Polityka i prawo

Raport Fundacji Bezpieczna Cyberprzestrzeń z ćwiczeń Cyber-EXE Polska 2017 – Energy Black Shield

Fot. Jeffrey Beall/Wikipedia Commons/CC 4.0
Fot. Jeffrey Beall/Wikipedia Commons/CC 4.0

Wyniki ćwiczeń wskazują na duży postęp w obronie przed cyberatakami i w ogólnym postrzeganiu zagrożeń atakami z cyberprzestrzeni przez spółki energetyczne. Przede wszystkim widać rosnącą świadomość i dojrzałość w podejściu do tematu - wynika z raportu. Dokument opisuje w jaki sposób przygotowano i przeprowadzono ćwiczenia, jak one przebiegały, oraz przedstawia wnioski i rekomendacje sformułowane na podstawie zaobserwowanych reakcji ćwiczących na zdarzenia zaplanowane w scenariuszu.

Z prawdziwą przyjemnością przeprowadziliśmy ponownie, po kilku latach, ćwiczenia w sektorze energetycznym. Wyniki ćwiczenia pokazują jak wiele dobrej pracy wykonały spółki energetyczne w obszarze cyberbezpieczeństwa. Były też szansą na wskazania obszarów do dalszej pracy. Jednym z nich jest zrozumienie znaczenia operacji informacyjnych, które mogą towarzyszyć cyberatakom. Praktyka pokazuje, że takie operacje mogą być bardzo efektywne z punktu widzenia atakujących, dlatego koniecznie trzeba przygotować prawidłowy system reagowania na nie

Mirosław Maj - prezes Fundacji Bezpieczna Cyberprzestrzeń

Ćwiczenia o takim charakterze, jak Cyber-EXE™ Polska 2017 – Energy Black Shield, są na stałe wpisane w harmonogram pracy CERT PSE. Dobre przygotowanie jest bowiem kluczowe dla skuteczności w odpieraniu cyberataków, a ćwiczenia są nieodłącznym elementem utrzymania efektywnego funkcjonowania zespołu cyberbezpieczeństwa i jego reakcji na incydenty. Podczas CEP17-EBS mieliśmy zarówno okazję do doskonalenia naszych umiejętności reagowania na potencjalne zdarzenia, jak również mogliśmy zweryfikować skuteczność współpracy z innymi CERT’ami przy tego typu sytuacjach

Jarosław Sordyl - wicedyrektor Departamentu Polskich Sieci Elektroenergetycznych SA, szef CERT PSE

Przebieg ćwiczeń

Scenariusz ćwiczeń został oparty na aktualnych i przewidywanych trendach dotyczących wielowymiarowych cyberataków. W ramach pracy nad scenariuszem, uczestnicy wspólnie ustalili najważniejsze elementy wymagające sprawdzenia. Założono, że charakter zdarzeń powinien dotyczyć całego sektora oraz doprowadzić do poważnej sytuacji kryzysowej w organizacjach, na którą nie ma gotowych szczegółowych planów postępowania. Ćwiczenia rozgrywane były w warstwach: technicznej, organizacyjnej oraz medialnej.

Założono, że każda z organizacji stanie się obiektem kilku ataków. Pierwszym ze zdarzeń był atak DDoS na strony WWW firm energetycznych. W późniejszym etapie ćwiczeń atak ten został również przeprowadzony na serwery pocztowe. Drugą grupą zdarzeń była kampania phishingowa skierowana w pierwszej kolejności do działów finansowych, a następnie do działów IT wszystkich firm ćwiczących. Kolejny etap stanowiły problemy związane z automatyką przemysłową i wynikające z tego zagrożenia, które mogą pojawić się w organizacjach zarówno bezpośrednio, jak i za pośrednictwem dostawców zewnętrznych.

Równolegle do części technicznej i organizacyjnej ćwiczeń, rozgrywana była również warstwa medialna mająca sprawdzić zrozumienie komunikatów ukazujących się w warstwie medialnej przez działy PR, jak również ich współpracę i komunikację z działami odpowiadającymi w organizacjach za bezpieczeństwo.

Nowością w ćwiczeniach z cyklu CYBER-EXE™ Polska był przeprowadzenie w warstwie komunikacji medialnej w mediach społecznościowych ćwiczenia z obszaru INFOOPS (tj. operacji informacyjnych). Podstawowym założeniem było prowadzenie działań dezawuujących wizerunek podmiotów biorących udział w ćwiczeniu, wprowadzenie w błąd „odbiorców” wpisów, w tym posługiwanie się wykorzystaniu komunikatów publikowanych w związku z obsługiwanym incydentem komputerowym oraz odseparowaniem użytkowników medium społecznościowego od kanałów komunikacji spółek.

Wykreowane w scenariuszu sytuacje na każdym poziomie i w każdej ćwiczonej warstwie wymagały od uczestników podejmowania szybkich decyzji oraz umiejętności trafnej diagnozy – tak, by zażegnały problem, a nie doprowadziły swym działaniem do jego eskalacji 

Czy sektor energii gotowy jest na cyberatak?

Ataki hakerskie na systemy zasilania i infrastrukturę krytyczną nie są nowością. Przykładem mogą być Korea Południowa (Kimsuky z 2014 r.), Ukraina (Black Energy z 2015 r.) czy Stany Zjednoczone (DragonFly 2017 r., który zresztą miał swoje ofiary również w Polsce), a także przede wszystkim najsłynniejszy atak – Stuxnet – skierowany na ośrodek wzbogacania uranu w Iranie. Do tej pory w Polsce nie odnotowano przypadków zmasowanych, równolegle przeprowadzanych w tym samym czasie ataków na wielu operatorów infrastruktury krytycznej, jednak same zagrożenia z cyberprzestrzeni nie są dla sektora energetycznego nowością.

Od wielu lat w sektorze energii można zaobserwować ataki na poszczególne podmioty, które w przypadku zmasowanego charakteru mogłyby zagrozić bezpieczeństwu nie tylko klientów korzystających z usług operatorów, ale również bezpieczeństwu Państwa. Ćwiczenia Cyber-EXE™ Polska 2017 – Energy Black Shield pokazały, że mają tego świadomość także firmy energetyczne w Polsce, które rozumieją potrzebę koordynacji niezbędnych działań podejmowanych w chwili wystąpienia cyberataku. Ustalenie zakresu współpracy sektorowej wśród firm energetycznych oraz jej sposobu realizacj jest pilnym zadaniem, które stoi przed sektorem

Mirosław Maj - prezes Fundacji Bezpieczna Cyberprzestrzeń

Organizacje zgodnie uznały, że istnieje potrzeba cyklicznego przeprowadzania ćwiczeń sektorowych, a udział w ćwiczeniach CEP17-EBS wpływa na poprawę procesów cyberbezpieczeństwa w poszczególnych firmach, a także powinien doprowadzić do usprawnienia współpracy pomiędzy podmiotami w całym sektorze.

Szczególnie istotne będzie wypracowanie zasad komunikacji dotyczącej incydentów, standardów tej komunikacji, systemu powiadamiania oraz sposobów dzielenia się wiedzą nt. zagrożeń cyberbezpieczeństwa. Korzyścią może okazać się reprezentowanie interesów sektora w kluczowych zagadnieniach dotyczących cyberbezpieczeństwa. Doświadczenie z ćwiczeń Cyber-EXE™ Polska – Energy Black Shield pozwoli na udoskonalenie szeregu procedur oraz technicznych systemów zabezpieczeń.

Link do raportu: Cyber-EXE™ Polska  

Komentarze