•    Jakie mogą być dziś skutki udanego cyberataku na sieć elektroenergetyczną?

Najczęściej paraliż systemów i długi czas powrotu do prawidłowego funkcjonowania. Takim przykładem jest atak na Ukrainę w grudniu 2015 oraz w 2016 roku. Jego konsekwencją było wyłączenie w okręgu kijowskim jednej z firm dystrybuujących energię, co skutkowało całkowitym brakiem prądu. A jak nie ma prądu, nie ma niczego.

Rozmawiałem z kolegami z laboratorium, które analizowało ten atak. Okazało się, że brakowało zaledwie dwóch godzin, by system ciepłowniczy Kijowa został całkowicie wychłodzony, co spowodowałoby pęknięcie głównych rur przesyłowych i prawdopodobnie również rur w domach. To katastrofa nie do odwrócenia w krótkim czasie.

•    Czy w Polsce istnieje ryzyko powodzenia takiego ataku?

Wszędzie istnieje takie ryzyko. Szczególnie narażone na nie są złożone systemy teleinformatyczne, połączone z sieciami technologicznymi, czyli tymi, które odpowiadają bezpośrednio za sterowanie czy też nadzór nad pracą urządzeń przemysłowych. Taki atak może wprowadzić więc poważne zakłócenia. Mamy wiele takich przykładów ze świata, jak atak nazwany WannaCry, którego ofiarą kilka miesięcy temu padły szpitale, banki i firmy na całym świecie. Szacuje się, że WannaCry przyniosło straty finansowe w wysokości 8 mld dolarów. Eksperci oceniają, że tego typu ataki mogą być obecnie największymi zagrożeniami dla infrastruktury krytycznej.

W każdej chwili może się więc coś wydarzyć. Próbujemy zatem wyprzedzać pewne sytuacje i przewidywać to, co tak naprawdę jest nieprzewidywalne. Analizujemy ogromną liczbę informacji. Takie jest m.in. zadanie CERT-u (Computer Emergency Response Team – Zespół Reagowania na Incydenty Komputerowe – red.), który koordynujemy.

•    W jaki sposób najczęściej atakują hakerzy?

Najczęstszym motywem działania cyberprzestępców, bo tak należałoby ich nazwać, są kwestie finansowe (poprzez np. ransomware i powiązane z tym ataki phishingowe, czyli przesyłanie maili, które mają użytkownika w organizacji skłonić do kliknięcia w jakiś link). Najczęściej ofiarami ataków padają instytucje finansowe, w dalszej kolejności infrastruktura i instytucje energetyczne. W przypadku dużych ataków, mówimy o świetnie zorganizowanych grupach przestępczych, działających na wzór korporacji. Jest szef, który zarządza całością, są ludzie pracujący nad rozwiązaniami wykorzystywanymi do ataków i wreszcie „żołnierze”, czyli cyberprzestępcy realizujący działania związane z atakiem.

Systemów wykorzystywanych do ataków jest naprawdę bardzo dużo. Gdybyśmy mieli tutaj o nich porozmawiać, nie starczyłoby dnia. Jednym z bardziej popularnych jest tzw. „studnia wody”.

•    Czyli?

Wykorzystanie strony, do której często zaglądają pracownicy danej organizacji. Modyfikowana jest tak, żeby kliknięcie w link prowadziło do serwera cyberprzestepców, który przejmuje kontrolę nad stacją danego użytkownika i infekuje ją złośliwym kodem. Mówi się o „studni wody”, w analogii do zwierząt, które do niej przychodzą, chcąc się napić. W pobliżu zazwyczaj siedzą drapieżniki, czekające na zwierzęta, by je zaatakować...

