Wnioski i rekomendacje płynące z raportu „Bezpieczeństwo infrastruktury krytycznej wymiar teleinformatyczny” było tematem konferencji prasowej, która odbyła się w środę, 19 listopada w Rządowym Centrum Bezpieczeństwa.
Z raportu wynika, że funkcjonowanie najważniejszych z punktu widzenia bezpieczeństwa państwa obiektów, instalacji, usług oraz urządzeń jest coraz bardziej uzależnione od rozwiązań teleinformatycznych. Dlatego cyberataki stają się coraz poważniejszym zagrożeniem.
Raport został przygotowany przez Instytut Kościuszki we współpracy m.in. z Rządowym Centrum Bezpieczeństwa (partnerem merytorycznym) i firmą doradczą EY.

Infrastruktura krytyczna (IK) to kluczowy element bezpieczeństwa państwa i jego obywateli. W jej skład wchodzą obiekty służące zapewnieniu sprawnego funkcjonowania organów administracji publicznej oraz przedsiębiorstw oraz zapewniające ochronę zdrowia i życia obywateli.

Cyberbezpieczeństwo infrastruktury krytycznej to nie tylko konieczność wprowadzania rozwiązań technicznych, to przede wszystkim strategiczne wyzwanie dla państwa, wymagające podjęcia wielu kompleksowych działań i zaangażowania najważniejszych graczy – to jedna z kluczowych konkluzji raportu. Istotne jest także zbudowanie dobrze funkcjonującej, opartej na zaufaniu współpracy publiczno-prywatnej, jak również konieczność inwestycji finansowych w cały obszar infrastruktury krytycznej – uważa Joanna Świątkowska, dyrektor obszaru cyberbezpieczeństwa w Instytucie Kościuszki.

Infrastrukturę krytyczną można porównać do systemu naczyń połączonych. Gdy w jednym miejscu nastąpi wyciek, można go zastopować. Inaczej jest, jeśli takich wycieków w tym samym momencie powstaje więcej. Podobnie jest w infrastrukturze krytycznej, tamowanie zagrożenia jest łatwe, jeśli wiemy, gdzie wystąpiło naruszenie bezpieczeństwa i jeśli jest to zdarzenie jednorazowe – dodaje dr Aleksander Poniewierski, Partner Zarządzający Działem Doradztwa Informatycznego, Lider Grupy Doradztwa Informatycznego w Europe Środkowej i Południowo-Wschodniej EY.

Konsekwencje cyberataków na IK mogą być porównywalne ze stratami powstałymi w wyniku innych zdarzeń i niekoniecznie muszą dotyczyć tylko wymiaru teleinformatycznego. W 2007 roku cyberatak w Estonii na kilka dni sparaliżował kraj. Nie funkcjonowała sieć internetowa, przestały działać systemy banków, strony parlamentu czy mediów. Zawiódł też system zarządzający dostawami energii. Przez jakiś czas nie działał także telefon alarmowy 112. – Dlatego państwo, będąc odpowiedzialnym za bezpieczeństwo swoich obywateli, musi wspierać podmioty, które są właścicielami IK, aby zapewnić nie tylko funkcjonowanie infrastruktury, ale także ciągłość oferowanych przez nią usług tak, by ewentualne skutki zagrożeń, jakie niesie ona dla zdrowia i życia ludzkiego oraz dla środowiska naturalnego były minimalne – mówi Janusz Skulich, dyrektor Rządowego Centrum Bezpieczeństwa.

W Polsce identyfikację IK przeprowadzono w trzech etapach. Pierwszy obejmował wstępną selekcję obiektów, instalacji, urządzeń oraz usług na podstawie kryteriów systemowych. Następnie sprawdzono, na ile są one kluczowe dla bezpieczeństwa państwa i obywateli. W trzecim etapie oceniono potencjalne skutki zniszczenia lub zaprzestania funkcjonowania poszczególnych elementów infrastruktury. – Identyfikację obiektów i systemów kluczowych dla bezpieczeństwa państwa, w więc infrastruktury krytycznej w Polsce oraz potencjalne skutki zakłócenia jej funkcjonowania przygotowało Rządowe Centrum Bezpieczeństwa we współpracy z ministrami odpowiedzialnymi za poszczególne systemy IK – wyjaśnia dyrektor Skulich.

Współpraca państwa i podmiotów prywatnych

Coraz większa część infrastruktury krytycznej znajduje się w prywatnych rękach, a także w zarządzaniu globalnych koncernów. Wzrastająca rola podmiotów prywatnych powinna iść w parze z budowaniem skutecznych mechanizmów współpracy z podmiotami publicznymi m.in. przez wymianę informacji na temat zagrożeń, dobrych praktyk czy rekomendacji. – Konieczne jest uświadomienie przedstawicielom zarządów firm, jak powszechnym i kosztownym problemem są cyberzagrożenia – wyjaśnia dr Aleksander Poniewierski.

