Polityka i prawo

Dyrektor ISC-CERT: 10 lat opóźnienia sektora medycznego w obszarze cyberbezpieczeństwa [WYWIAD]

Fot. United States Embassy
Fot. United States Embassy

O roli ISC-CERT, współpracy z sektorem prywatnym, stosowaniu starego oprogramowania, mówi dla CyberDefence24.pl Marty Edwards, dyrektor Industrial Control Systems Cyber Emergency Response Team (ICS-CERT) zlokalizowanego w National Cybersecurity and Communications Integration Center (NCCIC) w Departamencie Bezpieczeństwa Wewnętrznego.

Doktor Andrzej Kozłowski: Czym zajmuje się Industrial System Control – CERT.

Marty Edwards: Jesteśmy ulokowani w ramach National Cybersecurity Communications and Integraration Center w Departamencie Bezpieczeństwa Wewnętrznego – jednej z cywilnych agencji federalnych w Stanach Zjednoczonych. Mój zespół jest odpowiedzialny za koordynację odpowiedzi na incydenty w cyberprzestrzeni, wymianę informacji i analiz z innymi instytucjami federalnym w Stanach Zjednoczonych oraz sektorem prywatnym. Większość elementów amerykańskiej infrastruktury krytycznej znajduje się i jest obsługiwana przez prywatne przedsiębiorstwa. Dlatego ciąży na nas dużą odpowiedzialność w ramach publiczno-prywatnego partnerstwa.

A.K.: Jaki Pana zdaniem jestem największy problem we współpracy publiczno-prywatnej w Stanach Zjednoczonych?

M.E: Moim zdaniem największym wyzwaniem jest zaufanie. Sektor prywatny nie ufa rządowi i dlatego musimy pracować bardzo ciężko w celu zbudowania odpowiedniego partnerstwa i pokazania, że taka współpraca może być opłacalna dla sektora prywatnego oraz że poważnie podchodzimy do ochrony danych osobowych.

A.K.: Jak możemy zbudować a raczej odbudować to zaufanie po skandalach związanych z ujawnieniem informacji przez Snowdena i Wikileaks?

M.E.: Działamy w bardzo ryzykownym środowisku. Musimy oddzielić działalność agencji wywiadowczych od instytucji odpowiedzialnych za cywilny aspekty bezpieczeństwa i Departament Bezpieczeństwa Wewnętrznego.  Wierzę, że wciąż cieszymy się dużym stopniem zaufania sektora prywatnego i obywateli, niezależnie od szerszego kontekstu i skandalu związanego z agencjami wywiadowczymi.

A.K.: Jakie posiadają Państwo platformy dialogu z sektorem prywatnym?

M.E.: Z sektorem prywatnym współpracujemy w ramach Połączonej Grupy Roboczej ds. Przemysłowych Systemów Sterowania (Joint Working Group - Industrial System Control). Spotykamy się kilka razy w ciągu roku, gdzie sektor prywatny daje nam daje nam odpowiedź jak sobie radzimy w poszczególnych obszarach.

A.K.: Ten rodzaj współpracy ma charakter strategiczny?

M.E.: Tak. Z perspektywy operacyjnej mamy do czynienia z wymianą informacji z dnia na dzień, na mocy specjalnych umów prawnych, oddzielnych dla każdego przedsiębiorstwa. Przykładowo, jednym z mechanizmów wymiany informacji są Centra Wymiany Informacji i Analiz (Information Sharing and Analysis Center) za pomocą, których rozpowszechniamy informacje do naszych partnerów. 

A.K.: Co odróżnia Pana zespół od normalnego CERTu?

M.E.: Różnica polega na tym, że przyjmujemy bardziej strategiczną perspektywę i nie tylko opieramy naszą działalność na reagowaniu na incydenty czy wynajdywaniu luk 24 godziny 7 dni w tygodniu czyli czynności typowych dla CERTów czy CSIRTów. Stosujemy również środki proaktywne przeprowadzając szkolenia dla prywatnych przedsiębiorstw i instytucji z sektora publicznego pokazując im jak lepiej zabezpieczyć system. Oferujemy również oceny ryzyka w obszarze cyberbezpieczeństwa. Robimy więc rzeczy, które mają więcej wspólnego z polityką niż codzienną pracą CERTów.

