Cyber sztuka samoobrony

Cyber sztuka samoobrony
Fot. Adobe Stock. Data dodania: 20 września 2022

Kiedyś wojny toczono o krainy, poddanych, ziemię pod uprawy, potem o zasoby naturalne... Dziś - o informacje. Coraz bardziej kluczowa staje się wobec tego rola cyberbezpieczeństwa.

Naukowa i Akademicka Sieć Komputerowa (NASK) podaje, że w zeszłym roku zespół CERT Polska (część Narodowego Centrum Cyberbezpieczeństwa) odnotował 7275 zgłoszeń o podejrzanych aktywnościach. W 1926 przypadkach stanowiły one faktyczne naruszenie bezpieczeństwa, w tym związane z kradzieżą danych, podszywaniem się pod cudzą tożsamość czy infekowaniem złośliwym oprogramowaniem.

- Pod ostrzałem znajdują się banki, administracja publiczna, indywidualni użytkownicy sieci, a przede wszystkim serwery przedsiębiorstw. W Narodowym Centrum Cyberbezpieczeństwa notujemy stały wzrost liczby cyberataków - wskazuje Wojciech Kamieniecki, dyrektor NASK, instytutu badawczego, podległego Ministerstwu Cyfryzacji.

- Tak naprawdę nie wiemy, które elementy infrastruktury są dla nas najbardziej krytyczne. Szokujące, jak dużą część elementów infrastruktury penetrują przestępcze grupy! - ocenia Robert Kośla, dyrektor bezpieczeństwa publicznego, National Security & Defense w Microsoft Central & Eastern Europe.

Unijna mobilizacja

Zdaniem Krzysztofa Silickiego, dyrektora ds. współpracy i rozwoju cyberbezpieczeństwa w NASK, a zarazem wiceprzewodniczącego Rady Zarządzającej Agencji Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji (ENISA), są branże, w których firmy traktują cyberbezpieczeństwo bardzo poważnie - to telekomunikacja czy bankowość.

Ewa Kurowska-Tober, partner w kancelarii prawnej DLA Piper, zwraca jednak uwagę, że nie wszystkie sektory, w skład których wchodzi infrastruktura krytyczna, mają równie wysoką świadomość cyberzagrożeń jak sektor finansowy.

- Dla nich regulacje prawne będą istotne, by edukować - choćby w kwestii dzielenia się informacjami czy nieukrywania ataków - mówi.

- Mimo że odpowiedzialność za cyberbezpieczeństwo spoczywa w pierwszej kolejności na firmie, potrzebne są drogowskazy w postaci regulacji prawnych, wyznaczających standardy i procedury współpracy oraz wymiany informacji. Dopiero wtedy może skutecznie działać ekosystem cyberobrony - zgadza się z nią Krzysztof Silicki.

Wielu takich wektorów dostarcza wydana przez Komisję Europejską w sierpniu 2016 r. dyrektywa w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych - NIS (Network and Information Security).

Cel nadrzędny? Ujednolicenie w możliwie jak najwyższym stopniu poziomu cyberbezpieczeństwa w Unii, w tym obowiązek wyznaczania i przestrzegania odpowiednich wymogów bezpieczeństwa, raportowania o istotnych incydentach, nacisk na mechanizmy współpracy operacyjnej i na poziomie strategicznym - w kraju oraz na szczeblu unijnym.

Jeśli chodzi o firmy, zapisy dyrektywy w kluczowy sposób odnoszą się do tzw. operatorów usług kluczowych (reprezentujących m.in. takie sektory jak energetyka, bankowość, transport czy zdrowie) i dostawców usług cyfrowych - czyli internetowych platform handlowych, wyszukiwarek internetowych i usług przetwarzania w chmurze.

Administracje unijnych państw członkowskich muszą natomiast przyjąć narodową strategię bezpieczeństwa sieci i systemów informatycznych, wyznaczyć organy odpowiedzialne za monitoring i koordynację wprowadzania postanowień dyrektywy, punkty kontaktowe ds. współpracy międzynarodowej, a także zespoły typu CSIRT (reagujące na incydenty bezpieczeństwa).

Na wprowadzenie postanowień dyrektywy do prawa krajowego kraje unijne mają 21 miesięcy (licząc od sierpnia 2016 r.) i dodatkowe sześć miesięcy na opracowanie spisu operatorów usług kluczowych.

