Infrastruktura krytyczna i Internet Rzeczy – konieczność wypracowania takich norm i rozwiązań, z których podmioty będą chciały korzystać

Podczas debaty „Internet Rzeczy i infrastruktura krytyczna – potrzeba zaufania”, odbywającej się w ramach konferencji Cybersec 2018, swoje opinie wyrażali specjaliści w dziedzinie cyberbezpieczeństwa: Ulrich Seldeslachts, Nikolaos Isaris, Przemysław Kania, Paweł Surmak, Rafael Maman oraz Kim Zetter, będąca moderatorem panelu.

Internet Rzeczy, obejmujący różnorodne urządzenia typu smart, stwarza nowe możliwości do prowadzenia szkodliwej działalności w przestrzeni wirtualnej. Mowa tutaj nie tylko o smartfonach, czy innych inteligentnych sprzętach, ale także o maszynach mających bezpośredni wpływ na ludzkie życie i zdrowie. Wśród nich należy wymienić m.in. samochody, urządzenia medyczne, rozruszniki serca.

Urlich Seldeslachts, członek Komisji Europejskiej, stwierdza, iż operatorzy infrastruktury krytycznej nie są w pełni świadomi zagrożeń występujących w sieci, dlatego też Unia podejmuje we własnym zakresie pewne działania, w celu zwiększenia cyberbezpieczeństwa w sektorze usług kluczowych. Jednak jest to problematyczna kwestia ze względu na szereg powiązań między podmiotami odpowiedzialnymi za bezpieczeństwo IK, tworzących długi łańcuch zależności. Mówiąc prościej, dany operator współpracuje z innym podmiotem, który z kolei kooperuje z kolejnym, a więc system bezpieczeństwa Internetu Rzeczy musiałby obejmować każdego z nich z osobna. W związku z tym padły słowa, iż „dlatego też Dyrektywa NIS nie jest wystarczająco szeroka”. Seldeslachts wskazał kolejny problem, którym jest adresat Dyrektywy – skupia się ona na operatorach usług kluczowych, a więc nie dotyczy wszystkich firm, wobec czego nie mają one obowiązku raportowania o incydentach. „Należy skupić się na wypracowaniu rozwiązań, których istotą będzie nie zakres, lecz głębokość oddziaływania” – podsumowuje Seldeslachts.

Partykularne postrzeganie przepisów prawa regulujących kwestie cyberbezpieczeństwa jest błędne. Normy oraz zapisy ustawowe należy tutaj traktować jako całość, pewien zbiór tworzący jedność. Nikolaos Isaris z Komisji Europejskiej podkreśla, że Unia posiada plan reagowania na większe incydenty, wskazując jednocześnie, iż nie chodzi o jeden przepis prawny, lecz całość procesu certyfikacji. Nie mniej istotne jest holistyczne podejście operatorów usług kluczowych do zagadnienia bezpieczeństwa IK. Wskazuję się tutaj chociażby na współpracę sektora prywatnego z publicznym w ramach możliwości korzystania np. ze specjalistycznych laboratoriów, umożliwiających dokonywanie testów, prób oraz badań.

Przemysław Kania, przedstawiciel Cisco Polska, w swej wypowiedzi odniósł się do sytuacji Polski. Podkreślił fakt, iż NIS w połączeniu z RODO zdecydowanie zwiększa świadomość na rynku, a przecież te dwa unijne dokumenty zostały niedawno przyjęte przez rząd. W odczuciu Kani problemem jest kwestia definicji IK, ponieważ wiele firm opisuje ją w różny sposób ze względu na charakter prowadzonej działalności. Opracowane rozwiązania w zakresie cyberbezpieczeństwa Internetu Rzeczy muszą być dopasowane albo do określonego sektora albo do urządzenia, ze względu na to, iż znaczna ilość sprzętów i systemów jest powiązana z produktem końcowym. „Jeśli będziemy tworzyć odpowiednie inicjatywy, będziemy wówczas osiągać lepsze wyniki niż wtedy, gdy tylko urządzenia końcowe będą w pełni bezpiecznie” – zakończył wątek Kania.

Członek izraelskiego Centrum Doskonalenia Cyberbezpieczeństwa - Rafael Maman – mówi o konieczności opracowania takich norm, z których firmy będą chciały korzystać. Ponadto, należy podejmować współpracę nie tylko prywatno-publiczną, ale także na poziomie międzynarodowym, co pozwoli na tworzenie skuteczniejszych rozwiązań w zakresie bezpieczeństwa IK.

Paweł Surmak z T-Mobile Polska, wspomniał o ćwiczeniach prowadzonych przez to przedsiębiorstwo, dzięki którym można zauważyć, w jaki sposób poszczególne podmioty współpracują ze sobą w razie zagrożenia cybernetycznego. Dzięki tego typu zabiegom łatwiej jest namierzyć luki w systemach, które jeśli zostaną naruszone, to stwarzają poważny problem.

Kim Zetter  zapytała panelistów o regulacje oprogramowania w ich całym cyklu życiowym. Eksperci zgodnie uznali, iż jest to problematyczna kwestia. Posługując się przykładem zwykłej lodówki podłączonej do Internet uwypuklili najistotniejsze bariery w tym zakresie. W jaki sposób zmusić producenta do aktualizacji np. 10-letniego systemu, jeśli po 2-3 latach zostanie on uznany za przestarzały? Co więcej, w dalszej perspektywie może okazać się, że producent danego urządzenia może już nie istnieć, więc kto wtedy ma przejąć odpowiedzialność za aktualizację oprogramowania? Niestety, tego typu pytań i wątpliwości jest obecnie sporo, a z czasem będą się one mnożyć.

Debatę zakończył wątek wizji wymarzonej sytuacji w zakresie cyberbezpieczeństwa IK i Internetu Rzeczy. Goście po kolei odnosili się do wspomnianej problematyki krótko wskazując na poszczególne dziedziny i aspekty. Wśród nich była mowa o perspektywie jednoczesnego kontrolowania urządzeń odpowiedzialnych za IK; testowaniu niedoskonałości urządzeń podłączonych do Internetu oraz odpowiedniej ich aktualizacji; bezpieczeństwie i ograniczeniu jego wpływu na innowacyjność; nie postrzeganiu regulacji prawnych wraz certyfikacją jako „listy spraw do zrobienia”, a budowanie całej kultury i świadomości bezpieczeństwa; czy w końcu wsparciu transformacji cyfrowej.