– Jesteśmy zainteresowani współpracą między administracją publiczną a biznesem, biznesem reprezentowanym przez strategiczne spółki Skarbu Państwa, ale i z biznesem prywatnym. Cyberkooperacja jest fundamentem sukcesu w zakresie niwelowania cyberzagrożenia. Jeśli chodzi o infrastrukturę krytyczną PGNiG, podobnie jak inne Spółki Skarbu Państwa, w ramach narodowego programu ochrony infrastruktury krytycznej realizuje wszystkie działania, które zwiększają ochronę podstawowych i najważniejszych instalacji związanych z infrastrukturą krytyczną – podkreślił Janusz Kowalski, wiceprezes ds. korporacyjnych w spółce PGNiG, podczas Polskiego Forum Cyberbezpieczeństwa CYBERSEC PL w Warszawie.
Janusz Kowalski podczas piątkowej konferencji podkreślił znaczenie ochrony informacji. – Ma to niezmiernie duże znaczenie. Cyberataki, za którymi stoją grupy przestępcze, powiązane niekiedy z państwami, które chcą pozyskać ważne dla siebie informacje, wskazują jak ważne jest poszukiwanie rozwiązań i współpraca – zaznaczył Kowalski, który otwierał sesję „Ścieżka Państwo – Ochrona Infrastruktury Krytycznej”.
Wiceprezes PGNiG, przypomniał także, że każda ze spółek z udziałem Skarbu Państwa, przygotowuje w tym momencie audyty otwarcia, które są zlecone przez współwłaściciela, ministerstwo skarbu. – Kwestie bezpieczeństwa są jednymi z najważniejszych elementów audytu, tak aby zapewnić, że bezpieczeństwo energetyczne jest dostatecznie chronione – podkreślił Kowalski.
– W kontekście zmian legislacyjnych z punktu widzenia PGNiG, istotne jest wskazanie tego jednego, koordynującego, decyzyjnego, ośrodka bezpieczeństwa, z którym podmioty takie jak PGNiG czy inne spółki zajmujące infrastrukturą krytyczną będą mogły zajmować się bieżącą współpracą dot. m.in. standardów bezpieczeństwa infrastruktury. Jesteśmy zainteresowani powstaniem ośrodka wymiany informacji między państwem, a sektorem prywatnym. Brakuje obecnie procedur prawnych gwarantujących bezpieczeństwo, my jednak nie stoimy w miejscu i wprowadzamy własne rozwiązania. Cyberwspółpraca jest niezmiernie istotna, jest kluczem do sukcesu. Bardzo cieszymy się z deklaracji Prokuratora Krajowego dot. utworzenia jednego centrum koordynacji i ścigania przestępstw z którym będziemy współpracować. Współpraca z organami ściągania w zakresie ochrony informacji ma szczególnie znaczenie w kontekście bezpieczeństwa energetycznego – podkreślił Kowalski.
Przedstawiciel PGNiG uczestniczył także w panelu. Tomasz Chodor, zastępca dyrektora Departamentu Bezpieczeństwa w PGNIG, podkreślił, że spółka PGNiG zdaje sobie sprawę ze strategicznej roli jaką odgrywa dla Państwa dlatego też chce działać na rzecz podniesienia poziomu bezpieczeństwa świadczonych usług. – Spółka wdrożyła system zarządzania bezpieczeństwem informacji ISO 270 001. Bezprecedensowym jest fakt, że certyfikacją objęto całość funkcjonowania spółki. Dojrzałość w tym zakresie jest cały czas doskonalona w ramach cyklu Deminga (cykl PDCA z ang. Plan-Do-Check-Act ), który jest jednym z podstawowych założeń normy – mówi Chodor.
Jak zaznaczył, spółka podejmuje inne działania mające podnieść bezpieczeństwo w tym zakresie. – Wdrożenie samej normy, nie jest gwarantem bezpieczeństwa. Brakuje jej doprecyzowania, co pozwoliłoby podnieść poziom bezpieczeństwa. Dyskusja na temat wdrożenia dyrektywy NIS (Network and Information Security) oraz założeń do Strategii Cyberbezpieczeństwa dotyczy głównie działań reaktywnych, reagujących na występujące już zjawisko. Brakuje działań, które podniosłyby by bezpieczeństwo nie tylko w formie reaktywnej ale i dzięki zabezpieczeniom i ruchom prewencyjnym. Pracując od niedawna w spółce nie znalazłem wytycznych, które byłyby pomocne w podnoszeniu bezpieczeństwa infrastruktury krytycznej. Z tego co wiemy Rządowe Centrum Bezpieczeństwa pracuje nad standardami i wytycznymi, które będą adresowały bezpieczeństwo automatyki przemysłowej i będą wspierały spółkę i wszystkich operatorów infrastruktury krytycznej – mówił Chodor.
Bezpośrednio po tej wypowiedzi głos zabrał Maciej Pyznar, szef Wydziału Ochrony Infrastruktury Krytycznej w Rządowym Centrum Bezpieczeństwa. Podkreślił on potrzebę włączenia się operatorów infrastruktury krytycznej w tworzenie poradnika z wytycznymi, ponieważ to oni posiadają i operują na co dzień systemem automatyki przemysłowej. – Dokument powstaje w grupie z udziałem przedsiębiorców, którzy sami wykorzystują automatykę do swojego działania. My jako RCB nie planujemy robić tego sami, to operatorzy są najważniejsi, na nich nałożony jest obowiązek ochrony infrastruktury krytycznej. To oni wiedzą jak najlepiej ją chronić – zaznaczył Pyznar.
Pyznar odniósł się tu do działalności Komisji Nadzoru Finansowego, która wydaje rekomendacje dla sektora finansowego. Banki traktują to jako polecenia do wykonania. – Chcemy także, by większą aktywnością wykazali się inni regulatory rynku. Działamy dużo z operatorami ale wciąż mamy zbyt mało wsparcia ze strony administracji przed wszystkim mam tu na myśli ministrów odpowiedzialny za infrastrukturę krytyczną. Aktualizujemy w tym momencie program. Mam nadzieje, że minister energii będzie w ten sferze aktywnie działał – podkreślił Maciej Pyznar.