Cyberataki na infrastrukturę krytyczną to wciąż głównie działalność przestępców, a nie terrorystów. Trzeba jednak robić wszystko, aby przeciwdziałać i jednym i drugim - przekonywali uczestnicy sesji „Cyberbezpieczeństwo infrastruktury krytycznej” na Europejskim Kongresie Gospodarczym 2017.
W jego opinii brakuje wiedzy po stronie dysponentów infrastruktury, a z drugiej strony wykorzystania informacji, które już są w ich posiadaniu. - Trzeba zacząć od świadomości sytuacyjnej, bo bez tego trudno będzie coś poprawić. Jest próba inwentaryzacji zasobów fizycznych infrastruktury krytycznej, jeśli w podobnym kierunku pójdziemy w zakresie infrastruktury teleinformatycznej, widzę światełko w tunelu - dodał.
Ram Levi, prezes firmy Konfidas z Izraela przekonywał, że główne cyberzagrożenia są podobne na całym świecie i pochodzą od osób, chcących zakłócić funkcjonowanie infrastruktury. Jego zdaniem organizacje terrorystyczne zazwyczaj nie mają do tego motywacji, bo operują strachem, a cyberprzestępczość zwykle go nie gwarantuje. - Właściciele infrastruktury często mają świadomość zagrożeń, ale nie inwestują w cyberbezpieczeństwo, bo nastawieni są przede wszystkim na zarabianie pieniędzy. Dlatego potrzebne są odpowiednie regulacje, dostosowane do specyfiki danego sektora oraz przestrzegające ich instytucje - mówił.
Jak przypomniał Robert Trętowski, wiceprezes Krajowej Izby Rozliczeniowej, jeszcze kilka lat temu sektor bankowy próbował realizować prace uszczelniające system bankowy pod względem cyberbezpieczeństwa w rozproszeniu. Jednak w 2015 roku prezes PKO BP rzucił hasło stworzenia bankowego centrum cyberbezpieczeństwa, którego główną ideą było, że w zakresie cyfrowego bezpieczeństwa banki nie mogą ze sobą konkurować, a muszą współpracować. - Okazało się, że banki komercyjnie mogą świetnie współpracować z publicznymi. Te dobre praktyki zostały ujęte w strategii cyberbezpieczeństwa państwa, bo nie trzeba było wymyślać nic nowego, a wystarczyło opisać coś co zadziałało - powiedział.
Jego zdaniem najsłabszym ogniwem w infrastrukturze cyberbezpieczeństwa z punktu widzenia systemu finansowego jest zawsze użytkownik końcowy, czyli klient.
Podobnego zdania był Mirosław Forystek, dyrektor pionu IT w ING Banku Śląskim. - Najczęściej atakowane są miejsca najsłabiej zabezpieczone, a w przypadku systemu bankowego oznacza to klientów. W ścisłej czołówce ataków najbardziej skutecznych wciąż znajdują się ataki socjotechniczne - ocenił.
Jak powiedział Piotr Januszewicz, dyrektor Departamentu Cyberbezpieczeństwa w Ministerstwie Cyfryzacji, przyjęte właśnie krajowe ramy cyberbezpieczeństwa to dokument o charakterze ogólnym, a dopiero następne kroki będą nas przybliżały do realnych działań.
- Nie wychodzimy z założenia, że rząd ma narzędzia do wypracowania standardów dla przemysłu. Naszą rolą jest raczej być moderatorem, który doprowadzi do tego, żeby operatorzy infrastruktury krytycznej się spotkali i wspólnie wypracowali te standardy, bo to oni najlepiej znają realia, w których działają - zapewnił.
Według niego pierwsza z grup sektorowych już stworzyła pierwszy szkic takich standardów. - To nie państwo ma mówić jak mamy urządzać życie w swoim ogródku. Natomiast pomożemy przekuć te standardy w formalne dokumenty, które będą obowiązywać - dodawał.
Zastrzegł przy tym, że pewne elementy są częścią wspólną dla wszystkich branż i w związku z tym podlegają wspólnemu opracowaniu.
