„Za cyberatakami stoją najnowocześniejsze systemy oraz ogromne pieniądze, z taką skalą zagrożenia Polska nie ma obecnie szans sobie poradzić”

„Za cyberatakami stoją najnowocześniejsze systemy oraz ogromne pieniądze, z taką skalą zagrożenia Polska nie ma obecnie szans sobie poradzić”

Ryzyko cyberataku na infrastrukturę krytyczną, w tym sektor energetyczny, było do tej pory bagatelizowane. Przejawiało się to w braku współpracy publiczno-prywatnej, niskiej świadomości zagrożenia oraz niewielkich środkach przeznaczanych na programy zabezpieczeń. „Polska, podobnie jak większość krajów europejskich nie zabezpiecza swojej infrastruktury krytycznej w odpowiednim stopniu” – stwierdzili uczestnicy panelu dyskusyjnego konferencji „Cyberbezpieczeństwo sektora energetycznego” organizowanej przez Fundację im. Kazimierza Pułaskiego.

Przez ostatnie dwie dekady wśród operatorów infrastruktury krytycznej oraz w instytucjach państwowych zagrożenie cyberatakiem było bagatelizowane. Nikt nie przypuszczał, że taki atak mógłby zneutralizować wszystkie poziomy zabezpieczeń, występujące w elektrowniach bądź sieciach przesyłowych. Cyberprzestrzeń coraz częściej staje się obszarem działań militarnych. „Obecnie za cyberatakami stoją najnowocześniejsze systemy oraz ogromne pieniądze, z taką skalą zagrożenia Polska nie ma obecnie szans sobie poradzić” – stwierdził dr hab. inż. Konrad Świrski, profesor nadzwyczajny Politechniki Warszawskiej oraz prezes firmy Transition Technologies SA.  Polska na tle innych państw europejskich nie wypada źle, jeśli chodzi o poziom zabezpieczeń infrastruktury krytycznej, lecz z pewnością nie jest to poziom zadowalający.

Jednym z problemów jest wciąż niska świadomość na temat zagrożeń teleinformatycznych. Do czasu ogłoszenia przez Rządowe Centrum Bezpieczeństwa „Programu ochrony infrastruktury krytycznej” w 2012 roku nie podejmowano zdecydowanych działań edukacyjnych w tym obszarze. Zdaniem ekspertów podobne przedsięwzięcia, w tym dokumenty programowe, powinny powstawać każdego roku. Do zadań państwa należy zarówno opracowanie regulacji prawnych, jak i wytycznych bezpieczeństwa dla operatorów infrastruktury  krytycznej. Jako przykład takiego działania można podać Wielką Brytanię, gdzie kampania informacyjna na temat tego typu zagrożeń objęła ponad 1000 przedsiębiorstw.

Kolejną kwestią, która pojawiła się w dyskusji była transparentność działań państwa. Część raportów sporządzanych przez Agencję Bezpieczeństwa Wewnętrznego jest oznaczonych klauzulą tajności, a więc nie ma możliwości analizowania poszczególnych incydentów i wyciągania z nich wniosków. Jak zauważa Mirosław Maj, Prezes Fundacji Bezpieczna Cyberprzestrzeń, potrzebne jest powołanie do życia „CERTu sektorowego”, czyli centrum reagowania na zdarzenia naruszające bezpieczeństwo sieci w sektorze energetycznym.

Istotna jest również perspektywa międzynarodowa. Eksperci wielokrotnie wspominali amerykański model zarządzania infrastrukturą krytyczną. Mimo iż wątpliwości budzi dość restrykcyjna polityka (w USA elektrownia, która nie spełnia przepisów, może podlegać karze w wysokości nawet 1 mln dolarów dziennie), eksperci są zgodni co do tego, że potrzeba równie przejrzystych regulacji, które precyzyjnie określą jakie zabezpieczenia przed cyberatakami powinny stosować przedsiębiorstwa. Sektor energetyczny jest na tyle wrażliwy, iż z działaniami preparacyjnymi nie powinno się czekać. Należy pamiętać, iż atak cybernetyczny może wyjść na światło dzienne nawet po kilku latach od „zarażenia” systemu – wtedy może być już za późno na interwencję.

Oprac. Paweł Gołębiowski, Kamil Gapiński 

Zdjęcie: Tucanradio

***

Konferencja „Cyberbepieczeństwo sektora energetycznego” jest drugim wydarzeniem z cyklu konferencji „Cyberbezpieczeństwo Polski”. Wnioski pokonferencyjne będą stanowiły zbiór najważniejszych zadań, które stoją przed polskim ustawodawstwem w obszarze bezpieczeństwa teleinformatycznego. Celem projektu jest również wypracowanie rekomendacji, których treść będzie mogła służyć jako inspiracja dla nowej strategii bezpieczeństwa Unii Europejskiej. Zbiór zadań i rekomendacji zostanie udostępniony w formie publikacji. Cykl spotkań odbywa się w ramach Road to Warsaw Security Forum 2015.