Bezpieczna energia w erze cyfryzacji. Co wyróżnia Polskę?

Materiał sponsorowany

CyberEXPERT Game to wydarzenie organizowane od 2021 r. przez Eksperckie Centrum Szkolenia Cyberbezpieczeństwa (ECSC). W tym roku zmierzyły się ze sobą zespoły z Polski, Norwegii, Francji, Albanii, Chorwacji i Łotwy. Wśród polskiej reprezentacji znalazły się zespoły  Narodowego Banku Polskiego, ORLEN S.A., Zakładu Ubezpieczeń Społecznych, ENEA S.A., a także Zespół Działań Cyberprzestrzennych Dowództwa Wojsk Obrony Terytorialnej.

Najwyższe wyróżnienie zdobyła drużyna ORLEN S.A. W rozmowie z kapitanem drużyny i jednocześnie kierownikiem CSIRT ORLEN Pawłem Orzechowskim odniesiemy się nie tylko do zwycięstwa, ale także pytamy o codzienne aspekty wzmacniania cyberodpornośći strategicznego dla Polski koncernu.

Dorota Kwaśniewska, CyberDefence24: Co wyróżniało zespół ORLEN na tle pozostałych drużyn?

Paweł Orzechowski, kierownik zespołu CSIRT ORLEN: Rywalizacja podczas zawodów stała na bardzo wysokim poziomie. W wydarzeniu wzięło udział 10 świetnie zorganizowanych drużyn, w tym zespoły z krajowych jednostek cyberbezpieczeństwa, wojska oraz sektora komercyjnego. Już pierwszego dnia rywalizacja była zacięta i punktacja zespołów oraz ich miejsce w tabeli wielokrotnie się zmieniało. Kluczowym czynnikiem naszego sukcesu był interdyscyplinarny skład zespołu. Połączyliśmy kompetencje z obszaru sieci, automatyki przemysłowej oraz analizy zagrożeń. Ta różnorodność umiejętności dała nam przewagę w końcowej fazie i doprowadziła do zwycięstwa.

Chciałbym podkreślić, że dla naszego zespołu cyberbezpieczeństwa udział w CyberEXPERT Game był dużym wydarzeniem. Sama wygrana była natomiast ogromnym wyróżnieniem. W tym kontekście chcielibyśmy także podziękować organizatorom Eksperckie Centrum Szkolenia Cyberbezpieczeństwa oraz Ministerstwu Obrony Narodowej za umożliwienie uczestnictwa w tym przedsięwzięciu.

Rozumiem więc, że odpowiednie dobranie zespołu było kluczowe?

Dokładnie tak: właściwe dobranie zespołu i jego interdyscyplinarność. Na co dzień zespół CSIRT zajmuje się reagowaniem na incydenty cyberbezpieczeństwa, co wymaga szerokiego, choć ogólnego zakresu kompetencji. Wykorzystaliśmy także wiedzę specjalistycznych zespołów technicznych, działających w naszej organizacji, co pozwoliło skuteczniej rozwiązywać złożone problemy, z którymi spotkaliśmy się podczas zawodów.

Czy można zatem powiedzieć, że Polska wyróżnia się na tle innych państw ze względu na nasze doświadczenie w odpieraniu częstych prób cyberataków?

Tak, zdecydowanie można tak powiedzieć. Polska, jako kraj blisko frontu, odczuwa bezpośrednie skutki wojny w Ukrainie. Zwiększona aktywność cyberzagrożeń ze strony Rosji i Białorusi wymusza ciągłe doskonalenie naszych jednostek, podnoszenie poziomu cyberodporności oraz skuteczności reagowania. W ostatnich latach liczba incydentów znacząco wzrosła, co przekłada się na szybki rozwój kompetencji i doświadczenia polskich zespołów.

Ochrona infrastruktury krytycznej

Jakie kompetencje rozwijają Państwo w zespole, aby skuteczniej reagować na incydenty, jeśli by do nich doszło?

