CYBERSEC PL: Polska infrastruktura krytyczna podatna na cyberataki

13 kwietnia 2016, 15:16
Maciej Pyznar, CYBERSEC PL

Na cyberatak w warunkach pokojowych jesteśmy dość dobrze przygotowani, na agresję w wypadku wojny - wcale - mówił profesor Konrad Świrski podczas I Polskiego Forum Cyberbezpieczeństwa CYBERSEC PL. W ramach ścieżki "Państwo" goście dyskutowali o podatności polskiej infrastruktury krytrycznej na atak cybernetyczny. Wnioski nie były optymistyczne.

Prawdziwym przełomem dla osób odpowiedzialnych za infrastrukturę krytyczną był rok 2010 i wirus Stuxnet, którego koalicja USA u Izraela użyła do  ataku na instalacje wzbogacania uranu Islamskiej Republiki Iranu. Dopiero wtedy świat uświadomił sobie skalę zagrożenia płynącego z cyberataku.

- Większość osób do 2010 r. nie wierzyła, że w atakach hakerskich da się przejąć kontrolę nad instalacją – mówił prof. Konrad Świrski, kierownik zakładu maszyn i urządzeń energetycznych Politechniki Warszawskiej podczas debaty w ramach forum CYBERSEC PL. - Co innego system sterowania wyłączyć, a co innego go opanować i wykorzystać do niszczenia urządzeń.

Administratorzy sieci czuli się spokojni, bo do przeprowadzenia skomplikowanego ataku wiedza hakerów to za mało. Potrzebne jest jeszcze doświadczenie inżynierów, bo kontrolowanie systemów SCADA wymaga specjalistycznych umiejętności. Atak wirusa Stuxnet pokazał jednak, że jest to możliwe.

– Pytanie, w którym kierunku idzie nasza cyberobrona? W kierunku ataku "pokojowego", czyli sytuacji, gdy ktoś uzdolniony próbuje wyłączyć nasze systemy? Czy też takiego ataku, gdzie ktoś wykorzysta je  do spowodowania zniszczeń w infrastrukturze? Ta druga opcja to scenariusz wojenny. Pytanie więc, czy przygotowujemy się do pokoju, czy do wojny? Moim zdaniem na atak w warunkach pokojowych jesteśmy dość dobrze przygotowani, na ten drugi – w ogóle - wyjaśniał prof. Świrski.

- Traktujmy te zagrożenia poważnie, bo zabawki militarne mają tendencje szybko przenikać do realnego świata.  Dzisiejsze ataki cybernetyczne na infrastukturę krytyczną już wkrótce będą dużo łatwiejsze. Nasze standardy powinny być więc znacznie bardziej precyzyjne i "branżowe" - dodał ekspert.

Według profesora Świrskiego każda branża zaliczana do infrastruktury krytycznej powinna mieć opracowane własne wytyczne dot. cyberobrony. Chodzi m.in. o to, by w kluczowym momencie podjąć decyzję o wyłączeniu systemu lub przejściu na ręczne sterowanie - tam, gdzie to możliwe.

Jak to zrobić? Kopiując najlepsze wzorce z zagranicy, na przykład amerykański NERC (North American Electric Reliability Corporation). Ta amerykańska instytucja zajmuje się kontrolą infrastruktury odpowiedzialnej za dostawę energii. NERC opracowała plan Ochrony Krytycznej Infrastruktury (Critical Infrastructure Protection, CIP) zawierający normy gwarantujące niezawodność systemów.

 –Amerykańskie podejście do elektrowni jądrowych jest najbardziej zaawansowanym modelem, jaki istnieje. Podobne normy powinniśmy wprowadzić u nas - i to natychmiast. Nasz rodzimy Urząd Regulacji Energetyki powinien wymagać przestrzegania procedur od branży energetycznej, tak jak KNF wymaga tego od banków. Zróbmy to jak najszybciej, bo w razie ataku doktryna cyberbezpeiczeństwa nas nie uratuje, a praktyczne odcinanie systemów - może.

