Cyberbezpieczeństwo - współczesna sztuka samoobrony

Kiedyś wojny toczono o krainy, poddanych, ziemię pod uprawy, potem o zasoby naturalne. Dziś - o informacje. Coraz bardziej kluczowa staje się wobec tego rola cyberbezpieczeństwa.

Naukowa i Akademicka Sieć Komputerowa (NASK) podaje, że w zeszłym roku zespół CERT Polska (część Narodowego Centrum Cyberbezpieczeństwa) odnotował 7275 zgłoszeń o podejrzanych aktywnościach. W 1926 przypadkach stanowiły one faktyczne naruszenie bezpieczeństwa, w tym związane z kradzieżą danych, podszywaniem się pod cudzą tożsamość czy infekowaniem złośliwym oprogramowaniem.

- Pod ostrzałem znajdują się banki, administracja publiczna, indywidualni użytkownicy sieci, a przede wszystkim serwery przedsiębiorstw. W Narodowym Centrum Cyberbezpieczeństwa notujemy stały wzrost liczby cyberataków - wskazuje Wojciech Kamieniecki, dyrektor NASK, instytutu badawczego, podległego Ministerstwu Cyfryzacji.

Reklama

- Tak naprawdę nie wiemy, które elementy infrastruktury są dla nas najbardziej krytyczne. Szokujące, jak dużą część elementów infrastruktury penetrują przestępcze grupy! - ocenia Robert Kośla, dyrektor bezpieczeństwa publicznego, National Security & Defense w Microsoft Central & Eastern Europe.

Unijna mobilizacja

Zdaniem Krzysztofa Silickiego, dyrektora ds. współpracy i rozwoju cyberbezpieczeństwa w NASK, a zarazem wiceprzewodniczącego Rady Zarządzającej Agencji Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji (ENISA), są branże, w których firmy traktują cyberbezpieczeństwo bardzo poważnie - to telekomunikacja czy bankowość.

Ewa Kurowska-Tober, partner w kancelarii prawnej DLA Piper, zwraca jednak uwagę, że nie wszystkie sektory, w skład których wchodzi infrastruktura krytyczna, mają równie wysoką świadomość cyberzagrożeń jak sektor finansowy.

- Dla nich regulacje prawne będą istotne, by edukować - choćby w kwestii dzielenia się informacjami czy nieukrywania ataków - mówi.

- Mimo że odpowiedzialność za cyberbezpieczeństwo spoczywa w pierwszej kolejności na firmie, potrzebne są drogowskazy w postaci regulacji prawnych, wyznaczających standardy i procedury współpracy oraz wymiany informacji. Dopiero wtedy może skutecznie działać ekosystem cyberobrony - zgadza się z nią Krzysztof Silicki.

Wielu takich wektorów dostarcza wydana przez Komisję Europejską w sierpniu 2016 r. dyrektywa w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych - NIS (Network and Information Security).

Cel nadrzędny? Ujednolicenie w możliwie jak najwyższym stopniu poziomu cyberbezpieczeństwa w Unii, w tym obowiązek wyznaczania i przestrzegania odpowiednich wymogów bezpieczeństwa, raportowania o istotnych incydentach, nacisk na mechanizmy współpracy operacyjnej i na poziomie strategicznym - w kraju oraz na szczeblu unijnym.

Jeśli chodzi o firmy, zapisy dyrektywy w kluczowy sposób odnoszą się do tzw. operatorów usług kluczowych (reprezentujących m.in. takie sektory jak energetyka, bankowość, transport czy zdrowie) i dostawców usług cyfrowych - czyli internetowych platform handlowych, wyszukiwarek internetowych i usług przetwarzania w chmurze.

Administracje unijnych państw członkowskich muszą natomiast przyjąć narodową strategię bezpieczeństwa sieci i systemów informatycznych, wyznaczyć organy odpowiedzialne za monitoring i koordynację wprowadzania postanowień dyrektywy, punkty kontaktowe ds. współpracy międzynarodowej, a także zespoły typu CSIRT (reagujące na incydenty bezpieczeństwa).

Na wprowadzenie postanowień dyrektywy do prawa krajowego kraje unijne mają 21 miesięcy (licząc od sierpnia 2016 r.) i dodatkowe sześć miesięcy na opracowanie spisu operatorów usług kluczowych.

Potrzeba klimatu

Dotyczącą cyberbezpieczeństwa współpracę utrudnia niechęć przedsiębiorstw do dzielenia się trudnymi doświadczeniami. I właśnie z tym problemem mierzy się dyrektywa NIS, ustanawiając wymóg raportowania znaczących incydentów bezpieczeństwa do centralnego ośrodka analitycznego (w Polsce - do Narodowego Centrum Cyberbezpieczeństwa).

- Dzięki zgłoszeniom jesteśmy w stanie wydawać ostrzeżenia dla całego sektora gospodarki, ale też dla innych sektorów, bo zagrożenia naturalnie mogą przenosić się między branżami - podkreśla Krzysztof Silicki.

Według Tomasza Zdzikota, podsekretarza stanu w Ministerstwie Spraw Wewnętrznych i Administracji, o cyberbezpieczeństwie trzeba rozmawiać w trójkącie administracja-nauka-biznes. - Mamy utalentowanych ludzi, trzeba znaleźć sposób, by wykorzystywali talenty na rzecz polskiej administracji, a nie zagranicznych korporacji - przekonuje.

Jako przykład próby poszukiwania synergii między możliwościami zasobów państwowych i światem biznesu wskazał - zarysowany w Strategii na rzecz Odpowiedzialnego Rozwoju - program Cyberpark Enigma. Cel: rozwój kompetencji polskich firm i jednostek naukowo-badawczych w cyberbezpieczeństwie czy analizie danych. Efekt? Wyłonienie ośrodka z potencjałem pozwalającym konkurować na europejskim rynku specjalistycznych usług IT.

Także eksperci NASK nie mają wątpliwości, że dysponujemy bardzo dobrym zapleczem intelektualnym i analitycznym, a budowa krajowego systemu cyberbezpieczeństwa pozwoli skorzystać z tych zasobów, obecnie często rozproszonych. Potrzeba jedynie odpowiedniego klimatu zaufania i regulacji, ułatwiających taką działalność oraz aktywność przedsiębiorstw.

Łukasz Kister, dyrektor Biura Infrastruktury Krytycznej w Polskich Sieciach Elektroenergetycznych (PSE), przypomina, że - w ramach Polskiego Towarzystwa Przesyłu i Rozdziału Energii Elektrycznej (PTPiREE) - utworzono zespół ds. cyberbezpieczeństwa. I tak charakteryzuje jego zadania:

- Ideą jest stworzenie czegoś w rodzaju sektorowego e-CERT dla elektroenergetyki, by wspólnie radzić sobie z tego typu problemami.

Grzegorz Bojar, dyrektor Departamentu Teleinformatyki w PSE, rzeczowo objaśnia: - Wiedzieliśmy, że Narodowe Centrum Cyberbezpieczeństwa nie będzie w stanie współpracować z setkami firm w kraju, a skoro to PSE odpowiadają za stan bezpieczeństwa sieci elektroenergetycznej, uznaliśmy, że musimy pochylić się także nad stroną cyberbezpieczeństwa. Chcemy być koordynatorem tego przedsięwzięcia. A to wszystko ma służyć uczeniu się, wymianie doświadczeń i budowie standardów sektorowych. Najważniejszym zadaniem jest zaś to, by wszyscy w sektorze chcieli z sobą rozmawiać, a wtedy wspólnie stworzymy narzędzia i wewnętrzne regulacje, pozwalające zapobiegać lub reagować na kryzysowe sytuacje.

Według niego, ważne, by firmy energetyczne same chciały przystępować do sektorowego e-CERT-u. Ale... Trzeba je przedtem przekonać, że celem nie jest wykradanie ich tajemnic, a wspólne radzenie sobie z problemami.

- W niespełna rok zbudowaliśmy w pełni operacyjne, działające 24 godziny na dobę centrum koordynujące działania w odpowiedzi na incydenty w poszczególnych podmiotach - informuje Juliusz Brzostek, dyrektor Narodowego Centrum Cyberbezpieczeństwa (NC Cyber). Jego zdaniem bezpieczeństwo w cyberprzestrzeni zaczyna się od kompetencji i partnerstwa: zarówno podmioty prywatne, jak i państwowe, trzeba przekonać, by zaczęły współpracować - między sobą i z NC Cyber. Centrum rozmawia z 55 partnerami, podpisało już porozumienia z 32; do końca roku ich liczba powinna wzrosnąć do ok. 70, docelowo zaś może ich być nawet kilkaset.

