Polityka i prawo
Sektor energetyczny przygotowuje się na cyberataki
Cyberbezpieczeństwo sektora energetycznego to przede wszystkim zabezpieczenie sieci inteligentnych, klastrów energii i systemów reagowania – powiedział Andrzej Szyszko z Ministerstwa Aktywów Państwowych.
Andrzej Szyszko zastępca dyrektora Departamentu Bezpieczeństwa i Zarządzania Kryzysowego z Ministerstwa Aktywów Państwowych podczas konferencji InfraSec przedstawił podczas konferencji InfraSec prezentację na temat obecnego stanu cyberbezpieczeństwa w sektorze energetycznym.
Wyznaczanie operatorów usług kluczowych wygląda w następujący sposób: każdy organ właściwy bada rynek i szuka potencjalnych przedsiębiorców, którzy mogą być operatorami usług kluczowych, a następnie sprawdza czy podmiot spełnia wymagania z ustawy oraz rozporządzenia – powiedział Andrzej Szyszko. Cały czas zbieramy informacje o tym podmiocie i następnie wszczynamy postępowanie administracyjne – kontynuował ekspert resortu.
Kolejny krok polega na tym, że organ właściwy wskazuje danego przedsiębiorcę jako operatora usługi kluczowej poprzez wydanie decyzji administracyjnej, która jest natychmiast wykonywalna. Od tego czasu operator usług kluczowych ma od trzech do dwunastu miesięcy na dostosowanie się do wymogów z ustawy o KSC (Krajowym Systemie Cyberbezpieczeństwa - przyp.red.) oraz stosownych rozporządzeń. Następnie wykonuje te obowiązki, które wynikają z tych dokumentów. Jednym z nich jest wykonanie wstępnego audytu bezpieczeństwa w ciągu 12 miesięcy od otrzymania decyzji administracyjnej – mówił Szyszko.
Omawiając cyberbezpieczeństwo sektora energetycznego, dyrektor Szyszko podkreślił, że minister właściwy do spraw energii uważa, że to przede wszystkim zabezpieczenie sieci inteligentnych, klastrów energii, systemów reagowania. Bardzo dużą wagę przywiązujemy również, do operatorów systemu przesyłowego, które rozumiemy jako jednostki wytwórcze, operatorów systemu dystrybucyjnego i oczywiście wszystkich innych operatorów, którzy zostali wyznaczeni decyzjami administracyjnymi – powiedział w trakcie wystąpienia ekspert.
Cyberbezpieczeństwo sektora energetycznego to nie jest tylko i wyłącznie sama ustawa o Krajowym Systemie Cyrbezpieczeństwa. To też mnóstwo uwarunkowań prawno-technicznych, które dostępne są na stronach Ministerstwa Aktywów Państwowych – dodał Szyszko.
Następnym tematem, który poruszył było sprawowanie nadzoru i kontroli nad operatorami usług kluczowych. Co do zasady mamy dwie ustawy na podstawie, których bazujemy powiedział ekspert. Pierwsza z nich to prawo przedsiębiorców. Zdecydowana większość operatorów usług kluczowych (95 %) to prywatne firmy. Pozostały jednostki to np. instytuty badawcze, które będą kontrolowane na postawie ustawy o kontroli w administracji rządowej – dodał dyrektor Szyszko.
Ekspert mówił również o porozumieniu o współpracy w zakresie cyberbezpieczeństwa, które powstało jeszcze w Ministerstwie Energii. Chcieliśmy zainicjować takie porozumienie, aby wszystkie spółki, które docelowo będą operatorami usług kluczowych podpisały z ówczesnym Ministerstwem Energii jedno porozumienie na podstawie, którego można byłoby wymieniać informacje pomiędzy wszystkim spółkami, które podpiszą takie porozumienie. Ma to na celu zapobiec sytuacjom, że jedna spółka musi podpisywać 72 oddzielnych umów, tylko wystarczy podpisać jedną z ministerstwem i na tej zasadzie dzielić się danymi o zagrożeniach – powiedział dyrektor w Ministerstwie Aktywów Państwowych.
Jeżeli chodzi o szerokorozumianą współpracę w zakresie cyberbezpieczeństwa sektora energii to chcemy aby spółki mogły ze sobą wymieniać informacje o zidentyfikowanych zagrożeniach bezpieczeństwa dla systemów teleinformatycznych oraz tych odnoszących się do obsługi incydentów. Zamierzamy również podnosić świadomość użytkowników w obszarze cyberbezpieczeństwa przez wymianę wiedzy i doświadczeń potrzebnych do ustanowienia w przyszłości ISACa (Information Sharing and Analysis Center). Chcemy organizować regularne seminaria, spotkania i wspólne ćwiczenia, aby było coraz mniej incydentów w sektorze – zapowiedział Dyrektor Szyszko.
Ekspert podkreślił również znaczenie certyfikacji cyberbezpieczeństwa i tego jaki będzie to miało wpływ na przyszły rynek przemysłowy. Chodzi o to żeby w Polsce zbudować ramy certyfikacji, aby podmioty polskie mogły się certyfikować jeśli chodzi o cyberbezpieczeństwo w kraju, a nie za granicą. Na stronie Ministerstwa Aktywów Państwowych udostępniane są również dokumenty dotyczące praktyk realizacji różnych wymagań bezpieczeństwa, praktyk zarządzania ryzykiem czy macierzy zagrożenia, podatności, metod audytów bezpieczeństwa. W najbliższym czasie przygotowujemy również publikację dokumentu „Good Practices for Security” w języku polskim.
Ekspert podkreślił, że audyt musi być przeprowadzony przez operatora usług kluczowych na podstawie jednej z tych norm. Większość spółek będzie bazowała na normie ISO 270001. Jeśli chodzi o kwestie szczegółowe pojawiły się również zalecenia KE w zakresie cyberbezpieczeństwa. Wprawdzie są to miękkie regulacje, ale jednak mogą być przydatne w prawidłowym wykonaniu audytu.
Sektor energetyczny jest jednym z najbardziej newralgicznych i najbardziej narażonych na cyberataki obszarem ataków. Dlatego tak ważne jest podejmowanie działań mających na celu zwiększenie jego bezpieczeństwa.
Haertle: Każdego da się zhakować
Materiał sponsorowany