Chiny i „prawdopodobnie dwa inne państwa” są w stanie sparaliżować część amerykańskiej energetyki za pomocą ataku cybernetycznego – podaje Narodowa Agencja Bezpieczeństwa USA (NSA). Zdaniem jej specjalistów, Pekin jest w stanie spenetrować systemy zarządzania elektroenergetyką w Stanach Zjednoczonych i zakłócić ich funkcjonowanie. Na ten temat rozmawialiśmy z Dominikiem Karbowskim, ekspertem ds. cyber bezpieczeństwa w energetyce i partnerem w firmie Cyberspot.EU.
BiznesAlert.pl: Jak Chiny i inne państwa mogą atakować infrastrukturę energetyczną?
Dominik Karbowski: Infrastruktura krytyczna i, co za tym idzie, systemy energetyczne, często są odcięte fizycznie od publicznej sieci internetowej by zminimalizować ryzyko ataku. Nie oznacza to jednak, że jest to niemożliwe. Twórcy wirusów często rozprzestrzeniają wirusa w sposób masowy. Dla większości komputerów może być on niegroźny, a nawet niewidzialny, po to by aktywować się, gdy dojdzie do swojego celu.. np. urządzeń zainstalowanych elektrowni.
Weźmy przykład znanego Stuxnetu – elektrownia została zarażona prawdopodobnie poprzez pendrive. Możemy sobie tylko wyobrazić, że np. jeden z pracowników elektrowni otrzymał zainfekowanego pendrive’a jako prezent na konferencji lub zwyczajnie znalazł go na ulicy i zachował dla siebie. Pewnego dnia użył tego urządzenia podłączając go do komputera firmowego i w ten sposób wirus przejął kontrolę nad systemem. Popularny ostatnio Energetic Bear infekował poprzez aktualizację. Hakerzy włamali się na stronę producenta oprogramowania i podmienili plik z aktualizacją. Gdy operatorzy ściągali najnowszą aktualizację i wgrywali ją do urządzeń, aby – paradoksalnie – podnieść bezpieczeństwo systemu, sami infekowali swoją infrastrukturę. Jak widać, czasem metody ataków są pasywne i wymagają znajomości wewnętrznych procedur operatorów.
Jak się bronić?
DK: Po pierwsze – edukacja. Mowa tutaj zarówno o szeregowych pracownikach, jak i osobach decyzyjnych. Dzięki temu przy wszelkiego rodzaju przedsięwzięciach, bezpieczeństwo będzie zawsze brane pod uwagę. Po drugie – stworzenie procedur, regulaminów i wytycznych do przetargów. Do dziś bowiem wiele strategicznych spółek państwowych ogłasza przetargi bez uwzględnienia kwestii bezpieczeństwa w wytycznych dla dostawców rozwiązań. Po trzecie – bardzo istotne jest stworzenie mechanizmów weryfikujących. Co prawda organizowane są ogólnopolskie strestesty, jednak w stanowczo za małej skali. Przykład należy wziąć z banków, które nawet dwa razy w roku zlecają wykonanie audytów bezpieczeństwa i poddają swoje zabezpieczenia weryfikacji przez specjalistów.
Jakie inne państwa mogą rozwijać takie możliwości w najwyższym stopniu?
DK: Odpowiedź jest prosta – wszystkie państwa. Dzisiaj każdy zdaje sobie sprawę, że ataki cybernetyczne to jeden z rodzajów broni, a energetyka jako kluczowa infrastruktura krytyczna, jest na takie ataki najbardziej narażona. Każde państwo powinno mieć zatem swoją własną 'cyberarmię’, która tak jak tradycyjna armia potrafi atakować, ale również bronić bezpieczeństwa kraju. Za najbardziej 'aktywne’ kraje w tym zakresie uznaje się oczywiście USA, Rosję, Chiny oraz Izrael, ale coraz częściej słyszy się również o Korei Południowej, Turcji oraz Wielkiej Brytanii.
Jak wygląda sytuacja w Polsce?
Możemy rozróżnić dwa rodzaje działań jeżeli chodzi o ataki cybernetyczne – defensywne oraz ofensywne.
Co do tych pierwszych to mówimy w Polsce coraz więcej o cyberzagrożeniach, a to już dobry pierwszy krok. Powstają fora, organizowane są konferencje, czyli temat funkcjonuje w debacie publicznej. Jest to bardzo dobry znak i nie bez znaczenia ma tu obecna sytuacja na Ukrainie. Mówimy na razie bardzo generalnie i przydałoby się zwiększyć nacisk na rozmowę ukierunkowaną na infrastrukturę krytyczną oraz zwiększony dialog nie tylko MON i Rządowego Centrum Bezpieczeństwa, ale również Urzędu Regulacji Energetyki oraz operatorów systemów dystrybucyjnych.
Trochę inaczej jest z działalnością ofensywną. Nie wiemy o niej za wiele i bardzo dobrze, ponieważ takie dane powinny być ściśle tajne. Jedynym odstępstwem jest przetarg do projektu MON oraz Narodowego Centrum Badań i Rozwoju. Na stronie NCBiR opublikowano dokładną specyfikację wojskowego wirusa – botnetu, który ma przejmować inne komputery i wykorzystywać do własnych celów. Taka idea jest bardzo dobra, jednak sam opis i szczegóły nigdy nie powinny trafić do informacji publicznej.
Czy broń z cyberprzestrzeni będzie w przyszłości skuteczniejsza od broni ABC (atomowa, biologiczna, chemiczna)?
Trudno mi jednoznacznie odpowiedzieć czy skuteczniejsza,ale na pewno tak samo groźna. Z racji postępu technologicznego dziś wszędzie mamy oprogramowanie, które może zostać zaatakowane. Elektrownie, porty, rafinerie, lotniska, stacje uzdatniania wody to elementy kluczowe dla każdego państwa, które są bardzo zautomatyzowane, a więc mogą zostać zaatakowane i unieruchomione. Bez tych elementów nie można dziś normalnie funkcjonować, a co dopiero odpierać atak. Zagrożenie jest tym większe, że atak może nastąpić zdalnie i to na długo przed tzw. 'aktywacją’. Jeżeli chodzi o broń tradycyjną, to dziś kilka sekund po wystrzale rekiety mamy informację kto ją wystrzeli, skąd i jak szybko leci. Dzięki temu możemy precyzyjnie obliczyć jej trajektorię lotu i ją zniszczyć zanim spadnie.Tak działają tarcze antyrakietowe, które są bardzo skuteczne. Cyberatak może nastąpić na wiele tygodniu lub miesięcy wcześniej i pozostać niezauważony, po to by w odpowiednim momencie się aktywować i sparaliżować dany obszar lub nawet cały kraj.