Wzrasta ryzyko cyberzagrożeń dla obiektów infrastruktury krytycznej, a w szczególności sektora energetycznego. Według wielu raportów, branża energetyczna jest drugim, po administracji, celem hakerów. Potencjalne szkody mogą być ogromne w wielu wymiarach, ponieważ awarie energetyczne mają wpływ na inne gałęzie przemysłu. W konsekwencji może to spowodować, że zagrożone będzie nie tylko mienie, bieżące funkcjonowanie kraju, ale także zdrowie i życie ludzi.
Partnerem materiału jest PSE.
Cyfrowe ataki na Ukrainę w 2015 oraz 2016 roku doprowadziły do zakłóceń w funkcjonowaniu sektora energetycznego. Ostatni atak wyłączył jedną z firm dystrybuujących energię w okręgu kijowskim. Brakowało około dwóch godzin, aby system ciepłowniczy stolicy kraju został całkowicie wychłodzony, co spowodowałoby pęknięcie głównych rur przesyłowych i prawdopodobnie rur w domach. Byłaby to katastrofa, do usunięcia której nie wystarczyłoby kilku dni. Z kolei zmasowany atak przy użyciu „WannaCry” zaburzył funkcjonowanie szpitali, operatorów usług telekomunikacyjnych, banków oraz wielu innych firm na całym świecie. Likwidacja skutków kosztowała około 8 miliardów dolarów.
W 2017 roku poważnym zagrożeniem dla systemów współpracujących bądź nadzorujących urządzenia przemysłowe było szkodliwe oprogramowanie (malware)(1) o nazwie Industroyer. To modułowy program, który pozwala na dostosowanie poszczególnych elementów do przeprowadzenia ataku na dowolny system przemysłowy, sterowany za pośrednictwem komputera. Analiza oprogramowania doprowadziła ekspertów do następujących wniosków: system atakujący okazał się zaawansowanym narzędziem, którego użycie może mieć krytyczny wpływ na infrastrukturę przemysłową każdego kraju. Przedsiębiorca, który nie stara się o budowę systemu zabezpieczeń, izolowania i monitorowania kluczowych zasobów w swojej organizacji, może zostać zaatakowany, a skutki ataku mogą być poważne. Industroyer można uznać za „cyberbroń”, która nadaje się do użycia w działaniach mających na celu uszkodzenie infrastruktury, szczególnie krytycznej, docelowego „przeciwnika”.
Czy można zapobiec takim ukierunkowanym atakom lub bronić się przed nimi? „Jeżeli ktoś został wyznaczony jako cel, to atak zostanie odpowiednio zorganizowany i przeprowadzony. Pozostaje tylko pytanie: jak się przygotował do obrony i czy będzie potrafił go odeprzeć – wyjaśnia szef CERT PSE Jarosław Sordyl. – Atak może się odbyć nie tylko w cyberprzestrzeni. To może być wielowektorowe wejście do organizacji, polegające np. na manipulacji pracownikiem, wykorzystujące niewłaściwe postępowanie serwisanta obsługującego daną firmę lub podstawienie przedsiębiorstwa usługowego. Używane do cyberataków technologie takie jak Industroyer są cyfrową bronią, którą można zniszczyć dosłownie każdy system przemysłowy. Niestety, jest to wyścig, w którym atakujący są o krok przed broniącymi się”.
Zespoły bezpieczeństwa na świecie
Aby przeciwdziałać cyberzagrożeniom oraz zarządzać incydentami, organizacje na całym świecie powołują wyspecjalizowane komórki ds. bezpieczeństwa IT, tzw. CERT/CSIRT (Computer Emergency Response Team / Computer Security Incident Response Team). Ich rolą jest nie tylko reagowanie na incydenty, ale również przeciwdziałanie i prowadzenie wśród użytkowników akcji uświadamiających na temat aktualnych cyberzagrożeń oraz sposobów ochrony przed nimi. Zespoły te są odpowiedzialne również za nawiązywanie szerokiej współpracy w obszarze bezpieczeństwa IT/OT z innymi CERT‑ami w podobnych organizacjach, ponieważ tylko szybka wymiana informacji warunkuje odpowiednią i właściwą reakcję na zagrożenia.
Przyjęta 17 maja 2016 roku Dyrektywa NIS (Dyrektywa Parlamentu i Rady UE (w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii), określająca wymagania dla operatorów kluczowych usług w poszczególnych krajach, jest kolejnym dokumentem, który wskazuje na konieczność podjęcia działań zapewniających odpowiedni poziom bezpieczeństwa.
