Tylko sektorowy CERT uratuje energetykę przed cyberatakiem

O cyberbezpieczeństwie w energetyce i szerzej – w krytycznej infrastrukturze – dyskutowali  uczestnicy spotkania (Cyber) Securing zorganizowanego przez Fundację Pułaskiego. W panelach dyskusyjnych brali udział młodzi eksperci z krajów grupy Wyszechradzkiej. Na pytanie: Czy firmy energetyczne w danym kraju potrzebują sektorowego CERT-u padła zdecydowana odpowiedź: Jak najbardziej. To właśnie wspólny CERT dla całej branży ma być odpowiedzią na rosnące zagrożenia w cyberprzestrzeni.

- Sektorowy CERT to względnie nowy koncept, bo do tej pory mieliśmy zazwyczaj od czynienia z CERT-ami organizowanymi w ramach jednej instytucji lub firmy. Zdecydowanie jednak w branży energetycznej należy iść w tę stronę – tłumaczy Mirosław Maj, prezes fundacji Bezpieczna Cyberprzestrzeń.

Nie ma bezpiecznych systemów

Podaje przykłady dużych ataków cybernetycznych w ostatnich latach: Takich jak słynny Stuxnet, który sparaliżował systemy irańskiego programu nuklearnego. Uporanie się z nim zajęło Irańczykom lata. Paradoksalnie wykorzystali oni ten czas na wyszkolenie własnych ekspertów od cybernetyki, stając się tym samym jedną z największych cybernetycznych potęg na świecie. Zachodnie państwa nie są jednak wolne od podobnych zagrożeń. Przykładem jest atak grupy hakerów DragonFly, którzy umieścili wirusa na komputerach firm energetycznych w Europie i Ameryce. W Polsce dokonano aż 5 proc. ze wszystkich ataków Dragonfly. Ukraiński przemysł energetyczny zainfekował zaś trojan Black Energy, który spowodował m.in. wyłączenie dostaw prądu dla połowy populacji regionu Iwano- Frankowska.

Przykłady można mnożyć, a każdy pokazuje dobitnie, że sektor energetyczny jest narażony na ataki. To niepopularne stwierdzenie w branży, która lubi podkreślać, że jej systemy są zupełnie bezpieczne, bo działają wewnętrznie i są odcięte. Czyżby? Przykład Stuxnetu, czyli podrzucenie pen- drive’a nieświadomym pracownikom łatwo obala ten mit. Mirosław Maj tłumaczy, że systemów całkowicie odciętych od świata prawie nie ma. Przecież nawet elektrownie muszą np. aktualizować swoje oprogramowanie. – Nawet jeśli system przez większość czasu jest offline nie oznacza to, że jest bezpieczny. To właśnie ten krótki moment, kiedy sieć będzie podpięta do Internetu, jest krytyczny. Chwila w zupełności wystarczy hakerom – dowodzi.

Energetyka jest tym bardziej podatna na cyberatak, że właściwie niemożliwe jest w tej branży wyłączenie systemów i przeprowadzenie ich dokładnego badania. Istotą branży jest bowiem zapewnienie ciągłości dostaw - a to z kolei wyklucza przerwanie pracy nawet na chwilę.

Mogę się założyć, że polskie systemy energetyczne - i nie tylko polskie - już zostały skompromitowane

Dlaczego sektorowy CERT miałby być lekarstwem na zagrożenia w sieci? Bo firmy działające na własną rękę będą potrzebowały znacznie więcej czasu i zasobów, by uporać się z poważnym problemem. Współpraca będzie zarazem tańsza, jak i efektywniejsza. Sponsorowanie takiego przedsięwzięcia to osobna kwestia. Oczywistym jest, że Państwo również ma interes w utrzymaniu takiej jednostki. Łatwo sobie wyobrazić jakąś formę współpracy biznesu z administracją państwową w celu finansowania takiego przedsięwzięcia. Koszty nie będą małe. Według prezesa fundacji Bezpieczna Cyberprzestrzeń minimalna liczebność takiego zespołu dla krajów wielkości Polski to 20 – 30 osób. Taka grupa będzie jednak w stanie głównie reagować na bieżące zagrożenia. Jeżeli dodamy do tego analizę zagrożeń, prowadzenie laboratorium itp. ta liczba rośnie do 50 – 60 pracowników.

Sektorowy CERT – oprócz odpowiadania na incydenty– powinien też m.in. prowadzić laboratorium, gdzie badane byłyby nowe formy mallware,  przeprowadzać pen testy, prowadzić symulacje ataków, a także prowadzić wywiad badający nowe zagrożenia  - zarówno w Internecie, jak i Dark Necie. Co więcej, oprócz jednego CERT-u dla każdego sektora firmy powinny utrzymywać też własne CERT-y, które podzielą się zakresem obowiązków z nadrzędną jednostką. Zdaniem Mirosława Maja taka organizacja to paląca konieczność. – Nie wiem tego na pewno, ale mogę się założyć, że polskie systemy energetyczne - i nie tylko polskie - już zostały skompromitowane – twierdzi prezes fundacji Bezpieczna Cyberprzestrzeń.

Kto za to zapłaci?

Energetyka nie jest zresztą wyjątkiem – podobne jednostki CERT można sobie wyobrazić w innych elementach infrastruktury krytycznej, np. w transporcie.

Dr Joanna Kulesza z Uniwersytetu Łódzkiego, ekspert Rady Europy w zakresie zarządzania Internetem i cyberbezpieczeństwa idzie jeszcze dalej. Postuluje współpracę na styku rządu, biznesu i społeczeństwa w celu ochrony infrastruktury krytycznej. Będzie to częściowo wymuszać unijna dyrektywa NIS, która bardzo szeroko definiuje infrastrukturę krytyczną. W jej skład wchodzić będzie nie tylko sektor energetyki, transportu, dostaw wody ale też np. sektor zdrowia, usług bankowych i finansowych czy w końcu dostawy Internetu. W tym ostatnim wypadku mówimy o szerokiej współpracy między biznesem (właścicielami infrastruktury, czyli firmami telekomunikacyjnymi), państwowym – odpowiedzialnym za regulacje prawne, ale też podmiotem prywatnym – użytkownikami Internetu.

Co więcej, zgodnie z dyrektywą NIS wzajemna współpraca i wymiana informacji dotyczy też państw członkowskich Unii. Ciężko sobie wyobrazić, by chętnie dzieliły się one informacjami  o zabezpieczeniach swojej krytycznej infrastruktury. Ale i to nie jest największym problemem. Krytycznym pytaniem jest: Kto zapłaci za wdrożenie dyrektywy NIS w obszarze krytycznej Infrastruktury? Nie pali się do tego ani rząd, ani biznes. Znalezienie źródeł finansowania może być największym wyzwaniem przed wdrożeniem nowej unijnej dyrektywy.