ORLEN to koncern multienergetyczny, obejmujący nie tylko energetykę,lecz także sektor gazowy, rafineryjny, paliwowy oraz sprzedaż produktów na rynku detalicznym i hurtowym. W związku ze wzrostem zagrożeń budujemy silnie izolowane środowiska technologiczne, zgodnie ze światowymi standardami, gdzie między innymi automatyka przemysłowa jest oddzielona od systemów biurowych i IT.

Rozwijamy również kompetencje w zakresie cyberbezpieczeństwa środowisk OT. Posiadamy zespół ekspertów odpowiedzialnych za ochronę cyberbezpieczeństwa systemów w obszarach gazu, ropy i energetyki, co pozwala skutecznie chronić kluczowe elementy infrastruktury krytycznej.

Dodatkowo rozwijamy kompetencje w zakresie modelowania zagrożeń poprzez symulację działań ofensywnych, realizowanych we współpracy z zespołami odpowiedzialnymi za reagowanie na incydenty. Dzięki temu możliwe jest szybkie zastosowanie odpowiednich zasobów i środków, niezbędnych do skutecznego przeciwdziałania zagrożeniom.

Czyli kluczowa jest tu współpraca między bezpieczeństwem systemów IT a OT?

Zdecydowanie tak. Zbudowaliśmy silną synergię między bezpieczeństwem IT i OT, która koncentruje się w obszarze CSIRT, odpowiedzialnym za zarządzanie incydentami. Zespół ekspertów od bezpieczeństwa automatyki przemysłowej ściśle współpracuje z SOC monitorującym systemy OT oraz z zespołem analiz i symulacji cyberzagrożeń. Dzięki stałej wymianie informacji inne zespoły lepiej rozumieją specyfikę automatyki przemysłowej, co pozwala nam szybciej i skuteczniej reagować na potencjalne zagrożenia.

Czyli można powiedzieć, że wchodzą Państwo również w obszar threat intelligence?

Dokładnie tak. Za obszar threat intelligence odpowiada nasz zespół red teamowy, który zajmuje się pozyskiwaniem i analizą informacji o potencjalnych zagrożeniach oraz aktywności grup cyberprzestępczych, działających w poszczególnych sektorach przemysłu i gospodarki. Dostarczone informacje z obszaru threat intelligence pozwalają na uzupełnienie naszych aktywnych elementów cyberochrony i pozwalają na wcześniejsze wykrywanie potencjalnych aktywności. Warto zaznaczyć, że ze względu na zakres działania Grupy ORLEN ilość potencjalnych zagrożeń też jest bardzo duża.

Ataki socjoteczniczne także są zagrożeniem?

Człowiek wciąż jest uważany za najsłabsze ogniwo w cyberbezpieczeństwie, zarówno w IT, jak i w automatyce przemysłowej. Atakisocjotechniczne i różne formy manipulacji użytkownikami są wciąż najczęstsze. Często stanowią punkt wejścia do infrastruktury.

Adwersarze wykorzystują również podatności w oprogramowaniu, systemach sieciowych czy biurowych, które pojawiają się wraz z rozwojem technologii. Choć są to ataki pośrednie, ich celem jest uzyskanie dostępu do systemów krytycznych, takich jak automatyka przemysłowa czy główne centra danych oraz sieci teleinformatyczne, w celu pozyskania informacji lub przejęcia kontroli.

Które elementy infrastruktury krytycznej są dziś najbardziej narażone na ataki, czy można wskazać jakieś szczególne obszary ryzyka, czy zależy to głównie od intencji adwersarzy?

Obserwując sytuację w Ukrainie, widać, że najbardziej narażone elementy infrastruktury krytycznej to te, które bezpośrednio wpływają na codzienne życie i komfort ludzi, np. elektrociepłownie, wodociągi, elektrownie i inne usługi publiczne. Ataki mogą być zarówno fizyczne, jak i cybernetyczne, a ich celem bywa m.in. wywołanie zamieszania i wpływ na nastroje społeczne. Historyczne przypadki w Polsce pokazują, że nie ma „bezpiecznych” sektorów. Nawet szpitale czy wodociągi mogą stać się celem, bo współczesne ataki nie respektują żadnych granic etycznych.

