Reklama
Co nam grozi?
Jeśli chodzi o cyberbezpieczeństwo, to grozi nam wiele rzeczy. Najpopularniejsze formy ataków to phishing i ransomware. W pierwszym przypadku hakerzy podstępnie wykradają nasze hasła, numery kart kredytowych, dane logowania itp. W drugim, szyfrują firmowe zasoby danych i żądają okupu za ich odblokowanie. Według raportu firmy Sophos, dostarczającej rozwiązania cyberbezpieczeństwa, 37 proc. organizacji w 30 krajach - w tym w Polsce - w 2020 r. doświadczyło ataku ransomware, z czego połowa była skuteczna, tzn. przestępcom udało się zaszyfrować dane. Znaczna większość firm - 96 proc. - później je odzyskała. Sophos szacuje, że przeciętny okup płacony przez firmy średniej wielkości wynosi 170 tys. dol. A całkowity koszt ataku - wliczając m.in. awaryjny tryb pracy, przestoje, naprawę skutków, utracone korzyści - sięga prawie 2 mln dol. na firmę. Najgłośniejszy ostatnio był atak na Colonial Pipeline w maju tego roku.
Chodzi o rurociąg odpowiadający za transport prawie połowy paliwa na Wschodnim Wybrzeżu Stanów Zjednoczonych.
Atak ransomware kosztował 2 mln dol. samego okupu, do tego doszły problemy z dostawami paliwa, bo firma musiała stanąć na sześć dni. Na stacjach benzynowych wybuchała panika. W Georgii wprowadzono z tego powodu stan wyjątkowy. I to mimo że atak objął tylko biura i nie doszedł do systemu automatyki przemysłowej kontrolującego sieci przesyłowe. Wtedy konsekwencje byłyby jeszcze poważniejsze. Do dziś nie wiadomo, czy Colonial Pipeline był bezpośrednim celem hakerów, czy po prostu zarzucili sieci i akurat się złapał.
Sektor energetyczny jest szczególnie narażony?
Na pewno jest zaliczany do krytycznych. To wynika z tego, że zależą od niego inne sektory, więc jeżeli celem atakujących jest destrukcja gospodarki państwa, to uderzają w energetykę. W ten sposób mogą pozbawić zasilania cały kraj.
Ilościowo firmy energetyczne nie są jednak tymi najczęściej atakowanymi, bo gdy grupy hakerskie działają wyłącznie dla okupu, uderzają w inne sektory, mniej krytyczne. Tam można łatwiej zarobić, bo i poziom zabezpieczeń może być niższy, i w razie schwytania sprawców ewentualne konsekwencje też będą mniej poważne.
To co robić?
Na poziomie legislacji w przypadku Unii Europejskiej ważnym elementem było wprowadzenie dyrektywy NIS (Network and Information Systems Directive) w 2016 r. To było pierwsze europejskie prawo w zakresie cyberbezpieczeństwa i na tej podstawie w Polsce w 2018 r. została uchwalona pierwsza ustawa o krajowym systemie cyberbezpieczeństwa (KSC). Te regulacje wprowadziły m.in. element szacowania ryzyka - co jest podstawowym krokiem, sercem zarządzania cyberbezpieczeństwem. Czyli np. w Polsce każdy podmiot KSC powinien zbadać, co mu grozi, jakie mogą być tego konsekwencje i na ile dane niebezpieczeństwo jest prawdopodobne. Gdy znamy ryzyko, wtedy odpowiednio dobieramy zabezpieczenia. One będą oczywiście inne na poziomie przedsiębiorstwa, a inne w skali całego kraju, gdzie obejmują różne działania, od edukacji obywateli po certyfikację produktów i usług.
Natomiast na poziomie przedsiębiorstwa ważnym elementem zabezpieczeń są międzynarodowe standardy - jak ISO z rodziną norm 27 000, gdzie 27001 jest standardem systemu zarządzania bezpieczeństwem informacji.
Jak się mierzy ryzyko? Jest na to wzór?
