KOMENTARZ
dr Joanna Świątkowska
ekspert Instytutu Kościuszki ds. cyberbezpieczeństwa,
dyrektor programowy Europejskiego Forum Cyberbezpieczeństwa – CYBERSEC
Nagłówki zagranicznych serwisów prasowych w ostatnich dniach zdominowała informacja o ataku hakerów na sieci elektryczne Izraela – państwa uważanego dotąd za jeden z najlepiej przygotowanych na zagrożenia płynące z cyberprzestrzeni. Poniedziałkowy cyberatak na izraelski sektor energetyczny jest jednym z największych w historii tego kraju, to również kolejny głośny przypadek ataku na infrastrukturę krytyczną. Ponad miesiąc temu, hakerzy włamali się do systemów teleinformatycznych elektrowni atomowej na Ukrainie, w efekcie czego na kilka godzin ok. 700 000 gospodarstw domowych utraciło dostęp do prądu. Co to oznacza dla Polski i jak powinniśmy się bronić?
Zdaniem Instytutu Kościuszki, istnieje przynajmniej kilka powodów, dla których cyberataki nakierowane na energetykę powinny budzić obawy dla Polski.
Po pierwsze, jest to dowód na to, że infrastruktura krytyczna w istocie coraz częściej staje się celem ataków cyberagresorów. Co więcej, ataki te doprowadzają nie tylko do kradzieży informacji, ale również do paraliżu funkcjonowania danego podmiotu. W najgorszym scenariuszu, skutkiem może być fizyczne uszkodzenie infrastruktury. Cyberataki na infrastrukturę krytyczną (w skład której wchodzą m.in. lotniska, elektrownie, szpitale), strategiczną dla bezpiecznego funkcjonowania państw i społeczeństw, są coraz częściej stosowanym narzędziem w arsenale działań prowadzonych w ramach szerszych konfliktów konwencjonalnych. Polska znajduje się w obszarze Europy, gdzie coraz częściej obserwowane są napięcia geopolityczne, a nasze zaangażowanie polityczne może zwiększać ryzyko ataku. Szczególnie, że ataki cybernetyczne, jak pokazuje choćby przykład Ukrainy, stają się elementem walki hybrydowej, pozwalającej wpływać na stronę przeciwną, często unikając politycznej odpowiedzialności.
Po drugie, cyberataki na sektory energetyczne państw bezpośrednio sąsiadujących z Polską, mogą nieść dramatyczne konsekwencje również dla naszego kraju. Na Ukrainie działają elektrownie atomowe, których zniszczenie lub uszkodzenie, w najgorszym scenariuszu, może doprowadzić do skażeń odczuwalnych także w innych krajach. Choć taki rozwój wydarzeń wydaje się mało prawdopodobny, to jak wskazują eksperci – nie jest niemożliwy. Przeprowadzone analizy wskazują na istnienie wielu czynników, które zwiększają zagrożenie dla elektrowni jądrowych płynące z cyberprzestrzeni. Wśród nich można wyróżnić: funkcjonowanie mitu, że sieci tych elektrowni są całkowicie odseparowane od Internetu, co często przekłada się na niewystarczające działania nakierowane na cyberbezpieczeństwo, zbyt małe nakłady finansowe na bezpieczeństwo w wymiarze teleinformatycznym, brak wystarczających standardów, niewystarczająco wykwalifikowane kadry, itp[1].
Wszystko to pokazuje, że Polska jest narażona na bardzo poważne konsekwencje działań prowadzonych w cyberprzestrzeni. Co więcej, nawet tak dobrze przygotowane kraje, jak Izrael, mogą paść ofiarą ataku cyberprzestępców lub innych podmiotów prowadzących agresywne cyberdzałania. Aby minimalizować pojawiające się ryzyka, należy podjąć duży wysiłek wzmacniający nasze bezpieczeństwo wewnętrzne i zewnętrzne. Poniżej omówione zostało kilka niezbędnych działań.
Informatyzacja infrastruktury i stosowanie standardów
Informatyzacja funkcjonowania infrastruktury krytycznej, a szczególnie systemów sterowania przemysłowego, jest ogólnoświatowym trendem. To także proces obserwowany w naszym kraju. Mając na uwadze zagrożenia płynące z cyberprzestrzeni, informatyzacja musi iść w parze z odpowiednimi działaniami nastawionymi na zwiększanie poziomu bezpieczeństwa. Operatorzy i właściciele infrastruktury krytycznej muszą stosować odpowiednio adaptowane do warunków polskich standardy bezpieczeństwa teleinformatycznego. W ostatnim raporcie, pt. „Bezpieczeństwo infrastruktury krytycznej – wymiar teleinformatyczny” Instytut Kościuszki postulował rozważenie obligatoryjnego stosowania minimalnych standardów, szczególnie w tych obszarach, gdzie ryzyko, poziom zagrożeń i potencjalne konsekwencje mogą mieć najbardziej dramatyczne skutki. Powinien zostać także wskazany podmiot, który miałby odpowiednie narzędzia kontrolne, nadzorcze i sankcyjne do weryfikowania działań mających na celu podwyższenie poziomu bezpieczeństwa.
