Ochrona infrastruktury krytycznej wymaga przemyślanych rozwiązań

Ochrona infrastruktury krytycznej wymaga przemyślanych rozwiązań
Fot. Adobe Stock. Data dodania: 20 września 2022

Ważna dla funkcjonowania państwa i gospodarki infrastruktura, obiekty przemysłowe czy służba zdrowia są współcześnie narażone na liczne zagrożenia. Obok ryzyka awarii, katastrof, aktów sabotażu czy terroru to także ataki cyberprzestępców. Ze względu na coraz bardziej wyrafinowane metody działań kryminalnych ochrona systemów teleinformatycznych, automatyki przemysłowej i systemów sterowania jest najtrudniejsza. O tym jak zbudować system ochrony infrastruktury krytycznej (IK) dyskutowano podczas panelu „Cyberbezpieczeństwo i infrastruktura krytyczna” w czasie Europejskiego Kongresu Gospodarczego.

Choć lista obiektów zaliczonych do infrastruktury krytycznej jest w Polsce utajniona, wiadomo że są to m.in. infrastruktura energetyczna czy wodociągowa, niektóre obiekty budowlane i instalacje przemysłowe. Niegdyś poza zainteresowaniem internetowych przestępców, dziś cele dla ataków. – Efektywna ochrona wymaga wiedzy i doświadczenia, a tych nabywa się dzięki wymianie informacji między operatorami infrastruktury krytycznej i dialogu z administracją. W obu przypadkach taka współprac w Polsce jest niedoskonała – uważa Jakub Bojanowski – partner z Działu Zarządzania Ryzykiem w firmie Deloitte.

To problem ogólnoeuropejski, Stany Zjednoczone wypracowały już procedury i standardy komunikacyjne. – To jedne wyjście, jeśli myślimy o skutecznym przeciwdziałaniem zagrożeniom i obronie newralgicznych instalacji. W USA współpraca biznesu i przedsiębiorstw z administracją stoi na wysokim poziomie – komentuje Ann Johnson, wiceprezes Enterprise Cybersecurity Group w spółce Microsoft.

Coraz groźniej

A ryzyko ataków nieustannie rośnie. – Obserwujemy silny wzrost ataków na firmy z branż dotychczas uważanych za stosunkowo bezpieczne. Cyberprzestępcy zwykle działają dla pieniędzy, to główny powód ataków. Zwykle takie zdarzenie są ukrywane przez przedsiębiorstwa, z uwagi na kwestie wizerunkowe – komentuje Ewa Kurowska-Tober, partner kierująca praktyką IPT w kancelarii DLA Piper.

Przedsiębiorstwa dysponują wieloma obiektami IK, a jednocześnie mają miękkie podbrzusze wystawione na niebezpieczeństwa. – Jedną z przyczyn wysokiego ryzyka w razie ataku na instalacje przemysłowe jest brak presji na modernizację rozwiązań IT. W licznych przedsiębiorstwach przemysłowych w obszarze automatyki i sterowania działają systemy operacyjne zainstalowane kilkanaście lat temu i niezwykle podatne na atak. Ponieważ są włączone do sieci firmowych, stają się łatwym celem dla przestępców – tłumaczy Jakub Bojanowski.

Często nie sprzyja też postawa przedsiębiorstw. Biznes nie tylko niechętnie ujawnia incydenty, nie chce też dzielić się doświadczeniami z innymi przedsiębiorstwami, np. we własnej branży. Daleko posunięta dyskrecja sprzyja cybeprzestępcom. – Planowany system monitorowania połączony z nakazem informowania może pomóc w tej sytuacji – mówi Ewa Kurowska-Tober. Rozwiązanie ma zapewniać przedsiębiorstwom ochronę informacji poufnych.