Wzorów jest sporo. One się historycznie rozwijały. Jest też wiele definicji samego ryzyka. W najprostszej wersji ryzyko to szansa negatywnego zdarzenia. Inna definicja określa je jako funkcję prawdopodobieństwa negatywnego zdarzenia i jego skutków. Jeszcze inna skupia się na skutkach. W praktyce każda dyscyplina, w której ocenia się ryzyko, używa modelu najlepiej pasującego do charakteru działalności. W przypadku dziedzin, dla których istnieją bogate dane statystyczne dotyczące zdarzeń z wcześniejszych lat, i można przyjąć pewną powtarzalność, szacuje się ryzyko matematycznie, ilościowo. Tak można robić np. w finansach.
W cyberbezpieczeństwie jest jednak inaczej. Tu problem polega na tym, że zmiany zachodzą bardzo dynamicznie: inne zagrożenia istniały dziesięć lat temu, a z innymi mamy do czynienia obecnie. Dlatego nie do końca można się opierać na statystycznych danych, zwłaszcza że ich źródeł też jest niewiele. Lepiej sprawdzają się więc metody jakościowe, oparte na doświadczeniu i wiedzy eksperckiej. Po angielsku nazywa się to likelihood. Tu nie ma polskiego odpowiednika, to jest też prawdopodobieństwo, ale bardziej rozmyte niż probability.
Nieskwantyfikowane?
Tak, dokładnie. Poziom szansy, że coś się wydarzy: niski, średni, wysoki. W połączeniu z oceną skutków takiego zdarzenia daje nam to ryzyko, które też nie jest wyrażone liczbowo, lecz charakteryzowane jako poziom.
Żeby skuteczniej odpowiadać na coraz bardziej zaawansowane metody ataków hakerskich, konieczna jest szybka i sprawna wymiana informacji.
Na jakim etapie zabezpieczania firmy może się przydać sieć świadomości sytuacyjnej, którą Politechnika Gdańska stworzyła m.in. z Uniwersytetem w Glasgow?
Sieć służy do wykrywania ataków. Ponieważ w jej skład wchodzi wiele rozproszonych czujników, które komunikują się ze sobą i wymieniają informacje, może wykryć także bardziej wyrafinowane, lepiej ukryte ataki, które umknęłyby zwykłym systemom ostrzegawczym. Ta sieć powstała w ramach projektu dla europejskiego centrum wymiany i analizy informacji o incydentach w sektorze energetycznym (European Energy Information Sharing and Analysis Centre - EE-ISAC). To organizacja działająca od 2015 r., do której należą m.in. Polskie Sieci Elektroenergetyczne, ENEL, Siemens i Agencja Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA), a od ubiegłego roku także Politechnika Gdańska.
Poza tym w EE-ISAC firmy wymieniają się informacjami o cyberincydentach, których nigdzie indziej nie udostępniają i w ten sposób mogą się uczyć, korzystając z doświadczeń partnerów.
I bez oporów ujawniają informacje o swoich kłopotach?
Tak, bo to służy wszystkim stronom. EE-ISAC jest przeznaczone dla firm sektora energetycznego, ale także dla producentów zabezpieczeń i rozwiązań z obszaru cyberbezpieczeństwa, instytucji badawczych, regulatorów rynku, organizacji rządowych i pozarządowych.
Obawy firm przed dzieleniem się danymi to jedno z wyzwań przy budowaniu tego typu sieci wymiany informacji - obiekcje może wywoływać choćby fakt, że sieć łączy konkurujące ze sobą przedsiębiorstwa. Dlatego opracowaliśmy algorytmy zapewniające skuteczną anonimizację. W efekcie do centrum wymiany i analizy informacji o incydentach dołącza coraz więcej partnerów.
To działa? Jakieś ataki zostały dzięki temu udaremnione?
O takie informacje generalnie nie jest łatwo. Jeśli np. dodamy do bazy udostępnioną przez kogoś informację o ataku i dzięki temu, gdy hakerzy w ten sam sposób zaatakują inną firmę, ta próba zostanie rozpoznana i udaremniona - to jest sukces, ale tym się raczej nikt nie chwali. To tak jak z samochodem: gdy wyposażymy go w zabezpieczenia antypoślizgowe, później nawet nie zwracamy uwagi, że nas ochroniły. Zauważamy tylko, gdy dzieje się coś złego.