Sprawne funkcjonowanie infrastruktury krytycznej, jak wcześniej podkreślano, zależy w znacznym stopniu od współpracy sektora prywatnego i administracji publicznej. Zapewnieniem tej współpracy, budowaniem relacji administracji publicznej z przedsiębiorcami zajęło Rządowe Centrum Bezpieczeństwa – powiedział Janusz Skulich, dyrektor RCB. W Centrum został przygotowany Narodowy Program Ochrony Infrastruktury Krytycznej (NPOIK) przyjęty 26 marca 2013 roku przez Radę Ministrów. Jego celem jest stworzenie warunków do poprawy bezpieczeństwa infrastruktury krytycznej w Polsce – dodał dyrektor Skulich.

Państwo musi zachęcać przedsiębiorców do współpracy i rzetelnego wykonywania zadań związanych z bezpieczeństwem. Takimi sposobami mogą być np.: ulgi podatkowe, granty na innowacyjne działania obejmujące bezpieczeństwo infrastruktury, ulgi ubezpieczeniowe, certyfikowanie firm czy kredyty przeznaczane na wzmocnienie bezpieczeństwa – twierdzi Joanna Świątkowska.
Jednocześnie Unia Europejska pracuje nad dyrektywą, która będzie wymagała od właścicieli infrastruktury krytycznej wdrożenia rozwiązań zwiększających bezpieczeństwo, a także raportowanie incydentów naruszających bezpieczeństwo informacji i sieci.

Systemy teleinformatyczne celem ataków hakerów

Są dwa rodzaje systemów – informatyczne (IT) oraz sterowania przemysłowego (OT – ang. Operational Technology). Ta część infrastruktury krytycznej, która dotyczy usług dla obywateli korzysta przede wszystkim z rozwiązań IT. Natomiast wszystkie procesy technologiczne wykorzystują systemy sterowania przemysłowego. I to właśnie systemy OT stają się coraz częstszą ofiarą cyberataków.
Największym zagrożeniem jest brak edukacji oraz świadomości, co bezpośrednio wpływa na brak zainteresowania tematem, brak odpowiednich funduszy na zabezpieczenie IK czy brak zrozumienia powiązań pomiędzy poszczególnymi elementami infrastruktury – uważa dr Aleksander Poniewierski z EY.

Trzy kroki do zwiększenia bezpieczeństwa

Autorzy raportu „Bezpieczeństwo infrastruktury krytycznej wymiar teleinformatyczny” nie mają wątpliwości, że całkowite zapewnienie bezpieczeństwa infrastruktury krytycznej nie jest możliwe. Ich zdaniem jednak, na pewno można je polepszyć. Po pierwsze, konieczne jest odpowiednie zabezpieczenie sprzętowe, czyli zabezpieczenie serwerów i stacji roboczych, wraz z wykorzystywanymi systemami operacyjnymi. Obejmuje to także fizyczne zabezpieczenie infrastruktury. Kolejnym krokiem jest stworzenie odpowiedniej struktury organizacyjnej osób odpowiedzialnych w danej organizacji za bezpieczeństwo. Na końcu stworzenie i wdrożenie wewnętrznych polityk i procedur opisujących zasady działania w środowisku automatyki przemysłowej.

Rekomendacje dla Polski

Polska powinna rozważyć adaptację światowych standardów bezpieczeństwa systemów przemysłowych do warunków lokalnych, a następnie rozpocząć dyskusję nad wdrożeniem wymagań regulacyjnych i kontrolnych nałożonych na dostawców IT oraz OT. Systemy te powinny podlegać regularnym przeglądom bezpieczeństwa. Ponadto konieczne jest stworzenie katalogu cyberzagrożeń i powołanie odpowiedniego Krajowego Centrum Kompetencji. Nie bez znaczenia jest także kampania edukacyjna, w tym także specjalistyczna edukacja na poziomie akademickim, a także ewentualne uzupełnienie ustawowej definicji infrastruktury krytycznej tak, aby było jasne, że obejmuje ona także infrastrukturę informacyjną.

***

Raport Instytutu Kościuszki „Bezpieczeństwo infrastruktury krytycznej wymiar teleinformatyczny” powstał przy współpracy z Rządowym Centrum Bezpieczeństwa, firmą doradczą EY, kancelarią prawną WKB, firmą Matic, a także ekspertami Fundacji Cyberprzestrzeń i Politechniki Krakowskiej i Wojskowej Akademii Technicznej. Głównym celem opracowania jest dostarczenie podmiotom zaangażowanym w ochronę infrastruktury krytycznej rekomendacji przyczyniających się do zwiększenia poziomu jej bezpieczeństwa. Raport powstał w ramach realizowanego przez Instytut Kościuszki projektu Cel: Cyberbezpieczeństwo.