Zespół CERT dla sektora elektroenergetycznego – działania dla realnej ochrony infrastruktury krytycznej w Polsce i Europie – Rządowe Centrum Bezpieczeństwa

Jarosław Sordyl – Polskie Sieci Elektroenergetyczne S.A.

Rozwój zagrożeń dla systemów teleinformatycznych przybrał w ostatnich latach poziom na niespotykaną dotąd skalę. Codziennie napływają informacje o zagrożeniach, podatnościach na ataki oraz działaniach cyberprzestępców, które skutkują wymiernymi konsekwencjami dla bezpieczeństwa, w tym nierzadko międzynarodowego. Wywołane cyberatakami na całym świecie straty liczone są już w miliardach dolarów rocznie. Celem cyberprzestępców pozostają zarówno osoby fizyczne, przedsiębiorcy oraz urzędy, jak i wielkie międzynarodowe korporacje, bez względu na branżę czy miejsce prowadzenia działalności. Dla przykładu warto tu wspomnieć zdarzenia z Ukrainy, gdzie w 2015 i 2016 roku, motywowani politycznie i sponsorowani przez obcy rząd hakerzy dokonali ataku na jeden z systemów energetycznych, doprowadzając do jego wyłączenia na wiele dni. Ta sytuacja pokazuje, że cyberzagrożenia są realne i mogą mieć bezpośredni wpływ nawet na systemy krytyczne, a jedną z istotnych przyczyn ich powodzenia jest brak struktur zarządzających, monitorujących i reagujących na incydenty komputerowe.

Analiza zdarzeń dotyczących cyberbezpieczeństwa pokazuje, że utworzenie w strukturach, istotnych dla państwa i biznesu, organizacji Zespołów Reagowania na Incydenty Komputerowe – CERT (Computer Emergency Responce Team) jest nieodzownym elementem podnoszącym poziom bezpieczeństwa oraz przeciwdziałania cyberzdarzeniom.

Celem zespołów CERT jest reagowanie na zagrożenia dla systemów komputerowych, ich analiza, uzyskanie informacji o rodzaju oraz po źródłach zagrożenia, tworzenie rozwiązań i rekomendacji mających na celu ich uniknięcie lub wyeliminowanie w przyszłości, a także prowadzenie akcji uświadamiających użytkowników o istniejących zagrożeniach i ich skutkach. Zadania te wynikają m.in. z zaleceń wskazanych przez Agencję Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji – ENISA [1].

Ze względu na powagę zagrożeń w cyberprzestrzeni, w grudniu 2016 roku w PSE, decyzją Zarządu Spółki powołano jednostkę – CERT PSE. Celem jej utworzenia jest zwiększenie bezpieczeństwa teleinformatycznego organizacji w zakresie reagowania na zdarzenia i incydenty teleinformatyczne.

CERT PSE realizuje obecnie następujące działania:

rejestruje i obsługuje zdarzenia naruszające bezpieczeństwo sieci,
alarmuje użytkowników o wystąpieniu dla nich bezpośrednich zagrożeń,
prowadzi działania zwiększające świadomość bezpieczeństwa teleinformatycznego,
prowadzi badania i przygotowuje raporty dotyczące bezpieczeństwa korzystania z zasobów Internetu,
niezależnie testuje produkty i rozwiązania z dziedziny bezpieczeństwa teleinformatycznego.

W CERT PSE zwraca się szczególną uwagę na wymianę informacji oraz współpracę pomiędzy podobnymi zespołami, powołanymi w innych organizacjach, w trakcie realizacji powierzonych zadań. Niejednokrotnie w przypadku ataków cybernetycznych o skuteczności podejmowanych działań decyduje to, kiedy informację o ataku otrzymał zespół bezpieczeństwa, który mógł podjąć działania zapobiegające temu atakowi. Dlatego powstał pomysł utworzenia sektorowego zespołu CERT realizującego typowe usługi zespołu bezpieczeństwa dla wskazanej grupy organizacji.

W ślad za tym, w marcu 2017 roku GK PSE i Grupa ENERGA podpisały porozumienie o współpracy zespołów CERT PSE i CERT ENERGA. Celem współpracy zespołów jest przede wszystkim wymiana informacji o zagrożeniach i podatnościach na ataki mogących mieć bezpośredni wpływ na bezpieczne funkcjonowanie systemów IT w obu organizacjach.

Obecnie zespół CERT PSE podejmuje dalsze działania mające na celu zwiększenie liczby zespołów funkcjonujących w ramach wspólnej platformy wymiany informacji w sektorze energetycznym. Założeniem PSE jest stworzenie możliwie jak najsilniejszej i najliczniejszej platformy współpracy, w oparciu o już funkcjonujące zespoły oraz zapewnienie szybkiej i skutecznej wymiany informacji na wypadek zdarzeń i cyberataków jakie do tej pory były notowane w innych krajach.

CERT PSE podejmuje także działania na rzecz współpracy w sektorze energetycznym w wymiarze międzynarodowym. Pierwsze porozumienie o współpracy jest obecnie negocjowane z norweskim KraftCERT, funkcjonującym w sektorze energetycznym.

W celu pokazania partnerom PSE, że osiągnięto dojrzałość organizacyjną oraz funkcjonalną do wykonywania i realizacji zadań, niezależnie od skali i obszaru objętego współpracą, CERT PSE zakończył proces akredytacji oraz w efekcie rozpoczął proces certyfikacji swojej struktury funkcjonowania
w organizacji Trusted Introducer [2].

[1] https://www.enisa.europa.eu/publications/csirt-setting-up-guide-in-polish

[2] Trusted Introducer to inicjatywa mająca na celu wsparcie zespołów reagowania na incydenty bezpieczeństwa z Europy i sąsiednich krajów. Została zainicjowana w 2000 roku przez TF-CSIRT, największą europejską organizację promującą współpracę CERTów.

Złagodzone obostrzenia od 1 maja