Reklama

Tylko sektorowy CERT uratuje energetykę przed cyberatakiem

Fot. Alexander Khodarev/freeimages.com
Fot. Alexander Khodarev/freeimages.com

Polskie systemy energetyczne prawie na pewno zostały już skompromitowane przez hakerów. Podobnie wygląda sytuacja w sojuszniczych państwach. Jedynym ratunkiem przed nagłym atakiem i np. całkowitą utratą mocy jest utworzenie branżowej jednostki CERT - mówią eksperci od cyberbezpieczeństwa. Ściślejsza współpraca czeka wszystkie gałęzie krytycznej infrastruktury. Bez odpowiedzi pozostaje jednak pytanie: kto za to wszystko zapłaci?

O cyberbezpieczeństwie w energetyce i szerzej – w krytycznej infrastrukturze – dyskutowali  uczestnicy spotkania (Cyber) Securing zorganizowanego przez Fundację Pułaskiego. W panelach dyskusyjnych brali udział młodzi eksperci z krajów grupy Wyszechradzkiej. Na pytanie: Czy firmy energetyczne w danym kraju potrzebują sektorowego CERT-u padła zdecydowana odpowiedź: Jak najbardziej. To właśnie wspólny CERT dla całej branży ma być odpowiedzią na rosnące zagrożenia w cyberprzestrzeni.

- Sektorowy CERT to względnie nowy koncept, bo do tej pory mieliśmy zazwyczaj od czynienia z CERT-ami organizowanymi w ramach jednej instytucji lub firmy. Zdecydowanie jednak w branży energetycznej należy iść w tę stronę – tłumaczy Mirosław Maj, prezes fundacji Bezpieczna Cyberprzestrzeń.

Nie ma bezpiecznych systemów

Podaje przykłady dużych ataków cybernetycznych w ostatnich latach: Takich jak słynny Stuxnet, który sparaliżował systemy irańskiego programu nuklearnego. Uporanie się z nim zajęło Irańczykom lata. Paradoksalnie wykorzystali oni ten czas na wyszkolenie własnych ekspertów od cybernetyki, stając się tym samym jedną z największych cybernetycznych potęg na świecie. Zachodnie państwa nie są jednak wolne od podobnych zagrożeń. Przykładem jest atak grupy hakerów DragonFly, którzy umieścili wirusa na komputerach firm energetycznych w Europie i Ameryce. W Polsce dokonano aż 5 proc. ze wszystkich ataków Dragonfly. Ukraiński przemysł energetyczny zainfekował zaś trojan Black Energy, który spowodował m.in. wyłączenie dostaw prądu dla połowy populacji regionu Iwano- Frankowska.

Przykłady można mnożyć, a każdy pokazuje dobitnie, że sektor energetyczny jest narażony na ataki. To niepopularne stwierdzenie w branży, która lubi podkreślać, że jej systemy są zupełnie bezpieczne, bo działają wewnętrznie i są odcięte. Czyżby? Przykład Stuxnetu, czyli podrzucenie pen- drive’a nieświadomym pracownikom łatwo obala ten mit. Mirosław Maj tłumaczy, że systemów całkowicie odciętych od świata prawie nie ma. Przecież nawet elektrownie muszą np. aktualizować swoje oprogramowanie. – Nawet jeśli system przez większość czasu jest offline nie oznacza to, że jest bezpieczny. To właśnie ten krótki moment, kiedy sieć będzie podpięta do Internetu, jest krytyczny. Chwila w zupełności wystarczy hakerom – dowodzi.

Energetyka jest tym bardziej podatna na cyberatak, że właściwie niemożliwe jest w tej branży wyłączenie systemów i przeprowadzenie ich dokładnego badania. Istotą branży jest bowiem zapewnienie ciągłości dostaw - a to z kolei wyklucza przerwanie pracy nawet na chwilę.