Wiemy również, że są ataki sponsorowane przez różnego rodzaju organizacje przestępcze, ale także obce rządy czy służby. Wówczas mówimy o wysoko zaawansowanych atakach kierunkowych (tzw. APT (Advanced Persistent Threats – red.). Kilka dni temu eksperci ds. bezpieczeństwa z Białego Domu potwierdzili, że za wirus WannaCry odpowiedzialna jest Korea Północna. Polska ma takie położenie geopolityczne, że nasze systemy, infrastruktura i cyberprzestrzeń mogą znajdować się w zainteresowaniu tych właśnie służb czy też organizacji. Od czasu do czasu identyfikujemy aktywność i różnego rodzaju systemy skanujące pochodzące z tych krajów, które w raportach są wskazywane jako najczęstsze źródło ataków. Wnikliwie je obserwujemy.

•    Jak je widać?

Mamy systemy służące do wykrywania tego rodzaju aktywności, która może być wstępem do ataku, to tzw. skanowanie. Często wskazują one, iż taki ruch pochodzi właśnie z wymienionych obszarów. Warto jednak pamiętać o tym, że osoba prowadząca atak może przebywać w dowolnym miejscu. Nawet za „ścianą”.

•    Trudno się przed nimi obronić?

Przed takimi ukierunkowanymi atakami, prawdę mówiąc, nie ma obrony. Jeżeli ktoś został wyznaczony jako cel, to atak będzie zrealizowany. Pytanie, jak jest na niego przygotowany i jak potrafi go odeprzeć. Atak może odbyć się też nie tylko w cyberprzestrzeni. To może być wielowektorowe „wejście” do organizacji, nawet poprzez próbę przekupienia pracownika, serwisanta obsługującego organizację, czy „podstawienie” firmy np. sprzątającej. Wspomniany atak na Ukrainie, którego przygotowanie trwało rok, został zrealizowany poprzez wykorzystanie złośliwego kodu, przeniesionego do systemu obsługującego system przemysłowy na pendrive. Dziś ten kod został przeanalizowany i ma on już swoją nazwę – Industroyer czy też Crashoverride.

Wykorzystywane do przeprowadzania cyberataków cybertechnologie to najzwyczajniej w świecie cyberbroń. Mając taką cyberbroń, np. modułową (jak w przypadku Industroyera), można zrobić dosłownie wszystko. Na Ukrainie protokoły przemysłowe, służące do przesyłania danych, zostały tak zmodyfikowane przez obudowanie protokołami do komunikacji internetowej, że w efekcie przejęto nad nimi kontrolę. Zaczęto nimi sterować z sieci internetowej. Nikt się tego nie spodziewał, nawet systemy obrony, postawione na tzw. „styku”, nie były przygotowane na taką ewentualność. Nastąpiło zatem przejście do innego etapu wyścigu. Pokazano, że istnieją rozwiązania i możliwości wykorzystania takich rozwiązań, które nie są standardowe i mogą służyć do skutecznego ataku.

•    Wcześniej Estonia była takim poligonem. Tam wyciągnięto wnioski po ataku i zaczęto przebudowywać systemy.

To jest wyścig, w którym ci, którzy się bronią, są zawsze z tyłu, ponieważ technologia jest naprawdę bardzo złożona. A im bardziej złożona, tym w większym stopniu staje się wrogiem bezpieczeństwa, gdyż jest mocniej podatna na błędy ludzkie w programowaniu, w zabezpieczeniu. Jeżeli ktoś mówi, że jest w 100 procentach bezpieczny, nie do końca chyba wie, o czym mówi. Tym bardziej, że atakujący zawsze są krok do przodu i zaskakują wykorzystywanymi rozwiązaniami.

Estonia wyciągnęła pewne wnioski z lekcji z 2007 roku – i bardzo dobrze. Należy bowiem spodziewać się najgorszego. Gdy mamy pokój, musimy przygotowywać się na wojnę i robimy to. Prowadzimy m.in. cybersymulacje, które mają odpowiedzieć na pytanie, jak przygotowane są nasze systemy i zespoły.

