minister deklarujące chęć przejęcia inicjatywy w temacie bezpieczeństwa cyfrowego. Ale do tej pory są to deklaracje, za którymi nie idą konkretne działania. Ma na to wpływ fakt, że ministerstwo musi w pierwszym rzędzie powołać zespół kompetentnych specjalistów, musi poradzić sobie z komplikacjami natury politycznej oraz przejęciem kompetencji od innych jednostek ministerialnych. To jest bardzo trudne. Mam wrażenie, że na razie pozostajemy na etapie deklaracji, nie idą za tym działania.
W jaki sposób przeciwdziałać zagrożeniom w skali mikro?
Przede wszystkim należy pomyśleć o skali makro. Konieczna jest współpraca organizacji publicznych oraz komercyjnych; muszą powstać platformy koordynujące działania obronne – tego dziś brakuje. Nie można zapominać, że niezależnie do stopnia posiadanej wiedzy na temat cyberbezpieczeństwa, jednostka nigdy nie będzie tak skuteczna, jak skoordynowane działanie na poziomie państwowym czy komercyjnym, szczególnie jeśli mowa o sektorach energetycznym oraz finansowo-bankowym. Powinno się stworzyć centra, których zadaniem będzie koordynacja odpowiedzi na ataki oraz skuteczne neutralizowanie zagrożeń. Przekłada się to również na dbałość o higienę pracy w organizacji. Prócz szkoleń BHP, wskazujących gdzie jest gaśnica czy którędy uciekać z budynku w przypadku zagrożenia, trzeba też prowadzić szkolenia bezpieczeństwa cyfrowego, tym bardziej, że dziś Internet stanowi podstawę komunikacji i pracy w przedsiębiorstwie czy organizacji publicznej.