Współpraca CERT‑ów
Polskie Sieci Elektroenergetyczne, których zadaniem jest zapewnienie niezawodnej i efektywnej pracy systemu elektroenergetycznego kraju, są szczególnie narażone na zagrożenia, nic więc dziwnego, że ochronę traktują priorytetowo, podejmując wiele działań wyprzedzających i zabezpieczających. Jest to szczególnie ważne w obszarach związanych z cyberbezpieczeństwem, kiedy rozwój urządzeń do monitorowania i zarządzania systemami przemysłowymi bazuje również na wymianie informacji i danych poprzez różnego rodzaju urządzenia typu IIoT (Industrial Internet of Thing)(2), które są podłączone do sieci internetowej.
Z tego powodu PSE powołało zespół do spraw bezpieczeństwa, czyli CERT (Computer Emergency Response Team). „Od momentu, gdy powstała idea powołania Zespołu Reagowania na Incydenty Komputerowe, wiedzieliśmy, że taka jednostka nie może działać w oderwaniu od podobnych podmiotów w kraju i za granicą. Charakter pracy CERT‑u, którego głównym celem jest ciągłe zwiększanie poziomu bezpieczeństwa teleinformatycznego organizacji oraz bezpieczeństwa technologicznych systemów automatyki przemysłowej, wymaga wymiany informacji dotyczących zagrożeń i incydentów powiązanych z cyberprzestrzenią. Kluczowa jest współpraca, szczególnie z zespołami CERT z sektora energetycznego, ze względu na specyfikę branży i możliwe dla niej zagrożenia”.
Wymiana informacji i współpraca zespołów CERT funkcjonujących na całym świecie jest już standardem. Tylko w ten sposób mogą one działać tak skutecznie, bo w przypadku cyberataków to czas jest najważniejszym czynnikiem. Równie cenne są szkolenia i polecanie narzędzi pracy, które ułatwiają działania, zarówno reaktywne, jak i prewencyjne. Dzięki współpracy zespołów o różnym poziomie doświadczenia możliwy jest stały rozwój kompetencji poszczególnych pracowników CERT‑u.
Wymiana informacji i współpraca zespołów CERT funkcjonujących na całym świecie jest już standardem.
Zespół CERT PSE od początku swojej działalności podejmuje działania mające na celu zwiększanie liczby współpracujących podmiotów, które dążą do stworzenia zaufanej i wiarygodnej platformy wymiany informacji, ze szczególnym uwzględnieniem sektora energetycznego.
CERT PSE podjął współpracę z podobnymi jednostkami w Europie i Stanach Zjednoczonych. Obszarem jego zainteresowania są też stowarzyszenia i projekty, których celem jest promowanie współpracy zmierzającej do znacznego ograniczenia skutków działalności cyberprzestępców oraz dzielenia się najlepszymi praktykami w obszarze bezpieczeństwa IT/OT. CERT PSE jako członek międzynarodowej organizacji FIRST (Forum of Incident Response and Security Teams) może wykorzystywać system wymiany informacji o zagrożeniach i podatnościach. Przystąpił też do APWG(3) (Anti‑Phishing Working Group), stowarzyszenia branżowego skupiającego się na badaniu najlepszych metod walki z cyberprzestępczością, głównie z phishingiem – jednym z poważniejszych i najczęściej wykorzystywanych sposobów ataków pochodzących z internetu.
Dostęp do aktualnej wiedzy oraz wymiana doświadczeń z innymi organizacjami CERT w kraju czy za granicą przyczyniają się do podniesienia kompetencji zespołu. W dbałości o zapewnienie możliwie najwyższego poziomu cyberbezpieczeństwa firmy bardzo istotne jest – o czym wiele osób zapomina – prowadzenie szkoleń z tego zakresu dla wszystkich zatrudnionych w organizacji. Biorąc pod uwagę to, że obecnie nie tylko technologia, ale również elementy inżynierii społecznej są wykorzystywane przez hakerów, jedynie dzięki zapewnieniu wysokiego poziomu świadomości każdego pracownika można obniżyć ryzyko skuteczności takich ataków.
(1) Malware – różnego rodzaju szkodliwe oprogramowanie próbujące zainfekować komputer lub urządzenie mobilne.
(2) IIoT – Industrial Internet of Thing (Przemysłowy Internet Przedmiotów) – koncepcja, w której jednoznacznie identyfikowalne przedmioty w systemach przemysłowych mogą pośrednio albo bezpośrednio gromadzić, przetwarzać lub wymieniać dane za pośrednictwem sieci komputerowej, internetu lub tzw. internetu przemysłowego.
(3) APWG to stowarzyszenie powołane w 2003 roku w celu ujednolicenia reakcji na przestępstwa w cyberprzestrzeni. Skupia ponad 2000 członków – instytucje finansowe, dostawców usług internetowych, prawodawców, agencje rządowe, uczelnie, organizacje, w tym Komisję Europejską i Europol EC3.
