Sordyl: Polish Grid Exercise to nowa jakość cyberbezpieczeństwa w energetyce

5 lutego 2019, 09:15 Bezpieczeństwo

Pracownicy Polskich Sieci Elektroenergetycznych i innych spółek z branży energetycznej jako pierwsi w Europie wzięli udział w szkoleniu PolEx, bazującym na amerykańskim pierwowzorze – warsztatach GridEx. Dzięki temu zdobyli unikalne umiejętności, które mogli od razu przetestować w czasie symulowanych ataków. Szkolenie odbyło się w listopadzie 2018 roku, a CERT PSE już planuje kolejną edycję w 2020 roku. Z kolei jeszcze w tym roku odbędzie się konferencja dla ekspertów od cyberbezpieczeństwa w energetyce – pisze Jarosław Sordyl, zastępca dyrektora departamentu teleinformatyki ds. cyberbezpieczeństwa, szef CERT PSE. 

Jarosław Sordyl, szef CERT PSE. Fot. Polskie Sieci Elektroenergetyczne
Jarosław Sordyl, szef CERT PSE. Fot. Polskie Sieci Elektroenergetyczne

GridEx to odbywające się co dwa lata w Stanach Zjednoczonych kompleksowe szkolenie z obszaru cyberbezpieczeństwa oraz bezpieczeństwa fizycznego, obejmujące m.in. testy procedur oraz sposobów reagowania na sytuacje, z którymi można się zetknąć na co dzień realizując zadania w takim komórkach organizacyjnych jak Computer Emergency Response Team lub Security Operation Center. To najbardziej  zaawansowane tego typu szkolenie na świecie, a do tej pory nigdy nie odbyło się poza granicami Stanów Zjednoczonych. GridEx powstał w 2011 roku jako koncepcja szkoleniowa dla przemysłu Stanów Zjednoczonych. Jej podstawowym założeniem jest możliwość zweryfikowania planów reagowania na incydenty, współpracę miedzy organizacjami prywatnymi i publicznymi, a także zaangażowania menadżerów, którzy w warunkach symulacji mogą sprawdzić sposób zarządzania w sytuacjach szczególnych. W ostatniej edycji GridEx w 2019 roku wzięło udział 6500 osób z 450 organizacji.

Teoria i praktyka

To właśnie  doświadczenia z treningów GridEx były podstawą do stworzenia programu PolExu. Sztab osób przygotowujących poszczególne symulacje dla uczestników szkolenia zadbał o aktualne przykłady, na bazie których można doskonalić swoje umiejętności. PSE nawiązały współpracę z organizatorami szkolenia GridEx, którzy zgodzili się na przeprowadzenie treningu dla polskich specjalistów. Przygotowania, w ramach których m.in. opracowany został program trzydniowego szkolenia, trwały rok. Oprócz ćwiczeń bazujących na GridEx wprowadzono do niego także szkolenie z cyberbezpieczeństwa infrastruktury przemysłowej  CyberStrike, organizowane przez Idaho National Laboratory, oraz „wojny sieciowe” NetWars, organizowane przez SANS Institute.

W szkoleniach wzięło łączenie udział ponad 400 osób z sektora elektroenergetycznego, a także z organizacji, z którymi CERT PSE współpracuje na co dzień, m.in. CERT-ów oraz organizacji międzynarodowych, np. European Energy Information Sharing&Analysis Centre. Większość uczestników na co dzień zajmuje się teleinformatyką i cyberbezpieczeństwem IT. Niewielka część osób biorących udział w szkoleniu ma do czynienia z cyberbezpieczeństwem przemysłowym, czyli tzw. operational technology (OT) lub industrial control systems (ICS). W trakcie trzech dni ponad 180 osób przez brało udział w ćwiczeniach i symulacjach, a także zajęciach laboratoryjnych. Uczestnicy mieli okazję do poznania zagadnień cyberbezpieczeństwa środowisk IT oraz OT nie tylko w teorii, lecz także zapoznać się z praktyką wykrywania ataków na infrastrukturę ICS i reagowania na nie.

