Cyberzagrożenia w centrum uwagi Szczytu Bezpieczeństwa Nuklearnego w Waszyngtonie

Podczas zakończonego w tym tygodniu Szczytu Bezpieczeństwa Nuklearnego w Waszyngtonie (Nuclear Security Summit), można było zaobserwować znaczącą ewolucję w sposobie myślenia na temat bezpieczeństwa związanego z energią jądrową. Wbrew pierwotnie przyjętym założeniom, wedle których obrady miały skupić się na fizycznym zabezpieczeniu materiałów rozszczepialnych, tematyka szczytu została rozszerzona i więcej uwagi poświęcono kwestiom cyberbezpieczeństwa w placówkach nuklearnych. Z perspektywy Warszawy jest to kwestia o tyle istotna, że Polska nadal planuje budowę pierwszych elektrowni atomowych. Nowoczesne rozwiązania zapewniające bezpieczeństwo infrastruktury teleinformatycznej takich siłowni będą więc miały krytyczne znaczenie dla kraju.

W zakresie cyberbezpieczeństwa wyniki Polski okazały się w najlepszym wypadku dość przeciętne. Nuclear Threat Initiative przyznało pozytywne oceny Polsce w pierwszych dwóch kategoriach: posiadania obowiązkowych norm i korzystania z cyfrowej ochrony aktywów krytycznych. Z drugiej jednak strony okazało się, że nie uwzględniono obszaru cyberbezpieczeństwa w ramach zagrożeń podstawowych konstrukcji i nie dokonano oceny cyberbezpieczeństwa instalacji jądrowych.

 Pierwszy Szczyt Bezpieczeństwa Nuklearnego w Waszyngtonie, zorganizowany w 2010 r. z inicjatywy prezydenta USA Barracka Obamy, upłynął pod znakiem sygnałów wskazujących na realną groźbę, że materiały radioaktywne mogą wpaść w niepowołane ręce, co musiałoby doprowadzić do wymknięcia się sytuacji spod kontroli i pojawienia się nowego zjawiska terroryzmu atomowego.

Celem inicjatywy Baracka Obamy był zgromadzenie przedstawicieli wielu państw „w celu wypracowania wytycznych i rekomendacji w zakresie zapobiegania zagrożeniom bezpieczeństwa nuklearnego, ich wykrywania i reagowania  na przypadki sabotażu, nieuprawnionego dostępu do materiałów rozszczepialnych, ich kradzieży i nielegalnego transferu, a także trzech innego rodzaju aktów złej woli (niewymienionych z nazwy – przyp. red.) dotyczących substancji promieniotwórczych i  instalacji nuklearnych”.

Szczyty Bezpieczeństwa Nuklearnego w Waszyngtonie odbywają się co dwa lata. Te, które zorganizowano w latach 2010, 2012 i 2014, koncentrowały się w głównej mierze na zagadnieniach fizycznego zabezpieczenia instalacji jądrowych. W oficjalnym komunikacie z pierwszego szczytu w 2010 r. wątek cyberbezpieczeństwa nie pojawił się w ogóle. W materiałach z drugiego szczytu pojawiła się tylko jedna wzmianka na temat cyberbezpieczeństwa, zaś dwa lata później były to już dwie wzmianki.

W tym roku jednak sprawa wyglądała zgoła inaczej. Zagrożenia dla instalacji jądrowych związane z cyberprzestrzenią pojawiły się już w programie obrad IV Szczytu Bezpieczeństwa Nuklearnego. Wyraźnie też odniósł się do tej problematyki Yukiya Amano, dyrektor generalny Międzynarodowej Agencji Energii Atomowej (IAEA): „Mieliśmy do czynienia z atakami na elektrownie atomowe, które były realizowane z użyciem złośliwego oprogramowania. Tego typu zakłady zostały celowo wybrane jako przedmiot tych działań. Międzynarodowa Agencja Energii Atomowej czyni wszystko, co w jej mocy, żeby udzielić pomocy rządom, organizacjom i osobom fizycznym w wyjściu naprzeciw zmieniającym się zagrożeniom ze strony bezwzględnych cyberwrogów, które opierają się na technikach komputerowych”. Efektem tegorocznego szczytu w Waszyngtonie będzie prawdopodobnie wzrost inwestycji IAEA na cele związane z cyberprzestrzenią. Można też spodziewać się zintensyfikowania multi- i bilateralnych inicjatyw ze strony poszczególnych państwa, które będą zmierzać do zwiększenia cyberbezpieczeństwa siłowni jądrowych. Za przykład mogą służyć wspólne gry wojenne, planowane przez Stany Zjednoczone i Wielką Brytanię; ich scenariusz obejmuje cyberataki na elektrownie atomowe.