Maciej Pyznar z Rządowego Centrum Bezpieczeństwa tłumaczył, że poradnik ze standardami bezpieczeństwa przygotowują pracownicy RCB, ale liczą na współpracę z operatorami infrastruktury. - To w końcu oni na co dzień korzystają z systemów. Nie chodzi nam o to, by operatorzy otrzymali dokument, którego nie wykorzystają - mówił podczas debaty Pyznar.

- Cyberbezepieczeństwo to nie jest coś kompletnie innego niż normalne bezpieczeństwo. Cieszę się, że na tej konferencji pierwszy raz ktoś z rządzących cytuje przygotowywany przez RCB narodowy program ochrony infrastruktury krytycznej. Od początku pokazujemy w nim, że cyberobrona to normalny element bezpieczeństwa – dodał szef Wydziału Ochrony Infrastruktury Krytycznej RCB.

Goście kilkukrotnie podczas panelu obalali tezę, że większość sieci infrastruktury krytycznej jest bezpieczna, bo „nie jest podłączona do Internetu”. Taki argument można usłyszeć od niektórych ekspertów. Paneliści przypomnieli jednak, że irańskie systemy również nie był podłączone do Internetu, a jednak udało się zarazić je wirusem Stuxnet. W razie ataku podobnie bezbronne byłyby zapewne polskie sieci. Przedstawiciele branży energetycznej podczas tego i kolejnych paneli w ramach CYBERSEC PL zapewniali jednak, że rodzime systemy są bezpieczne.

- Spółka zdaje sobie sprawę ze swojego strategicznego charakteru i roli dla bezpieczeństwa państwa – mówił podczas dyskusji Tomasz Chodor z departamentu bezpieczeństwa PGNiG. – Wdrożyliśmy w skali całej organizacji system zarządzania bezpieczeństwem informacji ISO 270 001. Wyjątkowe jest to, że certyfikacja objęła całość funkcjonowania spółki. Dojrzałość w zakresie cybersecurity jest cały czas doskonalona w ramach cyklu Deminga (cykl PDCA, ang. Plan-Do-Check-Act - red.).

Przedstawiciel PGNiG również apelował o utworzenie jednolitych norm bezpieczeństwa dla całej branży energetycznej.

- Dyskusja, którą prowadzimy opiera się na działaniach reaktywnych. Mówimy o tym, że trzeba raportować zdarzenia, coś z nimi robić. Powinniśmy jednak skupić się na działaniach, które spowodują podniesienie bezpieczeństwa nie tylko przez pryzmat  reaktywnego działania – mówił Tomasz Chodor.

 

KomentarzeLiczba komentarzy: 42
Eugenerib
wtorek, 24 stycznia 2017, 12:41

rswuccc http://www.turismolastminute.it/388-vans-era-nere.html http://www.animalcare.fr/adidas-stan-smith-velour---femme-chaussures-406.html http://www.uial.it/070-scarpe-tennis-asics-offerte.html http://www.caminowatch.fr/acheter-adidas-gazelle-2-778.html http://www.ecoraid.fr/939-nike-free-flyknit-achat.php [url=http://www.lenfancedelart.fr/nike-shox-2016-prix-082]Nike Shox 2016 Prix[/url] [url=http://www.amadeus-voyance.fr/032-puma-creepers-rihanna-beige.html]Puma Creepers Rihanna Beige[/url] [url=http://www.retedipli.it/509-saucony-shadow-bordeaux.html]Saucony Shadow Bordeaux[/url] [url=http://www.clinicaviaemilia.it/fs-lite-run-405]Fs Lite Run[/url] [url=http://www.lldlm.fr/102-asics-verte-fluo.html]Asics Verte Fluo[/url]