Jak zespół Orlen rozwija swoje kompetencje w zakresie cyberbezpieczeństwa?

Na wiele sposobów. Na co dzień uczestniczymy w szkoleniach technicznych związanych z rozwiązaniami producentów, które wykorzystujemy w firmie. Organizujemy i bierzemy sami udział w warsztatach, gdzie wymieniamy się wiedzą z firmami partnerskimi, kolegami z innych firm oraz krajowymi służbami do spraw cyberbezpieczeństwa, aby lepiej identyfikować ryzyka. Dużą rolę odgrywają też symulacje cyberzagrożeń, np. takie jak w ramach CyberEXPERT Game, które pozwalają trenować reakcję na realistyczne ataki.

Dodatkowo, testujemy gotowość naszych scenariuszy na różne typy incydentów, żeby sprawdzić, czy przygotowane plany odpowiadają rzeczywistym zagrożeniom. Dzięki temu nie tylko podnosimy nasze umiejętności techniczne, ale też doskonalimy procedury reagowania i współpracę w sytuacjach kryzysowych.

Sztuczna inteligencja i wizja na przyszłość

Przechodząc do wykorzystania sztucznej inteligencji, czy znalazła jakieś zastosowanie w Państwa zespole?

W naszym zespole sztuczna inteligencja jest wykorzystywana w codziennej pracy jako element niektórych systemów ochrony cyberbezpieczeństwa. AI pomaga skrócić czas potrzebny do wykrycia i identyfikacji zagrożeń. Jednak niektórych obszarów jak na przykład infrastruktura krytyczna nie możemy, podłączyć do chmurowych modeli uczenia maszynowego. Natomiast w rozwiązaniach hybrydowych, łączących on-premise i chmurę, AI staje się już powoli pewnym standardem. W rozległych i skomplikowanych konfiguracyjnie środowiskach wykorzystanie tych narzędzi jest niemal niezbędne, żeby skutecznie zarządzać i identyfikować zagrożenia.

Jakie Pana zdaniem są najważniejsze kierunki rozwoju, jeśli chodzi o cyberbezpieczeństwo w sektorze energetycznym/ gazowym?

W ORLENIE obraliśmy kilka kluczowych kierunków rozwoju w obszarze cyberbezpieczeństwa. Przede wszystkim stawiamy na ścisłą współpracę między sektorem publicznym a prywatnym. Wymieniamy się informacjami o zagrożeniach z naszymi krajowymi służbami odpowiedzialnymi za cyberbezpieczeństwo, jak również komercyjnymi parterami dostarczającymi rozwiązania cyberochrony. Ta współpraca pozwala nam podjąć odpowiednie działanie wobec pojawiającego się zagrożenia, które jeszcze się nie zmaterializowało.

Kolejnym równie ważnym elementem jest ciągła edukacja i doskonalenie, zarówno osób odpowiedzialnych za cyberbezpieczeństwo, które rozumieją zagrożenie i potencjalną skalę oddziaływania na otoczenie, jak i pracowników na wszystkich szczeblach jednostek biznesowych, którzy poprzez pozyskaną wiedzę są w stanie szybciej zidentyfikować potencjalne zagrożenia i skutecznie im przeciwdziałać lub poinformować odpowiednie zespoły.

Równie istotne jest wykorzystanie sztucznej inteligencji w celu wykrywania anomalii. Korelacja zdarzeń w systemach i symulacja potencjalnych zagrożeń znacząco skraca czas potrzebny na podjęcie odpowiednich działań. W środowiskach, gdzie dziennie spływają miliardy  logów, tradycyjna analityka nie jest wystarczająco wydajna. AI i modele uczenia maszynowego  umożliwiają identyfikację bieżących zagrożeń oraz przewidywanie tych, które mogą pojawić się w najbliższej przyszłości.

Dziękuję.