Jak zmienia się podejście do bezpieczeństwa twardej infrastruktury, jakie są ograniczenia w zakresie integracji obszarów OT oraz IT, a także jakie wyzwania pojawiają się w związku z wdrażaniem Ustawy o KSC? Podczas konferencji „InfraSEC 2019” specjaliści IT, eksperci w zakresie automatyki, „bezpiecznicy” i audytorzy dyskutowali o praktycznych aspektach cyberbezpieczeństwa z punktu widzenia operatorów infrastruktury przemysłowej i przesyłowej.

Cyberbezpieczeństwo w obszarze OT opiera się dziś na czterech filarach: świadomości zagrożeń, ładzie organizacyjnym, funkcjonalnościach bezpieczeństwa i zarządzaniu incydentami. Z jednej strony istnieją potrzeby ciągłego szkolenia personelu, analizowania ryzyka uwzględniającego zagrożenia cybernetyczne, cyklicznych przeglądów bezpieczeństwa i usprawniania komunikacji a także wprowadzenia jasnych definicji ról i odpowiedzialności. Z drugiej strony koniecznością jest segmentacja sieci, ochrona antywirusowa, filtrowanie ruchu sieciowego i zarządzanie kopiami bezpieczeństwa. Trzeba kategoryzować incydenty i zapewnić pełną obsługę cyklu ich życia, opracować playbook poświęcony obszarowi OT i wykorzystywać dedykowane narzędzia klasy SOM.

Cały obszar cyberbezpieczeństwa OT dynamicznie się zmienia. Decyduje o tym popularyzacja Internet of Things, wirtualizacja infrastruktury i powszechne wykorzystywanie chmury obliczeniowej, a jednocześnie wyższy poziom dojrzałości dostępnych rozwiązań. Zmiany w zakresie bezpieczeństwa wynikają także z potrzeby bardziej elastycznej wymiany informacji, zarówno wewnętrznie, jak i z partnerami zewnętrznymi.

Jacek Sygutowski, Associate Partner, EY

„Ustawicznie się rozwijamy i z czasem będziemy dysponować coraz większość liczbą urządzeń, w związku z czym będziemy mieli do czynienia z coraz większą ilością zdarzeń. Coraz silniej odczuwana jest więc potrzeba centralizacji, a także agregacji i automatyzacji. Bezpieczeństwo OT idzie właśnie w kierunku centralizacji zarządzania oraz automatyzacji poprzez wykorzystanie nowoczesnych środków. Przy tym dysponujemy coraz większą gamą narzędzi i kluczowa staje się kwestia wyboru optymalnego rozwiązania” – powiedział podczas wystąpienia otwierającego „InfraSEC 2019” Jacek Sygutowski, Associate Partner w EY.

Jak zatem wybrać optymalne rozwiązanie bezpieczeństwa OT? Aspekty, na które należy zwrócić przede wszystkim uwagę, to: kompatybilność z istniejącymi rozwiązaniami technicznymi, określenie ryzyka biznesowego, zgodność ze strategią bezpieczeństwa oraz docelowym modelem operacyjnym, a także zdolność integracji z procesami wewnętrznymi. Last but not least efektywność cenowa. Samo sprawdzanie rozpatrywanego rozwiązania powinno uwzględniać nie tylko benchmarki, ale także reputację dostawcy, analizę ryzyka i badania rynkowe. Warto zdecydować się na projekt typu POC (Proof of Concept).

Jacek Sygutowski z EY mówił także o tym, że rozwój cyberbezpieczeństwa w obszarze OT napędzany jest dziś nie tylko przez zmieniające się środowisko, ale także nowe wymogi prawne. Jednym z nich jest dyrektywa NIS.

Bezpieczeństwo OT idzie w kierunku centralizacji zarządzania oraz automatyzacji poprzez wykorzystanie nowoczesnych środków.

