Partner serwisu
21 grudnia 2017

Po 7 dniach zaczyna się chaos

Kategoria: Artykuły z czasopisma

– W razie blackoutu plan kryzysowy przewiduje rozwiązania na pierwsze 7 dni, później zaczyna się chaos. Mogliśmy to zaobserwować przy okazji różnych katastrof, np. w Nowym Orleanie – ludzie zaczynają kraść, nie ma komunikacji między władzami, policją – mówi Piotr Ciepiela, Associate Partner EY, ekspert z zakresu cyberbezpieczeństwa, przypominając o wadze bezpieczeństwa infrastruktury krytycznej.
 

Po 7 dniach zaczyna się chaos

• Jak ocenia pan obecny stan zabezpieczeń i poziom świadomości w zakresie cyberbezpieczeństwa w Polsce?

Od kilku lat w naszym kraju bardzo dużo dzieje się w tym zakresie, choć nie jest to widoczne, gdyż większość organizacji trzyma te przedsięwzięcia w tajemnicy. Są to działania w kierunku zabezpieczenia nie tylko części standardowej IT, ale także części związanej np. z automatyką przemysłową (ang. Operational Technology – OT).

• Rozumiem, że dotąd poziom ich bezpieczeństwa nie był zadowalający?

Automatyka przemysłowa i pozostałe elementy, które wpływają bezpośrednio na procesy istotne z punktu widzenia przedsiębiorstw, czy nawet całych społeczności, przez wiele lat pozostawały niezabezpieczone. Praktyką mającą zapewnić bezpieczeństwo było bardzo mocne ich odseparowanie od klasycznie rozumianego środowiska komputerowego. Należy zaznaczyć, że systemy te praktycznie od zawsze wykorzystywały układy elektroniczne, a zatem teoretycznie mogły być podatne na zagrożenia teleinformatyczne.

Wraz ze wzrostem liczby połączeń pomiędzy sieciami biurowymi  i urządzeniami automatyki, aspekty bezpieczeństwa stawały się coraz bardziej istotne i zaczęto analizować te środowiska właśnie pod tym kątem.

W części Operational Technology, pod którym to terminem należy rozumieć systemy automatyki przemysłowej wraz z systemami bezpośrednio je wspierającymi, w odróżnieniu od klasycznego IT, nie poruszamy się tylko w sferze cyfrowej. Skuteczny atak
na systemy OT może zakończyć się uszkodzeniem lub zniszczeniem fi zycznej infrastruktury, zagrożone może być również życie i zdrowie ludzi. Gdy mieliśmy wirusa w IT, przeważnie traciliśmy dane. Oczywiście, są one ważne, jednak z punktu widzenia spółek posiadających infrastrukturę, to właśnie ona jest najistotniejsza. Cóż, utrata cyfrowych danych jest problemem, ale wówczas przedsiębiorstwo może manualnie wykonywać procesy. Ciężko natomiast sobie wyobrazić, że mamy zapasową elektrownię czy rafi nerię.

• Zatem w Polsce nie do końca jest „cyberbezpiecznie”?

Na całym świecie fi rmy nadganiają dziś kwestie związane z bezpieczeństwem tych obszarów przedsiębiorstwa, do których można przeniknąć za pomocą systemów komputerowych. Jeżeli chodzi o Polskę, większość dużych spółek zaczęła podejmować konieczne działania i dzięki temu nie odstajemy w zakresie bezpieczeństwa od reszty świata. Jednak wciąż nie jest to taki poziom, by można uznać sprawę za załatwioną.

Dobrym kierunkiem działań, który pojawił się w Polsce, a czego nie ma za granicą, jest kwestia współpracy sektorowej oraz tworzenia standardów bezpieczeństwa. Polska, jako jedno z pierwszych państw, stworzyła standardy i dobre praktyki ochrony infrastruktury krytycznej – automatyka przemysłowa w sektorze energetycznym i petrochemicznym. Standardy zostały wypracowane przez Rządowe Centrum Bezpieczeństwa (RCB) we współpracy z operatorami infrastruktury krytycznej.

