Infrastruktura krytyczna i Internet Rzeczy – konieczność wypracowania takich norm i rozwiązań, z których podmioty będą chciały korzystać

9 października 2018, 12:08
Paweł_Surmak
Fot. Instytut Kościuszki

Zaufanie w działaniach podejmowanych w cyberprzestrzeni musi odnosić się do Internetu Rzeczy, a przez to do samej infrastruktury krytycznej (IK). Takie powiązanie jest konieczne ze względu na łańcuch zależności, jaki występuje między urządzeniami typu smart a systemami funkcjonującymi w ramach sektora usług kluczowych.

Podczas debaty „Internet Rzeczy i infrastruktura krytyczna – potrzeba zaufania”, odbywającej się w ramach konferencji Cybersec 2018, swoje opinie wyrażali specjaliści w dziedzinie cyberbezpieczeństwa: Ulrich Seldeslachts, Nikolaos Isaris, Przemysław Kania, Paweł Surmak, Rafael Maman oraz Kim Zetter, będąca moderatorem panelu.

Internet Rzeczy, obejmujący różnorodne urządzenia typu smart, stwarza nowe możliwości do prowadzenia szkodliwej działalności w przestrzeni wirtualnej. Mowa tutaj nie tylko o smartfonach, czy innych inteligentnych sprzętach, ale także o maszynach mających bezpośredni wpływ na ludzkie życie i zdrowie. Wśród nich należy wymienić m.in. samochody, urządzenia medyczne, rozruszniki serca.

Urlich Seldeslachts, członek Komisji Europejskiej, stwierdza, iż operatorzy infrastruktury krytycznej nie są w pełni świadomi zagrożeń występujących w sieci, dlatego też Unia podejmuje we własnym zakresie pewne działania, w celu zwiększenia cyberbezpieczeństwa w sektorze usług kluczowych. Jednak jest to problematyczna kwestia ze względu na szereg powiązań między podmiotami odpowiedzialnymi za bezpieczeństwo IK, tworzących długi łańcuch zależności. Mówiąc prościej, dany operator współpracuje z innym podmiotem, który z kolei kooperuje z kolejnym, a więc system bezpieczeństwa Internetu Rzeczy musiałby obejmować każdego z nich z osobna. W związku z tym padły słowa, iż „dlatego też Dyrektywa NIS nie jest wystarczająco szeroka”. Seldeslachts wskazał kolejny problem, którym jest adresat Dyrektywy – skupia się ona na operatorach usług kluczowych, a więc nie dotyczy wszystkich firm, wobec czego nie mają one obowiązku raportowania o incydentach. „Należy skupić się na wypracowaniu rozwiązań, których istotą będzie nie zakres, lecz głębokość oddziaływania” – podsumowuje Seldeslachts.

Partykularne postrzeganie przepisów prawa regulujących kwestie cyberbezpieczeństwa jest błędne. Normy oraz zapisy ustawowe należy tutaj traktować jako całość, pewien zbiór tworzący jedność. Nikolaos Isaris z Komisji Europejskiej podkreśla, że Unia posiada plan reagowania na większe incydenty, wskazując jednocześnie, iż nie chodzi o jeden przepis prawny, lecz całość procesu certyfikacji. Nie mniej istotne jest holistyczne podejście operatorów usług kluczowych do zagadnienia bezpieczeństwa IK. Wskazuję się tutaj chociażby na współpracę sektora prywatnego z publicznym w ramach możliwości korzystania np. ze specjalistycznych laboratoriów, umożliwiających dokonywanie testów, prób oraz badań.

Przemysław Kania, przedstawiciel Cisco Polska, w swej wypowiedzi odniósł się do sytuacji Polski. Podkreślił fakt, iż NIS w połączeniu z RODO zdecydowanie zwiększa świadomość na rynku, a przecież te dwa unijne dokumenty zostały niedawno przyjęte przez rząd. W odczuciu Kani problemem jest kwestia definicji IK, ponieważ wiele firm opisuje ją w różny sposób ze względu na charakter prowadzonej działalności. Opracowane rozwiązania w zakresie cyberbezpieczeństwa Internetu Rzeczy muszą być dopasowane albo do określonego sektora albo do urządzenia, ze względu na to, iż znaczna ilość sprzętów i systemów jest powiązana z produktem końcowym. „Jeśli będziemy tworzyć odpowiednie inicjatywy, będziemy wówczas osiągać lepsze wyniki niż wtedy, gdy tylko urządzenia końcowe będą w pełni bezpiecznie” – zakończył wątek Kania.

Członek izraelskiego Centrum Doskonalenia Cyberbezpieczeństwa - Rafael Maman – mówi o konieczności opracowania takich norm, z których firmy będą chciały korzystać. Ponadto, należy podejmować współpracę nie tylko prywatno-publiczną, ale także na poziomie międzynarodowym, co pozwoli na tworzenie skuteczniejszych rozwiązań w zakresie bezpieczeństwa IK.

Paweł Surmak z T-Mobile Polska, wspomniał o ćwiczeniach prowadzonych przez to przedsiębiorstwo, dzięki którym można zauważyć, w jaki sposób poszczególne podmioty współpracują ze sobą w razie zagrożenia cybernetycznego. Dzięki tego typu zabiegom łatwiej jest namierzyć luki w systemach, które jeśli zostaną naruszone, to stwarzają poważny problem.

