Cyberbezpieczeństwo infrastruktury krytycznej

WNP.PL (Piotr Apanowicz)
Fot. Shutterstock

Cyberataki na infrastrukturę krytyczną to wciąż głównie działalność przestępców, a nie terrorystów. Trzeba jednak robić wszystko, aby przeciwdziałać i jednym i drugim - przekonywali uczestnicy sesji „Cyberbezpieczeństwo infrastruktury krytycznej” na Europejskim Kongresie Gospodarczym 2017.

- Najistotniejsze jest to, że tak naprawdę nie wiemy które elementy infrastruktury są dla nas najbardziej krytyczne. Szokujące jest natomiast, jak duża część elementów infrastruktury jest penetrowana przez grupy przestępcze - powiedział Robert Kośla, dyrektor bezpieczeństwa publicznego, National Security & Defense, w Microsoft Central & Eastern Europe.

GALERIA  12 ZDJĘĆ

W jego opinii brakuje wiedzy po stronie dysponentów infrastruktury, a z drugiej strony wykorzystania informacji, które już są w ich posiadaniu. - Trzeba zacząć od świadomości sytuacyjnej, bo bez tego trudno będzie coś poprawić. Jest próba inwentaryzacji zasobów fizycznych infrastruktury krytycznej, jeśli w podobnym kierunku pójdziemy w zakresie infrastruktury teleinformatycznej, widzę światełko w tunelu - dodał.

Ram Levi, prezes firmy Konfidas z Izraela przekonywał, że główne cyberzagrożenia są podobne na całym świecie i pochodzą od osób, chcących zakłócić funkcjonowanie infrastruktury. Jego zdaniem organizacje terrorystyczne zazwyczaj nie mają do tego motywacji, bo operują strachem, a cyberprzestępczość zwykle go nie gwarantuje. - Właściciele infrastruktury często mają świadomość zagrożeń, ale nie inwestują w cyberbezpieczeństwo, bo nastawieni są przede wszystkim na zarabianie pieniędzy. Dlatego potrzebne są odpowiednie regulacje, dostosowane do specyfiki danego sektora oraz przestrzegające ich instytucje - mówił.

Jak przypomniał Robert Trętowski, wiceprezes Krajowej Izby Rozliczeniowej, jeszcze kilka lat temu sektor bankowy próbował realizować prace uszczelniające system bankowy pod względem cyberbezpieczeństwa w rozproszeniu. Jednak w 2015 roku prezes PKO BP rzucił hasło stworzenia bankowego centrum cyberbezpieczeństwa, którego główną ideą było, że w zakresie cyfrowego bezpieczeństwa banki nie mogą ze sobą konkurować, a muszą współpracować. - Okazało się, że banki komercyjnie mogą świetnie współpracować z publicznymi. Te dobre praktyki zostały ujęte w strategii cyberbezpieczeństwa państwa, bo nie trzeba było wymyślać nic nowego, a wystarczyło opisać coś co zadziałało - powiedział.

Jego zdaniem najsłabszym ogniwem w infrastrukturze cyberbezpieczeństwa z punktu widzenia systemu finansowego jest zawsze użytkownik końcowy, czyli klient.

Podobnego zdania był Mirosław Forystek, dyrektor pionu IT w ING Banku Śląskim. - Najczęściej atakowane są miejsca najsłabiej zabezpieczone, a w przypadku systemu bankowego oznacza to klientów. W ścisłej czołówce ataków najbardziej skutecznych wciąż znajdują się ataki socjotechniczne - ocenił.

Jak powiedział Piotr Januszewicz, dyrektor Departamentu Cyberbezpieczeństwa w Ministerstwie Cyfryzacji, przyjęte właśnie krajowe ramy cyberbezpieczeństwa to dokument o charakterze ogólnym, a dopiero następne kroki będą nas przybliżały do realnych działań.

- Nie wychodzimy z założenia, że rząd ma narzędzia do wypracowania standardów dla przemysłu. Naszą rolą jest raczej być moderatorem, który doprowadzi do tego, żeby operatorzy infrastruktury krytycznej się spotkali i wspólnie wypracowali te standardy, bo to oni najlepiej znają realia, w których działają - zapewnił.

Według niego pierwsza z grup sektorowych już stworzyła pierwszy szkic takich standardów. - To nie państwo ma mówić jak mamy urządzać życie w swoim ogródku. Natomiast pomożemy przekuć te standardy w formalne dokumenty, które będą obowiązywać - dodawał.

Zastrzegł przy tym, że pewne elementy są częścią wspólną dla wszystkich branż i w związku z tym podlegają wspólnemu opracowaniu.

Ewa Kurowska-Tober, partner w kancelarii prawnej DLA Piper zwróciła uwagę, że nie wszystkie sektory, w skład których wchodzi infrastruktura krytyczna, mają tak wysoką świadomość cyberzagrożeń jak sektor finansowy. - Dla nich powstające regulacje prawne będą istotne, żeby edukować, choćby w kwestii dzielenia się informacjami, nieukrywania ataków itp. - mówiła.

