Polityka i prawo

CYBERSEC PL: Polska infrastruktura krytyczna podatna na cyberataki

Prof. Konrad Świrski z Politechniki Warszawskiej oraz Maciej Pyznar z RCB byli uczestnikami dyskusji w ścieżce "Państwo" Podczas CYBERSEC PL/Fot. CYBERSEC PL

Na cyberatak w warunkach pokojowych jesteśmy dość dobrze przygotowani, na agresję w wypadku wojny - wcale - mówił profesor Konrad Świrski podczas I Polskiego Forum Cyberbezpieczeństwa CYBERSEC PL. W ramach ścieżki "Państwo" goście dyskutowali o podatności polskiej infrastruktury krytrycznej na atak cybernetyczny. Wnioski nie były optymistyczne.

Prawdziwym przełomem dla osób odpowiedzialnych za infrastrukturę krytyczną był rok 2010 i wirus Stuxnet, którego koalicja USA u Izraela użyła do  ataku na instalacje wzbogacania uranu Islamskiej Republiki Iranu. Dopiero wtedy świat uświadomił sobie skalę zagrożenia płynącego z cyberataku.

- Większość osób do 2010 r. nie wierzyła, że w atakach hakerskich da się przejąć kontrolę nad instalacją – mówił prof. Konrad Świrski, kierownik zakładu maszyn i urządzeń energetycznych Politechniki Warszawskiej podczas debaty w ramach forum CYBERSEC PL. - Co innego system sterowania wyłączyć, a co innego go opanować i wykorzystać do niszczenia urządzeń.

Administratorzy sieci czuli się spokojni, bo do przeprowadzenia skomplikowanego ataku wiedza hakerów to za mało. Potrzebne jest jeszcze doświadczenie inżynierów, bo kontrolowanie systemów SCADA wymaga specjalistycznych umiejętności. Atak wirusa Stuxnet pokazał jednak, że jest to możliwe.

– Pytanie, w którym kierunku idzie nasza cyberobrona? W kierunku ataku "pokojowego", czyli sytuacji, gdy ktoś uzdolniony próbuje wyłączyć nasze systemy? Czy też takiego ataku, gdzie ktoś wykorzysta je  do spowodowania zniszczeń w infrastrukturze? Ta druga opcja to scenariusz wojenny. Pytanie więc, czy przygotowujemy się do pokoju, czy do wojny? Moim zdaniem na atak w warunkach pokojowych jesteśmy dość dobrze przygotowani, na ten drugi – w ogóle - wyjaśniał prof. Świrski.

- Traktujmy te zagrożenia poważnie, bo zabawki militarne mają tendencje szybko przenikać do realnego świata.  Dzisiejsze ataki cybernetyczne na infrastukturę krytyczną już wkrótce będą dużo łatwiejsze. Nasze standardy powinny być więc znacznie bardziej precyzyjne i "branżowe" - dodał ekspert.

Według profesora Świrskiego każda branża zaliczana do infrastruktury krytycznej powinna mieć opracowane własne wytyczne dot. cyberobrony. Chodzi m.in. o to, by w kluczowym momencie podjąć decyzję o wyłączeniu systemu lub przejściu na ręczne sterowanie - tam, gdzie to możliwe.

Jak to zrobić? Kopiując najlepsze wzorce z zagranicy, na przykład amerykański NERC (North American Electric Reliability Corporation). Ta amerykańska instytucja zajmuje się kontrolą infrastruktury odpowiedzialnej za dostawę energii. NERC opracowała plan Ochrony Krytycznej Infrastruktury (Critical Infrastructure Protection, CIP) zawierający normy gwarantujące niezawodność systemów.

 –Amerykańskie podejście do elektrowni jądrowych jest najbardziej zaawansowanym modelem, jaki istnieje. Podobne normy powinniśmy wprowadzić u nas - i to natychmiast. Nasz rodzimy Urząd Regulacji Energetyki powinien wymagać przestrzegania procedur od branży energetycznej, tak jak KNF wymaga tego od banków. Zróbmy to jak najszybciej, bo w razie ataku doktryna cyberbezpeiczeństwa nas nie uratuje, a praktyczne odcinanie systemów - może.

Maciej Pyznar z Rządowego Centrum Bezpieczeństwa tłumaczył, że poradnik ze standardami bezpieczeństwa przygotowują pracownicy RCB, ale liczą na współpracę z operatorami infrastruktury. - To w końcu oni na co dzień korzystają z systemów. Nie chodzi nam o to, by operatorzy otrzymali dokument, którego nie wykorzystają - mówił podczas debaty Pyznar.

- Cyberbezepieczeństwo to nie jest coś kompletnie innego niż normalne bezpieczeństwo. Cieszę się, że na tej konferencji pierwszy raz ktoś z rządzących cytuje przygotowywany przez RCB narodowy program ochrony infrastruktury krytycznej. Od początku pokazujemy w nim, że cyberobrona to normalny element bezpieczeństwa – dodał szef Wydziału Ochrony Infrastruktury Krytycznej RCB.