– IK w przemyśle i energetyce to złożony problem, zagrożenia są zwykle innej natury niż np. w sektorze finansowym, a zapewnienie bezpieczeństwa wymaga przygotowywania planów na przyszłość i gotowość do reakcji na zaskakujące działania przestępców – stwierdza Dariusz Kluska, dyrektor ds. bezpieczeństwa i infrastruktury krytycznej w firmie Tauron Wytwarzanie.

Pomogą dobre regulacje

Ewa Kurowska-Tober podkreśla, że w Unii Europejskiej brakuje jednorodnych przepisów, obowiązują lokalne regulacje znacząco się różniące. – Przy czym w UE dość wcześnie zidentyfikowano problemy i trwają prace nad dyrektywą NIS (Network and Information Security) mająca zagwarantować wysoki poziom bezpieczeństwa sieci i informacji. To może być przełom. Stany Zjednoczone radzą sobie pod tym względem zdecydowanie lepiej – nasz cel to dogonić USA – komentuje. Przy czym jak każda dyrektywa, NIS będzie wdrażana w różny sposób w różnych krajach. Partner w DLA Piper przypomina, że każde państwo członkowskie samodzielnie definiuje podmioty odpowiedzialne za IK. Przykładowo w Wielkiej Brytanii współpracują administracja, policja, sektor prywatny i uczelnie, w niektórych krajach, np. Hiszpanii czy Włoszech, problemami zajmują się służby specjalne, w innych sektor prywatny i instytucje cywilne. – W Polsce nie ma jednolitego ustawodawstwa – zaznacza Ewa Kurowska-Tober.

Formalnie kwestie bezpieczeństwa infrastruktury krytycznej reguluje ustawa o zarządzaniu kryzysowym. – Jednak różne przepisy rozproszone są w dziesiątkach innych regulacji. Mamy też problemy terminologiczne – różne pojęcie opisują te same zjawiska, brakuje jednoznacznych definicji. Musimy uporządkować terminologię, a przepisy dotyczące IK włożyć do jednej ustawy. Organy regulacyjne powinny wyjaśniać interpretację przepisów na użytek biznesu. To olbrzymia praca na kilka lat – przekonuje radca prawny.

O potrzebie standardów zabezpieczeń i regulacji prawnych mówi też Dariusz Kluska. – Pozwolą wypracować metody ochrony i współpracy, by uniknąć porażek. Konieczna jest współpraca administracji i sektora prywatnego: pierwsza odpowiada za bezpieczeństwo kraju, druga często posiada obiekty krytyczne. Należy uregulować dużą część wspólną. Dziś brak jasnych wytycznych może w pewnych przypadkach powodować, że operatorzy IK nie zawsze wiedzą jak mają działać – jakie mają obowiązki, jakie procedury, jak reagować na zdarzenia.

Jakub Bojanowski dodaje, że od ustawodawcy znacznie większe doświadczenie ma sektor przedsiębiorstw, przemysł czy energetyka znają problem. – Dlatego administracja powinna wspólnie z przedsiębiorcami opracować wytyczne i przepisy dla operatorów IK. Taką współpracę widać już w energetyce – informuje.

Ekspert z Deloitte wskazuje też inne problemy: brakuje jednego podmiotu odpowiedzialnego za bezpieczeństwo IK, dotychczasowe regulacje bywały bardzo szczegółowe, np. nakazywały zmiany hasła co 30 dni. – Nie od takich działań zależy bezpieczeństwo. Nowe rozporządzenie powinno obyć się bez szczegółowych zapisów i zachęcać do uzyskiwania certyfikatów bezpieczeństwa, tworzenia polityk bezpieczeństwa i zbiorów dobrych praktyk. Sprawy techniczne powinny jednak pozostać w gestii przedsiębiorstw – uważa Jakub Bojanowski.