• Jeśli chodzi o energetykę, to mamy większych i mniejszych wytwórców, którzy muszą stawiać czoła takim samym wyzwaniom.

Bezpieczeństwo nie może być przewagą konkurencyjną. Powinno być standardem. Gdy wchodzimy do samochodu, zapinamy pasy. I najtańsze, i najdroższe auto je ma. Ważna jest tu wspomniana współpraca sektorowa, o której kilka lat temu nikt nie chciał rozmawiać, dlatego że ekspozycja ataków była bardzo niska. A skoro nie słychać o atakach, to ich nie ma.

Sektorowa wymiana informacji bardzo szybko zaczęła skutkować wzrostem poziomu bezpieczeństwa. Jest ona wynikiem wzrostu inicjatywy zarówno po stronie samych przedsiębiorstw, jak i instytucji rządowych. Dwa lata temu ENISA (Europejska Agencja ds. Bezpieczeństwa Sieci i Informacji – red.) we współpracy z EY stworzyła model dojrzałości systemów automatyki przemysłowej w kontekście infrastruktury krytycznej. Przedstawione zostało, jak każdy z krajów Unii Europejskiej regulacyjnie podchodzi do spraw cyberbezpieczeństwa i jak operatorzy infrastruktury krytycznej są zachęcani do tego, żeby uczestniczyć w programach zabezpieczenia. W jednych krajach partycypacja w tego typu projektach jest całkowicie dobrowolna, w innych – wręcz wymuszana. Nie ma tu jednak idealnego rozwiązania.

Ciekawym zjawiskiem są „mosty”, czyli wymiany informacji pomiędzy przedsiębiorstwami z różnych części świata. Pomagałem zawiązać taką współpracę pomiędzy europejskimi spółkami z sektora energetycznego i fi rmami z Bliskiego Wschodu. Ze względu na powagę problemu Unia Europejska, Stany Zjednoczone i właśnie kraje Bliskiego Wschodu doszły do wniosku, że nie można czekać, a należy wprowadzać odpowiednie regulacje. Konsekwencjami niespełnienia warunków bezpieczeństwa są kary fi nansowe, a w niektórych krajach nawet więzienie.

• Czy incydenty niedostosowania się do tych regulacji miały już gdzieś miejsce?

Na razie nie. Wspomniane kary zwykle bardzo dobrze działają na wyobraźnię. Jednak są miejsca, gdzie może się to wydarzyć. Podejrzewam, że wówczas dojdzie do wyegzekwowania konsekwencji w tak zwany „pokazowy” sposób, żeby te przedsiębiorstwa, które nie mają ochoty się dostosować, poczuły powagę sytuacji i to, że te prawa nie są tylko zwykłym „papierem”.

Jeżeli chodzi o Polskę, mamy ustawę o zarządzaniu kryzysowym oraz ustawę o specjalnych uprawnieniach ministra właściwego do spraw Skarbu Państwa. Do tego dochodzi jeszcze dyrektywa NIS, wymuszająca na krajach budowanie struktur bezpieczeństwa cyberprzestrzeni, do której trzeba będzie się dostosować do połowy 2018 roku. Niedawno został wydany przez Ministerstwo Cyfryzacji projekt ustawy o krajowym systemie cyberbezpieczeństwa, która odpowiada na dyrektywę NIS.

• Dyrektywa ta rozszerza zakres infrastruktury krytycznej na essential services, czyli usługi kluczowe.

Pod tym pojęciem kryje się nie tylko energetyka, ale również bankowość, wodociągi czy szpitale – wszystko, co ma bezpośredni wpływ na prawidłowe funkcjonowanie społeczeństwa. Dyrektywa NIS wymusza na każdym państwie wprowadzenie ustawy, dzięki której będą funkcjonować mechanizmy bezpieczeństwa. Polska również to zrobiła i aktualnie dokument jest w opiniowaniu. Według niego spółki będą musiały mieć swoje wewnętrzne struktury, których zadaniem stanie się wychwytywanie i raportowanie incydentów. Jednak zanim wszystko zacznie poprawnie działać i odsetek raportowania będzie wysoki, ważna jest wspomniana wcześniej współpraca sektorowa, gdzie spółki bardzo chętnie dzielą się swoją wiedzą. To bezpieczna przestrzeń, w której inni mają podobne doświadczenia, mają świadomość, jak delikatny to problem i nie wyniosą informacji na zewnątrz.

