Polski przemysł potrzebuje katalogu cyberzagrożeń (RELACJA)

7 kwietnia 2017, 07:30 Cyberprzestrzeń
Polskie Forum Cyberbezpieczeństwa CYBERSEC PL, fot. twitter.com/CYBERSECPL
Polskie Forum Cyberbezpieczeństwa CYBERSEC PL, fot. twitter.com/CYBERSECPL

W Warszawie odbyła się konferencja CYBERSEC PL 2017 organizowana przez Instytut Kościuszki. Portal BiznesAlert.pl jest partnerem wydarzenia. W panelu dotyczącym cyberbezpieczeństwa polskiego przemysłu udział wzięli dr inż. Piotr Pacyna – Pracownik naukowy w Katedrze Telekomunikacji Akademii Górniczo-Hutniczej im. S. Staszica w Krakowie, Izabela Lewandowska-Wiśniewska – Koodynator projektu „Cyber Industry”, koordynator-starszy inżynier ryzyka w PZU Lab, Jarosław Sordyl – Kierownik Wydziału Cyberbezpieczeństwa w Departamencie Audytu i Bezpieczeństwa PSE S.A., Tomasz Chodor – Z-ca Dyrektora Departamentu Bezpieczeństwa Grupy Kapitałowej PGNiG, Szymon Kowalczyk – Dyrektor Wykonawczy ds. IT w Tauron Polska Energia, Piotr Dardziński, wiceminister nauki i szkolnictwa wyższego.

Słabe punkty współpracy administracji i biznesu w cyberprzestrzeni

PZU Lab oraz Instytut Kościuszki przeprowadzili warsztaty dotyczące zagrożeń cybernetycznych. Ich celem było wypracowanie rozwiązań, które mogą pomóc polskiemu przemysłowi w tym zakresie. – Z przeprowadzonych analiz i warsztatów razem z Instytutem Kościuszki wynika, że potrzebna jest ogromna potrzeba dialogu w grupach sektorowych w energetyce czy chemii. W każdym badanym przez obszarze: chemii, oil and gas raz w transporcie starano się wypracować wspólne wymagania. Poruszano się w 26 obszarach specjalnie dedykowanych.

– W grupie chemicznej dużo uwag dotyczyło elementów organizacyjnych, począwszy od legislacji, wymagań oraz potrzeby ścisłych uregulowań oraz współpracy z jednostkami odpowiedzialnymi za delegowanie zagrożeń w zakresie cyberbezpieczeństwa i wymagań w tym zakresie. Branża chemiczna chciała bardzo uczestniczyć w takiej współpracy – powiedziała Izabela Lewandowska-Wiśniewska.

W tym aspekcie pojawiła się potrzeba współpracy w zakresie legislacji oraz identyfikowania zagrożeń oraz kreowanie wymagań. Chodzi także o determinowanie i spięcie dwóch obszarów IT i OT(IT technologie informatyczne, OT – ang. Operational Technology -red.) – powiedziała Izabela Lewandowska-Wiśniewska – Koordynator projektu „Cyber Industry”, koordynator-starszy inżynier ryzyka w PZU Lab. Problemem była brak komunikacji IT ( technologie informatyczne) a OT (OT – ang. Operational Technology). Pojawią się wyzwania w identyfikacji nazwaniu zagrożeń cybernetycznych. – Pojawiły się także pytania o audyty. Konieczny więc jest katalog cyberbezpieczeństwa oraz standardy – dodała ekspertka. Uwagi branży zamknęły się w trzech funkcjach:

  • regulacyjna i kontrolna;
  • analityczna i regulacyjnej;
  • monitorowania i reagowania.

Jak dodała, to co branża uczestnicząca w warsztatach sygnalizowała jako słaby punkt to legislacja, personel jak i podwykonawcy, brak komunikacji między personelem IT i OT. Informatycy i automatycy mówią często w różnych sposób, a muszą się porozumieć, tak aby wypracować wspólne rozwiązania i wykreowanie polityki bezpieczeństwa – mówiła. Jak zaznaczyła, jest jednak problem z identyfikacją ryzyk w tym zakresach i przepływem informacji jeśli chodzi o kryteria i szacowanie tych ryzyk oraz identyfikacją i klasyfikowaniem incydentów i szacowaniem strat. – Potrzebny jest katalog cyberzagrożeń – dodała Izabela Lewandowska-Wiśniewska.