•    Można określić procentowo, ile prób ataków powiązanych jest z innymi państwami?

Zazwyczaj tego typu powiązań nie da się wskazać bezpośrednio. Chociażby ze względu na to, że na rynku działają tzw. „grupy do wynajęcia”. Oferują swoje usługi, z których korzystają nawet obce służby. Oczywiście, są również cyberwojska, ale o takich rzeczach nie mówi się oficjalnie. To rozgrywa się na innym poziomie. Tego typu działania mają zazwyczaj na celu pozyskanie czy wykradzenie informacji strategicznych, ale też destabilizację i manipulowanie informacją. Ostatnio bardzo głośno jest o różnego rodzaju systemach „trollowych” na polskich forach internetowych, Twitterze. Są to boty, automaty, których zadaniem jest zachowywanie się w intrenecie tak jak zwyczajni użytkownicy. Manipulują jednak informacjami czy rozprzestrzeniają tzw. fake news. Szczególnie dużo tego typu przypadków zdiagnozowano na przykład w trakcie ostatniej kampanii prezydenckiej w USA. Normalni użytkownicy nie byliby w stanie w tak krótkim czasie wygenerować tak wielu wpisów – wiadomo już, że zrobiły to boty.

•    Czego możemy się spodziewać po cyberprzestępcach w najbliższym czasie? Są przeprowadzane analizy?

Są przewidywania, co wydarzy się do 2020 roku, a więc systemy machine learning czy też artificial intelligence. Wyobraźmy sobie taki schemat systemu autonomicznego, inteligentnego, który nas atakuje. Odpowiadamy, a on błyskawicznie widzi, jakie mamy systemy i automatycznie uczy się, jak je pokonać. Czy np. system zaprojektowany na to, by zaatakować firmę 10 różnymi wektorami ataku, np. atak DDOS, phishingowy. Cyberprzestępcy pracują nad tym w swoich „laboratoriach”, my staramy się na to przygotować poprzez współpracę z firmami, które zajmują się tego typu rozwiązaniami i technologiami. Uczestniczymy w konferencjach, jeździmy na różnego rodzaju spotkania eksperckie, bo to jest przede wszystkim wiedza o technice i technologii, którą możemy wykorzystać, żeby odpowiednio zabezpieczyć naszą organizację. Jeżeli przestępcy się zbroją, to my też musimy na to odpowiednio zareagować z wyprzedzeniem.

•    „Studnia wody” pokazuje, że pilnować się muszą nie tylko duzi, ale i mali. To zostało potwierdzone przy wielu innych atakach. Na całym świecie odnotowano kilka spektakularnych przykładów, gdzie duże firmy – świetnie zorganizowane, posiadające wyspecjalizowane zespoły, odpowiednio zabezpieczone – mimo wszystko współpracują z organizacjami na zewnątrz. Atakujący nie „przychodzi” więc do takiej dużej firmy, tylko do tej małej. Wówczas wystarczy coś wysłać, dostarczyć jakieś dokumenty, informacje z załącznikiem w postaci malwaru. Te z kolei, oficjalnym, zaufanym kanałem, wpływają do dużej organizacji, gdzie następuje atak tzw. pośredni. Można się podszyć pod kogoś, przejąć czyjąś stację komputerową, cały system. Możliwości jest naprawdę wiele. W CERT staramy się przewidzieć prawdopodobne wektory ataków, które miałyby ewentualnie spowodować zakłócenia po naszej stronie. Staramy się zawsze „wejść w buty” cyberprzestępców i na bazie tego, co wiemy, eliminować słabe miejsca z naszych systemów.

•    Co możemy poradzić mniejszym przedsiębiorstwom w temacie cyberbezpieczeństwa?

