Coraz bardziej wyrafinowane ataki cybernetyczne na automatykę przemysłową mogą zablokować działanie całych przedsiębiorstw i świadczenie kluczowych usług mających znaczenie dla całych regionów lub nawet krajów. Podejście do cyberbezpieczeństwa w firmach posiadających taką infrastrukturę konsekwentnie się zmienia. Wprowadzanie zmian stymuluje Ustawa o Krajowym Systemie Cyberbezpieczeństwa. Już samo jej uchwalenie przełożyło się na wzrost zainteresowania bezpieczeństwem cybernetycznym infrastruktury krytycznej. Świadomość zagrożeń pogłębia się nie tylko wśród operatorów usług kluczowych. Dla zapewnienia odpowiedniego poziomu bezpieczeństwa potrzebne są jednak dalsze konkretne działania, odpowiednie podejście i nowoczesne narzędzia – o tym wszystkim dyskutowano podczas „InfraSEC Forum 2020”.

„Ustawa o KSC jest i działa – to jest najważniejsze. Uzgodnienia europejskie trwały cztery lata, a od czasu wejścia w życie dyrektywy minęły kolejne cztery lata. Dziś już dyskutujemy, co trzeba zmienić. Wiele rzeczy, które miały działać, nie działają, np. koordynacja transgraniczna, wymiana informacji pomiędzy dostawcami usług cyfrowych a operatorami usług kluczowych. Bardzo często organy właściwe nie są informowane o niedostępności usług cyfrowych, są zbyt niskie wymagania wobec dostawców części usług cyfrowych, od których zależą zarówno systemy IT, jak i OT. Wiemy, co nie działa, ale ważne jest to, że mamy ustawę, która po raz pierwszy w sposób midzysektorowy wprowadziła regulacje dotyczące cyberbezpieczeństwa” – mówił Robert Kośla, dyrektor Departamentu Cyberbezpieczeństwa w Ministerstwie Cyfryzacji, podczas „InfraSEC Forum 2020”.

Robert Kośla, Dyrektor Departamentu Cyberbezpieczeństwa, Ministerstwo Cyfryzacji

Z danych na styczeń br. wynika, że w Polsce mamy 162 podmioty, które zostały uznane za operatora usługi kluczowej. Prowadzonych jest prawie 400 dalszych postępowań administracyjnych. U tych operatorów, którzy zostali wyznaczeni blisko rok temu, powinny być już prowadzone audyty. Właśnie w tym zakresie wciąż panuje zamieszanie i osoby odpowiedzialne nie mają pewności co do tego, jak te audyty przeprowadzić. Czy objąć nimi samą usługę czy całą organizację? Kto może je prowadzić?

Dlatego Ministerstwo Cyfryzacji nawiązało współpracę z ISSA, która wypracowała modelową metodykę do przeprowadzenia audytów. W tej chwili trwają dotyczące jej konsultacje, a na początku marca br. jest zaplanowane spotkanie z organami właściwymi oraz instytucjami, które brały udział w przygotowywaniu tego dokumentu. Kolejnym krokiem będą konsultacje publiczne.

Podobnie było w przypadku metodyki szacowania ryzyka opracowanej przy okazji prac nad Narodową Platformą Cyberbezpieczeństwa. Będzie ona wykorzystywana w systemie teleinformatycznym S46, który zostanie uruchomiony w styczniu przyszłego roku. Będzie on służył do wymiany informacji o zagrożeniach, do zgłaszania incydentów, jak również do przekazywania rekomendacji przez zespoły CSIRT poziomu krajowego podmiotom, które dobrowolnie się do niego dołączą.

„Ta metodyka umożliwia zarówno analizę statyczną, jak i dynamiczną. Będzie to miało znaczenie przy sprawdzaniu zależności pomiędzy systemami IT i OT, pomiędzy dostawcami usług cyfrowych oraz tego, jak dostępność usług cyfrowych wpływa na świadczenie przez danego operatora usług kluczowych. To wszystko będzie wspierało metodyczne podejście do audytów, jak również metodyczne podejście do szacowania i zarządzania ryzykiem u operatorów usług kluczowych. Wypracowywane właśnie narzędzia będą ujednolicały podejście do kwestii audytów, będą swego rodzaju poradnikiem i wsparciem dla operatorów usług kluczowych” – mówił Robert Kośla.

W styczniu br. w Polsce były 162 podmioty, które zostały uznane za operatora usługi kluczowej. Prowadzonych jest prawie 400 dalszych postępowań administracyjnych.