Pojawiła się także konieczność dedykowanego podejścia do zarządzania bezpieczeństwem, stworzenia systemu i podejścia strukturalnego. – PZU Lab razem z Instytutem Kościuszki pracuje nad projektem Cyber Industry – który ma pomóc w tym zakresie. Podkreśliła także, że potrzebne są standardy IT i OT w grupach sektorowych, budowane na zasadzie współpracy.

Biznes apeluje o dialog z administracją

W ramach warsztatów Instytut Kościuszki dr inż. Piotr Pacyna – Pracownik naukowy w Katedrze Telekomunikacji Akademii Górniczo-Hutniczej im. S. Staszica w Krakowie zajmował się branżą oil and gas. W ramach tej grupy w warsztatach brały udział firmy zajmujące się przesyłem oraz przetwarzaniem ropy i gazu. – Z przeprowadzonych rozmów podczas warsztatów wynika, że polityka bezpieczeństwa jest na wysokim poziomie dojrzałości . Są osobne komponenty dla IT oraz OT, są także osobne grupy intersariuszy w tych dwóch osobnych działach – powiedział ekspert. – Podstawowym celem firm takich branży jest utrzymanie ciągłości produkcji i działania. Jest to trudne ze względu na mnogość rozwiązań technologicznych czy brak wypracowanych standardów w ramach jednej organizacji. Geografia biznesu kładzie się cieniem na wypracowanie jednolitych standardów – powiedział dr. inż. Pacyna.

Pojawią się również problemy na płaszczyźnie współpracy z administracją państwową. Chodzi o uzyskanie wytycznych dotyczących wdrożenia dyrektywy NIS (Dyrektywa Parlamentu i Rady UE w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii) zakłada poszerzenie współpracy państw członkowskiej w kwestii cyberbezpieczeństwa ).

– Należy już teraz wskazać wytyczne, których potrzebują firmy . Niektóre przedsiębiorstwa realizują kilka lub kilkanaście projektów dotyczących bezpieczeństwa. Firmy mogą stanowić nieocenioną pomoc na etapie konsultacji, formułowania wymagań bezpieczeństwa, opracowywania ustaw, rozporządzeń, proszę one jednak, aby nie polegało to na wypełnianie tabelek, czy dosłanie, a danych, a realna współpraca – powiedział Pacyna. Jak dodał na poziomie zarządów wciąż preferowane są te projekty , które mogą przynieść zyski, a bezpieczeństwo, cyberbezpieczeństwo wciąż traktowane są jako koszt. Dodał jednak, że powoli się takie postrzeganie zmienia i rośnie świadomość cyberbezpieczeństwa.

Między security a safety

Jarosław Sordyl – Kierownik Wydziału Cyberbezpieczeństwa w Departamencie Audytu i Bezpieczeństwa PSE zajmował się warsztatami dotyczącymi energii i transporty.- Podczas dyskusji dużo uwagi poświęcono stykowi IT i OT i czym te dwa obszary się różnią. W obszarze IT mówi się o „security”, a w OT o „safety”. Są to obszary bardzo różne w zakresie ryzyk powiedział Sordyl. Jak dodał sygnalizowano potrzebę pojawienia się standardów w tym zakresie jeśli chodzi o cyberzagrożenia. Na poziomie dyskusji pojawił się problem definicji, wskazuje się na człowieka jako najsłabsze ogniowo, więc szkolenia są bardzo istotne. Potrzebna jest spójna wymiana informacji, bez tego organizacja nie może prawidłowo funkcjonować. Dodał także, że wśród firm tego sektora jest duża świadomość i a dyrektywy są wdrażanie – powiedział Sordyl. Jak zaznaczył pojawia się potrzeba stałego uczenia, się co kilka miesięcy zmieniają się zagrożenia i środowisko, zaznaczył potrzebę współpracy ośrodków akademickich.

