Polityka i prawo

Cyberbezpieczeństwo banków i elektrowni nie jest już takie pewne

  • Fot. SpaceX via Facebook

Kręgi związane z polityką cyberbezpieczeństwa w Waszyngtonie od dawna zdają sobie sprawę z tego, że pewne branże, w szczególności sektor usług finansowych czy obszar infrastruktury krytycznej, mogą ponieść głębokie szkody w skutek poważnych ataków. Jednocześnie jednak powszechnie uważa się także, że sektory te są najbezpieczniejsze - paradoksalnie, ze względu właśnie na powiązane z tymi obszarami zagrożenia. W tym tygodniu jednak wszelkie konwencje zostały podane w wątpliwość.

Dla sektora usług finansowych włamanie do bangladeskiego Banku Centralnego nadal stanowi czynnik, który zachwiał w posadach wiarę w to, że wielkie instytucje zajmujące się finansami będą w stanie odpierać intruzów, nie pozwalając im na wyprowadzanie milionów dolarów zgromadzonych na utrzymywanych rachunkach. Informacje opublikowane przez rosyjskie władze, jakoby ujęły one 50 podejrzanych, którzy wyprowadzili około 45 milionów dolarów z banków w Rosji, jeszcze bardziej potęgują powyższe obawy. W tym tygodniu amerykańśki Kongres zadecydował, że przestudiuje kwestię tę głębiej. Po pierwsze, Senator Tom Carper (Demokrata ze stanu Delaware), członek Senackiego Komitetu Bezpieczeństwa Wewnętrznego, zwrócił się do dyrektora Federal Reserve Bank w Nowym Jorku z prośbą o wyjaśnienia. Chodzi o stosowane przez tenże bank działania w obszarze bezpieczeństwa i podatności na atak cybernetyczny, w odniesieniu do bankowego systemu komunikacji dostarczanego przez SWIFT. Interpelacja brzmiała w następujący sposób:

  1. Czy Rezerwa Federalna planuje rewizję swojej polityki cyber-bezpieczeństwa lub swojego wewnętrznego środowiska, w ramach odpowiedzi na ostatnie ataki? Jeżeli tak, proszę o wyjaśnienia.

  2. Cyberprzestępcy podjęli ponoć próbę ataku na Bank Tien Phong, kilkanaście miesięcy przed atakiem na Centralny Bank Bangladeszu. Jakie protokoły i praktyki stosuje Federal Reserve Bank w Nowym Jorku, w zakresie udostępniania informacji na temat zagrożeń dla cyberbezpieczeństwa banków korzystających z rozwiązań SWIFT?

  3. SWIFT może wydawać zalecenia użytkownikom w zakresie praktyk cyberbezpieczeństwa, jednak nie jest stosowany mechanizm, który egzekwowałby przestrzeganie tych norm przez członków organizacji. Zgodnie z informacjami podawanymi przez stronę internetową SWIFT, „głównym instrumentem nadzoru jest presja moralna”. Czy Bank Rezerwy Federalnej zapewnił wsparcie techniczne komercyjnym lub zagranicznym użytkownikom końcowym banku centralnego, w zakresie typów technicznych, operacyjnych, dotyczących działań kierowniczych i proceduralnych środków, które w możliwie najlepszy sposób mogłyby zapewnić ochronę sieci komunikacyjnej SWIFT?

  4. Proszę o opisanie kroków podjętych przez Rezerwę Federalną w zakresie koordynacji działań ze SWIFT, Bangladeskim Bankiem Centralnym, Departamentem Bezpieczeństwa Wewnętrznego, Departamentem Skarbu i innymi instytucjami, w celu zwiększenia bezpieczeństwa systemu SWIFT, od momentu wykrycia ataków.

By nie przegapić nadchodzących zdarzeń i by dołączyć się do debaty, Przewodniczący i Członek Senackiego Komitetu ds. Nauki, Przestrzeni Kosmicznej i Technologii, Lamar Smith (Republikanin z Teksasu), oraz Barry Loudermilk (Demokrata ze stanu Georgia) także wystosowali swoje własne, osobne pismo. Jednak zamiast prosić Rezerwę Federalną o proste odpowiedzi na pytania, Smith i Loudermilk zażądali, by bank przekazał całą dokumentację związaną z atakiem, własnymi systemami cyber-bezpieczeństwa i systemem SWIFT. Śledztwo zostało podjęte przez Komitet. Jego celem jest objęcie własną jurysdykcją kwestii cyberbezpieczeństwa. Jest to obszar zainteresowań dla kilkunastu innych zespołów rządowych. Autorytet Komitetu ds. Nauki w obszarze cyberbezpieczeństwa jest tak niewielki, że organ musiał precyzyjnie wyrazić dlaczego czuje się uprawniony do wysnuwania żądań względem Rezerwy Federalnej w tym polu:

Komitet ds. Nauki, Kosmosu i Technologii posiada w swojej jurysdykcji Narodowy Instytut Standaryzacji i Technologii, który rozwija normy i wytyczne w obszarze cyberbezpieczeństwa (...) Ponadto, Komitet ma także ogólny wgląd i autorytet w zakresie badania wszelkich kwestii związanych z konkurencyjnością, technologią, normami i innowacyjnością.