Thomasnib
czwartek, 2 lutego 2017, 12:36

icniopb http://www.semioticamente.it/nike-sb-stefan-janoski-max-l-nyc http://www.hotelcentrevalleebleue.fr/919-new-balance-996-femme-gris.html http://www.chaussurespropres.fr/superstar-adidas-noir-et-or-618.html http://www.comite-jumelage-vigneux-sur-seine.fr/739-saucony-guide-9-test.html http://www.casevacanzesottoalduomo.it/air-max-90-nere-e-fucsia-582.php [url=http://www.brocanteur-yonne-89.fr/106-chaussure-yeezy-femme.php]Chaussure Yeezy Femme[/url] [url=http://www.amadeus-voyance.fr/992-puma-creepers-velvet-gris.html]Puma Creepers Velvet Gris[/url] [url=http://www.lucilepeuch.fr/nike-air-huarache-run-ultra-688.php]Nike Air Huarache Run Ultra[/url] [url=http://www.biotoxen.it/871-cappello-ottawa-senators.php]Cappello Ottawa Senators[/url] [url=http://www.modeprice.fr/127-sac-longchamp-chat.php]Sac Longchamp Chat[/url]

ThomasVow
piątek, 3 lutego 2017, 15:21

wdtdwiy http://www.lucilepeuch.fr/nike-femme-huarache-kaki-054.php http://www.tissages-de-gravigny.fr/nike-thea-aliexpress.html http://www.semioticamente.it/nike-sb-janoski-max-black-suede http://www.io-riciclo.it/393-air-force-1-low-nere http://www.tissages-de-gravigny.fr/nike-air-max-thea-id.html [url=http://www.succesfou.fr/casquette-cleveland-browns-492.html]Casquette Cleveland Browns[/url] [url=http://www.lldlm.fr/817-asics-gel-lyte-v-rouge-femme.html]Asics Gel Lyte V Rouge Femme[/url] [url=http://www.microquadcopter.fr/converse-basse-blanche-973]Converse Basse Blanche[/url] [url=http://www.brocanteur-yonne-89.fr/397-yeezy-adidas-350-prix.php]Yeezy Adidas 350 Prix[/url] [url=http://www.biotoxen.it/660-cappello-st.-louis-blues.php]Cappello St. Louis Blues[/url]

ThomasVow
sobota, 28 stycznia 2017, 17:42

pawozmp http://www.lenfancedelart.fr/baskets-nike-shox-femme-680 http://www.clinicaviaemilia.it/free-run-2-ext-928 http://www.casevacanzesottoalduomo.it/air-max-90-2014-uomo-874.php http://www.comite-jumelage-vigneux-sur-seine.fr/862-saucony-xodus-6.0-gtx.html http://www.microquadcopter.fr/converse-blanche-basse-port茅es-homme-119 [url=http://www.io-riciclo.it/973-air-force-colorate]Air Force Colorate[/url] [url=http://www.retedipli.it/694-saucony-grigie-e-bianche.html]Saucony Grigie E Bianche[/url] [url=http://www.deco-at.fr/807-nike-cortez-noir]Nike Cortez Noir[/url] [url=http://www.wildvisions.it/nike-jordan-14]Nike Jordan 14[/url] [url=http://www.lenfancedelart.fr/shox-blanche-et-rose-470]Shox Blanche Et Rose[/url]

CurtisFooG
niedziela, 5 lutego 2017, 18:46

yxoqyyr http://www.evoslimmingcoupon.co.uk/air-jordan-13-black-blue-681.php http://www.realmortgagefinance.co.uk/nike-shox-nz-blackvarsity-redcharcoal-516.php http://www.evoslimmingcoupon.co.uk/air-jordan-1-black-gold-red-622.php http://www.northhampshireenterprise.co.uk/nike-sb-gold-267.html http://www.backpackersholidays.co.uk/557-nike-air-huarache-run-ultra-shoes.html [url=http://www.misstilly.co.uk/nike-factory-outlet-locations-uk-082.htm]Nike Factory Outlet Locations Uk[/url] [url=http://www.bike-courier.co.uk/nike-flyknit-air-max-mens-684.html]Nike Flyknit Air Max Mens[/url] [url=http://www.custard-online.co.uk/958-adidas-cap-with-gold-logo.html]Adidas Cap With Gold Logo[/url] [url=http://www.directoryoffinance.co.uk/581-asics-volleyball-shoes-black-and-white.html]Asics Volleyball Shoes Black And White[/url] [url=http://www.frankluckham.co.uk/adidas-superstar-shoes-for-boys-765.php]Adidas Superstar Shoes For Boys[/url]

Reklama
Tweets CyberDefence24