Słowacja wystawia się na atak. A Polska?

Cyfryzacja oraz galopujący postęp technologiczny sprawiły, że cyberataki stały się zjawiskiem powszechnym. To zagrożenie, z którym możemy spotkać się w każdej chwili, dlatego tak ważne jest stosowanie podstawowych zasad cyberbezpieczeństwa i cyberhigieny. 

Jednam musimy pamiętać, że wrogie działania w cyberprzestrzeni mogą być częścią operacji w ramach konfliktu czy wojny. Wówczas ryzyko wzrasta i dotyczy w dużej mierze elementów infrastruktury krytycznej (IK). 

To szczególnie niebezpieczne, ponieważ może mieć realny wpływ na m.in. funkcjonowanie państwa (np. wywołanie chaosu). Wystarczy wyobrazić sobie sytuację, gdy w wyniku cyberataku dochodzi do zakłócenia sieci energetycznej i blackoutu. A tego typu incydenty miały miejsce już w przeszłości. Wystarczy wspomnieć o Ukrainie w 2015 r. 

O zagadnieniach związanych z cyberochroną infrastruktury krytycznej aktywnie dyskutowano podczas Forum Ekonomicznego w Karpaczu. Przedstawiciele biznesu oraz administracji wymienili się swoimi doświadczeniami, opiniami i zapoczątkowali debatę na temat możliwości wzmocnienia cyberbezpieczeństwa krytycznych systemów.

Polska rzeczywistość

W Polsce istotną rolę we wspomnianym obszarze odgrywają dwie regulacje: ustawa o Krajowym Systemie Cyberbezpieczeństwa (KSC) oraz ustawa o zarządzaniu kryzysowym. Łukasz Wojewoda, dyrektor Departamentu Cyberbezpieczeństwa w kancelarii premiera, uczestniczył w opracowywaniu przepisów dot. KSC. 

W trakcie dyskusji podkreślił, że w podczas prac dyskutowano nad m.in. systemowym podejściem do wyłaniania podmiotów, które byłyby zaliczane do operatorów kluczowej infrastruktury (wszystko musiało być zgodne z ustawą o zarządzaniu kryzysowym).

„W naszym kraju operator usługi kluczowej (ustawa o KSC – red.) i operator infrastruktury krytycznej (ustawa o zarządzaniu kryzysowym – red.), to dwa odrębne pojęcia” – wskazał przedstawiciel KPRM. 

Każdy z nich jest m. in. wyłaniany na podstawie innych przesłanek i posiada inny organ sprawujący nim kontrolę. 

Szymon Ruman, wiceprezes zarządu EXATEL, jednoznacznie podkreślił, że zarówno skuteczne cyberataki, jak i ataki fizyczne na obiekty czy podmioty zaliczane do infrastruktury krytycznej, prowadzą do utrudnienia lub całkowitego zakłócenia funkcjonowania państwa w jakimś obszarze. 

„My jako EXATEL działamy, aby chronić podmioty i infrastrukturę” – podkreślił wiceprezes spółki. 

Jego zdaniem nie można zapominać o tym, że IK występuje także na niższych szczeblach. Obiekty tego typu mogą być nadzorowane przez np. samorządy lokalne. Dlatego też należy dbać o podnoszenie świadomości władz, operatorów i użytkowników na każdym poziomie – nie tylko tych największych.

Czekamy na sankcje

W odniesieniu do KSC Łukasz Wojewoda wskazał, że istnieją organy właściwe do nadzoru nad operatorami, którzy muszą wprowadzić i dbać o „odpowiedni poziom bezpieczeństwa”. 

„Mówimy o ochronie operatorów, a nie zabezpieczeniu infrastruktury” – wskazał. 

Reprezentant kancelarii premiera dodał, że w trakcie rozmów z firmami zajmującymi się sektorem ICT i infrastrukturą krytyczną widać, jak trudno jest osiągnąć konsensus w sprawie jednolitego, spójnego środowiska cyberbezpieczeństwa. 

„Wszystko dlatego, że każdy patrzy z własnego punktu widzenia. Przykładowo: >>Ja odpowiadam tylko za przesył, a nie dystrybucję detaliczną, i na tym się skupiam<<” – wyjaśnił Łukasz Wojewoda. 

