Debata IT Reseller Business Club – Cyberbezpieczeństwo Polski (cz. 1 z 4): Wystarczy wbić szpadel w pewne miejsce i po nas.
- Tomasz Stępski, prezes Sinersio Polska Sp. z o.o.,
- Łukasz Czechowski, dyrektor biura informatyki w PPUC Envelo, lider biznesowy 10. strumienia rządowego programu „Od papierowej do cyfrowej Polski”.
- Piotr Kupczyk, dyrektor ds. komunikacji w Kaspersky Lab Polska.
- Krzysztof Polak, redaktor naczelny IT Reseller
W maju 2017 r. rząd przyjął Krajowe Ramy Polityki Cyberbezpieczeństwa – Strategię Cyberbezpieczeństwa Polski. Co z procesem budowania bezpiecznej cyberprzestrzeni w Polsce?
Stępski: Kilka miesięcy temu województwo lubuskie, w którym zlokalizowane jest centrum przetwarzania danych SINERSIO, zostało dotknięte przez orkan Ksawery. Musieliśmy stawić czoła temu żywiołowi. W praktyce przetestowaliśmy nasze procedury bezpieczeństwa i przekonaliśmy się, na ile bezpieczna jest polska cyberprzestrzeń. Bo bezpieczna cyberprzestrzeń to nie tylko odporność na ataki hakerów i malware, eliminacja podatności na atak i wypływ danych, ale to także system łączności, który działa w sytuacji kryzysowej. Orkan spowodował, że przez kilkadziesiąt godzin nie było zasilania. Nieprzerwane świadczenie naszych usług wymagało uruchomienia agregatu prądotwórczego. Zleciliśmy też dostawę dodatkowego paliwa, ale komunikacja z dostawcą była utrudniona, bo sieci telefoniczne, w tym komórkowe przestały działać. Kilka kilometrów od naszego centrum znajdują się magazyny paliwa, ale ponieważ dysponent nie miał łączności z Izbą Celną, nie mógł naliczyć akcyzy, więc nie wydawał paliwa. Nie miał też połączenia z producentem i nie mógł otrzymać dokumentów magazynowych. Zostaliśmy zmuszeni do skorzystania z dostaw z okolic Wrocławia, gdzie „Ksawery” nie wyrządził szkód. Oczywiście priorytetem było dla nas uzyskanie paliwa i podtrzymanie zasilania, ale dotkliwy okazał się też brak łączności i informacji o przewidywanym czasie powrotu zasilania. Strona internetowa spółki Enea była niedostępna z przeciążenia. Na stronie internetowej Urzędu Marszałkowskiego woj. lubuskiego nie było bieżących informacji dotyczących skali zniszczeń i ewentualnych konsekwencji dla mieszkańców i przedsiębiorców. Bieżące informacje z posiedzeń Sztabu Kryzysowego dostępne były na profilu Facebook Prezydenta Zielonej Góry. Ponieważ nie ma obowiązku posiadania profilu na Facebook to część zainteresowanych mogła być całkowicie odcięta od informacji o kryzysie.
Doświadczenia te pokazały nam jak faktycznie wygląda cyberbezpieczeństwo w Polsce. Wystarczy, że nie ma zasilania przez kilkanaście czy kilkadziesiąt godzin i następuje całkowity paraliż. Najlepsze systemy IT nic wtedy nie znaczą. Jeśli sieć światłowodowa nie wejdzie do zasobu infrastruktury krytycznej państwa to nie mamy szans, nawet w obliczu silnej wichury. To jest sytuacja dramatyczna, gdy w obliczu katastrofy w regionie – sieć światłowodowa większości operatorów jest w stanie funkcjonować tylko przez około 6 godz. Klienci centrum danych Sinersio mieli dostęp do usług dzięki zasilaniu awaryjnemu oraz dzięki temu, że jesteśmy wpięci w sieć szkieletową kilku operatorów światłowodowych a także posiadamy dzierżawione łącze satelitarne. Gdybyśmy nie zdywersyfikowali dostawców łączy, to mielibyśmy problem z dostarczaniem naszych usług. Łącze satelitarne, choć o niskiej przepływności stanowi dla nas redundancję na wypadek całkowitego paraliżu sieci światłowodowych.