A.K. Czyli dostarczacie usługi, które są charakterystyczne dla sektora komercyjnego. Dlaczego w takim razie firmy powinny wybrać Was a nie prywatne podmioty?'

M.E.: Moim zdaniem firmy powinny wybrać dwa rodzaje ofert. My próbujemy dokonać oceny poziomu ryzyka. Przykładowo pójdziemy do firmy nie pobierając za to żadnych opłat mówiąc, że mogą oni wykorzystać nasze rezultaty, żeby przedstawić je radzie zarządzającej lub dyrektorom i w ten sposób zmusić ich do zwiększenia finansowania. Staramy się zbudować partnerstwo z przedsiębiorstwami,  szczególnie z tymi, które nie mają zbyt dużego doświadczenia w cyberbezpieczeństwie. Staramy się je wprowadzić w ten obszar. Zdecydowanie jednak nie jesteśmy częścią biznesu, który przychodzi i dokonuje oceny systemów cyberbezpieczeństwa całej korporacji i przedstawia zestaw porad, co i gdzie zrobić. Staramy się pokazywać, że warto zainwestować w usługi cyberbezpieczeństwa. 

A.K.: Dla sektora infrastruktury krytycznej? 

M.E.: Tak

A.K.: Który sektor po ocenie i analizie jest najbardziej zagrożony?

M.E.: Ryzyko obliczamy analizując trzy elementy: zagrożenie, podatności oraz możliwe konsekwencje skutecznego ataku. Sektor energetyczny jest z pewnością jednym z głównych celów hakerów i dlatego wzrasta poziom ryzyka w tym obszarze. Coraz częściej mamy też do czynienia z ryzykiem międzysektorowym, kiedy podatności w jednym urządzeniu mogą mieć wpływ na bezpieczeństwo wielu sektorów. Dlatego wszystkie sektory są w jakimś stopniu narażone na ryzyko. W Stanach Zjednoczonych mamy 16 sektorów zdefiniowanych jako infrastruktura krytyczna, 5 z nich określanych jest jako życiowe - takie jak sektor energetyczny, zaopatrzenie w wodę, służba zdrowia. Zostały one zdefiniowane w Narodowym Planie Ochrony Infrastruktury Krytycznej.

A.K.: Jak wygląda sytuacja w sektorze usług medycznych, w szczególności biorąc pod uwagę ostatnie ataki (Ransomware itp). Czy to również jeden z tych najbardziej zagrożonych sektorów?

M.E.: Sektor medyczny ma wiele obiektów, które mogą być celem ataków. Jak np. bazy danych pacjentów. Mój zespół skupia się bardziej na bezpieczeństwie urządzeń medycznych np. maszyn używanych w szpitalach, rozruszników serca czy pomp insulinowych. Te urządzenia są bardzo podobne do ISC. Każdy w świecie korporacji rozumie konieczność ochrony serwerów, strony i zabezpieczenia bazy danych. W sektorze medycznym panuje przekonanie, że cyberbezpieczeństwo nie musi być traktowane priorytetowo. Kiedy zaczęliśmy działać w obszarze przemysłowym, eksperci IT powiedzieli nam, że jesteśmy 10 lat za przedsiębiorstwami. Uważam, że sektor medyczny ze wszystkimi narzędziami internetu rzeczy itp. znajduje się 10 lat za sektorem przemysłowym, czyli 20 lat za rozwojem sektora prywatnego i dostrzegamy. Najlepszym przykładem potwierdzającym tą tezę są ostatnie ataki ransomware, które na świecie były bardzo rozpowszechnione w tym sektorze.

A.K.: Co możemy zrobić, żeby zwiększyć bezpieczeństwo?

M.E.: Mamy wiele opcji i narzędzi do wykorzystania. Sektor medyczny może nauczyć się programów i narzędzi, które zostały wdrożone w przemyśle i tym samym ma szansę na dogonienie innych i nadrobienie zaległości. Potrzebujemy mechanizmu, gdzie producenci i sprzedawcy tych urządzeń mają wiedzę i świadomość, że bezpieczeństwo należy zbudować od podstaw.

A.K.:  Obecnie jednak przy projektowaniu oprogramowania i sprzętu stawia się w 100 proc. na efektywność. Inżynierowie nie zwracają większej uwagi na bezpieczeństwo. Jak zmienić tą sytuację? Może należy zmienić przepisy prawne na takie zmuszające ich do dbania o bezpieczeństwo.