Wszystko, do czego w związku z cyberbezpieczeństwem nuklearnym w niespotykanej dotąd skali odnoszono się  podczas wystąpień  na ostatnim szczycie w Waszyngtonie, wyartykułowane zostało wcześniej w rapocie, który został opublikowany bezpośrednio przed konferencją zorganizowaną przez prezydenta Baracka Obamę. Mowa tu o raporcie Nuclear Threat Initiative (NTI – organizacji powołanej do życia przez byłego amerykańskiego senatora Sama Nunna, który działa na rzecz wyeliminowania broni jadrowej. Ogłaszany przez tę organizację Wskaźnik Bezpieczeństwa Nuklearnego NTI (NTI Nuclear Security Index) stanowi próbę określenia bezpieczeństwa materiałów radioaktywnych i instalacji jądrowych na całym świecie. Indeks ten poddaje ocenie każde państwo pod kątem możliwości kradzieży materiałów promieniotwórczych i instalacji jądrowych. Chociaż wskaźnik NTI uwzględnia większość państw świata, skupia się on przed wszystkich na 24 krajach (m.in. Polsce), które będąc w posiadaniu materiałów rozszczepialnych teoretycznie mogłyby ich użyć do skonstruowania broni atomowej.

Polska w rankingu NTI zajęła wysokie czwarte miejsce pod względem ochrony przed kradzieżą wśród 24 narodów posiadających materiały promieniotwórcze. Jest to awans o trzy pozycje w stosunku do poprzedniego raportu. W zakresie zapobiegania aktom sabotażu instalacji jądrowych Polacy niestety sklasyfikowani zostali na dalekim 14 miejscu rankingu.

Polska poprawiła swoje notowania w zakresie ochrony przed kradzieżą częściowo z uwagi na wdrożenie stosownych zabezpieczeń fizycznych. Chodzi tu w szczególności o konwersję reaktora badawczego Maria w sposób, który umożliwił stosowanie w nim nisko wzbogaconego uranu zamiast jak dotychczas wysoko wzbogaconego. Jednakże w zakresie cyberbezpieczeństwa wyniki Polski okazały się w najlepszym wypadku dość przeciętne. Indeks mierzy poziom cyberbezpieczeństwa za pomocą systemu binarnego (opisując je wartościami 0 lub 1) w czterech obszarach. Chodzi o wdrożenie obowiązkowych norm cyberbezpieczeństwa dla zakładów atomowych, stosowanie cyfrowej ochrony aktywów o znaczeniu krytycznym, włączenie cyberzagrożeń w ramy zagrożeń podstawowych konstrukcji (w formie zalecanej przez analizy ryzyka IAEA) i dokonanie odpowiedniej oceny cyberbezpieczeństwa. NTI przyznało pozytywne oceny Polsce w pierwszych dwóch kategoriach: posiadania obowiązkowych norm i korzystania z cyfrowej ochrony aktywów krytycznych. Z drugiej jednak strony okazało się, że nie uwzględniono obszaru cyberbezpieczeństwa w ramach zagrożeń podstawowych konstrukcji i nie dokonano oceny cyberbezpieczeństwa instalacji jądrowych.

Najgorzej, w ramach indeksu oceniono, bez wielkiej niespodzianki, Iran, Koreę Północną, Indie i Pakistan. Słabe pozycje zajęły też Rosja i Chiny (odpowiednio 18 i 19 miejsce wśród 24 sklasyfikowanych państw). Co ciekawe, ocena cyberbezpieczeństwa instalacji jądrowych w tych państwach kształtowała się następująco Rosja otrzymała maksymalną liczbę punktów, natomiast w Chinach ocena była równa zeru, co stanowi najgorszy możliwy wynik. Należy mieć to na względzie pamiętając, że oba kraje mają opinię należących do ścisłej czołówki globalnych cybermocarstw.