Goście kilkukrotnie podczas panelu obalali tezę, że większość sieci infrastruktury krytycznej jest bezpieczna, bo „nie jest podłączona do Internetu”. Taki argument można usłyszeć od niektórych ekspertów. Paneliści przypomnieli jednak, że irańskie systemy również nie był podłączone do Internetu, a jednak udało się zarazić je wirusem Stuxnet. W razie ataku podobnie bezbronne byłyby zapewne polskie sieci. Przedstawiciele branży energetycznej podczas tego i kolejnych paneli w ramach CYBERSEC PL zapewniali jednak, że rodzime systemy są bezpieczne.

- Spółka zdaje sobie sprawę ze swojego strategicznego charakteru i roli dla bezpieczeństwa państwa – mówił podczas dyskusji Tomasz Chodor z departamentu bezpieczeństwa PGNiG. – Wdrożyliśmy w skali całej organizacji system zarządzania bezpieczeństwem informacji ISO 270 001. Wyjątkowe jest to, że certyfikacja objęła całość funkcjonowania spółki. Dojrzałość w zakresie cybersecurity jest cały czas doskonalona w ramach cyklu Deminga (cykl PDCA, ang. Plan-Do-Check-Act - red.).

Przedstawiciel PGNiG również apelował o utworzenie jednolitych norm bezpieczeństwa dla całej branży energetycznej.

- Dyskusja, którą prowadzimy opiera się na działaniach reaktywnych. Mówimy o tym, że trzeba raportować zdarzenia, coś z nimi robić. Powinniśmy jednak skupić się na działaniach, które spowodują podniesienie bezpieczeństwa nie tylko przez pryzmat  reaktywnego działania – mówił Tomasz Chodor.

 

Komentarze (3)

  1. RichardhypE

    jptgdwb http://www.leserlichundhoerich.de/nike-air-max-1-htm-id-878.php http://www.zandercooking.nl/216-nike-schoenen-heren-beslist.html http://www.surfsapiens.nl/asics-volleybalschoenen-dames-2014.htm http://www.erokerswebshop.nl/973-abercrombie-and-fitch-modellen-nederland.php http://www.consolidate-it.nl/585-huarache-dames-paars [url=http://www.damesmodebarendrecht.nl/louis-vuitton-riem-heren-bijenkorf-161.html]Louis Vuitton Riem Heren Bijenkorf[/url] [url=http://www.stoptedurelening.nl/345-nike-air-max-2016-nikeid]Nike Air Max 2016 Nikeid[/url] [url=http://www.zabergaeuspiegel.de/414-adidas-originals-schwarz-gold.html]Adidas Originals Schwarz Gold[/url] [url=http://www.kluvetnng58-62.nl/nike-air-max-1-paars-grijs-134.php]Nike Air Max 1 Paars Grijs[/url] [url=http://www.fitkid-inform.de/jordan-caps-nike.php]Jordan Caps Nike[/url]

  2. RichardhypE

    bsytfdo http://www.howzituk.co.uk/979-flyknit-free-4.0-blue.html http://www.lanarkunitedfc.co.uk/838-nike-air-max-90-grey-black-red http://www.aranjackson.co.uk/timberland-shoes-for-girls-tumblr-909.php http://www.decorator-norwich.co.uk/115-nike-free-trainer-3.0-yellow http://www.mutantsoftware.co.uk/adidas-originals-sale-jd-944.php [url=http://www.poloshirtsonlineshop.co.uk/lacoste-yellow-bag-297]Lacoste Yellow Bag[/url] [url=http://www.aranjackson.co.uk/timberland-boots-ebay-womens-123.php]Timberland Boots Ebay Womens[/url] [url=http://www.ofpeopleandplants.co.uk/nike-air-max-2015-white-womens-834.html]Nike Air Max 2015 White Womens[/url] [url=http://www.cars-wrapping.co.uk/851-nike-free-rn-flyknit-marathon.html]Nike Free Rn Flyknit Marathon[/url] [url=http://www.mandala2012.co.uk/420-adidas-shoes-sale-uk.html]Adidas Shoes Sale Uk[/url]

  3. CurtisFooG

    zcngfot http://www.amadeus-voyance.fr/531-puma-creepers.html http://www.brocanteur-yonne-89.fr/440-yeezy-adidas-femme-noir.php http://www.biotoxen.it/431-cappello-cleveland-browns.php http://www.protege-dents-rugby.fr/adidas-neo-court-713.html http://www.lucilepeuch.fr/nike-huarache-noir-et-blanche-femme-841.php [url=http://www.hotelcentrevalleebleue.fr/683-new-balance-verte-et-jaune.html]New Balance Verte Et Jaune[/url] [url=http://www.io-riciclo.it/688-scarpe-nike-air-force-1-rosse]Scarpe Nike Air Force 1 Rosse[/url] [url=http://www.tissages-de-gravigny.fr/air-max-thea-grise-et-bleu.html]Air Max Thea Grise Et Bleu[/url] [url=http://www.succesfou.fr/casquette-adidas-2017-158.html]Casquette Adidas 2017[/url] [url=http://www.meranergruppe.it/puma-suede-classic-uomo-883.html]Puma Suede Classic Uomo[/url]