Rozważyć budowę struktury, która dba o nasze cyberbezpieczeństwo, tak jak np. CERT. Pamiętać jednak należy o kosztach, które nie są małe. Należy poważnie traktować cyberzagrożenia. Jeżeli ktoś mówi: „to mnie nie dotyczy”, tak mu się tylko wydaje. Znam wiele firm, które tak uważały do momentu, kiedy ktoś faktycznie – nie robiąc tego nawet intencjonalnie – kliknął w jakiś link, a cała firma została „sparaliżowana”.

Istotna jest więc „higiena” cyberbezpieczeństwa, czyli postępowanie zgodnie z zasadami, jak choćby tymi podkreślającymi, że komputery firmowe wykorzystujmy tylko do celów służbowych.

O temacie coraz więcej mówi się w mediach. Nawet portale społecznościowe informują, że jeżeli chcesz być bezpieczny, musisz regularnie zmieniać swoje hasło albo wprowadzić dodatkowy kod uwierzytelniający. Świadomość stale rośnie, tak samo, jak wiedza na temat zagrożeń, natomiast ważne jest, żeby ją wykorzystywać na co dzień.

•    Człowiek jest w organizacji najsłabszym ogniwem.

Już Kevin Mitnick, jeden z najbardziej znanych „komputerowych włamywaczy”, po latach wspominał: „łamałem ludzi, nie systemy – możecie budować odporne systemy za miliony dolarów, natomiast ja zadzwonię do waszego jednego pracownika i skłonię go do tego, żeby przekazał interesujące mnie informacje”. Tak to mniej więcej wygląda. Kluczowe jest zatem, żeby nasi pracownicy mieli aktualną wiedzę o tym, jakie są ataki, co się na bieżąco dzieje jeśli chodzi o cyberzagrożenia, jak ewentualnie próbuje się dostać się do naszej organizacji i co każdy z pracowników powinien w takiej sytuacji zrobić.

•    Mówił pan, żeby mniejsze firmy właściwie rozważyły budowę CERT-u. Jaka to jest skala finansowa?

Każdy musi ocenić to indywidualnie. Pięcioosobowa firma może prowadzić taką działalność, która przynosi ogromne zyski. Mogą mieć dostęp do informacji, które z ich punktu widzenia skłaniają do tego, żeby wynająć profesjonalistów, a wręcz powołać taki CERT. To indywidualna decyzja biznesowa, którą każdy musi podjąć sam. Mogą też kupić taką usługę na zewnątrz, zapewniając bezpieczeństwo i nie ponosząc dodatkowych dużych nakładów na utrzymanie osobnego, dedykowanego zespołu. Przede wszystkim należy jednak przestrzegać podstawowych zasad związanych z cyberbezpieczeństwem, zainwestować w odpowiednią infrastrukturę wspierającą cyberbezpieczeństwo, a przede wszystkim zapewnić stałe szkolenia dla pracowników. Możliwości jest bardzo dużo.

•    Można też czerpać wiedzę z waszej strony internetowej.

To jedna z opcji dla małych firm. Możemy im polecić „śledzenie” naszej strony internetowej czy kanału twitterowego, gdzie na bieżąco informujemy o różnego rodzaju zagrożeniach, podatnościach w systemach, które wykorzystujemy na co dzień. Są one zidentyfikowane i można im przeciwdziałać. Profilaktyka przede wszystkim. Lepiej przecież przeciwdziałać, nie leczyć.

•    12 miesięcy temu plan był taki, by w 2017 roku wykonać milowy krok w kierunku uruchomienia wspólnego centrum dla sektora energetycznego. Udało się?