Potrzeba klimatu

Dotyczącą cyberbezpieczeństwa współpracę utrudnia niechęć przedsiębiorstw do dzielenia się trudnymi doświadczeniami. I właśnie z tym problemem mierzy się dyrektywa NIS, ustanawiając wymóg raportowania znaczących incydentów bezpieczeństwa do centralnego ośrodka analitycznego (w Polsce - do Narodowego Centrum Cyberbezpieczeństwa).

- Dzięki zgłoszeniom jesteśmy w stanie wydawać ostrzeżenia dla całego sektora gospodarki, ale też dla innych sektorów, bo zagrożenia naturalnie mogą przenosić się między branżami - podkreśla Krzysztof Silicki.

Według Tomasza Zdzikota, podsekretarza stanu w Ministerstwie Spraw Wewnętrznych i Administracji, o cyberbezpieczeństwie trzeba rozmawiać w trójkącie administracja-nauka-biznes. - Mamy utalentowanych ludzi, trzeba znaleźć sposób, by wykorzystywali talenty na rzecz polskiej administracji, a nie zagranicznych korporacji - przekonuje.

Jako przykład próby poszukiwania synergii między możliwościami zasobów państwowych i światem biznesu wskazał - zarysowany w Strategii na rzecz Odpowiedzialnego Rozwoju - program Cyberpark Enigma. Cel: rozwój kompetencji polskich firm i jednostek naukowo-badawczych w cyberbezpieczeństwie czy analizie danych. Efekt? Wyłonienie ośrodka z potencjałem pozwalającym konkurować na europejskim rynku specjalistycznych usług IT.

Także eksperci NASK nie mają wątpliwości, że dysponujemy bardzo dobrym zapleczem intelektualnym i analitycznym, a budowa krajowego systemu cyberbezpieczeństwa pozwoli skorzystać z tych zasobów, obecnie często rozproszonych. Potrzeba jedynie odpowiedniego klimatu zaufania i regulacji, ułatwiających taką działalność oraz aktywność przedsiębiorstw.

Łukasz Kister, dyrektor Biura Infrastruktury Krytycznej w Polskich Sieciach Elektroenergetycznych (PSE), przypomina, że - w ramach Polskiego Towarzystwa Przesyłu i Rozdziału Energii Elektrycznej (PTPiREE) - utworzono zespół ds. cyberbezpieczeństwa. I tak charakteryzuje jego zadania:

- Ideą jest stworzenie czegoś w rodzaju sektorowego e-CERT dla elektroenergetyki, by wspólnie radzić sobie z tego typu problemami.

Grzegorz Bojar, dyrektor Departamentu Teleinformatyki w PSE, rzeczowo objaśnia: - Wiedzieliśmy, że Narodowe Centrum Cyberbezpieczeństwa nie będzie w stanie współpracować z setkami firm w kraju, a skoro to PSE odpowiadają za stan bezpieczeństwa sieci elektroenergetycznej, uznaliśmy, że musimy pochylić się także nad stroną cyberbezpieczeństwa. Chcemy być koordynatorem tego przedsięwzięcia. A to wszystko ma służyć uczeniu się, wymianie doświadczeń i budowie standardów sektorowych. Najważniejszym zadaniem jest zaś to, by wszyscy w sektorze chcieli z sobą rozmawiać, a wtedy wspólnie stworzymy narzędzia i wewnętrzne regulacje, pozwalające zapobiegać lub reagować na kryzysowe sytuacje.

Według niego, ważne, by firmy energetyczne same chciały przystępować do sektorowego e-CERT-u. Ale... Trzeba je przedtem przekonać, że celem nie jest wykradanie ich tajemnic, a wspólne radzenie sobie z problemami.

- W niespełna rok zbudowaliśmy w pełni operacyjne, działające 24 godziny na dobę centrum koordynujące działania w odpowiedzi na incydenty w poszczególnych podmiotach - informuje Juliusz Brzostek, dyrektor Narodowego Centrum Cyberbezpieczeństwa (NC Cyber). Jego zdaniem bezpieczeństwo w cyberprzestrzeni zaczyna się od kompetencji i partnerstwa: zarówno podmioty prywatne, jak i państwowe, trzeba przekonać, by zaczęły współpracować - między sobą i z NC Cyber. Centrum rozmawia z 55 partnerami, podpisało już porozumienia z 32; do końca roku ich liczba powinna wzrosnąć do ok. 70, docelowo zaś może ich być nawet kilkaset.