W opracowaniu dołączonym do Wskaźnika Bezpieczeństwa Nuklearnego NTI proponuje nowego podejście do kwestii związanych z cyberbezpieczeństwem. Tekst wzywa do odejścia od skupionego na agresorze modelu działania, zgodnie z którym obrońcy każdorazowo muszą reagować na najnowsze wektory ataku, próbując „łatać” luki w sieci IT. Eksperci proponują skoncentrowanie się na podatnościach na cyberatak. To „podatnościo–centryczne podejście do bezpieczeństwa” – jak czytamy w przywołanym opracowaniu - „ma na celu uwzględnienie główej przyczyny braku bezpieczeństwa w systemach – oznacza szansę, że bezpieczeństwo stanie się czymś więcej niż jedynie złem koniecznym”. Autorzy opracowania postulują, by:

• wzmocnić bezpieczeństwo, zmniejszając podatności: Operatorzy instalacji nuklearnych powinni się skupić na ograniczonej liczbie możliwych do zbadania wrażliwych punktów systemu zamiast na stale rosnącej liczbie ataków. Eliminacja podatności pozwoli na wyeliminowanie wszystkich ataków przeciwko niej skierowanych.
• zmniejszyć podatność za pomocą systemów deterministycznych: Operatorzy instalacji jądrowych powinni zmniejszyć podatność swoich systemów na ataki stosując narzędzia i strategie, dzięki którym systemy działają jedynie w zakresie powierzonych im zadań, zamiast stosować kosztowne i skomplikowane pod względem obsługi techniki wykrywania ataku.
• Ponadto bezpieczeństwo powinno wspomagać działania: Operatorzy zakładów zarządzają procesem obrony przy pomocy narzędzi i technik, które zwiększają niezawodność systemu w codziennych działaniach. Postępowanie takie pozwala zrezygnować z wymogu posiadania technologii przeznaczonych do zagwarantowania bezpieczeństwa i użytecznych wyłącznie na wypadek ataku.

Program ten oznacza postulat ponownego rozważenia ewolucji przemysłowych systemów sterowania i zarządzania SCADA z zastąpieniem rozwiązań przewodowych i przeznaczonych do określonych celów ogólnymi, wielofunkcyjnymi platformami sieciowymi. Pytanie znacznie ciekawsze jednak dotyczy tego, jak wyżej opisane idee czy dobre praktyki wdrożyć w globalnej agendzie bezpieczeństwa nuklearnego, a jeżeli do tego dojdzie, to jak sprawować globalny nadzór nad instalacjami nuklearnymi.

Obecnie IAEA posiada międzynarodowy mandat prawny, gwarantowany przez Układ o Nierozprzestrzenianiu Broni Jądrowej (Nuclear Non-Proliferation Treaty), dzięki któremu może kontrolować instalacje nuklearne w państwach nie posiadających głowic atomowych. Pozwala to wspólnocie międzynarodowej upewnić się, że kraje te nie podejmą próby wykorzystania materiałów promieniotwórczych do budowy broni jądrowej.

Z uwagi na to, że polityka bezpieczeństwa nuklearnego w programach kolejnych szczytów waszyngtońskich sukcesywnie ewoluuje od współpracy bilateralnej do globalnych paktów i od bezpieczeństwa w rozumieniu konwencjonalnym do cyberbezpieczeństwa, stało się jasne, ze zakres działalności IAEA może zostać rozszerzony obejmując także cyberzagrożenia dla infrastruktury jądrowej.

Jeżeli globalny trend zwiększania cyberbezpieczeństwa instalacji jądrowych utrzyma się, elektrownia atomowa, której budowę w najbliższych latach planuje polski rząd, będzie musiała spełniać najnowsze normy w zakresie zabezpieczeń przed atakami i incydentami.