Innym obszarem, w którym Komitety Kongresu mogą wkrótce rozpocząć walkę o jurysdykcję jest bezpieczeństwo sieci energetycznych. Działania, których celem była destabilizacja ukraińskiego systemu przesyłu energii, wywołały nerwową atmosferę w USA, a nowy raport firmy Fireeye stwarza jeszcze więcej obaw, bo sugerująe, jakoby taki atak może nie stanowić pojedynczego incydentu. Fireeye donosi, że odkryto złośliwe oprogramowanie o kryptonimie Irongate, którego działanie ukierunkowane jest przeciwko przemysłowym systemom sterowania. Samo oprogramowanie Irongate nie wydaje się stwarzać zagrożenia, napisano je bowiem z myślą o pracy w ramach symulowanych systemów firmy Siemens, a nie w zastosowaniach rzeczywistych. Jednak sam fakt, że wirus istnieje i pozostawał przez długi czas niewykryty dzięki temu, że zastosowano w jego przypadku techniki sandbox służące uniknięciu takiej detekcji, jest niepokojący. Może oznaczać to, że środowisko bezpieczeństwa w przyszłości będzie dużo bardziej nieprzewidywalne.

Wśród ekspertów od energii elektrycznej odbywa się właśnie debata dotycząca tego, jaki mógłby być najlepszy sposób na ochronę sieci przesyłowych. Jednym z gorących tematów tego tygodnia było ponowne wprowadzenie „ręcznych” (nieopartych na automatyce/infrastrukturze ICT) rozwiązań w zakresie sterowania siecią energetyczną, co pozwoliłoby z kolei na wyeliminowanie podatności sterowania sieciowego, lub stworzenie sposobu na szybsze przywrócenie funkcjonowania systemu po potencjalnym ataku. Jak można było przewidzieć, opinie na temat tego pomysłu są dość mieszane. „Powrót do sterowania ręcznego można wdrożyć, jednak wydłuży on czas przywracania normalnego działania po odcięciu dostaw prądu” - stwierdził Greg Ford, CEO Georgia System Operations Corporation, w swojej wypowiedzi dla Federalnej Komisji Regulacji Energetycznych. „Wierzę, że musimy kontynuować proces udowadniania bezpieczeństwa naszej technologii, zamiast ją całkowicie zostawić w tyle”. Z drugiej strony, na posiedzeniu Senackiego Komitetu Bezpieczeństwa Wewnętrznego, Scott Aaronson, dyrektor zarządzający ds. bezpieczeństwa cyberenetycznego i infrastruktury w Edison Electric Institute, stwierdził, że „powrót do przeszłości” w zakresie sterowania ręcznego jest dokładnie tym, co należy zrobić, by posiadać opcje zapasowe na wypadek poważnych cyber-incydentów.

Takie dyskusje są same w sobie symptomem tego, jak daleko zachodzi percepcja zagrożenia. W wielu obszarach krytycznych, w szczególności w polu energetyki, dyskutowano na temat tego, czy problem bezpieczeństwa w ogóle istnieje. Dwa tygodnie temu, CEO Southern Company stwierdził, że zdarzenia ekwiwalentne w porównaniu do incydentu na Ukrainie nigdy nie będą mieć miejsca w USA.

Były inne rzeczy, które robimy w USA, w odniesieniu do których myślę, że znoszą konieczność zajmowania się problemami porównywalnymi do tych na Ukrainie. Pierwszą rzeczą, którą należy wiedzieć jest to, że energetyka jest jedyną gałęzią przemysłu w USA, w ramach której istnieją wymogi w zakresie cyberbezpieczeństwa. Mamy nasze własne normy, których musimy chronić.

W świetle coraz większej ilości wiadomości na temat coraz straszniejszych typów złośliwego oprogramowania, założenie, że jedynie z uwagi na świadomość zagrożenia i stosowane normy dany sektor będzie bezpieczny, pozostaje jednak wysoce nierealistyczne. 

Blaise Misztal zajmuje się kwestiami bezpieczeństwa narodowego, ze szczególnym uwzględnieniem cyberbezpieczeństwa, w jednym z prominentnych waszyngtońskich think tanków, gdzie opracował m.in. symulację strategiczną Cyber ShockWave. Jest stałym ekspertem Cyberdefence24.pl

Komentarze