M.E.: Z pewnością jest to jedno z rozwiązań. Każdy kraj ma inną perspektywę jak regulować dany sektor. W Stanach Zjednoczonych Food and Drug Administration (FDA) odgrywa rolę regulatora branży produkującej urządzenia medyczne. W celu ich sprzedaży, muszą one otrzymać certyfikaty od FDA. W wielu obszarach w Stanach Zjednoczonych, znaleźliśmy metody żeby zachęcić przedsiębiorców do działania.

A.K.: Jakie są to metody?

M.E.: Przykładowo w obszarze odpowiedzi na incydenty. Jeśli dana firma stała się celem włamania i chce podzielić się szczegółami tego incydentu z ISC-CERT to mogą to zrobić a my w ten sposób zbieramy informacje z wielu źródeł. Możemy przeanalizować i nauczyć się jakie są szersze trendy i dostarczyć praktycznych rekomendacji dla firm w celu zminimalizowania szkód ataku. Przykładowo jeżeli jesteśmy świadkiem serii włamań do sektora energetycznego, być może kolejnym celem będą obiekty przemysłowe. Możemy podzielić się informacjami o wskaźnikach zagrożeń i specyficznych detalach technicznych z innymi sektorami, dzięki czemu mogą one lepiej się zabezpieczyć przed atakami. Musimy zademonstrować, że nasz projekt jest wartościowy, co zachęci podmioty do uczestnictwa w nim.

A.K.: Wracając do kwestii cyberbezpieczeństwa sektora energetycznego. Na Ukrainie byliśmy świadkiem dwóch dużych cyberataków wymierzonych w elektrownię. Czy badaliście tę sprawę? I jeśli tak, to do jakich wniosków doszliście? Melissa Hathaway powiedziała, że jeżeli taki atak zdarzyłby się w Stanach Zjednoczonych, to jego powstrzymanie i zwalczenie skutków byłoby o wiele trudniejsze?

M.E.: Jeśli podobny atak zakończy się sukcesem w Stanach Zjednoczonych, możemy zaobserwować poważne konsekwencje ze względu na rozmiar naszych sieci energetycznych. Jednocześnie ten rozmiar również prowadzi do powstania relatywnie dużej odporności na zagrożenia. Odnosząc się do pierwszej części pytania, Stany Zjednoczone na prośbę rządu ukraińskiego wysłały międzyagencyjny zespół z Departamentu Bezpieczeństwa Wewnętrznego i Departamentu Energii w celu zbadania sytuacji. Nauczyliśmy się, że jednym z głównych rodzajów wektorów w tych atakach było złamanie zabezpieczeń systemów zdalnych. Jako rezultat sektor energetyczny w Stanach Zjednoczonych wprowadził środki w celu wzmocnienia bezpieczeństwa tych systemów. 

A.K.: Jakie jest największe wyzwanie dla ochrony Systemów Kontroli Przemysłowych?

M.E.: Problemem jest, że w wielu sektorach, jak np. ochrona zdrowia, oprogramowanie komputerowe ma bardzo długą żywotność. Komputery i laptopy w korporacjach są uaktualniane codziennie i sprzęt jest wymieniany co 2 - 3 lata ze względu na zmieniająca się technologię. W sieciach energetycznych czy szpitalach proces ten nie występuje i kiedy instalujemy jeden z systemów kontroli przemysłowej, przewiduje się, że jego żywotność wyniesie od 10 do nawet 30 lat. Część z tych systemów będzie podatna na ataki przez wiele lata. W niektórych przypadkach, producent oprogramowania już nawet nie istnieje czyli nie ma możliwości wydania patcha. W innych przypadkach możemy mieć tysiące takich urządzeń i trzeba dojechać do każdego miejsca, żeby zaaktualizować systemy. Nie ma automatycznego procesu i nie jest to łatwe do wykonania. Stanowi to problem, że używamy przestarzałych serwisów czy podatnych na uszkodzenia urządzeń, instalując aplikacje krytyczne odpowiedzialne za zarządzanie sieciami energetycznymi, sektorem medycznym czy transportowym i nie mamy mechanizmów żeby te systemy aktualizować w ten sam sposób jaki czynimy to w naszym środowisku korporacyjnym. Staram się jednał łączyć te dwa środowiska, bo mierzą się one w końcu z takimi samymi zagrożeniami jak korporacje.

 

        

Komentarze