Dotychczasowe ataki cybernetyczne na infrastrukturę krytyczną na Ukrainie mogą stanowić przygotowania do większego ataku, którego konsekwencje mogą być katastrofalne – mówi Oleksandr Sukhodolia, szef departamentu odpowiedzialnego m.in. za bezpieczeństwo energetyczne w ukraińskim Narodowym Instytucie Studiów Strategicznych.

W 2015 roku opublikowany został dokument „Green Paper on Critical Infrastructure Protection in Ukraine” opisujący koncepcję ochrony infrastruktury krytycznej na Ukrainie. Co to za dokument i na czym polega ta koncepcja?

Ukraiński Narodowy Instytut Studiów Strategicznych kwestiami związanymi z ochroną infrastruktury krytycznej zajmuje się od 2012 r. Od tego czasu prowadzone były prace mające na celu stworzenie narodowej strategii, której wyraz stanowi „zielona księga”. Została ona zaprezentowana po raz pierwszy w 2014 r., a później stała się przedmiotem dyskusji, w której wzięli czynny udział zagraniczni eksperci, m.in przedstawiciele struktur NATO.

Prace nad „zieloną księgą” rozpoczęły się jako projekt badawczy. W obliczu wojny hybrydowej prowadzonej przeciwko Ukrainie nabrały jednak nowego znaczenia i tempa. Objęły stworzenie praktycznego zestawu zaleceń mających na celu modernizację polityki w obszarze bezpieczeństwa strategicznego.

W ogromnym skrócie, wypracowana koncepcja ochrony infrastruktury krytycznej stanowi odejście od reaktywnej polityki skoncentrowanej na usuwaniu skutków kryzysów w kierunku prowadzenia działań proaktywnych: tworzenia planów ciągłości funkcjonowania infrastruktury, wzmacniania mechanizmów umożliwiających koordynację działań różnych zainteresowanych podmiotów oraz budowania w tym obszarze partnerstwa publiczno-prywatnego.

Na poziomie ogólnopaństwowym potrzebne są odpowiednie regulacje prawne, które zobowiązują operatorów infrastruktury krytycznej do działań na rzecz cyberbezpieczeństwa. Jednocześnie potrzebny jest sformalizowany system wymiany informacji o zagrożeniach. Wymaga to stworzenia ram dla współpracy podmiotów publicznych i prywatnych.

Co obecnie jest największym wyzwaniem w obszarze ochrony infrastruktury krytycznej na Ukrainie?

Jednym z największych wyzwań jest współpraca między administracją publiczną a operatorami należącymi do prywatnych spółek. W tej chwili brakuje nam regulacji, które określają precyzyjnie, kto i jakie elementy powinien zakupić i jakich powinien używać. To stanowi jedną ze słabości i może ułatwiać przestępcom ich działania.

Pracujemy nad stworzeniem formalnej platformy współpracy. Istnieje system, który powstał w ramach państwowej agencji odpowiedzialnej za ochronę systemów komunikacyjnych, ale obejmuje on tylko spółki należące do Skarbu Państwa. Teraz rozważamy możliwości rozszerzenia go w taki sposób, żeby obejmował również podmioty prywatne.

Wypracowana przez nas koncepcja ochrony infrastruktury krytycznej stanowi odejście od reaktywnej polityki skoncentrowanej na usuwaniu skutków kryzysów w kierunku prowadzenia działań proaktywnych: tworzenia planów ciągłości funkcjonowania infrastruktury, wzmacniania mechanizmów umożliwiających koordynację działań różnych podmiotów oraz budowania partnerstwa publiczno-prywatnego.

W 2015 i 2016 r. na Ukrainie doszło do serii ataków na infrastrukturę krytyczną. Czy wszystkie incydenty wpisują się w scenariusz wojny hybrydowej?

Chcę wierzyć, że są to niepowiązane ze sobą incydenty. Niemniej jest możliwe, że stanowią one część przygotowań do większego, skoordynowanego ataku, przeprowadzonego na dużą skalę i mającego potencjalnie katastrofalne skutki.

Najważniejsza jest kwestia konsekwencji społecznych. Ataki na infrastrukturę krytyczną mogą wywoływać panikę oraz protesty społeczne na dużą skalę. To właśnie sprawia, że są one tak groźne.

Jakie były konsekwencje tych przeprowadzonych ataków?

Przerwy w dostarczaniu usług trwały, w zależności od regionu i konkretnej podstacji, od godziny do kilku godzin. Na szczęście nie doszło do eksplozji czy uszkodzenia instalacji technologicznych. Wszyscy jednak zdajemy sobie sprawę, że konsekwencje mogą być katastrofalne. Ich efektem może być skażenie chemiczne powietrza, wody lub gleby. Skalę prawdopodobnych zagrożeń dobrze unaocznił eksperyment Aurora, który polegał na zwiększaniu tempa obracania się turbin, co w konsekwencji miało doprowadzić do ich zniszczenia i uniemożliwienia generowania energii elektrycznej na dużą skalę.

Najważniejsza kwestia dotyczy jednak konsekwencji społecznych. Ataki na infrastrukturę krytyczną mogą wywoływać panikę oraz protesty społeczne na dużą skalę. To właśnie sprawia, że są one potencjalnie tak groźne. Jeśli infrastruktura krytyczna przestaje działać poprawnie i operatorzy zaprzestają dostarczania usług, m.in. elektryczności, możemy mieć pewność, że w ciągu dwóch dni ludzie zaczną protestować, np. blokując drogi.

Potrzebne są regulacje odnoszące się do kwestii odpowiedzialności – wyraźnie rozdzielające odpowiedzialność państwa oraz operatorów prywatnych. Chodzi o odpowiedzialność za rozwiązania techniczne.

Jakie wnioski można wyciągnąć z ataków cybernetycznych na ukraińską infrastrukturę krytyczną? Czy tym atakom można było zapobiec?

Moim zdaniem nie byliśmy w stanie im skutecznie zapobiec. Wnioski są zatem takie, że musimy robić wszystko, co możliwe, żeby się dobrze zabezpieczyć. Powinniśmy skoncentrować się na minimalizowaniu szkód, które mogą dotknąć infrastrukturę krytyczną. Wymaga to budowy składającego się z kilku warstw systemu ochrony, który pozwoli to osiągnąć.

Na poziomie ogólnopaństwowym potrzebne są odpowiednie regulacje prawne, które zobowiązują operatorów infrastruktury krytycznej do działań na rzecz cyberbezpieczeństwa. Jednocześnie potrzebny jest sformalizowany system wymiany informacji o zagrożeniach. Wymaga to stworzenia ram dla współpracy podmiotów publicznych i prywatnych oraz sieci komunikacyjnej. Kolejny krok to edukacja i szkolenie personelu, który obsługuje infrastrukturę krytyczną.

W mojej opinii potrzebne są także regulacje odnoszące się do kwestii odpowiedzialności – wyraźnie rozdzielające odpowiedzialność państwa oraz operatorów prywatnych. Chodzi o odpowiedzialność za rozwiązania techniczne. Być może konieczne jest nawet zorganizowanie funduszy, które pozwolą zbudować kompleksowy, techniczny system ochrony.