Wymiana informacji
Kolejnym działaniem wzmacniającym cyberbezpieczeństwo jest wymiana informacji, zarówno między samymi operatorami, jak i na linii operatorzy – podmioty z sektora publicznego. Wymiana informacji o zagrożeniach, podejmowanych działaniach, dobrych i złych praktykach, jest traktowana jako ważny element proaktywnego podejścia do obrony. Dawna, reaktywna postawa powinna zostać zapomniana. Istnieje wiele rekomendacji, dotyczących tego, jak zorganizować system wymiany informacji tak, aby był on jak najbardziej efektywny. Kilka podstawowych porad w tym zakresie przedstawili eksperci, którzy wzięli udział w I edycji Europejskiego Forum Cyberbezpieczeństwa – CYBERSEC, zorganizowanego we wrześniu 2015 roku w Krakowie. Szczególnie istotne są następujące elementy.
- Wymiana informacji musi w skuteczny sposób przyczyniać się do rozwiązywania uprzednio określonych problemów. Cel musi być konkretny i zrozumiały. Interesariusze muszą wiedzieć jakiego rodzaju informacje są potrzebne i dlaczego (jaki problem ma być rozwiązany).
- Współpraca i wymiana informacji muszą działać na zasadzie korzyści dla obu stron. Wymiana informacji między sektorem publicznym, a prywatnym musi odbywać się na jednakowych i sprawiedliwych dla wszystkich warunkach. Obecne rozwiązania, utrudniające przekazywanie informacji ze strony podmiotów publicznych uważane są za niesprawiedliwe.
- Podmioty z sektora publicznego powinny dostarczyć jasny plan przetwarzania danych otrzymanych z sektora prywatnego i zapewnić tym samym skuteczne wejście w dialog w obszarze cyberbezpieczeństwa. Wszystkie strony zaangażowane w to przedsięwzięcie muszą widzieć konkretne korzyści płynące ze współpracy.
- Państwa powinny odgrywać ważną rolę w procesie wymiany informacji w czasie sytuacjach kryzysowych.
Poza dobrym zaprojektowaniem systemu, konieczne jest także zorganizowanie systemu zachęt, które mobilizowałyby operatorów infrastruktury krytycznej do współpracy i skutecznego zapewniania cyberbezpieczeństwa. We wspomnianym wcześniej raporcie Instytutu Kościuszki, wskazane zostało kilka możliwych elementów, które mogłyby znaleźć się w takim katalogu. Należały do niego między innymi specjalnie dostosowane granty, ulgi podatkowe, specjalnie dopasowana oferta ubezpieczeń, certyfikaty, kredyty czy też dostęp do informacji. Zdecydowanie, polskie władze powinny zbudować solidne zachęty, wspierające działania biznesu.
Powstanie wyspecjalizowanego CERTU dla ochrony infrastruktury krytycznej
W Polsce, ochrona i zapewnienie cyberbezpieczeństwa infrastruktury krytycznej jest odpowiedzialnością jej właścicieli i operatorów (każdy z nich realizuje te działania samodzielnie). Coraz więcej podmiotów z sektorów, w których wyznaczana jest infrastruktura krytyczna decyduje się na tworzenie dedykowanych CERTów odpowiedzialnych za reagowanie na incydenty w sieci. Jest to bardzo pozytywny trend, który miejmy nadzieję, będzie rósł na sile. Co więcej, korzystnym elementem byłoby także tworzenie sektorowych CERTów, które wzmacniałyby działania w poszczególnych branżach, proponując wyspecjalizowane dla charakterystyki danego sektora usługi. Interesującym rozwiązaniem, postulowanym przez wielu ekspertów, jest także pomysł specjalnych CERTów, które specjalizowałyby się we wspieraniu zapewniania cyberbezpieczeństwa systemów sterowania przemysłowego. Są to najbardziej newralgiczne elementy z punktu widzenia bezpieczeństwa infrastruktury. Dlatego powinno się rozważyć stworzenie takiego CERTu w Polsce.
Cyberbezpieczeństwo elementem polityki rozwojowej
Jak zostało wspomniane, zapewnienie cyberbezpieczeństwa infrastruktury krytycznej na poziomie jednego kraju może okazać się niewystarczające. Państwa rozwijające się, słabiej przygotowane na zagrożenia płynące z cyberprzestrzeni, mogą stać się ofiarą cyberataków, a ich skutki mogą mieć wpływ na całą społeczność międzynarodową. Dlatego właśnie potrzebny jest wysiłek międzynarodowy, aby wzmacniać bezpieczeństwo tych słabszych. Immanentnym elementem polityki rozwojowej muszą stać się działania nakierowane na wzmacnianie cyberbezpieczeństwa. Bogatsze i bardziej rozwinięte państwa powinny wspierać państwa rozwijające się finansowo, ale także przede wszystkim przez transfer dobrych praktyk, doświadczeń, wiedzy i umiejętności. To nie altruizm, to absolutnie konieczna, nawet egoistyczna potrzeba troski o bezpieczeństwo także nas samych. Polska powinna stać się adwokatem takiego działania.