Czy można jednak powiedzieć, że faktycznie jesteśmy dzięki nowym regulacjom i związanym z ich wdrożeniem działaniom bezpieczniejsi? Na pewno są przykłady zarówno pozytywne, w których bezpieczeństwo się dzięki temu poprawiło, jak i negatywne, gdzie takiego efektu nie ma. Najwięcej pozytywnych przykładów można wskazać w sektorze bankowym i finansowym – tutaj działania prowadzone są od lat. Sektor energii zaczął inwestować w cyberbezpieczeństwo. 

Które z procedur i procesów działają, a które nie, można się przekonać podczas ćwiczeń. W trakcie planowanych ćwiczeń Ministerstwo Cyfryzacji zamierza m.in. sprawdzić, czy incydenty są prawidłowo klasyfikowane. Statystyka pokazuje bowiem, że w 2019 roku było tylko dziewięć zgłoszeń incydentów poważnych. Pytanie brzmi: czy jest tak dobrze, czy tak niewiele incydentów poważnych jest zgłaszanych, czy też tak niewiele incydentów jest prawidłowo klasyfikowanych jako poważne?

Robert Kośla opowiadał także o inicjatywie przygotowania poradnika najlepszych praktyk dla Przemysłu 4.0 oraz zaleceń dla automatyki przemysłowej. Prace prowadzone są przez specjalny zespół działający w ramach Ministerstwa Cyfryzacji. W czerwcu br. planowane jest zorganizowanie miesiąca bezpieczeństwa Przemysłu 4.0, podczas którego zostanie oficjalnie opublikowany wspomniany poradnik.

„Czy jest dobrze czy źle? Odpowiem biznesowo: zawsze jest pragnienie, żeby było lepiej” – podsumowywał Robert Kośla.

W trakcie planowanych ćwiczeń Ministerstwo Cyfryzacji zamierza sprawdzić, czy incydenty są prawidłowo klasyfikowane. W 2019 roku było tylko dziewięć zgłoszeń incydentów poważnych.

Wyzwania złożoności

Kamil Pszczółkowski, Manager CyberSecurity Team, PwC

Kamil Pszczółkowski, Manager Cyber Security Team w PwC, który konfrontując wymagania ustawy o KSC z oczekiwaniami operatorów usług kluczowych, zwracał uwagę, że jej implementacja nie pomaga zmienić wyspowego podejścia do cyberbezpieczeństwa. Na zarządzanie zgodnością z wymaganiami ustawy patrzymy zwykle przez pryzmat zarządzania ryzykiem, zarządzania bezpieczeństwem informacji, ciągłością działania, zarządzania incydentami i ich raportowania. Dodatkowo można do tego dorzucić aspekt ochrony infrastruktury. To się daje dość łatwo przekładać na obszary działania, normy ISO i inne standardy – i to jest właśnie podejście wyspowe. Tymczasem potrzeba nam czegoś zupełnie innego. „Na cyberbezpieczeństwo trzeba patrzeć holistycznie, a nie wyspowo. To element ryzyka korporacyjnego. Powinno być traktowane jako element zarządzania całym przedsiębiorstwem. Nasze działania dotyczące cyberbezpieczeństwa wprost przekładają się na wizerunek, efektywność organizacyjną i koszty” – mówił Kamil Pszczółkowski.

Oczywiście, cyberbezpieczeństwo infrastruktury krytycznej nie zależy wyłącznie od Ustawy o KSC. Istnieje mnóstwo innych uwarunkowań prawnych i technicznych, które mają na to wpływ. Są to np. przygotowane przez RCB standardy i dobre praktyki ochrony infrastruktury krytycznej, rozporządzenia unijne takie jak „Pakiet Czysta Energia dla wszystkich Europejczyków”, czy chociażby unijne rozporządzenie o ochronie danych osobowych RODO. Na przykładzie sektora energii opowiadał o tym Andrzej Szyszko, zastępca dyrektora ds. cyberbezpieczeństwa Departamentu Bezpieczeństwa i Zarządzania Kryzysowego w Ministerstwie Aktywów Państwowych. 

Andrzej Szyszko, Zastępca Dyrektora ds. Cyberbezpieczeństwa Departamentu Bezpieczeństwa i Zarządzania Kryzysowego, Ministerstwo Aktywów Państwowych

„Cyberbezpieczeństwo w sektorze energii to przede wszystkim sieci inteligentne, klastry energii i systemy reagowania. Rozumiemy przez to operatorów systemu przesyłowego, jednostki wytwórcze centralnie dysponowane, operatorów systemu dystrybucyjnego oraz wszystkich innych operatorów wyznaczonych decyzjami administracyjnymi. Do 4 lutego w sektorze energii zostało zidentyfikowanych 73 operatorów. Przewidujemy, że łącznie będzie ich około 250” – mówił Andrzej Szyszko.