Pomysłów jest bardzo wiele. Podjęliśmy szereg inicjatyw, które mają na celu zbudowanie zaufanej platformy wymiany informacji i współpracy, nie patrząc na rozwiązania, które wynikają z regulacji prawnych – dyrektywy NIS i ustawy o cyberbezpieczeństwie krajowym. Takim podstawowym krokiem było nawiązanie współpracy z CERT-em Energa. Mamy praktycznie ukończone rozmowy na temat współpracy ze wszystkimi operatorami sieci dystrybucyjnej. Podpisaliśmy umowę z Eneą, „dopinamy” porozumienie z TAURONEM oraz PGE Systemy. W sektorze energetycznym współpraca układa się więc bardzo dobrze, ale nie zamykamy się tylko na energetykę, nie ograniczamy się tylko do Polski. Cyberprzestępczość i cyberzagrożenie nie znają pojęcia granic, więc współpracujemy z CERT-ami zagranicznymi, m.in.: amerykańskim oraz z sektora energetycznego – norweskim i austriackim. To pozwala nam na szersze spojrzenie na problematykę cyberzagrożeń. Ponadto współpracujemy z kilkoma organizacjami międzynarodowymi, które bezpośrednio „zasilają” nas różnego rodzaju informacjami, m.in. o najnowszych cyberatakach, związanymi z tym taktykami, technikami oraz procedurami wykorzystywanymi przez cyberprzestępców.

•    Efektem tej współpracy jest tylko wymiana doświadczeń. Czy są jeszcze inne korzyści?

Na początku 2017 roku NIST (National Institute of Standards and Technology – Narodowy Instytut Standaryzacji i Technologii – red.) opublikował bardzo ważny dokument o tym, jak nawiązywać współpracę i wymieniać informacje. Dla nas to kluczowe, ponieważ ten, kto ma informację, ma przewagę i może ją wykorzystywać. Jeżeli wiemy, że ktoś został zaatakowany, dostajemy informację o wektorze, rodzaju ataku, możemy się przygotować. Wspólnie łatwiej jest osiągnąć znacznie więcej. Jeden zespół może skupić się w danym momencie na jednym działaniu, ale jeśli jest ich wiele i połączymy siły, stanowimy potężną grupę ekspertów, którzy są w stanie równocześnie przygotować i odeprzeć różnego rodzaju ataki.

•    Jakie są plany na najbliższe miesiące w temacie sektorowego CERT-u?

Już jest grupa dużych podmiotów. Co dalej? Umowy i współpraca mają zapewnić nam odpowiedni poziom bezpieczeństwa dla spółek energetycznych. Nie nazywamy tego CERT-em sektorowym, bo decyzje w tej sprawie dopiero zapadną, być może nawet w najbliższym czasie. Dziś skupiamy się przede wszystkim na wymianie informacji i bezpośredniej współpracy oraz bezpieczeństwie naszej organizacji.

Do tej pory w naszej przestrzeni funkcjonowały: CERT PL, CERT GOV, NC Cyber. Dyrektywa NIS ma wprowadzić nieco inny system organizacyjny dla wymiany informacji czy wsparcia m.in. naszych działań. Oczekiwałbym, żeby było to realne wspieranie, a nie tylko przekazywanie informacji, bo to na pewno nam w niczym nie pomoże. Najbliższe plany, które wiążą się z naszą współpracą, to m.in. cybersymulacja, ćwiczenia, które chcemy przeprowadzić dla organizacji z nami współpracującymi, by sprawdzić, jak jesteśmy w stanie odpowiednio zarządzać odpieraniem cyberataków i realizować wypracowane procedury.

Mamy kilka ciekawych pomysłów, które chcemy zrealizować wspólnie z kolegami z zagranicy. Nawiązaliśmy bardzo dobrą i owocną współpracę, dzięki której chcemy przeprowadzić wspólną symulację na poziomie praktycznym, technicznym, na konkretnych urządzeniach. Zobaczymy, czy w książce „Blackout” autor napisał prawdę, czy też uda nam się w jakiś sposób zarządzić atakiem i skutecznie go odeprzeć.

JAROSŁAW SORDYL wicedyrektor Departamentu Bezpieczeństwa, szef CERT PSE

Rozmowa z Jarosławem Sordylem została również opublikowana w nr 1/2018 dwumiesięcznika "Energetyka Cieplna i Zawodowa".