Drugim elementem szkolenia był trening NetWars, podczas którego uczestnicy mieli okazję do wykorzystania pozyskanej wiedzy. Mogli wcielić się w atakujących, co pozwalało na lepsze zrozumienie metod i taktyk jakimi najczęściej kierują się hakerzy.

Lepsza ochrona w cyberprzestrzeni

W trakcie każdego elementu szkolenia uczestnicy aktywnie realizowali poszczególne zadania, a poprzez zadawanie pytań pogłębiali tematykę poruszaną w poszczególnych wykładach. Amerykańscy wykładowcy zwrócili uwagę, że praktycznie każdy uczestnik chciał lepiej poznać zaawansowane urządzenia i oprogramowanie, by zaznajomić się z dodatkowymi elementami i funkcjonalnościami zabezpieczeń, jak również narzędzi stosowanych do prowadzenia cyberataków.

Po zakończeniu warsztatów amerykańscy eksperci przygotowali podsumowanie dla kadry zarządzającej, w tym ministrów i prezesów spółek. Wziął w nim udział m.in. Rick Perry, szef amerykańskiego Departamentu Energii oraz minister energii Krzysztof Tchórzewski, minister przedsiębiorczości i technologii Jadwiga Emilewicz i pełnomocnik rządu ds. strategicznej infrastruktury energetycznej Piotr Naimski. Celem spotkania było pokazanie mocnych i słabych stron systemu współpracy między organizacjami oraz podejścia do rozwiązywania problemów w przypadku cyberataku. Eksperci przygotowali także rekomendacje na najbliższe lata, które stanowią integralną część szkolenia i są wynikiem analizy możliwości zaobserwowanych podczas warsztatów. Bazują na praktyce stosowanej przez kraje najbardziej zaawansowane w zakresie tworzenia i utrzymywania systemów cyberbezpieczeństwa, przede wszystkim Stany Zjednoczone. Wśród rekomendacji znalazły się między innymi:

  • utworzenie centrum analityczno-operacyjnego dla sektora elektroenergetycznego (ISAC);
  • stworzenie koncepcji oraz realizacja corocznej konferencji dla sektora elektroenergetycznego, której głównym celem będzie integracja środowiska oraz wymiana informacji i dobrych praktyk;
  • organizowanie co dwa lata szkolenia PolEx przy założeniu zmieniających się scenariuszy, które powinny odpowiadać realnym potrzebom w danym momencie.

Amerykańscy eksperci zadeklarowali swoją pomoc dla CERT PSE przy organizacji kolejnych edycji PolEx. To istotna wartość, gdyż będzie można wykorzystać ich dużą wiedzę i umiejętności.

Co dalej?

Po szkoleniu, CERT PSE zorganizował także wewnętrzne podsumowanie. Najważniejszą, pozyskaną korzyścią jest unikalna wiedza oraz praktyczna możliwość wykorzystania jej w czasie symulacji NetWars. To najbardziej miarodajny sposób weryfikacji własnych możliwości, współpracy zespołu i potwierdzenie gotowości do odparcia potencjalnego cyberataku. Znaczną wartością dla zespołu CERT PSE była także możliwość spotkania się z ekspertami ze światowej czołówki oraz nawiązania stałych kontaktów, które w branży cyberbezpieczeństwa są szczególnie istotne. Szkolenie PolEx było także możliwością spotkania przedstawicieli środowiska osób odpowiedzialnych za cyberbezpieczeństwo w polskim sektorze energetycznym, przedyskutowania sposobów jak najlepszej współpracy i planów na przyszłość.

Zgodnie z rekomendacjami, kolejna edycja PolEx odbędzie się w 2020 roku. Z kolei jeszcze tym roku CERT PSE zorganizuje specjalistyczną konferencję o cyberbezpieczeństwie w sektorze energetycznym. Wezmą w niej m.in. eksperci ze Stanów Zjednoczonych. Oba wydarzenia będą się odbywały cyklicznie i są stałym elementem strategii CERT PSE. Służą m.in. ciągłemu doskonaleniu zespołu tworzącego CERT PSE jako jednostki akredytowanej w międzynarodowej organizacji Trusted Introducer.