Przykładowo w podsektorze energii cieplnej, według danych Prezesa Urzędu Regulacji Energetyki, działają 462 podmioty. Nie wszystkie będą w przyszłości operatorami usług kluczowych. „Chcemy podnieść progi kwalifikowania jako operatora usług kluczowych z 50 do 100 megawatów termicznych” – zapowiadał Andrzej Szyszko.

Fundamentalne znaczenie dla ostatecznego sukcesu, rozumianego jako wzrost ogólnego poziomu cyberbezpieczeństwa, ma współpraca i wymiana informacji w skali całego sektora i kraju. Jeszcze Ministerstwo Energii zainicjowało porozumienie, w ramach którego wszyscy operatorzy usług kluczowych będą mogli bezpiecznie wymieniać informacje między sygnatariuszami jednej umowy z ministerstwem (zamiast podpisywania wielu umów z poszczególnymi podmiotami). Spółki mogłyby wymieniać informacje o zidentyfikowanych zagrożeniach, obsłudze incydentów, dzielić się wiedzą i doświadczeniami.

Prace mające na celu podniesienie poziomu świadomości są wstępem do stworzenia ISAC, czyli centrum wymiany informacji i analiz dla sektora energii. Organizacja miałaby powstać na bazie Polskiego Towarzystwa Przesyłu i Rozdziału Energii Elektrycznej (PTPiREE). Jej finansowanie pochodziłoby ze składek członków – którymi byliby: OUK, OUC, uczelnie i instytuty oraz dostawcy rozwiązań – przy wsparciu Ministerstwa Aktywów Państwowych w zapewnieniu obsługi administracyjno-biurowej, przynajmniej na początku działalności.

Utworzenie takiego centrum pozwoliłoby na wymianę doświadczeń i tworzenie najlepszych praktyk, identyfikowanie podatności, w tym także dotyczących automatyki przemysłowej. Centrum ISAC organizowałoby tematyczne spotkania grup roboczych, publikowało biuletyny i alerty, a także zajęło się procedurami kontrolnymi, m.in. metodyką prowadzenia audytów. 

„Wielkimi krokami zbliża się także powołanie CSIRT sektorowego, który powinien ostatecznie – ze względu na podobne zadania – wyewoluować z ISAC. W ciągu najbliższych miesięcy prace w tym kierunku mają nabrać tempa” – zapowiadał Andrzej Szyszko.

Fundamentalne znaczenie dla ostatecznego sukcesu, rozumianego jako wzrost ogólnego poziomu cyberbezpieczeństwa, ma współpraca i wymiana informacji w skali całego sektora i kraju.

Inwentaryzacja na początek

Patryk Gęborys, Associate Partner, Cyber Security, EY

Dane z raportu EY „Global Information Security Survey 2019”, który opublikowany zostanie w pierwszym kwartale br., wskazują, że krajobraz zagrożeń OT jest podobny do tego, jaki znamy z poprzednich lat. „Coraz częściej mamy jednak do czynienia z atakami z zewnątrz: 39%, a nie jak dotychczas z wewnątrz organizacji: 34%. Przy tym w ataki insiderów wliczane są ataki celowane, ale także błędy pracowników. Inna ciekawostka z raportu jest taka, że firmy obserwują coraz częściej ataki grup sponsorowanych przez państwa, a 10% przyznaje się, że nie wie, skąd pochodzą ataki” – mówił Patryk Gęborys, Associate Partner, Cyber Security w EY, podczas wystąpienia poświęconego kluczowym elementom ochrony infrastruktury krytycznej.

Wszyscy mierzą się z podobnymi problemami: funkcjonowaniem w silosach między IT a OT, niedostateczną komunikacją i brakiem funduszy, koniecznością pracy w starych systemach, w których nie można wdrażać poprawek bezpieczeństwa, a także z niezrozumieniem zarządów, jak podejść do bezpieczeństwa. Co ciekawe, ze wspomnianego badania EY wynika, że jedynie 40% zarządów rozumie, na czym polega cyberbezpieczeństwo w OT.

„Podstawowym problemem jest jednak kwestia zarządzania majątkiem, kwestia wiedzy o tym, czym zarządzamy. To podstawa do budowania bezpieczeństwa w OT. To ma duże konsekwencje później dla wszystkich realizowanych procesów” – dodawał Patryk Gęborys.

Z badania EY wynika, że jedynie 40% zarządów firm rozumie, na czym polega cyberbezpieczeństwo w OT.