Cyberbezpieczeństwo dużo kosztuje?
W ISAC obowiązują opłaty członkowskie, ale dla firm to nie są wysokie koszty. Natomiast pełne strategie i systemy zabezpieczeń to już poważne wydatki. Inwestując w cyberbezpieczeństwo, warto pilnować, aby koszty wynikały z oszacowanego ryzyka - żeby nie tracić środków na ochronę przed zagrożeniem, które i tak danej firmy nie spotka. A jeśli budżet na ten cel jest bardzo ograniczony, to z listy zagrożeń bierzemy pod uwagę te ryzyka, które są na niej najwyżej.
W projekcie nowelizacji ustawy o KSC jest rozdział poświęcony sektorowym centrom wymiany i analizy informacji (ISAC). Czy ta regulacja zwiększy poziom cyberbezpieczeństwa?
Pierwotna ustawa o KSC z 2018 r. wprowadziła podstawy prawne do tego, żeby zwiększać cyberbezpieczeństwo na poziomie krajowym. Nowelizacja przynosi kolejne rozwiązania, w tym przepisy wynikające z unijnego aktu o cyberbezpieczeństwie, w którym jest właśnie mowa o centrach ISAC. Wymiana informacji o cyberincydentach i zabezpieczeniach jest uznawana przez ekspertów za jeden z najskuteczniejszych sposobów wzmacniania cyberbezpieczeństwa.
Do tego mamy m.in. rozwiązania będące implementacją tzw. toolboksu, czyli uzgodnionych na poziomie europejskim narzędzi do zapewnienia bezpieczeństwa sieci telekomunikacyjnej 5G. Podstawowym mechanizmem jest tu ocena ryzyka związanego z dostawcami sprzętu do budowy tej sieci i wycofywanie urządzeń lub oprogramowania uznanego za niebezpieczne.
Żeby ocena dostawców była skuteczna z punktu cyberbezpieczeństwa, to jak powinna wyglądać?
Szczególnie istotna jest w takim procesie transparentność zastosowanych kryteriów. Musi więc powstać jawna lista wymagań cyberbezpieczeństwa odnośnie do poziomu dostarczanych usług i urządzeń.
W projekcie wymieniono, co należy brać pod uwagę w procesie uznania za dostawcę wysokiego ryzyka. To m.in. informacje o zagrożeniach od innych krajów Unii i NATO, znajdowanie się dostawcy pod kontrolą państwa spoza tych sojuszy i prawodawstwo tego państwa, struktura własnościowa firmy, wykryte u dostawcy podatności i incydenty cyberbezpieczeństwa oraz sposób i czas ich eliminowania. To wystarczająco konkretne kryteria, żeby ocenić, czy urządzenia lub oprogramowanie są bezpieczne?
Jak wspomniałem, w styczniu ubiegłego roku został opublikowany toolbox opisujący instrumenty zmniejszające ryzyko zagrożeń dla cyberbezpieczeństwa sieci 5G w Unii Europejskiej. Moim zdaniem warto skorzystać z przedstawionych tam mechanizmów, wspólnie uzgodnionych przez państwa członkowskie. Wydaje mi się, że wcześniejsza wersja projektu ustawy, z 7 września ubiegłego roku, była bliższa zapisom z zaleceń unijnych.
Oprócz znowelizowanego KSC potrzebujemy dziś jeszcze jakichś przepisów w sferze cyberbezpieczeństwa?
Myślę, że powinniśmy obserwować, co się dzieje w Unii i na świecie, i podążać za dobrymi trendami. Chciałbym też zobaczyć większy ruch we wdrażaniu strategii cyberbezpieczeństwa kraju, która jest bardzo dobrze sformułowana - i teraz trzeba postawione w niej cele realizować.
dr hab. inż. Rafał Leszczyna prof. Politechniki Gdańskiej na Wydziale Zarządzania i Ekonomii, specjalista w dziedzinie zarządzania cyberbezpieczeństwem / Materiały prasowe