Jak pozyskać zdolnych fachowców?

Jak powiedział Tomasz Chodor, zastępca Dyrektor Departamentu Bezpieczeństwa Grupy PGNiG, polskie przedsiębiorstwa wciąż oferują standardowe warunki pracy, zaś zagraniczne firmy stosują elastyczne warunki pracy.- W ten sposób można otwierać się na nowe grupy specjalistów. Elastyczne warunki pracy pozwalają pracować z domu, można więc szukać specjalistów w mniejszych miastach, Duże ośrodki są wydrenowane – powiedział Tomasz Chodor.

Jak zaznaczył dr inż. Piotr Pacyna, pojawia się potrzeba ustawicznego uczenia, się co kilka miesięcy zmieniają się zagrożenia i środowisko, zaznaczył potrzebę współpracy ośrodków akademickich. Jak podkreślił do zatrzymania ekspertów potrzebne są atrakcyjne oferty pracy, wysokie wynagrodzenie. – W samym tylko Krakowie brakuje kilkuset informatyków. Firmy coraz częściej sięgają po pracowników naukowych z instytucji badawczych. Dlaczego tak się dzieje? Bo są słabo opłacani – powiedział.

Szymon Kowalczyk, dyrektor wykonawczy ds. IT w Tauron Polska Energia, podkreślił w tym zakresie znaczenie startupów, jako motorów napędowych innowacji, nowych możliwości rozwoju. Jako przykład podał Izrael. Dodał także potrzebę tworzenie ram, kształcenie pasjonatów i zachęcanie ich i ciągłego pogłębiania wiedzy. -Mamy świetnych programistów. W zawodach HackerRank polscy programiści  zajęli 2 miejsce – przypomniał.  Jego zdaniem dla przemysłu wyzwaniem jest internet rzeczy, jest tu sporo zagrożeń.

Piotr Dardziński, wiceminister nauki i szkolnictwa wyższego dodał, że specjalistów wciąż jest za mało. – Firmy, głównie zagraniczne wskazują potrzebę budowy centrum naukowych i badawczych. Chcemy, aby takie ośrodki badawcze tworzyły polskie firmy. Potrzebna jest zmiana sektora nauczania. Chcemy odwracać naukę w stronę biznesu. Naszym zamiarem jest zbudowanie synergii firm, konsorcja i ośrodki badawcze. Chodzi o permanentne kształcenie modułowe przez wyspecjalizowane centra badawcze – powiedział wiceminister nauki o szkolnictwa wyższego.

Dodał, że w zakresie cyberprzestrzeni nie można pozwolić sobie na zapóźnienia. Ważne jest także kształcenie nie tylko informatyków, ale także ekonomistów, humanistów. – Informatycy odpowiedzą na pytanie co zostało zaatakowane, ale kto to zrobił i jakie miał intencje to już pytanie do absolwentów studiów międzynarodowych – dodał wiceminister.

Jak powiedział, wkrótce zostanie uruchomiony bardzo szeroki projekt finansowania projektów badawczych związanych z tożsamością cyfrową, a więc ze wszystkim tym, co związane jest nie tylko z takimi poważnymi sprawami jak funkcjonowanie infrastruktury krytycznej, ale też z kwestiami komercjalizacji usług, które coraz częściej sięgają po rozwiązania cyfrowe, a więc tym, czym interesuje się przemysł – zapowiedział.

Jego zdaniem nie chodzi tylko o rozwiązania dotyczące internetu rzeczy, ale też istotnym jest rozwiązywanie problemów legislacyjnych. – Gdy mówimy o cyberbezpieczeństwie to musimy mieć świadomość, że nie jest to tylko kwestia kompetencji informatycznych, to jest też kwestia regulacji prawnych. Tego, co możemy w ramach internetu rzeczy wykorzystywać, jakiego typu dane możemy gromadzić – wyjaśnił Dardziński.