Mogę się założyć, że polskie systemy energetyczne - i nie tylko polskie - już zostały skompromitowane

Mirosław Maj, Fundacja Bezpieczna Cyberprzestrzeń

Dlaczego sektorowy CERT miałby być lekarstwem na zagrożenia w sieci? Bo firmy działające na własną rękę będą potrzebowały znacznie więcej czasu i zasobów, by uporać się z poważnym problemem. Współpraca będzie zarazem tańsza, jak i efektywniejsza. Sponsorowanie takiego przedsięwzięcia to osobna kwestia. Oczywistym jest, że Państwo również ma interes w utrzymaniu takiej jednostki. Łatwo sobie wyobrazić jakąś formę współpracy biznesu z administracją państwową w celu finansowania takiego przedsięwzięcia. Koszty nie będą małe. Według prezesa fundacji Bezpieczna Cyberprzestrzeń minimalna liczebność takiego zespołu dla krajów wielkości Polski to 20 – 30 osób. Taka grupa będzie jednak w stanie głównie reagować na bieżące zagrożenia. Jeżeli dodamy do tego analizę zagrożeń, prowadzenie laboratorium itp. ta liczba rośnie do 50 – 60 pracowników.

Sektorowy CERT – oprócz odpowiadania na incydenty– powinien też m.in. prowadzić laboratorium, gdzie badane byłyby nowe formy mallware,  przeprowadzać pen testy, prowadzić symulacje ataków, a także prowadzić wywiad badający nowe zagrożenia  - zarówno w Internecie, jak i Dark Necie. Co więcej, oprócz jednego CERT-u dla każdego sektora firmy powinny utrzymywać też własne CERT-y, które podzielą się zakresem obowiązków z nadrzędną jednostką. Zdaniem Mirosława Maja taka organizacja to paląca konieczność. – Nie wiem tego na pewno, ale mogę się założyć, że polskie systemy energetyczne - i nie tylko polskie - już zostały skompromitowane – twierdzi prezes fundacji Bezpieczna Cyberprzestrzeń.

Kto za to zapłaci?

Energetyka nie jest zresztą wyjątkiem – podobne jednostki CERT można sobie wyobrazić w innych elementach infrastruktury krytycznej, np. w transporcie.

Dr Joanna Kulesza z Uniwersytetu Łódzkiego, ekspert Rady Europy w zakresie zarządzania Internetem i cyberbezpieczeństwa idzie jeszcze dalej. Postuluje współpracę na styku rządu, biznesu i społeczeństwa w celu ochrony infrastruktury krytycznej. Będzie to częściowo wymuszać unijna dyrektywa NIS, która bardzo szeroko definiuje infrastrukturę krytyczną. W jej skład wchodzić będzie nie tylko sektor energetyki, transportu, dostaw wody ale też np. sektor zdrowia, usług bankowych i finansowych czy w końcu dostawy Internetu. W tym ostatnim wypadku mówimy o szerokiej współpracy między biznesem (właścicielami infrastruktury, czyli firmami telekomunikacyjnymi), państwowym – odpowiedzialnym za regulacje prawne, ale też podmiotem prywatnym – użytkownikami Internetu.

Co więcej, zgodnie z dyrektywą NIS wzajemna współpraca i wymiana informacji dotyczy też państw członkowskich Unii. Ciężko sobie wyobrazić, by chętnie dzieliły się one informacjami  o zabezpieczeniach swojej krytycznej infrastruktury. Ale i to nie jest największym problemem. Krytycznym pytaniem jest: Kto zapłaci za wdrożenie dyrektywy NIS w obszarze krytycznej Infrastruktury? Nie pali się do tego ani rząd, ani biznes. Znalezienie źródeł finansowania może być największym wyzwaniem przed wdrożeniem nowej unijnej dyrektywy.

Reklama

Operacje Wojska Polskiego. Żołnierze do zadań dużej wagi

Materiał sponsorowany

Komentarze

    Reklama