Rozdźwięk pomiędzy tym, co myślimy, że mamy, a tym, co faktycznie mamy, może być ogromny. Przedstawiciele EY podawali przykład projektu, w którym klient był przekonany o posiadaniu w jednej lokalizacji kilkudziesięciu aktywów OT, a inwentaryzacja pokazała obecność blisko 5 tys. takich aktywów. Dlaczego tak się dzieje? W dokumentach automatyka jest często pomijana. Odnotowywane jest posiadanie instalacji lub systemów, ale pomija się fakt, że składają się one z wielu komponentów, sensorów, sterowników itp. Tymczasem jeżeli nie do końca rozumiemy, z czego się składa ochraniane środowisko, trudno je zabezpieczyć.

Problemem jest także brak odpowiednich rozwiązań, podobnych do tych, które są dostępne dla środowiska IT. Wymagania wobec nich dotyczą przede wszystkim zapewnienia możliwości identyfikacji. Przy tym potrzebna jest wiedza o całości środowiska. Nie wszędzie wystarczy podejście automatyczne, trzeba uzupełnić je działaniem manualnym. Kolejna kwestia to jakość informacji, precyzja danych. Wreszcie ostatnia rzecz to zarządzanie ryzykiem na bazie informacji o środowisku.

Takie rozwiązania pozwalają uzyskać wiedzę o tym, jak faktycznie wygląda ochraniana środowisko: jakiego typu mamy aktywa, jakich producentów, jaki tam jest firmware, czy poszczególne składniki są aktualizowane. Dzięki temu otrzymujemy kompletny obraz stanu OT. Przykładowo większość znanych ataków została przeprowadzona przez zmianę firmware. Jeśli jesteśmy w stanie to wychwycić, to jesteśmy w stanie się przed tym zabezpieczyć, a przynajmniej stwierdzić, że coś się dzieje w infrastrukturze.

Piotr Ciepiela, EMEIA OT/IoT Security & Critical Infrastructure Leader, EY

„Dobra inwentaryzacja zasobów OT jest pierwszym krokiem do cyberbezpieczeństwa. Dzięki niej zyskujemy świadomość wrażliwych aktywów OT, dowiadujemy się, jakiego sprzętu mamy najwięcej, jaki sprzęt jest najstarszy. Mamy także ułatwione planowanie w celu optymalizacji operacji, a także zyskujemy lepszą pozycję podczas rozmów z dostawcami rozwiązań OT. Na tym budujemy swoje zarządzanie ryzykiem” – mówił Piotr Ciepiela, EMEIA OT/IoT Security & Critical Infrastructure Leader w EY.

W dokumentacji automatyka jest często pomijana. Odnotowywane jest posiadanie instalacji lub systemów, ale pomija się fakt, że składają się one z wielu komponentów, sensorów, sterowników.

Zarządzanie ryzykiem jest kluczowe

Przedstawiciele EY zwracali również uwagę, że jednorazowa inwentaryzacja nie wystarcza, bo środowisko OT, choć powoli, to jednak się zmienia – zmieniają się parametry, nastawy. Dlatego za inwentaryzacją musi iść proces pozwalający na śledzenie zmian. Dopiero wówczas można mówić o procesach monitorowania środowiska, detekcji, reagowaniu na incydenty. Jak bowiem reagować, kiedy nie wiemy, gdzie aktywa się znajdują? Jak mówić o threat intelligence, jeśli nie wiemy, ile czego mamy?

Michał Borucki, Prezes Zarządu, Blue Energy

Na znaczenie zarządzania majątkiem oraz ryzykiem zwracał uwagę także Michał Borucki, prezes zarządu Blue Energy, opowiadając o tym, dlaczego na początku drogi do wdrożenia Ustawy o KSC warto poznać wszystkie swoje słabości. „Cyberbezpieczeństwo musi być częścią strategii organizacji, a zarządzanie majątkiem nie jest jednorazowym projektem. Dlatego podstawą myślenia o bezpieczeństwie jest wdrożenie procesów. Najważniejszym mechanizmem jest zarządzanie ryzykiem” – mówił Michał Borucki.

dr Roman Marzec, Dyrektor ds. Bezpieczeństwa, Grupa LOTOS

W podobnym tonie wypowiadał się też dr Roman Marzec, dyrektor ds. bezpieczeństwa w Grupie LOTOS, który opowiadał o ochronie infrastruktury krytycznej w kontekście proponowanych zmian w ustawie o zarządzaniu kryzysowym: „Przy ochronie infrastruktury krytycznej powiedzenie: jest ryzyko, jest zabawa, nie może być brane pod uwagę. Zarządzanie ryzykiem jest kluczowym elementem ochrony infrastruktury krytycznej”.

Cyberbezpieczeństwo musi być częścią strategii organizacji. Najważniejszym mechanizmem jest zarządzanie ryzykiem.

Szczegółowy program konferencji „InfraSEC Forum 2020” można znaleźć na stronie https://infrasecforum.pl/agenda-konferencji/.