Jego zdaniem warto rozważyć zmianę podejścia skoncentrowanego na operatorach, na model skupiony na zabezpieczeniu całego systemu. „Być może teraz jest odpowiedni moment” – stwierdził. 

Odnosząc się do nowelizacji ustawy o KSC, Szymon Ruman z EXATEL powiedział wprost: „czekamy na te przepisy, ponieważ wprowadzą nowe poziomy zabezpieczeń oraz sankcje za nieprzestrzeganie obowiązków w tym obszarze". 

Wiceprezes spółki tłumaczył, że jeśli w prawie przewidziane są obowiązki bez uwzględnienia sankcji, to pojawia się pokusa wśród firm i instytucji, aby „iść po najmniejszej linii oporu”. Jego zdaniem wprowadzenie kar zadziała mobilizująco. 

W obszarze infrastruktury krytycznej nie można kierować się myśleniem, że „jakoś to będzie”; „a nóż mi się uda”. Straty i skutki będące efektem np. cyberataku na tego typu obiekt mogą być ogromne i w obecnych czasach trudne do przewidzenia.
Szymon Ruman, wiceprezes zarządu EXATEL

Słowacja stąpa po kruchym lodzie

„Na Słowacji mamy podobną sytuację co w Polsce i innych państwach regionu” – zaznaczył Matej Salmik, dyrektor ds. współpracy międzynarodowej w Narodowym Urzędzie ds. Bezpieczeństwa Słowacji. Tymi słowami odniósł się do uregulowań prawnych obowiązujących w jego ojczyźnie. 

„W słowackim prawie przepisy dotyczące infrastruktury krytycznej dotyczą bardziej fizycznych aspektów, co odpowiada czasom lat 90. XX wieku” – stwierdził. 

W trakcie dyskusji reprezentant naszego południowego sąsiada skrytykował podejście podmiotów odpowiedzialnych za IK i władze. Podkreślił, że według wyników przeprowadzonych audytów w największych firmach z np. sektora ciepłowniczego sytuacja dotycząca cyberbezpieczeństwa jest bardzo zła. 

„Infrastruktura krytyczna nie jest przygotowana na cyberzagrożenia” – powiedział otwarcie Matej Salmik. „To kwestia czasu, kiedy doświadczymy poważnego cyberataku, który dotknie każdego obywatela” – dodał. 

Jak wyjaśnił, niektóre sektory są właściwie zabezpieczone. Wskazał tu na np. banki. Jednak w przypadku m.in. administracji czy podmiotów odpowiedzialnych za dostarczenie energii cieplnej jest zupełnie odwrotnie. 

Musimy być gotowi

Przed 24 lutego br. pojawiały się twierdzenia, że kolejne wojny będą rozgrywały się w cyberprzestrzeni. Mówiło się wręcz o cyberwojnach, które miały w pewien sposób zastąpić konwencjonalne działania. Opisywano wręcz scenariusze potencjalnych cyberataków wymierzonych w infrastrukturę krytyczną, prowadzących do destabilizacji państwa, chaosu a nawet fizycznych zniszczeń. 

Inwazja Rosji na Ukrainę pokazała jednak, że nie do końca przewidywania ekspertów się sprawdziły. Tradycyjne operacje wojskowe wiodą prym. Konwencjonalne rozwiązania nadają ton temu konfliktowi.

Nie oznacza to jednak, że porzucono cyberprzestrzeń jako domenę prowadzenia działań. Widzimy m.in. kampanie phishingowe, DDoS, rozsyłanie złośliwego oprogramowania. „To narzędzia tej wojny” – zaznaczył Łukasz Wojewoda z KPRM w trakcie Forum Ekonomicznego w Karpaczu.

Wielu z nas przechodzi obojętnie wokół tego typu działań. Pojawiają się myśli: „przecież to nic takiego, że na jakiś czas dana strona jest niedostępna”. 

Do zmiany zdania dochodzi najczęściej, gdy doświadczymy skutków na własnym przykładzie. Bo co w sytuacji, gdy np. przez cyberatak na nasz bank nie będziemy mogli zapłacić za zakupy w sklepie? „Wtedy mówimy o incydencie o znaczeniu krytycznym z perspektywy danego użytkownika” – podkreślił Łukasz Wojewoda. 