Kim Zetter  zapytała panelistów o regulacje oprogramowania w ich całym cyklu życiowym. Eksperci zgodnie uznali, iż jest to problematyczna kwestia. Posługując się przykładem zwykłej lodówki podłączonej do Internet uwypuklili najistotniejsze bariery w tym zakresie. W jaki sposób zmusić producenta do aktualizacji np. 10-letniego systemu, jeśli po 2-3 latach zostanie on uznany za przestarzały? Co więcej, w dalszej perspektywie może okazać się, że producent danego urządzenia może już nie istnieć, więc kto wtedy ma przejąć odpowiedzialność za aktualizację oprogramowania? Niestety, tego typu pytań i wątpliwości jest obecnie sporo, a z czasem będą się one mnożyć.

Debatę zakończył wątek wizji wymarzonej sytuacji w zakresie cyberbezpieczeństwa IK i Internetu Rzeczy. Goście po kolei odnosili się do wspomnianej problematyki krótko wskazując na poszczególne dziedziny i aspekty. Wśród nich była mowa o perspektywie jednoczesnego kontrolowania urządzeń odpowiedzialnych za IK; testowaniu niedoskonałości urządzeń podłączonych do Internetu oraz odpowiedniej ich aktualizacji; bezpieczeństwie i ograniczeniu jego wpływu na innowacyjność; nie postrzeganiu regulacji prawnych wraz certyfikacją jako „listy spraw do zrobienia”, a budowanie całej kultury i świadomości bezpieczeństwa; czy w końcu wsparciu transformacji cyfrowej.

KomentarzeLiczba komentarzy: 2
TowariszczJacho
środa, 10 października 2018, 14:26

Większość rozwiazań dla Cyberbezpieczeństwa jest działaniami "post-factum", a zdaje się, że w świecie cyfrowym "co raz wyjdzie to ...", zatem bez przewidywania i przewidywania, żadne monitorowanie oraz informowanie nie przyniesie efektu ... to tak jakby rozpocząć działania zapobiegające "okradaniu" konta e-banking w momencie, gdy już utracona została "poufność" załóżmy kodu autoryzacyjny-uwierzytelniającego CVC czyli zabezpieczyć się przed kradzieżą, zanim "dotarło" że został ujawniony i nie dopuścić do transakcji nie wiedząc jak zostanie wykorzystany, to może zrobić tylko Bank na podstawie analizy zachowań klienta itp. ... natomiast jeśli wchodzimy w świat IoT czy Przemysł 4.0 gdzie procesy się autoryzują nawet 1000/s w środowisku rozproszonym to tradycyjne metody można sobie w buty włożyć, a dyskutanci nie mają wiedzy ani nawet pojęcia o czym i jak ... zatem "odgrzewanie kotletów" i namawianie do nabijanie kabzy "Gigantom" aby wprowadzały zmiany i ujawniały wektory ataku oraz modyfikowały zabezpieczenia - to nadal jest post-factum ... a są już dziś znane zagrożenia nawet dla BlockChain itp. ... o których "towarzystwo" albo nie chce rozmawiać albo nie może ... bo ujawnienie tych podatności ...spowodowałoby szok u użytkowników a może nawet załamanie się pewnych usług i naprawdę ... poważne konsekwencje

Uczestnik konferencji
środa, 10 października 2018, 13:12

Na dzisiaj IoT to gadgerty i tak musi zostac. Chyba ze za temat wezmiemy sie inaczaj i np. Ograniczymy dyrektywa UE zywotnosc sprzetu elektronicznego z 2 lat do min 5 (gwarancja i serwis). Niesie to same pozytywne skutki (glownie eko). To wymusi na producentach nowe podejscie. I wlasnie w ramach tego nowego podejscia w ramach dbalosci o sprzet mozna upatrywac szanse na przejscie z poziomu zabawki do IK. W miedzyczasie potrzebne sa regulacje w zakresie standaryzacji urzadzen i ich bezpieczenstwa. I to w taki sposob by jak zaznaczyl jeden z uczestnikow, producenci chcieli je stosowac. To z kolei wymaga certyfikacji urzadzen i wykorzystanie protokolu transmisji z autentykacja do ich obslogi. Po latach np 3 cert wygasa i mozesz uzywac elektroniki tylko do zabawy w LAN. Czyli na nowo masz gadget a nie element IK. Sprzet musialby byc zaktualizowany do nowego standardu bezpieczenstwa. (Nowy cert) Wiem. Masakra! Niestety nie widze innego rozwiazania budujacego zaufanie. Zakladam ze aktualizacja 1 na 3 lub lepiej 2 lata to minimum. Aktualizacje moglyby pojawiac sie czesciej i to producentowi bedzie zalezec na zaimplementowaniu zmian asap. Klient jak nawali producent nastepnym razem wybierze kogos innego. Np. Po 2 latach lodowka nie bedzie laczyc sie z Internetem. Reasumujac. Potrzebujemy wymusic okreslonego protokolu dla urzadzen IoT tylko z cert!

Reklama
Reklama C24-A1
Tweets CyberDefence24