CyberbezpieczeństwoArtykuł z magazynu ITwizPolecane tematy

Nie inwestujemy w bezpieczeństwo infrastruktury krytycznej

Z Aleksandrem Poniewierskim, partnerem Ernst & Young, kierującym działem IT Advisory w Europie Środkowej i Południowej, rozmawiamy o ochronie infrastruktury krytycznej, bezpieczeństwie systemów Information Technology i Operational Technology, zarządzaniu ryzykiem opartym na scenariuszach i Governance Risk Compliance oraz obowiązującym dziś odwrotnym paradygmacie bezpieczeństwa.

Nie inwestujemy w bezpieczeństwo infrastruktury krytycznej

Czym jest infrastruktura krytyczna? Zwykle w tym kontekście myśli się o energetycznych liniach przesyłowych, czy gazociągach…

Można ją zdefiniować na wiele sposobów. W Polsce, w myśl Ustawy o zarządzaniu kryzysowym, przez infrastrukturę krytyczną należy rozumieć „systemy oraz wchodzące w ich skład powiązane ze sobą funkcjonalnie obiekty, w tym obiekty budowlane, urządzenia, instalacje, usługi kluczowe dla bezpieczeństwa państwa i jego obywateli oraz służące zapewnieniu sprawnego funkcjonowania organów administracji publicznej, a także instytucji i przedsiębiorców”, ale np. nie ma na tej liście mostów. W USA są to „systemy i zasoby fizyczne lub wirtualne, tak niezbędne dla Stanów Zjednoczonych, że niesprawność lub zniszczenie tych systemów i zasobów miałoby osłabiający wpływ na bezpieczeństwo, bezpieczeństwo gospodarki narodowej, narodową ochronę zdrowia lub każdą kombinację tych spraw”. W USA zidentyfikowano kilkanaście sektorów infrastruktury i odpowiedzialnych za nie agend.

Ważne jest podkreślenie, że infrastruktura krytyczna składa się z dwóch poziomów. Na pierwszym są budynki, ludzie i media przesyłowe. Drugi poziom to systemy IT (Information Technology) i OT (Operational Technology). W niektórych krajach dokonano rozdziału obszarów IT i OT. Przykładowo: w amerykańskim hotelu mamy dostęp do dwóch różnych gniazdek – osobno na dane i na prąd.To są rzeczy, które są transportowane galwanicznie odseparowanymi obwodami – odpowiednio telekomunikacyjnym i elektrycznym. Dzięki temu w przypadku braku napięcia można wciąż korzystać z gniazdka sieciowego, i odwrotnie. Powinniśmy mieć taki drugi „obwód” dla każdego z mediów.

Staramy się opisać przyszłe niepewności na podstawie tego, co zrobiono w przeszłości. Wygląda na to, że scenariusze rozwiązania znanych problemów stosujemy do nieznanych jeszcze zagrożeń. Tymczasem właściwsze jest podejście eksperckie, zgodne z Governance Risk Compliance (GRC). Tworzymy ład, w którym wiadomo kto i za co odpowiada, kto i na co ma wpływ, a także kto wszystko nadzoruje i kontroluje. W pierwszym etapie rozważamy zastosowanie znanych metod. Badamy ich zgodność – compliance – z prognozowanymi zagrożeniami. Z tego wychodzi ocena ryzyka.

Jaki jest jednak sens płacenia np. za zapasowe sieci wodociągowe czy telekomunikacyjne? Firmy prywatne zapytają się o business case, państwowe podporządkują się takiemu nakazowi bez pytania. To problem na całym świecie. Jednak w Stanach Zjednoczonych – jeśli chce się prowadzić działalność gospodarczą – trzeba podporządkować się regule Critical Infrastructure Protection National Energy Network. W kraju tym wydawany jest odpowiedni certyfikat zgodności z CIPNEN. Tymczasem w Europie są to jedynie zalecenia…

Poza kosztami związanymi z budową infrastruktury krytycznej, jakie są jeszcze problemy związane z jej tworzeniem i utrzymaniem?

Drugi problem to obecny dług technologiczny. Nakłady na zabezpieczenie tylko części IT infrastruktury krytycznej to dziś wydatki rzędu setek milionów, jeśli nie miliardów złotych. To efekt długoletnich zaniedbań. Przykładem może być chociażby spalony most łazienkowski w Warszawie. Nagle okazało się – o czym nikt w Ministerstwie Obrony Narodowej wcześniej nie wiedział – że zarówno podstawowy, jak i zapasowy światłowód tego resortu poprowadzony został przez ten właśnie most. Okazało się to, gdy MON stracił łączność.