• Czyli z jednej strony mamy regulacje, a z drugiej inicjatywę samych zainteresowanych?

Właśnie. I dobrze, że tak się dzieje, bo to naprawdę duże wyzwanie. Trzeba brać pod uwagę wiele możliwości ataków w miejscach, o których czasem nawet się nie myśli. Doskonałym przykładem są tu inteligentne liczniki.

Licznik to urządzenie, jakie montujemy w domu, co czyni go interesującym z punktu widzenia potencjalnych ataków. Ponieważ jest to sprzęt zawierający software, można się do niego włamać. Kilka lat temu pokazywaliśmy, jak poprzez liczniki można „przejąć” całe miasto. Nowoczesny licznik musi bowiem co jakiś czas aktualizować oprogramowanie i przez tę możliwość pobrania danych może zostać zainfekowany. Dodatkowo liczniki mają możliwość odłączenia kogoś od prądu – w założeniu tego, kto nie płaci. Przejmując nad nim kontrolę, zrobimy to wedle woli. Z punktu widzenia pojedynczego gospodarstwa domowego nie ma to znaczenia, ale jeśli jesteśmy w stanie zainfekować całe miasto albo państwo, problem staje się poważny.

• Czyli można pozbawić ludzi prądu, nie atakując bezpośrednio elektrowni?

Dokładnie, a w razie blackoutu plan kryzysowy przewidywuje rozwiązania tylko na pierwsze 7 dni, później zaczyna sią chaos. Mogliśmy to zaobserwować przy okazji różnych katastrof, np. w Nowym Orleanie – ludzie zaczynają kraść, nie ma komunikacji między władzami, policją. Ogromnym problemem jest żywność – tu najgorzej jest w krajach cieplejszych, gdzie szybko się ona psuje, gdy nie działają lodówki.

Obecnie bez elektryczności nie jesteśmy w stanie funkcjonować jako społeczeństwo.

W tej chwili w Senacie Stanów Zjednoczonych procedowana jest ustawa, która ma na celu zmodernizowanie przestarzałych systemów. Ich problem to brak możliwości aktualizacji, koniecznej z punktu widzenia bezpieczeństwa, ponieważ nie jesteśmy w stanie przewidzieć, jakie będą podatności czy problemy w przyszłości. Bezpieczeństwo jest na dzisiaj, na teraz, a jutro już nie wiadomo, czy to, czego używamy, jest bezpieczne.

Aktualnie największym problemem jest internet rzeczy, czyli IoT. Z punktu widzenia automatyki, zanim cokolwiek zostanie wypuszczone na rynek, jest bardzo mocno testowane. Niestety, cała instalacja nie składa się tylko z elementów sprawdzonych, ale również z takich, które nie przechodziły przez skomplikowaną procedurę weryfi kacji, np. są to czujniki za przysłowiowego dolara. Po zaimplementowaniu takiego elementu do instalacji, staje się on częścią procesu. Robiąc to, tworzymy swego rodzaju furtkę, słaby punkt.

• Najsłabsze ogniwo, poprzez co nasza instalacja jest wrażliwa na ataki.

Tak, dokładnie. Problem z IoT jest taki, że nie do końca wiadomo w organizacji, kto się tym zajmuje. To może być dział zakupów, R&D, rozwój czy utrzymanie ruchu. Ciężko wszystko uporządkować. Dodatkowo jest to tak nowe, że nie mamy jeszcze wystarczającej liczby przeszkolonych ludzi. Skala IoT jest bardzo duża, jego możliwości ogromne, a koszt bardzo mały. Paradygmat bezpieczeństwa się zmienia. Kiedyś koszt zabezpieczeń nie mógł być większy niż wartość aktywa. Teraz musimy patrzeć pod kątem całego środowiska, a nie pojedynczego elementu.