Wyzwania wdrażania

Ustawa o Krajowym Systemie Cyberbezpieczeństwa, dla której bezpośrednim impulsem była właśnie dyrektywa NIS, weszła w życie w sierpniu ubiegłego roku. Podczas „InfraSEC 2019” o przebiegu wdrażania Ustawy u Operatorów Usług Kluczowych i związanych z tym wyzwaniach, jak również o współpracy pomiędzy przedsiębiorstwami a zespołami reagowania na incydenty rozmawiano w trakcie dyskusji panelowej.

Wszyscy obserwatorzy zgadzają się, że ustawa przyniosła wiele pozytywnych efektów. Choć poziom zaawansowania poszczególnych sektorów i organizacji pod względem bezpieczeństwa informacji jest bardzo zróżnicowany, to świadomość zagadnień związanych z cyberbezpieczeństwem pośród operatorów twardej infrastruktury systematycznie się podnosi. Jednym z kluczowych wyzwań nadal jest zrozumienie poszczególnych zapisów i rzutowanie ich na rzeczywistość organizacyjno-technologiczną.

Bogusław Kowalski, Head of CERT, Grupa Energa

„Ustawa nas nie zaskoczyła. CERT Energa funkcjonuje od trzech lat i od tego czasu trwały przygotowania. Prowadziliśmy systemowe działania zmierzające do wdrożenia ustawy. Największym wyzwaniem okazało się określenie relacji pomiędzy tym, co mamy, a tym, co nakazuje ustawą. Na pierwszy rzut oka wydawało się to bardzo proste. Przygotowaliśmy się do tego, jednak kiedy w projekt zaangażowani zostali prawnicy, którzy mieli rozwikłać zapisy ustawy, pojawiło się wiele problemów. Okazało się, że istnieje pewna dowolność interpretacyjna” – mówił Bogusław Kowalski, szef CERT w Grupie Energa.

Andrzej Szyszko, Zastępca Dyrektora ds. cyberbezpieczeństwa Departamentu Bezpieczeństwa i Zarządzania Kryzysowego, Ministerstwo Energii

Do dzisiaj nie wszyscy Operatorzy Usług Kluczowych otrzymali stosowne decyzje administracyjne. Tempo prac nad ich wydawaniem jest zróżnicowane w poszczególnych sektorach. Uczestniczący w panelu Andrzej Szyszko, zastępca dyrektora ds. cyberbezpieczeństwa w Departamencie Bezpieczeństwa i Zarządzania Kryzysowego Ministerstwa Energii, zapowiedział, że w ciągu miesiąca wszystkie decyzje dotrą do zainteresowanych podmiotów. „Cały proces jest skomplikowany. Pojawiło się kilka problemów interpretacyjnych. Jesteśmy w trakcie analizy ankiet, jakie rozesłaliśmy do wszystkich podmiotów, które mogłyby zostać operatorami Operatorami Usługi Kluczowej. W sektorze energetycznym zidentyfikowaliśmy dotychczas blisko 220 takich podmiotów, a zakończyliśmy 19 postępowań. De facto, oznacza to 19 decyzji administracyjnych” – mówił Andrzej Szyszko.

Juliusz Brzostek, Dyrektor Centrum Cyberbezpieczeństwa, NASK PIB

Początkowo, na etapie prac nad ustawą, jeszcze przed jej przekazaniem do parlamentu, szacunek uwzględniony w ocenie skutków regulacji podawał wyznaczenie 320 podmiotów w skali kraju. Dzisiaj mówi się nawet o 800 podmiotach. „Te liczby się zmieniają, i to jest normalne. Znalezienie takiej liczby Operatorów Usług Kluczowych, która będzie zarządzana, to wyzwanie. Nie chodzi tylko o to, żeby operatorzy mogli dostosować się do wymogów ustawy, ale też o to, że jednocześnie organ właściwy musi być w stanie z nimi współpracować. Zbyt duża liczba podmiotów może zakończyć się paraliżem. Także CSIRT-y poziomu krajowego muszą być w stanie zarządzać relacjami z Operatorami” – mówił Juliusz Brzostek, dyrektor Centrum Cyberbezpieczeństwa w NASK PIB.

Choć poziom zaawansowania poszczególnych sektorów i organizacji pod względem bezpieczeństwa informacji jest bardzo zróżnicowany, to świadomość zagadnień związanych z cyberbezpieczeństwem pośród operatorów twardej infrastruktury systematycznie się podnosi.