Kolejny problem to brak standardów, wiedzy oraz świadomości konieczności zabezpieczania infrastruktury krytycznej. W niektórych sektorach – zwłaszcza bankowym – powstały wręcz odpowiednie komórki, które wiedzą jak zabezpieczać dane klientów i co zrobić w przypadku ataku hakerów. W przypadku zaś systemów OT mamy jednak do czynienia z zerową wiedzą, a nawet z powszechnym poczuciem braku potrzeby chronienia infrastruktury krytycznej.

Tymczasem coraz częściej słyszy się o atakach np. na infrastrukturę zakładów energetycznych czy chemicznych…

Niedawno analizowaliśmy bezpieczeństwo systemów SCADA w takich państwach, jak Polska, Estonia, Francja, Niemcy, Litwa, Holandia, Hiszpania i Szwecja. Z raportu “Analysis of ICS-SCADA Cyber Security Maturity Levels in Critical Sectors” – przygotowanego przez nas dla ENISA – wynika, że bardzo niski jest poziom dojrzałości jeśli chodzi o bezpieczeństwo infrastruktury krytycznej. Obszar ten wymaga także sporych inwestycji. Ponadto potrzebni są specjaliści, którzy zabezpieczą infrastrukturę krytyczną i będą odpowiedzialni za utrzymanie powstałych rozwiązań. Tymczasem nie edukujemy odpowiednich fachowców, a stworzenie takiego programu i wyszkolenie pierwszego „pokolenia” specjalistów od bezpieczeństwa infrastruktury krytycznej wymaga co najmniej 7 lat.

Osoby, które się na tym znają, wolą jeździć na kontrakty do Stanów Zjednoczonych i krajów Zatoki Perskiej. W EY zabezpieczamy jeden tego typu projekt w Polsce, a w Zatoce Perskiej aż trzy. Powód? Budżet wielu projektów inwestycyjnych w zakresie infrastruktury krytycznej w Polsce – np. budowa nowych bloków energetycznych w Elektrowni Opole, Elektrowni Ostrołęka czy nowych linii przesyłowych – ledwo się spina. Jednocześnie w ogóle nie uwzględniają one budowy odpowiedniej warstwy bezpieczeństwa. Gdyby dodać ten koszt, znacząco przekroczyłyby on założony poziom wydatków.Tymczasem opłaty w Polsce za energię, wodę czy paliwa są już jednymi z najwyższych w porównaniu z innymi krajami europejskimi. Wpisując w ich taryfy jeszcze koszt zabezpieczenia infrastruktury krytycznej, bardzo mocno wzrósłby koszt tych mediów.

Dlaczego kraje Zatoki Perskiej przywiązują tak dużą wagę do ochrony infrastruktury krytycznej, a europejskie nie?

W Europie nie ma bowiem spójnej oceny ryzyka infrastruktury krytycznej. Tymczasem w Australii, Zatoce Perskiej, a na naszym kontynencie w krajach skandynawskich stosowane są powszechnie normy, które mówią o bezpieczeństwie OT, jak np. norma ISA99. W Polsce Rządowe Centrum Bezpieczeństwa przygotowuje jedynie ogólne zalecenia. Nikt jednak nie kontroluje później ich przestrzegania. W przeciwieństwie np. do sektora finansowego, w którym gdy Komisja Nadzoru Bankowego wydaje jakąś rekomendację, to jej pracownicy sprawdzają punkt po punkcie, w jaki sposób wydane zalecenia zostały wdrożone. Tak jest np. z rekomendacją D, dotyczącą w znacznej mierze systemów IT i ich bezpieczeństwa.

Niedawno analizowaliśmy bezpieczeństwo systemów SCADA w takich państwach, jak Polska, Estonia, Francja, Niemcy, Litwa, Holandia, Hiszpania i Szwecja. Z naszego raportu dla ENISA wynika, że bardzo niski jest poziom dojrzałości jeśli chodzi o bezpieczeństwo infrastruktury krytycznej. Obszar ten wymaga także sporych inwestycji. Ponadto potrzebni są specjaliści, którzy zabezpieczą infrastrukturę krytyczną i będą odpowiedzialni za utrzymanie powstałych rozwiązań. Tymczasem nie edukujemy odpowiednich fachowców, a stworzenie takiego programu i wyszkolenie pierwszego „pokolenia” specjalistów od bezpieczeństwa infrastruktury krytycznej wymaga co najmniej 7 lat.