Szymon Ruman przytoczył tutaj przekład jednego z incydentów. Ze względu na tajemnicę zawodową nie mógł zdradzać szczegółów, wskazał jednak, że po inwazji Rosji na Ukrainę doszło do poważnego ataku DDoS na jeden z banków. Wrogim aktorom udało się sparaliżować usługi instytucji na pewien czas, pomimo że posiadała dobrej jakości zabezpieczenia. 

EXATEL monitoruje ruch w 1/3 polskiej sieci oraz współpracuje z zagranicznymi operatorami i dzięki temu jest w stanie wykryć nadchodzące incydent na wczesnym etapie. 

Analizy prowadzone przez spółkę pokazują, że intensywność cyberataków w ostatnim czasie wzrosła i ma to związek z wojną w Ukrainie. 

„W Polsce radzimy sobie dość dobrze z cyberzagrożeniami, jednak musimy być gotowi do odpierania bardziej destrukcyjnych cyberataków” – ocenił Szymon Ruman. 

Odporność w praktyce

Rosyjska agresja wiąże się z regularnym fizycznym zniszczeniem ukraińskiej infrastruktury. Specjaliści oraz operatorzy robią wszystko, aby zapewnić ciągłość działania usług, nawet w najtrudniej dostępnych miejscach. Internet doprowadzany jest do m.in. bunkrów i schronów. 

„Ukraina, pomimo ogromnych strat w infrastrukturze funkcjonuje. To pokazuje, że da się zbudować odporność na zadowalającym poziomie” – stwierdził Łukasz Wojewoda z kancelarii premiera.  

Wojna za naszą wschodnią granicą jest wielkim wyzwaniem dla społeczności międzynarodowej. 

Biorący również udział w dyskusji Karoly Dan, ambasador Węgier w Stałej Misji przy OBWE, ONZ i innych organizacjach międzynarodowych, stwierdził, że państwa są zgodne co do obowiązujących norm i je popierają, lecz nie przekłada się to na rzeczywistość.

„W praktyce mechanizmy te nie działają. Wystarczy wspomnieć o zasadzie odpowiedzialnego działania państw” – wskazał ambasador. 

Jak budować (cyber)odporność?

Ryzyko związane z aktywnością wrogich aktorów w cyberprzestrzeni nie maleje, a w czasie konfliktu lub też wojny gwałtownie wzrasta. Z tego względu należy budować silne partnerstwa i postawić na współpracę. Dzięki temu możliwe jest osiągnięcie wyższego poziomu cyberodporności. 

„Współpraca jest niezbędna” – ocenił Łukasz Wojewoda. Jak dodał, bez budowania zaufania „nie jesteśmy w stanie osiągnąć poziomu akceptowalnej odporności". 

Jedną z form partnerstwa jest wymiana informacji (o np. cyberatakach) i doświadczeń. Jednak aby była możliwa, konieczne jest posiadanie wysokiego poziomu komunikacji na poziomie krajowym i międzynarodowym. 

„Jeśli będziemy posiadać do siebie zaufanie na poziomie krajowym (między sektorem prywatnym, publicznym, akademickim – red.), będziemy w stanie osiągnąć wysoki poziom zaufania na szczeblu międzynarodowym” – ocenił Matej Samik ze słowackiego Narodowego Urzędu ds. Bezpieczeństwa. 

„Dla mnie cyberatak jest jak atak czołgu, jeśli wymierzony jest w infrastrukturę krytyczną” – dodał. Jego zdaniem „nasza odpowiedź na wrogie cyberoperacje powinna być silniejsza, bardziej stanowcza i szybsza”. 

Ekspert podkreśla, że w ramach np. NATO Zachód posiada odpowiednie do tego narzędzia, lecz ich nie używa, ponieważ obawia się potencjalnych skutków. „Uważam jednak, że naprawdę powinniśmy zacząć rozważać taką opcję" – zaapelował w trakcie Forum Ekonomicznego Matej Salmik. 

Swoje zdanie wyraził też Karoly Dan. Ambasador podkreślił, że „jeśli chcesz stać się odporny jako państwo, musisz być wydajnym regulatorem; zrozumieć, że nie możesz działać samodzielnie; współpracować z sektorem prywatnym i rozwijać kooperację międzysektorową”. 

Ponadto, zwrócił uwagę na konieczność przygotowania obywateli na ewentualny kryzys. Wyjaśnił, że chodzi tu o wpajanie dobrych nawyków, zasad, wzorców zachowań, a w momencie próby, społeczeństwo wiedziało, co robić.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].