Ważna kwestia, która również jest wynikiem wprowadzenia IoT, to ochrona danych. Poprzez wspomniane wcześniej czujniki i dostanie się do systemu z jednej strony możemy wpływać na proces, ale również zyskujemy dostęp do danych. Przykładem są kamery internetowe – każda organizacja je posiada. Jeśli wykorzystywane są tylko do obserwowania procesów, nie ma problemu. Jeżeli natomiast widoczni są na nich ludzie, których można zidentyfi kować po twarzach albo nawet po chodzie, są to już dane osobowe, o których się często nawet nie myśli.
 
• Warto więc brać pod uwagę różne cele ataków cyfrowych.

Jeśli chodzi o infrastrukturę krytyczną, najważniejsza jest jej dostępność. Ona ma działać i jeśli zostanie zaatakowana i coś zostanie wyłączone, przynajmniej to widzimy. Bardzo niebezpieczne są ataki, podczas których ktoś wpływa na proces, zmieniając niezauważalnie jakieś parametry, co może mieć tragiczne konsekwencje.

• Tutaj nasuwa się na myśl branża farmaceutyczna, gdzie ktoś może wpłynąć na receptury i zmienić je w sposób niezauważalny, a niebezpieczny dla zdrowia.

Tak, tam również jest automatyka, są roboty, na które ktoś może z zewnątrz mieć wpływ. Największe światowe koncerny wdrażają w tej chwili szeroko zakrojone programy bezpieczeństwa w powyższym obszarze, ponieważ zdały sobie sprawę, że podlegają tym zagrożeniom.

Zatrzymanie instalacji to jedna rzecz, drugą jest proces i kwestia jakości. Realizowaliśmy pewien proprzemysłowej oraz ich zabezpieczeń i w bezpieczny sposób symulować różne warianty ataków. Ważne jest to z dwóch względów: po pierwsze niektóre testy mogą być niebezpieczne na działającej fi zycznie instalacji. Po drugie, żadna instalacja nie jest taka sama i potrzebne jest tu dedykowane podejście. Jeśli mamy przykładowo router jednego producenta, nie oznacza to, że router drugiego będzie działać tak samo, mimo że ich funkcjonalności są tożsame. Chodzi więc, by dokładnie sprawdzić, jak każdy unikalny system reaguje i z jakim systemem zabezpieczającym współgra najlepiej. Bardzo ważna w poprawie bezpieczeństwa jest całkowita wiedza o swoim środowisku i jego podatnościach. Dlatego konieczna jest otwartość przedsiębiorstw i dzielenie się wiedzą, zwracanie uwagi na słabe punkty i raportowanie o incydentach. Niestety, to ciągła pogoń, ponieważ pojawiają się bardzo przemyślane ataki, które mogą technologicznie wyprzedzić zabezpieczenia. Nie można jednak mówić, że skoro istnieje możliwość obejścia zabezpieczeń, nie opłaca się zabezpieczać wcale. Podsumowując: najpierw analizuje się to, co jest, później przychodzi wiedza inżynierska, doświadczenie, które zdobyło się testując różne rzeczy fi zycznie czy w laboratorium. Najtrudniejsze jest znalezienie sposobu na to, jak zabezpieczyć, nie przeszkadzając, nie przerywając procesu.

• W najnowszej normie dotyczącej bezpieczeństwa procesowego zostało uwzględnione, że bezpieczeństwo cybernetyczne jest bardzo istotne, bo może wpłynąć na to procesowe.

W Turcji zdarzył się następujący incydent: ktoś rozumiał, jak działa proces, więc najpierw włamał się do systemów bezpieczeństwa procesowego, do systemów awaryjnego wyłączania i alarmów. Przejął nad nimi kontrolę i dopiero wtedy zaatakował systemy automatyki przemysłowej, zmieniając proces i doprowadzając do wybuchu. Operator zauważył to dopiero po 40 minutach, widząc już fi zyczną eksplozję, bo żaden system go nie zaalarmował. Firmy to widzą i bardzo mocno dążą do połączenia bezpieczeństwa procesowego z bezpieczeństwem cybernetycznym.

• Jak zatem poprawiać swoje cyberbezpieczeństwo?

Stworzyliśmy do tego celu laboratorium technologiczne w Warszawie, pierwsze na świecie, gdzie można skopiować systemy środowiska automatyki przemysłowej oraz ich zabezpieczeń i w bezpieczny sposób symulować różne warianty ataków. Ważne jest to z dwóch względów: po pierwsze niektóre testy mogą być niebezpieczne na działającej fi zycznie instalacji. Po drugie, żadna instalacja nie jest taka sama i potrzebne jest tu dedykowane podejście. Jeśli mamy przykładowo router jednego producenta, nie oznacza to, że router drugiego będzie działać tak samo, mimo że ich funkcjonalności są tożsame. Chodzi więc, by dokładnie sprawdzić, jak każdy unikalny system reaguje i z jakim systemem zabezpieczającym współgra najlepiej. Bardzo ważna w poprawie bezpieczeństwa jest całkowita wiedza o swoim środowisku i jego podatnościach. Dlatego konieczna jest otwartość przedsiębiorstw i dzielenie się wiedzą, zwracanie uwagi na słabe punkty i raportowanie o incydentach. Niestety, to ciągła pogoń, ponieważ pojawiają się bardzo przemyślane ataki, które mogą technologicznie wyprzedzić zabezpieczenia. Nie można jednak mówić, że skoro istnieje możliwość obejścia zabezpieczeń, nie opłaca się zabezpieczać wcale. Podsumowując: najpierw analizuje się to, co jest, później przychodzi wiedza inżynierska, doświadczenie, które zdobyło się testując różne rzeczy fi zycznie czy w laboratorium. Najtrudniejsze jest znalezienie sposobu na to, jak zabezpieczyć, nie przeszkadzając, nie przerywając procesu.

• Czy uważa pan, że fi rmy powinny inwestować w szkolenie własnego personelu, żeby tworzyć struktury cyberbezpieczeństwa?

Oczywiście. Bardzo ważna jest świadomość swojej instalacji, a nikt nie zna jej lepiej niż ludzie mający z nią styczność na co dzień. Niestety, niewiele fi rm będzie stać na to, żeby mieć armię specjalistów zajmujących się tylko cyberbezpieczeństwem. Kilka lat temu ludzie nie za bardzo nawet o tym myśleli; dziś wydaje się to konieczne i przedsiębiorstwa coraz bardziej zdają sobie z tego sprawę.

• Czy jest możliwe namierzanie źródeł ataków?

Tak, ale niestety nie we wszystkich przypadkach. Im lepiej atak przygotowany, tym trudniej znaleźć jego źródło. Sposobów na anonimowość jest bardzo dużo, dodatkowo rzadko ktoś działa sam. Kilka lat temu w Stanach Zjednoczonych weszło prawo, które mówiło o tym, że cyberatak jest równy atakowi fi zycznemu. A zatem armia USA może komuś wypowiedzieć wojnę w odpowiedzi na atak cyfrowy. Wyobraźmy sobie sytuację, że atak taki pochodzi z określonego kraju, lecz wykonał go zainfekowany komputer, nad którym przejął kontrolę ktoś, kto przebywa jeszcze w tym państwie. Może mieć to tragiczne konsekwencje.

PIOTR CIEPIELA Associate Partner EY, ekspert z zakresu cyberbezpieczeństwa

Rozmowa z Piotrem Ciepielą została również opublikowana w nr 8/2017 dwumiesięcznika "Energetyka Cieplna i Zawodowa".
 

fot. BMP
Nie ma jeszcze komentarzy...
CAPTCHA Image


Zaloguj się do profilu / utwórz profil
Strona używa plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies. OK, AKCEPTUJĘ