Juliusz Brzostek przekonuje, że CERT-y sektorowe są szczególnie istotne, gdyż gromadzą unikatową wiedzę o poszczególnych branżach. Ujawnia, że dwa kolejne sektory przymierzają się do utworzenia podobnych jak w elektroenergetyce CERT-ów.

- Jesteśmy - jak łańcuch - tak silni jak najsłabsze ogniwo. Musimy pracować nad kulturą świadomości, że nigdy nie będziemy w pełni doskonali. W Grupie Lotos nie mieliśmy wprawdzie poważniejszych naruszeń cyberbezpieczeństwa, ale nie wolno bagatelizować nawet drobnych incydentów - przestrzega Roman Marzec, dyrektor ds. bezpieczeństwa w Grupie Lotos.

Tomasz Zieliński, prezes Polskiej Izby Przemysłu Chemicznego (PIPC), zwraca uwagę, że chemia należy do najczęściej atakowanych sektorów przemysłu, a cyberagresją z roku na rok obserwujemy coraz częściej.

- W dużej mierze to ataki na strony internetowe czy próby wykradania danych - np. dotyczących polityki handlowej. Nie odnotowujemy raczej ataków mogących wpływać bezpośrednio na bezpieczeństwo procesowe - zastrzega.

Robert Trętowski, wiceprezes Krajowej Izby Rozliczeniowej, przypomina, że w 2015 r. Zbigniew Jagiełło, prezes PKO BP rzucił hasło tworzenia bankowego centrum cyberbezpieczeństwa, wychodząc z założenia, że w kwestii cyfrowego bezpieczeństwa banki nie mogą konkurować, lecz muszą współdziałać. Rezultat?

- Okazało się, że banki komercyjnie mogą świetnie współpracować z publicznymi. Te dobre praktyki ujęto w strategii cyberbezpieczeństwa państwa, bo nie trzeba było wymyślać nic nowego, wystarczyło opisać coś, co podziałało - ocenia Trętowski. Jego zdaniem, najsłabszym ogniwem w infras-trukturze cyberbezpieczeństwa z punktu widzenia systemu finansowego jest zawsze użytkownik końcowy, czyli klient. Podobnego zdania jest Mirosław Forystek, dyrektor pionu IT w ING Banku Śląskim. - Najczęściej atakowane są miejsca najsłabiej zabezpieczone, a w przypadku systemu bankowego oznacza to klientów. W ścisłej czołówce ataków najbardziej skutecznych wciąż znajdują się ataki socjotechniczne - przypomina.

Legislacja? Początek drogi

Andrzej Zygmunt, wicedyrektor Departamentu Obrony Narodowej w Najwyższej Izbie Kontroli, jest zdania, że w kwestii cyberbezpieczeństwa trzeba wykonać pracę i na poziomie obywateli, i przedsiębiorstw, i instytucji. Przypomnijmy, że w 2015 r. NIK negatywnie oceniła stan przygotowań państwa do obrony przed zagrożeniami cyberbezpieczeństwa.

- Nie było wówczas koordynacji działań, strategii, nadzoru i współpracy; kontrola stwierdziła także wiele zachowań biernych lub niewystarczających - ze strony organów odpowiedzialnych, choć były też przykłady aktywności i wychodzenia naprzeciw problemom (tu można wskazać Ministerstwo Obrony Narodowej) - przypominał przedstawiciel NIK.

Wojciech Dziomdziora, radca prawny z Kancelarii Domański Zakrzewski Palinka, uważa, że od czasu kontroli NIK niewiele się pod tym względem zmieniło, a ramy prawne cyberbezpieczeństwa w Polsce wciąż są dalece niedoskonałe.

- Brakuje regulacji horyzontalnej; są jedynie sektorowe lub wycinkowe; czekamy na implementację dyrektywy NIS - oceniał Dziomdziora.

W opinii Krzysztofa Silickiego, stworzona niedawno strategia cyberbezpieczeństwa RP na lata 2017-22 stanowi istotny krok na drodze implementacji dyrektywy w Polsce.