O początkach sektorowego eCERT dla elektroenergetyki opowiadał Grzegorz Bojar, dyrektor Departamentu Teleinformatyki w Polskich Sieciach Elektroenergetycznych. - Wiedzieliśmy, że Narodowe Centrum Cyberbezpieczeństwa nie będzie w stanie współpracować z setkami firm w całym kraju, a skoro to PSE odpowiadają za stan bezpieczeństwa sieci elektroenergetycznej, uznaliśmy, że musimy pochylić się także nad stroną cyberbezpieczeństwa - wyjaśniał. Zapewnił, że PSE nie przymusza kogokolwiek do uczestnictwa w eCERT, to oferta i usługa, a porozumienia o współpracy podpisywane są z kolejnymi podmiotami z branży. - Chcemy być natomiast koordynatorem i koncentratorem tych działań, dlatego mamy też w PSE centrum operacyjne bezpieczeństwa. To wszystko ma służyć uczeniu się, wymianie doświadczeń i budowaniu standardów sektorowych - podkreślał.

Juliusz Brzostek, dyrektor Narodowego Centrum Cyberbezpieczeństwa (NC Cyber) poinformował o tym co udało się zrobić przez niespełna rok funkcjonowania centrum. - Zbudowaliśmy w pełni operacyjne, działające 24 godziny na dobę centrum koordynujące działania w odpowiedzi na incydenty w poszczególnych podmiotach. Bezpieczeństwo w cyberprzestrzeni zaczyna się od kompetencji i partnerstwa. To zarówno podmioty prywatne, jak i państwowe, które trzeba przekonać, żeby zaczęły współpracować między sobą i z NC Cyber - mówił. Jak wymienił, NC Cyber rozmawia z 55 partnerami, podpisało już porozumienia z 32 partnerami, do końca roku ich liczba powinna wzrosnąć do ok. 70, a docelowo może ich być nawet kilkaset.

Szef NC Cyber przekonywał, że CERT-y sektorowe są szczególnie istotne, bo gromadzą unikalną wiedzę dotyczącą poszczególnych branż. Juliusz Brzostek ujawnił również, że dwa kolejne sektory przymierzają się do utworzenia podobnych CERT-ów jaki działa już w elektroenergetyce. - Inne branże będziemy starali się wspierać bezpośrednio z centrum - zapowiedział.

Przyznał natomiast, że od powstającej ustawy o cyberbezpieczeństwie NC Cyber oczekuje jasno zdefiniowanych zadań i przepisów, które umożliwią ich realizację, czyli przede wszystkim usunięcia barier prawnych oraz stworzenia możliwości, takich jak np. zapisy obligujące do wymiany informacji. - Choć uważam, że skuteczniejsze jest pokazywanie korzyści płynących z takiej wymiany - dodał

Ram Levi powiedział, że większość cyberataków na świecie ma charakter kryminalny i jest wymierzona w sektor prywatny, dlatego to właśnie ten sektor „odwala większość roboty” w zakresie cyberbezpieczeństwa, a nie rządy.

Jego zdaniem, żeby te wysiłki były skuteczne, konieczne są lepiej zabezpieczone produkty, poszukiwanie innowacyjnych rozwiązań we współpracy ze startupami, które szybciej od dużych korporacji potrafią znajdować odpowiednie rozwiązania, a także powszechne dzielenie się informacjami dotyczącymi cyberataków.

« POWRÓT
EEC

Szanowny Użytkowniku!

Oglądasz archiwalną wersję strony Europejskiego Kongresu Gospodarczego.

Co możesz zrobić:

Przejdź do strony bieżącej edycji lub Kontynuuj przeglądanie

Drogi Użytkowniku!

W związku z odwiedzaniem naszych serwisów internetowych możemy przetwarzać Twój adres IP, pliki cookies i podobne dane nt. aktywności lub urządzeń użytkownika. Jeżeli dane te pozwalają zidentyfikować Twoją tożsamość, wówczas będą traktowane dodatkowo jako dane osobowe zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady 2016/679 (RODO).

Administratora tych danych, cele i podstawy przetwarzania oraz inne informacje wymagane przez RODO znajdziesz w Polityce Prywatności pod tym linkiem.

Jeżeli korzystasz także z innych usług dostępnych za pośrednictwem naszych serwisów, przetwarzamy też Twoje dane osobowe podane przy zakładaniu konta, rejestracji na eventy, zamawianiu prenumeraty, newslettera, alertów oraz usług online (w tym Strefy Premium, raportów, rankingów lub licencji na przedruki).

Administratorów tych danych osobowych, cele i podstawy przetwarzania oraz inne informacje wymagane przez RODO znajdziesz również w Polityce Prywatności pod tym linkiem. Dane zbierane na potrzeby różnych usług mogą być przetwarzane w różnych celach, na różnych podstawach oraz przez różnych administratorów danych.

Pamiętaj, że w związku z przetwarzaniem danych osobowych przysługuje Ci szereg gwarancji i praw, a przede wszystkim prawo do odwołania zgody oraz prawo sprzeciwu wobec przetwarzania Twoich danych. Prawa te będą przez nas bezwzględnie przestrzegane. Jeżeli więc nie zgadzasz się z naszą oceną niezbędności przetwarzania Twoich danych lub masz inne zastrzeżenia w tym zakresie, koniecznie zgłoś sprzeciw lub prześlij nam swoje zastrzeżenia pod adres odo@ptwp.pl. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania dokonanego przed jej wycofaniem.

W dowolnym czasie możesz określić warunki przechowywania i dostępu do plików cookies w ustawieniach przeglądarki internetowej.

Jeśli zgadzasz się na wykorzystanie technologii plików cookies wystarczy kliknąć poniższy przycisk „Przejdź do serwisu”.

Zarząd PTWP-ONLINE Sp. z o.o.