Juliusz Brzostek przekonuje, że CERT-y sektorowe są szczególnie istotne, gdyż gromadzą unikatową wiedzę o poszczególnych branżach. Ujawnia, że dwa kolejne sektory przymierzają się do utworzenia podobnych jak w elektroenergetyce CERT-ów.

- Jesteśmy - jak łańcuch - tak silni jak najsłabsze ogniwo. Musimy pracować nad kulturą świadomości, że nigdy nie będziemy w pełni doskonali. W Grupie Lotos nie mieliśmy wprawdzie poważniejszych naruszeń cyberbezpieczeństwa, ale nie wolno bagatelizować nawet drobnych incydentów - przestrzega Roman Marzec, dyrektor ds. bezpieczeństwa w Grupie Lotos.

Tomasz Zieliński, prezes Polskiej Izby Przemysłu Chemicznego (PIPC), zwraca uwagę, że chemia należy do najczęściej atakowanych sektorów przemysłu, a cyberagresją z roku na rok obserwujemy coraz częściej.

- W dużej mierze to ataki na strony internetowe czy próby wykradania danych - np. dotyczących polityki handlowej. Nie odnotowujemy raczej ataków mogących wpływać bezpośrednio na bezpieczeństwo procesowe - zastrzega.

Robert Trętowski, wiceprezes Krajowej Izby Rozliczeniowej, przypomina, że w 2015 r. Zbigniew Jagiełło, prezes PKO BP rzucił hasło tworzenia bankowego centrum cyberbezpieczeństwa, wychodząc z założenia, że w kwestii cyfrowego bezpieczeństwa banki nie mogą konkurować, lecz muszą współdziałać. Rezultat?

- Okazało się, że banki komercyjnie mogą świetnie współpracować z publicznymi. Te dobre praktyki ujęto w strategii cyberbezpieczeństwa państwa, bo nie trzeba było wymyślać nic nowego, wystarczyło opisać coś, co podziałało - ocenia Trętowski. Jego zdaniem, najsłabszym ogniwem w infras-trukturze cyberbezpieczeństwa z punktu widzenia systemu finansowego jest zawsze użytkownik końcowy, czyli klient. Podobnego zdania jest Mirosław Forystek, dyrektor pionu IT w ING Banku Śląskim. - Najczęściej atakowane są miejsca najsłabiej zabezpieczone, a w przypadku systemu bankowego oznacza to klientów. W ścisłej czołówce ataków najbardziej skutecznych wciąż znajdują się ataki socjotechniczne - przypomina.

Legislacja? Początek drogi

Andrzej Zygmunt, wicedyrektor Departamentu Obrony Narodowej w Najwyższej Izbie Kontroli, jest zdania, że w kwestii cyberbezpieczeństwa trzeba wykonać pracę i na poziomie obywateli, i przedsiębiorstw, i instytucji. Przypomnijmy, że w 2015 r. NIK negatywnie oceniła stan przygotowań państwa do obrony przed zagrożeniami cyberbezpieczeństwa.

- Nie było wówczas koordynacji działań, strategii, nadzoru i współpracy; kontrola stwierdziła także wiele zachowań biernych lub niewystarczających - ze strony organów odpowiedzialnych, choć były też przykłady aktywności i wychodzenia naprzeciw problemom (tu można wskazać Ministerstwo Obrony Narodowej) - przypominał przedstawiciel NIK.

Wojciech Dziomdziora, radca prawny z Kancelarii Domański Zakrzewski Palinka, uważa, że od czasu kontroli NIK niewiele się pod tym względem zmieniło, a ramy prawne cyberbezpieczeństwa w Polsce wciąż są dalece niedoskonałe.

- Brakuje regulacji horyzontalnej; są jedynie sektorowe lub wycinkowe; czekamy na implementację dyrektywy NIS - oceniał Dziomdziora.

W opinii Krzysztofa Silickiego, stworzona niedawno strategia cyberbezpieczeństwa RP na lata 2017-22 stanowi istotny krok na drodze implementacji dyrektywy w Polsce.

- Zespół międzyresortowy, który ją opracował, zajmuje się dziś wypracowaniem planu jej wdrażania. Jeden z najważniejszych celów to oczywiście dostosowanie polskiego systemu do wymogów dyrektywy. Dojdzie do przeglądu koniecznych zmian w polskim prawie, by transpozycja dyrektywy NIS mogła się dokonać w wymaganym terminie. Ministerstwo Cyfryzacji już zresztą równolegle pracuje nad propozycją ustawy o krajowym systemie cyberbezpieczeństwa, której celem jest m.in. implementacja dyrektywy. Pamiętajmy też, że u nas jest na czym budować cyberbezpieczeństwo na poziomie krajowym. Wystarczy wspomnieć o działającym od 1996 r. w NASK zespole CERT Polska, który może stać się jednostką reagowania na incydenty w rozumieniu dyrektywy - podkreśla Silicki.