Ewa Kurowska-Tober, partner w kancelarii prawnej DLA Piper zwróciła uwagę, że nie wszystkie sektory, w skład których wchodzi infrastruktura krytyczna, mają tak wysoką świadomość cyberzagrożeń jak sektor finansowy. - Dla nich powstające regulacje prawne będą istotne, żeby edukować, choćby w kwestii dzielenia się informacjami, nieukrywania ataków itp. - mówiła.
O początkach sektorowego eCERT dla elektroenergetyki opowiadał Grzegorz Bojar, dyrektor Departamentu Teleinformatyki w Polskich Sieciach Elektroenergetycznych. - Wiedzieliśmy, że Narodowe Centrum Cyberbezpieczeństwa nie będzie w stanie współpracować z setkami firm w całym kraju, a skoro to PSE odpowiadają za stan bezpieczeństwa sieci elektroenergetycznej, uznaliśmy, że musimy pochylić się także nad stroną cyberbezpieczeństwa - wyjaśniał. Zapewnił, że PSE nie przymusza kogokolwiek do uczestnictwa w eCERT, to oferta i usługa, a porozumienia o współpracy podpisywane są z kolejnymi podmiotami z branży. - Chcemy być natomiast koordynatorem i koncentratorem tych działań, dlatego mamy też w PSE centrum operacyjne bezpieczeństwa. To wszystko ma służyć uczeniu się, wymianie doświadczeń i budowaniu standardów sektorowych - podkreślał.
Juliusz Brzostek, dyrektor Narodowego Centrum Cyberbezpieczeństwa (NC Cyber) poinformował o tym co udało się zrobić przez niespełna rok funkcjonowania centrum. - Zbudowaliśmy w pełni operacyjne, działające 24 godziny na dobę centrum koordynujące działania w odpowiedzi na incydenty w poszczególnych podmiotach. Bezpieczeństwo w cyberprzestrzeni zaczyna się od kompetencji i partnerstwa. To zarówno podmioty prywatne, jak i państwowe, które trzeba przekonać, żeby zaczęły współpracować między sobą i z NC Cyber - mówił. Jak wymienił, NC Cyber rozmawia z 55 partnerami, podpisało już porozumienia z 32 partnerami, do końca roku ich liczba powinna wzrosnąć do ok. 70, a docelowo może ich być nawet kilkaset.
Szef NC Cyber przekonywał, że CERT-y sektorowe są szczególnie istotne, bo gromadzą unikalną wiedzę dotyczącą poszczególnych branż. Juliusz Brzostek ujawnił również, że dwa kolejne sektory przymierzają się do utworzenia podobnych CERT-ów jaki działa już w elektroenergetyce. - Inne branże będziemy starali się wspierać bezpośrednio z centrum - zapowiedział.
Przyznał natomiast, że od powstającej ustawy o cyberbezpieczeństwie NC Cyber oczekuje jasno zdefiniowanych zadań i przepisów, które umożliwią ich realizację, czyli przede wszystkim usunięcia barier prawnych oraz stworzenia możliwości, takich jak np. zapisy obligujące do wymiany informacji. - Choć uważam, że skuteczniejsze jest pokazywanie korzyści płynących z takiej wymiany - dodał
Ram Levi powiedział, że większość cyberataków na świecie ma charakter kryminalny i jest wymierzona w sektor prywatny, dlatego to właśnie ten sektor „odwala większość roboty” w zakresie cyberbezpieczeństwa, a nie rządy.
Jego zdaniem, żeby te wysiłki były skuteczne, konieczne są lepiej zabezpieczone produkty, poszukiwanie innowacyjnych rozwiązań we współpracy ze startupami, które szybciej od dużych korporacji potrafią znajdować odpowiednie rozwiązania, a także powszechne dzielenie się informacjami dotyczącymi cyberataków.
KOMENTARZE (0)
Do artykułu: Nie będzie cyberbezpieczeństwa bez wymiany informacji