Cyberwojna to fakt. Jak zabezpieczyć przed nią polską infrastrukturę krytyczną?
Tylko w 2020 roku ENISA odnotowała aż dwukrotny wzrost liczby cyberataków na światową infrastrukturę krytyczną, co przekłada się około 300 potencjalnie niebezpiecznych zdarzeń. Wraz z postępem technologicznym rośnie podatność systemów przemysłowych na cyberprzestępczość, a potencjalne koszty tych działań są nadal trudne do oszacowania. Grupa Thales, światowy lider w branży cybersecurity, działa we współpracy m.in. z Ministerstwem Klimatu i Środowiska oraz inicjatywą #CyberMadeInPoland na rzecz poprawy bezpieczeństwa całego sektora. Podczas rozpoczynającego się Cyber Expo 2022 w Katowicach, jednego z największych wydarzeń tego typu w Polsce, wieloletnim know-how podzieli się reprezentant firmy i czołowy ekspert ds. cyberbezpieczeństwa dr inż. Andrzej Bartosiewicz.
Światowe statystyki pokazują, że przez ostatnie 12 miesięcy liczba cyberataków na świecie wzrosła aż o 150%. Badanie przeprowadzone w USA przez Siemens i Ponemon Institute dowodzi, że aż 46% ataków w firmach w ogóle nie zostaje zauważone przez wewnętrzne jednostki zajmujące się bezpieczeństwem sieci. Za sprawą pandemii nastąpił dynamiczny rozwój rozwiązań online we wszystkich sektorach rynku, równocześnie coraz częściej narzędzia te narażone są na akty cyberprzestępczości. Na świecie w 2020 roku Europejska Agencja Bezpieczeństwa Sieci i Informacji (ENISA) odnotowała 304 ataki na światową infrastrukturę krytyczną. Z opublikowanego w 2021 roku raportu ENISA Threat Landscape wynika, że w samej Wspólnocie Europejskiej miało miejsce ponad 1000 znaczących incydentów. W tym samym roku CERT Polska zarejestrował ok. 100 cyberincydentów w samym tylko sektorze energetycznym.
– Skala tych zjawisk rośnie z roku na rok. Ataki na sieć elektroenergetyczną Ukrainy z grudnia roku 2015 oraz 2016, a także atak z lutego 2022 dokonany przez hakerów z Federacji Rosyjskiej pokazują, jak istotną rolę pełni obszar cyber w zabezpieczaniu systemów sterowania. Starzejąca się infrastruktura nie została zaprojektowana z uwzględnieniem cyberzagrożeń, dlatego sieci sterowania przemysłowego są wrażliwe na potencjalne działania przestępcze – podkreśla dr inż. Andrzej Bartosiewicz, dyrektor ds. cyberbezpieczeństwa w THALES Polska.
Od 2019 roku nakłady światowych gospodarek na walkę z cyberprzestępczością oraz skutkami niebezpiecznych działań online podwoiły się. Przykładowo rząd Walii zainwestuje 9,5 mln funtów, żeby wraz z partnerami akademickimi i komercyjnymi powołać centrum innowacji w dziedzinie bezpieczeństwa. Grupa Thales na świecie jest jednym z liderów rynku w obszarze cybersecurity, specjalizując się m.in. w dostarczaniu cyberrozwiązań dla bardzo wrażliwej branży energii jądrowej. Swoimi doświadczeniami i rekomendacjami podczas szkolenia dla operatorów infrastruktury krytycznej zorganizowanego we współpracy z #CyberMadeInPoland podzielił się z ramienia Thales UK ekspert o 35-letnim stażu Stephen Boyle. Korzystając z doświadczeń pracy z tak uznanymi graczami rynku energetycznego jak EDF, CGN, Hitachi, Horizon czy Sellafield Ltd podkreślał, że na bezpieczeństwo w tym sektorze składa się szereg elementów. Zaplanowane na dekady działania systemy przemysłowe bardzo często są niekompatybilne ze współczesnymi rozwiązaniami IT. Postępująca automatyzacja i integracja nie zawsze odpowiednio zabezpieczonych czy skonfigurowanych systemów niesie za sobą ryzyko włamania, przejęcia danych lub czasowego odcięcia czy zablokowania nie tylko samego reaktora, ale również oświetlenia na terenie zakładu czy chociażby monitoringu.
– W kontekście energetyki jądrowej na jeszcze większą uwagę zasługuje kwestia bezpieczeństwa łańcucha dostaw. Nawet najlepiej dobrane rozwiązania cyberbezpieczeństwa dla zakładu energetycznego i wysoko wykwalifikowany zespół CERT mogą okazać się niewystarczające, jeśli dostawcy komponentów nie zapewnią bezpiecznego procesu wytwarzania i aktualizacji oprogramowania – podkreśla dr Andrzej Bartosiewicz.
Eksperci z Grupy Thales podkreślają zgodnie, że najlepsze urządzenia i procedury nie pomogą, jeśli nie zostaną wsparte odpowiednim szkoleniem personelu. Punktem wyjścia jest przemyślana polityka zarządzania ryzykiem. Jak podkreślał podczas szkolenia Boyle, przed wdrożeniem dedykowanych rozwiązań warto rozpocząć od audytu. Dopiero takie podejście pozwoli właściwie oszacować koszty zmian, a także utrzymania systemów bezpieczeństwa. A tam gdzie się da, warto pomyśleć o wdrożeniu rozwiązań automatycznych, które zminimalizują ryzyko błędu ludzkiego.
– Właściwie wdrożona automatyzacja, przy założeniu, że podmiot poniesie odpowiednie nakłady na zabezpieczenie systemów przed cyberatakami, w perspektywie długoterminowej znacząco podnosi bezpieczeństwo i niezawodność całego zakładu – mówi Andrzej Bartosiewicz.
Na pytanie czy i w jakim zakresie automatyzacja może podnieść bezpieczeństwo polskich systemów sterowania przemysłowego odpowiedzą czołowi eksperci branży cybersecurity podczas Cyber Expo w Katowicach 17 i 18 maja 2022, jednego z najważniejszych wydarzeń tego typu w naszym regionie. Dr Andrzej Bartosiewicz z THALES Polska wystąpi w panelu „Czy automatyzacja reagowania na incydenty i komunikacja w OT może skutecznie pomóc w budowaniu cyberodporności polskiego przemysłu”.