Być jak energetyka

Jak wyjaśnia Jarosław Łuba, główny specjalista w departamencie cyberbezpieczeństwa w Ministerstwie Cyfryzacji, strategia cyberbezpieczeństwa wyznacza priorytety i cele realizacyjne. Włączono do niej także sferę infrastruktury krytycznej, bezpieczeństwa narodowego i porządku publicznego, bo - zgodnie z dyrektywą - mechanizmy wymiany informacji muszą uwzględniać także kwestię obronności. Idea resortu cyfryzacji? Zaangażować w ten proces wszystkich interesariuszy ze sfery cywilnej i wojskowej. Do priorytetów należy przygotowanie ustawy o krajowym systemie cyberbezpieczeństwa: ma zapewnić horyzontalne oddziaływanie dyrektywy i sprawić, że rozbudowany system będzie właśnie całościowy, a nie wycinkowy.

Ustawa powinna zdefiniować i umocować prawnie role wynikające z dyrektywy, takie jak wspomniane organy właściwe, krajowy punkt kontaktowy czy krajowy CSIRT (to cel minimum). I jasno wskazać, jak w naszym kraju będzie całościowo wyglądał system koordynacji i współpracy w dziedzinie cyberbezpieczeństwa, stworzyć również warunki jego skutecznego działania i rozwoju.

Łukasz Kister przyznaje, że oczekiwania sektora energetyki wobec ustawy są wymagające.

- Liczyliśmy, że ustawodawca uwzględni, że w grę wchodzi nie tylko administracja. Pierwsze działania resortu cyfryzacji były tak ukierunkowane, odbyliśmy wiele spotkań o tym, w którym kierunku powinny zmierzać zmiany przepisów... Ostatnio jednak ministerstwo konsultuje się głównie z innymi resortami. A kluczowych usług nie świadczą przecież instytucje publiczne, a przedsiębiorstwa - w dużej mierze prywatne i nierzadko z kapitałem zagranicznym. Dodatkowo sektor energii jest specyficzny. Ważne, by nie przeregulować tej sfery, bo wymaganiom, które jedna branża wypełni, inna może nie sprostać. Na przykład: PSE - operator infrastruktury przesyłowej - może spełnić jakieś wymogi, a dystrybutorzy energii - już nie, gdyż działają na komercyjnym rynku (nawet jeśli ich właścicielem jest Skarb Państwa) - wskazuje Łukasz Krister.

Czy to płonne niepokoje? Wiadomo - diabeł tkwi w szczegółach. A o tym, jak resort cyfryzacji pogodzi interesy obywateli, firm i państwa, dowiemy się dopiero z ostatecznego projektu ustawy.
×

DALSZA CZĘŚĆ ARTYKUŁU JEST DOSTĘPNA DLA SUBSKRYBENTÓW STREFY PREMIUM PORTALU WNP.PL

lub poznaj nasze plany abonamentowe i wybierz odpowiedni dla siebie. Nie masz konta? Kliknij i załóż konto!

Zamów newsletter z najciekawszymi i najlepszymi tekstami portalu

Podaj poprawny adres e-mail
W związku z bezpłatną subskrypcją zgadzam się na otrzymywanie na podany adres email informacji handlowych.
Informujemy, że dane przekazane w związku z zamówieniem newslettera będą przetwarzane zgodnie z Polityką Prywatności PTWP Online Sp. z o.o.

Usługa zostanie uruchomiania po kliknięciu w link aktywacyjny przesłany na podany adres email.

W każdej chwili możesz zrezygnować z otrzymywania newslettera i innych informacji.
Musisz zaznaczyć wymaganą zgodę

KOMENTARZE (0)

Do artykułu: Cyber sztuka samoobrony

NEWSLETTER

Zamów newsletter z najciekawszymi i najlepszymi tekstami portalu.

Polityka prywatności portali Grupy PTWP

Logowanie

Dla subskrybentów naszych usług (Strefa Premium, newslettery) oraz uczestników konferencji ogranizowanych przez Grupę PTWP

Nie pamiętasz hasła?

Nie masz jeszcze konta? Kliknij i zarejestruj się teraz!