W przypadku systemów OT nie mamy odpowiednika Urzędu Dozoru Technicznego, który – przed uruchomieniem ropociągu czy gazociągu – sprawdza spełnienie norm technicznych. Budujemy więc superbezpieczne linie przesyłowe, którymi sterują całkowicie niezabezpieczone systemy SCADA. Wszyscy boją się bowiem fizycznego ataku i wybuchu ropo- lub gazociągu. Tymczasem w krajach Zatoki Perskiej oba zagrożenia – fizyczne i cybernetyczne – traktowane są na równi. Będąc kiedyś w Oman Gas Company, spotkałem się z ciekawym stwierdzeniem. Przedstawiciele Oman Gas Company boją się przede wszystkim nieciągłości i rozsynchronizowania pracy gazociągu, a za to odpowiadają właśnie systemy OT. Tak więc atak cybernetyczny czy wybuch gazociągu to dla przedstawicieli tej firmy równie poważne zagrożenie. Tylko że tego pierwszego można dokonać z drugiego końca świata.

W jaki sposób zarządza się obecnie ryzykiem i opisuje się zagrożenia związane np. z infrastrukturą krytyczną?

Są to ryzyka jakościowe – określane jako małe, średnie lub duże – oparte na scenariuszach. Staramy się więc opisać przyszłe niepewności na podstawie tego, co zrobiono w przeszłości. Wygląda na to, że rozwiązania znanych problemów stosujemy do nieznanych jeszcze zagrożeń. Jak zabezpieczyć się przed nowym rodzajem ataku phisingowego? Jak wykonać jego analizę? Jak się zabezpieczyć przed włamaniem, skoro nie wiadomo jak ono de facto będzie wyglądać? Scenariuszowe zarządzanie ryzykiem bazuje na Business Impact Analysis (BIA). Dlaczego tak się dzieje? Bo tak jest łatwiej, bo wszyscy to znają. Co prawda wszyscy, którzy wykorzystywali BIA wiedzą, że analiza ta nie działa, ale wciąż to robią.

Nakłady na zabezpieczenie tylko części IT infrastruktury krytycznej to dziś wydatki rzędu setek milionów, jeśli nie miliardów złotych. To efekt długoletnich zaniedbań. Przykładem może być chociażby spalony Most Łazienkowski w Warszawie. Nagle okazało się – o czym nikt w Ministerstwie Obrony Narodowej wcześniej nie wiedział – że zarówno podstawowy, jak i zapasowy światłowód tego resortu poprowadzony został przez ten właśnie most. Okazało się to, gdy MON stracił łączność.

Właściwsze jest podejście eksperckie, zgodne z Governance Risk Compliance (GRC). Tworzymy ład, w którym wiadomo kto i za co odpowiada, kto i na co ma wpływ, a także kto wszystko nadzoruje i kontroluje. W pierwszym etapie rozważamy zastosowanie znanych metod. Badamy ich zgodność – compliance – z prognozowanymi zagrożeniami. Z tego wychodzi ocena ryzyka. Podejście to sprawdza się znakomicie w przypadku systemów OT. Najpierw tworzy się klarowne listy wymagań związanych z zabezpieczeniem każdego z elementów infrastruktury krytycznej. Na tej podstawie sprawdza się ryzyko nawet nieznanych jeszcze zagrożeń.

Podejście Governance Risk Compliance stosowane jest powszechnie w Stanach Zjednoczonych i krajach Zatoki Perskiej. W Polsce zaś stosujemy podejście scenariuszowe. Obecnie jednak powinniśmy raczej przygotowywać jak najbardziej rozbudowane listy kontrolne. Lloyd ubezpieczając statki – zadawał pytania o armatora, kapitana, załogę, statek, jego trasę. To był etap Governance.

Jak można by obrazowo opisać różnice pomiędzy tymi dwoma podejściami do bezpieczeństwa?

Załóżmy, że wybieramy się do Etiopii, do strefy malarycznej w regionie Omo, który zamieszkuje plemię Mursi. Przygotowując się, idziemy do lekarza. Ten zleca nam serię badań, przeprowadza więc analizę typu governance. Dokonuje analizy korelacji zachowań naszego ciała z otoczeniem. Wiemy, że w regionie Omo panuje m.in. malaria i żółta febra. Profilaktycznie szczepimy się, zabieramy odpowiednie kremy i moskitierę. Oceniamy więc ryzyko i spełnienie przez nas wymagań. Ten etap właśnie nazywa się compliance. Takie podejście wymaga jednak konkretnej listy potrzeb i zabezpieczeń.

Musimy mieć świadomość, że mamy dziś bowiem do czynienia z odwrotnym paradygmatem bezpieczeństwa. Nasze pokolenie jest przyzwyczajone do tego, że ktoś, administrator dba o nasze bezpieczeństwo. Tymczasem obecnie sami staliśmy się administratorami. To my decydujemy co robimy i komu udostępniamy dane np. na serwisach społecznościowych. Przyzwyczajeni do poprzedniego podejścia, często udostępniamy rzeczy publicznie, bo myślimy, że ktoś w naszym imieniu „zadba” o te dane, zadecyduje, które informacje będą dostępne tylko dla znajomych, a jednocześnie niewidoczne dla wszystkich innych. Jest to błędne założenie.