Andrzej Szyszko z Ministerstwa Energii powiedział, że dostrzega trzy kluczowe wyzwania w związku z wdrażaniem KSC. Ze względu na brak czasu na etapie projektowania Ustawy pominięto kwestię zapewnienia spójnego podejścia do zarządzania ryzykiem w cyberbezpieczeństwie – począwszy od operatora usługi kluczowej po organy właściwe. Drugi problem to kwestia potrzeby dobrych projektów z zakresu cyberbezpieczeństwa w skali państwa, które umożliwiałyby optymalne finansowanie zadań w tym obszarze.

„Wreszcie trzeci problem, który pojawił się w zasadzie niedawno w wyniku analizy ankiet wysyłanych do podmiotów, to niska świadomość, czym jest system informatyczny. Część podmiotów odpowiada nam, że nie korzysta z żadnych systemów, w związku z czym nie poczuwa się do bycia operatorem. Będziemy nad tym pracować, planujemy dyskusje i warsztaty” – mówił Andrzej Szyszko.

dr Krzysztof Malesa, Z-ca Dyrektora, Rządowe Centrum Bezpieczeństwa

Wyzwaniem jest także zmiana sposobu myślenia o cyberbezpieczeństwie. Trzeba przejść od myślenia o obiektach do myślenia o ochronie procesów. Wydaje się jednak, że Ustawa o KSC zmieniła podejście do cyberbezpieczeństwa na poziomie decydentów biznesowych. „Dla mnie szczególnie interesujące jest to, jak ustawa zapuści korzenie w naszym systemie prawnym. Cyberbezpieczeństwo nie może funkcjonować w izolacji. Nie tylko czynnik informatyczny nie może zatrzymać usługi kluczowej. Cały czas trzeba pamiętać o wszystkich rodzajach ochrony. System cyberbezpieczeństwa ‘dotyka się plecami’ z systemem zarządzania kryzysowego” – mówił dr Krzysztof Malesa, zastępca dyrektora Rządowego Centrum Bezpieczeństwa.

Yanir Laubshtein, Director Global Cybersecurity Strategy & Transformation, PwC Israel

Ciekawej perspektywy dla dyskusji o cyberbezpieczeństwie w obszarze infrastruktury krytycznej i powiązanych z nim rozwiązań prawnych dostarczył Yanir Laubshtein, Director Global Cybersecurity Strategy & Transformation w PwC Israel, który opowiadał o rozwoju zdolności do wykrywania cyberataków na infrastrukturę krytyczną, ochrony przed nimi i reagowania na nie. Powszechnie uznaje się, że izraelskie struktury zarządzania bezpieczeństwem są jednymi z najskuteczniejszych na świecie. Yanir Laubshtein przedstawił główne założenia programu cyberochrony i sposób ich wdrażania. Na szczególne podkreślenie zasługuje systemowe zaangażowanie sektora akademickiego w kwestie zapewnienia cyberbezpieczeństwa, a także wspieranie powstających w tym obszarze start-upów. Niezwykle ważna wydaje się również sprawa budowy narodowego laboratorium cyberbezpieczeństwa, gdzie każda instytucja publiczna będzie mogła przetestować swoje rozwiązania.

Wyzwaniem jest zmiana sposobu myślenia o cyberbezpieczeństwie. Trzeba przejść od myślenia o obiektach do myślenia o ochronie procesów.

Konsekwencje konwergencji

Piotr Ciepiela, OT/IoT Security & Critical Infrastructure Leader , EY

Podczas konferencji dyskutowano także o łączeniu twardej infrastruktury z IT. Świat OT mierzy się z zagadnieniami dotyczącymi granicy konwergencji, kompromisu pomiędzy wygodą a bezpieczeństwem i momentu, w którym należy zatrzymać cyfryzację. „Cyfryzacja w kontekście OT jest nie do zatrzymania. To pędzący pociąg. Jedyne pytanie, jakie można sobie zadawać, dotyczy tego, w którym wagonie znajduje się bezpieczeństwo” – stwierdził Piotr Ciepiela, OT/IoT Security & Critical Infrastructure Leader w EY.

Przekonywał jednak, że mówienie o tym, że granica pomiędzy światem OT i IT nie istnieje, jest zaklinaniem rzeczywistości. „Ta granica istnieje. Po pierwsze z pewnych naturalnych powodów technicznych i organizacyjnych. Jest to także kwestia poziomu akceptacji ryzyka w świecie IT i OT. My te granicę cały czas przesuwamy, między innymi łącząc zespoły odpowiedzialne za te obszary, jednak ona nie zniknie” – dodał Piotr Ciepiela.

Aleksander Surma, IT Director, CMC Poland

„Smutna prawda jest taka, że cyfryzacja nie podnosi poziomu bezpieczeństwa. Kwestia efektywności kosztowej sprawia, że mamy do czynienia z konwergencją. Systemy automatyki przemysłowej coraz bardziej zbliżają się do świata informatyki i w związku z tym pojawia się problem bezpieczeństwa. Pozytywne natomiast jest to, że świadomość cały czas wzrasta i mamy coraz większe możliwości zabezpieczenia się” – tłumaczył Aleksander Surma, IT Director w CMC Poland.

Kwestia efektywności kosztowej sprawia, że mamy do czynienia z konwergencją. Systemy automatyki przemysłowej coraz bardziej zbliżają się do świata informatyki i w związku z tym pojawia się problem bezpieczeństwa.

Siła współpracy

Massimo Rocca, Head of Security Strategy, Enel, Chair of European Energy – Information Sharing and Analysis Center (EE-ISAC)

W obliczu rosnących wyzwań w zakresie bezpieczeństwa szczególnego znaczenia nabierają kwestie wymiany informacji i współpracy. O budowie sieci wymiany informacji na temat bezpieczeństwa pomiędzy europejskimi przedsiębiorstwami użyteczności publicznej mówił Massimo Rocca, odpowiedzialny za strategię bezpieczeństwa w firmie Enel, a zarazem przewodniczący European Energy – Information Sharing and Analysis Center (EE-ISAC). EE-ISAC wspiera cyfrową wymianę informacji oraz podnosi świadomości wyzwań w sektorze energetycznym. Proponowany przez organizację dobrowolny program wymiany informacji wśród operatorów przynosi członkom społeczności ogromne korzyści.

Przede wszystkim pomaga wzmocnić odporność organizacyjną i podnieść poziom gotowości na atak. Dostarcza specyficznych dla sektora informacji w skali całego łańcucha wartości. Umożliwia wymianę doświadczeń z różnymi podmiotami zaliczanymi do sektora energetycznego, a także współpracę z zaufanymi partnerami. EE-ISAC liczy obecnie 23 członków, którzy tworzą 10 grup roboczych. Publikują dokumenty, organizują webinaria i oferują dostęp do elektronicznych systemów informacji o zagrożeniach, takich jak MISP.

Barbara Matecka-Karaś, Kierownik Zespołu Programu Partnerstwo dla Cyberbezpieczeństwa, NASK PIB

O roli współpracy podmiotów w budowaniu cyberbezpieczeństwa w świetle ustawy o Krajowym Systemie Cyberbezpieczeństwa mówiła także Barbara Matecka-Karaś, kierownik Zespołu Programu Partnerstwo dla Cyberbezpieczeństwa w NASK PIB. Jej prezentacja dotyczyła programu Partnerstwa dla Cyberbezpieczeństwa. To element wspomagający implementację ustawy o KSC. Umożliwia przede wszystkim podejmowanie wspólnych działań, zwiększa wzajemne zaufanie i ułatwia dzielenie się informacjami na temat aktualnych zagrożeń. W ramach programu Partnerstwo dla Cyberbezpieczeństwa przedstawiciele NASK spotykają się także z przedstawicielami sektorów i pracują nad regulacjami, które później mają być przyjmowane przez organy właściwe.

Program Partnerstwa dla Cyberbezpieczeństwa to element wspomagający implementację ustawy o Krajowym Systemie Cyberbezpieczeństwa.