Nad czym państwo ma pieczę
Czechowski: Nie wszyscy o tym wiedzą, ale Poczta Polska ma procedury na wypadek kataklizmów zrywających łączność w kraju. Z mocy prawa pocztowego jest operatorem wyznaczony do zapewnienia łączności w sytuacji kryzysu. Jest służbą wyznaczoną do przekazywania informacji w stanach klęski żywiołowej, a także w stanie wojennym. Jak dotąd nie testowała tej funkcji w kryzysie, np. w sytuacji regionalnej klęski żywiołowej. Jednak zadania są wyznaczone Poczcie i kadra jest ich świadoma. Mało tego, Poczta Polska Usługi Cyfrowe (PPUC) Envelo współpracuje ze Sztabem Generalnym w tym zakresie. Jednak nawet nasze kryzysowe procedury zakładają, że zasilanie i elementarna łączność telekomunikacyjna funkcjonuje. Bez tego nie sposób ich realizować.
Orange Polska to największy beneficjent programów unijnych rozbudowy sieci światłowodowej w Polsce, ale nie jest zobligowany do tego, by zabezpieczyć sieci na wypadek kataklizmów czy wojny. Być może da się to jeszcze nadrobić do końca bieżącej perspektywy budżetowej UE (2014–2020), co jednak zależy od ministerstwa cyfryzacji, głównego dysponenta funduszy unijnych w tym zakresie. To jest realne wyzwanie, które staje przed resortem w związku z próbami realizacji strategii cyberbezpieczeństwa Polski.
Stępski: Sieć światłowodowa jest dla bezpieczeństwa państwa i gospodarki zasobem krytycznym. Funkcję, jaką kilkadziesiąt lat temu pełnił system nadajników radiofonicznych teraz pełni sieć światłowodowa – jest współczesną siecią rozsiewczą, będącą podstawowym medium przekazującym informacje. Wymaga zatem szczególnej ochrony. Obecnie szukając informacji na ogół korzystamy z zasobów Internetu, a w dalszej kolejności uruchamiamy tradycyjne radio lub TV. Coraz więcej słuchaczy korzysta również z radia przez Internet. Media udostępniające Internet wymagają odpowiedniego zabezpieczenia.
W centrum przetwarzania danych Sinersio cyklicznie robimy surowe testy bezpieczeństwa, aby sprawdzić działanie procedur. Z brakiem zasilania, jak każde data center jesteśmy sobie w stanie poradzić, ale jako neutralni telekomunikacyjne, z brakiem transmisji dostarczanej przez innych dostawców już nie. Do tej pory, jeśli zdarzały się awarie zasilania, to centra danych w Polsce zmagały się z jego brakiem 2-3 godziny. My musieliśmy przetrwać prawie dobę. To był największy sprawdzian w historii działania naszego data center. Każdy profesjonalny ośrodek DC ma rezerwy paliwa na wypadek braku zasilania, ale nie poradzi sobie z brakiem transmisji światłowodowej. Łącza satelitarne umożliwią komunikacje globalną, ale nie zapewnią łączności lokalnej…
Czechowski: Pod koniec 2016 r. doszło do incydentu częściowego sparaliżowania infrastruktury Emitela, operatora naziemnej infrastruktury radiowo-telewizyjnej w Polsce. Nie jest bezpieczne dla państwa, gdy tak ważny zasób nie jest w jego władaniu, lecz podmiotu komercyjnego. Tymczasem sieci światłowodowe o długości 85 tys. km są we władaniu Orange – podmiotu prywatnego. Państwowy Exatel kontroluje sieci 4 razy krótsze.
Stępski: Nie wszystko powinno być państwowe, choć na pewno, dla naszego bezpieczeństwa, państwo powinno mieć pieczę nad zasobami krytycznie ważnymi dla jego funkcjonowania, np. takimi jak sieci elektro –energetyczne.. Do niedawna prawie połowa ruchu internetowego w Polsce przechodziła przez punkt wymiany ruchu ulokowany w warszawskim hotelu Marriott. Czy ten węzeł jest dostatecznie zabezpieczony? Awaria zasilania w Marriocie w 2010 r. spowodowała niedostępność dużej części polskiej cyberprzestrzeni. Jedno z kluczowych założeń strategii cyberbezpieczeństwa Polski mówi, że powinniśmy bazować na własnych rozwiązaniach, nad którymi mamy pełną kontrolę…