- Zespół międzyresortowy, który ją opracował, zajmuje się dziś wypracowaniem planu jej wdrażania. Jeden z najważniejszych celów to oczywiście dostosowanie polskiego systemu do wymogów dyrektywy. Dojdzie do przeglądu koniecznych zmian w polskim prawie, by transpozycja dyrektywy NIS mogła się dokonać w wymaganym terminie. Ministerstwo Cyfryzacji już zresztą równolegle pracuje nad propozycją ustawy o krajowym systemie cyberbezpieczeństwa, której celem jest m.in. implementacja dyrektywy. Pamiętajmy też, że u nas jest na czym budować cyberbezpieczeństwo na poziomie krajowym. Wystarczy wspomnieć o działającym od 1996 r. w NASK zespole CERT Polska, który może stać się jednostką reagowania na incydenty w rozumieniu dyrektywy - podkreśla Silicki.

Być jak energetyka

Jak wyjaśnia Jarosław Łuba, główny specjalista w departamencie cyberbezpieczeństwa w Ministerstwie Cyfryzacji, strategia cyberbezpieczeństwa wyznacza priorytety i cele realizacyjne. Włączono do niej także sferę infrastruktury krytycznej, bezpieczeństwa narodowego i porządku publicznego, bo - zgodnie z dyrektywą - mechanizmy wymiany informacji muszą uwzględniać także kwestię obronności. Idea resortu cyfryzacji? Zaangażować w ten proces wszystkich interesariuszy ze sfery cywilnej i wojskowej. Do priorytetów należy przygotowanie ustawy o krajowym systemie cyberbezpieczeństwa: ma zapewnić horyzontalne oddziaływanie dyrektywy i sprawić, że rozbudowany system będzie właśnie całościowy, a nie wycinkowy.

Ustawa powinna zdefiniować i umocować prawnie role wynikające z dyrektywy, takie jak wspomniane organy właściwe, krajowy punkt kontaktowy czy krajowy CSIRT (to cel minimum). I jasno wskazać, jak w naszym kraju będzie całościowo wyglądał system koordynacji i współpracy w dziedzinie cyberbezpieczeństwa, stworzyć również warunki jego skutecznego działania i rozwoju.

Łukasz Kister przyznaje, że oczekiwania sektora energetyki wobec ustawy są wymagające.

- Liczyliśmy, że ustawodawca uwzględni, że w grę wchodzi nie tylko administracja. Pierwsze działania resortu cyfryzacji były tak ukierunkowane, odbyliśmy wiele spotkań o tym, w którym kierunku powinny zmierzać zmiany przepisów... Ostatnio jednak ministerstwo konsultuje się głównie z innymi resortami. A kluczowych usług nie świadczą przecież instytucje publiczne, a przedsiębiorstwa - w dużej mierze prywatne i nierzadko z kapitałem zagranicznym. Dodatkowo sektor energii jest specyficzny. Ważne, by nie przeregulować tej sfery, bo wymaganiom, które jedna branża wypełni, inna może nie sprostać. Na przykład: PSE - operator infrastruktury przesyłowej - może spełnić jakieś wymogi, a dystrybutorzy energii - już nie, gdyż działają na komercyjnym rynku (nawet jeśli ich właścicielem jest Skarb Państwa) - wskazuje Łukasz Krister.

Czy to płonne niepokoje? Wiadomo - diabeł tkwi w szczegółach. A o tym, jak resort cyfryzacji pogodzi interesy obywateli, firm i państwa, dowiemy się dopiero z ostatecznego projektu ustawy.

Piotr Apanowicz

Więcej informacji w portalu "Wirtualny Nowy Przemysł"

Dowiedz się więcej na temat: cyberprzestępczość | cyberbezpieczeństwo
Reklama
Reklama
Reklama
Reklama
Finanse / Giełda / Podatki
Bądź na bieżąco!
Odblokuj reklamy i zyskaj nieograniczony dostęp do wszystkich treści w naszym serwisie.
Dzięki wyświetlanym reklamom korzystasz z naszego serwisu całkowicie bezpłatnie, a my możemy spełniać Twoje oczekiwania rozwijając się i poprawiając jakość naszych usług.
Odblokuj biznes.interia.pl lub zobacz instrukcję »
Nie, dziękuję. Wchodzę na Interię »