Firmowa kultura bezpieczeństwa

Na ile jesteśmy bezpieczni oraz jak infrastruktura krytyczna jest zabezpieczona przed ryzykiem – zarówno konwencjonalnym, jak i tymi cyfrowym – to zagadnienia, które starano się zdiagnozować w trakcie debaty „Bezpieczeństwo techniczne infrastruktury krytycznej w obliczu współczesnych zagrożeń", zorganizowanej przez „Rzeczpospolitą". Jej uczestnicy nacisk położyli zwłaszcza na zagrożenia cyfrowe. – Takie ataki są dziś bardziej realne niż desant obcych sił, które zniszczą daną infrastrukturę – przekonywał Dariusz Góralski, dyrektor Departamentu Bezpieczeństwa w spółce Polskie Sieci Elektroenergetyczne.

Smart grid – atrakcyjny cel dla hakerów

Nie mieli wątpliwości, że zagrożenia niekonwencjonalne dla przedsiębiorstw, zwłaszcza tych operujących w sektorze infrastruktury krytycznej, jeszcze nigdy nie były tak potężne. To w dużej mierze efekt postępu technologicznego i wszechobecnej cyfryzacji.

Jedną z branż najbardziej narażonych na takie cybernetyczne ataki jest energetyka. Od lat elektrownie i infrastruktura energetyczna znajdują się na celowniku grup ekstremistów, terrorystów i wrogich państw, jednak dotychczas – jak wskazuje Jerzy Topolski, wiceprezes Tauron-Dystrybucja – potencjalny atak na sieć rozproszoną w terenie nie gwarantował spektakularnego efektu. Teraz to się zmienia.

– Budujemy inteligentną sieć (tzw. smart grid – red.), co oznacza, że wychodzimy z technologią smart na zewnątrz organizacji, a w konsekwencji wpuszczamy klientów w swoje sieci informatyczne. To już realne zagrożenie, bo energetyka otwiera się na ataki. Musimy nadążać z ochroną za tymi zmianami – podkreśla prezes Topolski.

Jednak infrastruktura krytyczna to nie tylko centrale spółek z listy strategicznych operatorów infrastruktury krytycznej. – W kontekście smart grid krytyczna jest końcówka systemu energetycznego znajdująca się w bloku. A takich punktów mogą być dziesiątki, a nawet setki milionów. Obecnie ich zabezpieczenie jest trudne do wyegzekwowania, bo dystrybutor energii ma wpływ tylko na licznik, informacje z niego przesyłane są zaś już przez infrastrukturę operatora telekomunikacyjnego – wyjaśnia dr Łukasz Kister, niezależny ekspert ds. bezpieczeństwa.

Dariusz Mikołajczyk, szef Biura Bezpieczeństwa PKP Energetyka, zaznacza, że dziś, w kontekście bezpieczeństwa, zdecydowanie za mało mówi się o systemach automatyki przemysłowej. – A ta steruje wieloma elementami infrastruktury, zwłaszcza rozproszonej. Wcześniej te systemy były odseparowane od systemów IT. Teraz coraz mocniej łączą się one, co z punktu widzenia osób odpowiedzialnych za bezpieczeństwo, może być sporym utrapieniem – twierdzi Mikołajczyk.

Ale w kontekście cyberbezpieczeństwa warto zwrócić uwagę nie tylko na automatykę przemysłową, ale również tę budynkową. – To niezwykle istotny element bezpieczeństwa. Dziś przecież każdy firmowy budynek, nie tylko należący do przedsiębiorstwa zarządzającego infrastrukturą krytyczną, posiada jakiś system budynkowy. Z reguły to systemy otwarte, które stanowią bardzo łatwy, wręcz prymitywny cel ataku dla hakera i to na poziomie maturzysty, zaawansowanego w technikach informatycznych – komentuje Marek Bielski, członek zarządu Siemens Polska. – Jeżeli taki system znajduje się w obiekcie istotnym dla funkcjonowania gospodarki, mamy problem.

Poprzez systemy zarządzające budynkami łatwo wejść do kluczowej sfery działalności firm będących właścicielami infrastruktury krytycznej i obezwładnić je. – Bez podkładania bomb, bez fizycznego ataku terrorystycznego. To aspekt, na który należy zwrócić obecnie większą uwagę – dodaje Bielski.

Jego zdaniem, niekoniecznie musimy mieć jednak do czynienia z terroryzmem.

– Takie systemy mogą stać się celem zwykłego hakera, który dokona włamania tylko po to, by pochwalić się nim w internecie – podkreśla.

Budowa świadomości

Przepisy w zakresie ochrony cybernetycznej i antyterrorystycznej w Polsce zbytnio koncentrują się na obligowaniu przedsiębiorstw i instytucji odpowiedzialnych za infrastrukturę krytyczną do ciągłego raportowania. Potrzebne są wsparcie państwa i realne działania poprawiające stan zabezpieczeń – wskazują uczestnicy debaty.

– Jeśli administracja państwowa wyznacza standardy, powinna jednocześnie wspierać najważniejsze krytyczne sektory. Dziś takich rozwiązań, czy to w ustawie o zarządzaniu kryzysowym, czy projekcie ustawy o cyberbezpieczeństwie, jednak brakuje – mówi Łukasz Kister. – Urzędnikowi najprościej jest wymóc meldowanie o różnych zdarzeniach, ale skuteczność takich rozwiązań jest znikoma – kontunuuje ekspert.

Według niego świadczą o tym raporty pełnomocników ochrony infrastruktury krytycznej. – Te są przykładem żałosnej literatury przepisywanej co kwartał, niemówiącej o niczym. Te z pewnością nie stanowią cennej wiedzy dla administracji – podkreśla.

Biorący udział w debacie zauważyli również, że – aby poprawić stan bezpieczeństwa – należy zmienić nasze podejście do tego typu zagadnień. Problem tkwi w naszej mentalności. – Mamy za mało asertywności, boimy się egzekwować prawa, by nie naruszyć czyjejś godności, a to skutkuje nieprzestrzeganiem procedur. Przy takim podejściu trudno skutecznie przestrzegać norm bezpiecznego biznesu – zaznacza Marek Bielski.

Według niego przedsiębiorstwa powinny położyć więc nacisk na budowę świadomości załogi w tym zakresie i budowę kultury bezpieczeństwa. – Konieczne są cykliczne, powszechne szkolenia, w trakcie których przejrzyście i jasno tłumaczone będą poszczególne kwestie bezpieczeństwa. Każdy musi czuć się za nie odpowiedzialny, nie tylko menedżerowie, ale także zwykli pracownicy – tłumaczy Marek Bielski.

To niezmiernie istotne, gdyż najsłabszym ogniwem są ludzie. Niezachowanie odpowiedniej tajemnicy przez pracowników to jedna z najczęstszych przyczyn wycieku informacji z firm.

– Stąd edukacja, egzekwowanie prawa i konsekwencja są kluczowe do budowy bezpiecznych biznesów – dodaje członek zarządu Siemens.