Pieniądze i specjaliści

Do rozwiązania pozostają też takie kwestie jak finansowanie ochrony IK i deficyt kadr. – W USA uregulowane są modele finansowania ochrony IK – producenci we współpracy organizacjami publicznymi wspólnie planują wydatki tak, by zachować równowagę pomiędzy stronami – stwierdza Ann Johnson. Ewa Kurowska-Tober podkreśla, że każdy nowy przepis generuje koszty związane z dostosowaniem do regulacji. – Duże firmy nie mają problemów z ponoszeniem tych kosztów, gorzej jest w sektorach „biedniejszych” np. w służbie zdrowia, który przetwarza bardzo wrażliwe dane – komentuje.

Dariusz Kluska uważa, że kwestie bezpieczeństwa to nie rachunek zysków i strat. – Bezpieczeństwo po prostu trzeba zapewnić. Wiele rozwiązań jest niewidocznych – działają w tle, ale taka właśnie jest natura ochrony. Ale koszty ponoszone przez operatorów to ważny element systemu bezpieczeństwa, tu inwestycje wymagają poważnych nakładów – dodaje.

Z jednej strony pieniądze, z drugiej kadry. Brak specjalistów to przeszkoda dla sektora cyberbezpieczeństwa i problem praktycznie całego świata. – Tu w gorszej sytuacji jest administracja publiczna, której trudno przyciągnąć fachowców ze oferowane płace, ale problem dotyczy też sektora prywatnego. Nawet wysoki, jak na polskie warunki, oferty są odrzucane – wielu specjalistów pracuje zdalnie na zlecenia zagranicznych firm, gdzie stawki są wyższe – tłumaczy Jakub Bojanowski.

Ale także za Atlantykiem nie jest najlepiej. – Odczuwamy niedobór kadr. Płace dla absolwentów to ok. 50 tys. dolarów rocznie, a za te pieniądze trudno znaleźć chętnych. Walczymy z tym problemem samodzielnie, organizujemy szkolenia, staże, praktyki, mamy system zachęt, szukamy kandydatów na uczelniach, ale także już w szkołach średnich. Współpracujemy też z naszymi partnerami w chmurze – informuje Ann Johnson.

Pewnym rozwiązaniem mógłby być outsourcing cyberbezpieczeństwa. – Firmy niechętnie oddają na zewnątrz zarządzanie bezpieczeństwem. Obawiają się dostępu osób niepowołanych do danych poufnych i zagrożenia interesów spółki – wyjaśnia Jakub Bojanowski.

Ochrona infrastruktury krytycznej należy dziś do priorytetów, jednak dobre rozwiązania wymagają żmudnej pracy.

Wojciech Kwinta
×

DALSZA CZĘŚĆ ARTYKUŁU JEST DOSTĘPNA DLA SUBSKRYBENTÓW STREFY PREMIUM PORTALU WNP.PL

lub poznaj nasze plany abonamentowe i wybierz odpowiedni dla siebie. Nie masz konta? Kliknij i załóż konto!

Zamów newsletter z najciekawszymi i najlepszymi tekstami portalu

Podaj poprawny adres e-mail
W związku z bezpłatną subskrypcją zgadzam się na otrzymywanie na podany adres email informacji handlowych.
Informujemy, że dane przekazane w związku z zamówieniem newslettera będą przetwarzane zgodnie z Polityką Prywatności PTWP Online Sp. z o.o.

Usługa zostanie uruchomiania po kliknięciu w link aktywacyjny przesłany na podany adres email.

W każdej chwili możesz zrezygnować z otrzymywania newslettera i innych informacji.
Musisz zaznaczyć wymaganą zgodę

KOMENTARZE (0)

Do artykułu: Ochrona infrastruktury krytycznej wymaga przemyślanych rozwiązań

NEWSLETTER

Zamów newsletter z najciekawszymi i najlepszymi tekstami portalu.

Polityka prywatności portali Grupy PTWP

Logowanie

Dla subskrybentów naszych usług (Strefa Premium, newslettery) oraz uczestników konferencji ogranizowanych przez Grupę PTWP

Nie pamiętasz hasła?

Nie masz jeszcze konta? Kliknij i zarejestruj się teraz!