Alternatywne, scenariuszowe podejście polega – trzymając się tego samego przykładu – na tym, że o opinię na temat najważniejszych zagrożeń w regionie Omo pytamy kolegę, który już tam był. On ocenia ryzyko na bazie własnego doświadczenia. Ponieważ jemu nic się nie stało, to – jego zdaniem – zagrożenia nie występują lub ich prawdopodobieństwo jest niskie.

Wracając jednak do infrastruktury krytycznej kraju, ważne, aby działania związane z jej ochroną były zarządzane w jednym miejscu. Zadziała ona bowiem jedynie wówczas, gdy w jednym miejscu skupią się wszystkie aspekty zarządzania ryzykiem – określanie wymagań, kontrola ich wprowadzania i koordynacja współpracy pomiędzy poszczególnymi podmiotami. W naszym przykładzie był to lekarz. Jeśli jednak każdy operator jakiegoś elementu infrastruktury krytycznej będzie to robił po swojemu, to wdrożone procedury bezpieczeństwa nie mają prawa zadziałać.

Z jednej strony nie inwestujemy w Europie w bezpieczeństwo infrastruktury krytycznej, z drugiej zaś dążymy do powszechnego wprowadzenia rozwiązań typu smart grid…

… tymczasem łamana jest zasada ograniczenia fizycznego dostępu. Niezabezpieczona sieć i końcówki systemów OT to proszenie się o kłopoty. Podam inny przykład: Co z tego, że mamy hasło w telefonie, skoro logujemy się do bezpłatnej sieci Wi-Fi. Jakiś czas temu znajomy pokazywał mi, jak dzięki – zamontowanym i podłączonym do internetu kamerom – śledził co dzieje się w jego domu. Większość tego typu rozwiązań nie ma jednak wbudowanego sposobu uwierzytelniania właściciela tych kamer. Dlatego bardzo łatwo można przejąć kod logowania do konta i za jego pomocą mieć dostęp do udostępnianych obrazów. Dokonać tego można chociażby poprzez fałszywy Access Point.

Ludzie akceptują jednak tego typu ryzyko, aby otrzymać pożądaną funkcjonalność…

To prawda, ale dzieje się to nie tylko kosztem naszej prywatności. Znam przykłady operatorów centrów zarządzania systemami SCADA, którzy w nocy często podłączają się do internetu, np. aby oglądać filmy, bo im się na ich zmianie nudzi. Przez to sami proszą się o atak. Dostęp do nadzorowanych przez nich systemów SCADA staje się bowiem wówczas dużo łatwiejszy. Mamy do czynienia właściwie z systemem otwartym.

Musimy mieć świadomość, że coraz więcej w zakresie bezpieczeństwa zależy od nas samych. Mamy dziś bowiem do czynienia z odwrotnym paradygmatem bezpieczeństwa. Odwróciła się rola zabezpieczanego i zabezpieczającego. Kiedyś był administrator, który określał poziom dostępu do poszczególnych zasobów na podstawie roli w organizacji. Klasyczny paradygmat oparty był na zasadzie domniemanej odmowy. Jeśli ktoś nie ma dostępu do danych informacji, to znaczy, że go nie potrzebuje. Jeżeli jest odwrotnie, prosi o dostęp zwierzchników, a ci administratora.

Nasze pokolenie jest przyzwyczajone do tego, że ktoś dba o nasze bezpieczeństwo. Tymczasem obecnie sami staliśmy się administratorami. To my decydujemy co robimy i komu udostępniamy dane np. na serwisach społecznościowych. Przyzwyczajeni do poprzedniego podejścia, często udostępniamy rzeczy publicznie, bo myślimy, że ktoś w naszym imieniu „zadba” o te dane, zadecyduje, które informacje będą dostępne tylko dla znajomych, a jednocześnie niewidoczne dla wszystkich innych. Jest to błędne założenie.

Tymczasem firmy, z których serwisów dziś korzystamy i za pośrednictwem których udostępniamy informacje na temat nas samych, przygotowują się do tego, aby na tym zarabiać. Moim zdaniem, za kilka lat będziemy ponosić ogromne koszty, aby zachować prywatność. Będziemy korzystać z aplikacji prywatnych, ich wersji komercyjnych, albo ich wersji najdroższych, ukrywających informacje o nas i naszej aktywności.

Tagi

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *