Cybernetyczna wojna. Przed tym nie ochroni nas nikt

Cyberataki stają się coraz poważniejszym zagrożeniem, bo coraz bardziej jesteśmy uzależnieni od rozwiązań teleinformatycznych. Dlatego państwo powinno bardziej angażować się w zabezpieczenie jego najważniejszych systemów - wynika z raportu Instytutu Kościuszki zatytułowanego "Bezpieczeństwo infrastruktury krytycznej - wymiar teleinformatyczny".

Dokument ten powstał we współpracy z Rządowym Centrum Bezpieczeństwa oraz firmą doradczą Ernst & Young (EY). W jego opracowanie zaangażowali się specjaliści z Wojskowej Akademii Technicznej.

Infrastruktura krytyczna to powiązane ze sobą systemy i urządzenia, między innymi zaopatrzenia w energię, wodę czy paliwa, a także sieci teleinformatyczne, zapewniające ciągłość działania administracji publicznej. Na konferencji, w związku z prezentowanym raportem, organizatorzy wyświetlili fragment filmu "Szklana pułapka 4", pokazujący, co może się wydarzyć, gdy zostanie zaatakowany któryś z systemów.

Atak cybernetyczny na sieci transportu, finansów, energetyczną i telekomunikacyjną sprawi, że staniemy się "ślepi i głusi". Może to zagrozić bezpieczeństwu państwa, zakłócając jego porządek publiczny. Wobec takiego ataku potęga militarna może być bezsilna.

- Infrastrukturę krytyczną można porównać do systemu naczyń połączonych. Gdy w jednym miejscu nastąpi wyciek, można go zastopować - wyjaśnia Aleksander Poniewierski z firmy EY. Eksperci uważają też, że należy rozszerzyć definicję infrastruktury krytycznej tak, by nie było wątpliwości, że obejmuje ona także infrastrukturę wirtualną, na przykład zbiory danych.

W 2007 roku w Estonii cyberatak na kilka dni sparaliżował kraj. Nie funkcjonowała sieć internetowa, przestały działać systemy banków, strony parlamentu czy mediów. Zawiódł też system zarządzający dostawami energii. Nie działał telefon alarmowy 112.

"Przez dwa tygodnie państwo było bezsilne, o zakończeniu ataku zadecydowali cyberprzestępcy, którzy prawdopodobnie byli sponsorowani przez jakieś państwo" - przyznał przedstawiciel Estonii na jednym z posiedzeń natowskich.

Coraz większa część infrastruktury krytycznej znajduje się w prywatnych rękach i jest zarządzana przez globalne koncerny. - Konieczne jest uświadomienie przedstawicielom zarządów firm, jak powszechnym i kosztownym problemem są cyberzagrożenia - radzi Aleksander Poniewierski.

Joanna Świątkowska z Instytutu Kościuszki podkreśla, jak istotne jest budowanie dobrze funkcjonującej, opartej na zaufaniu współpracy publiczno-prywatnej. Państwo powinno zachęcać do niej przedsiębiorców, na przykład przez ulgi podatkowe i ubezpieczeniowe, kredyty i granty na innowacyjne działania, obejmujące bezpieczeństwo infrastruktury.

- Sprawne funkcjonowanie infrastruktury krytycznej zależy także od współpracy sektora prywatnego i administracji publicznej. Budowaniem takich relacji zajęło się Rządowe Centrum Bezpieczeństwa - mówi Janusz Skulich, dyrektor tej placówki. W Centrum przygotowano "Narodowy program ochrony infrastruktury krytycznej" przyjęty 26 marca 2013 roku przez Radę Ministrów. 

Unia Europejska pracuje nad dyrektywą, która będzie wymagała od właścicieli infrastruktury krytycznej wdrożenia rozwiązań zwiększających bezpieczeństwo, a także zgłaszania incydentów naruszających bezpieczeństwo informacji i sieci.

Jak wynika z raportu Najwyższej Izby Kontroli, dotychczas praktyka była taka, że do rejestru incydentów informatycznych w Komendzie Głównej Policji nie trafił żaden zapis, mimo że w latach 2012-2014 działający w ABW zespół CERT.GOV.PL zgłosił policji około 2 tys. informacji o zagrożeniach i incydentach w ich systemach teleinformacyjnych.

Autorzy raportu nie mają wątpliwości, że całkowite zapewnienie bezpieczeństwa infrastruktury krytycznej nie jest możliwe. Uważają jednak, że można je poprawić. Konieczne jest jednak fizyczne zabezpieczenie serwerów i stacji roboczych. Kolejnym krokiem jest stworzenie odpowiedniej struktury organizacyjnej osób odpowiedzialnych w danej organizacji za bezpieczeństwo oraz wdrożenie wewnętrznych procedur.

Trzeba też przygotować katalog cyberzagrożeń i powołać krajowe centrum kompetencji. Aleksander Poniewierski w czasie konferencji argumentował, że warto stworzyć organ, który wypracowywałby standardy ochrony i wymuszałby działania operatorów w tej dziedzinie.

Izabela Albrycht, prezes Instytutu Kościuszki, w trakcie prezentacji raportu podkreśliła z kolei, że bezpieczeństwo infrastruktury krytycznej jest kluczowe dla zapewnienia bezpieczeństwa całego państwa. Przy użyciu komputerów agresorzy są dzisiaj w stanie zagrozić bezpieczeństwu publicznemu, wpłynąć negatywnie na gospodarkę, generując wielomilionowe straty, a także zakłócić porządek publiczny.

- Jesteśmy w wieku niemowlęcym, jeżeli chodzi o budowanie mechanizmów skutecznej obrony przed cyberzagrożeniami. Trzeba powiedzieć wprost: nie jesteśmy w stanie uniknąć takiego ataku, tak samo jak nie jesteśmy w stanie zapobiec powodzi. Możemy natomiast stworzyć system zarządzania ryzykiem związanym z takimi niebezpieczeństwami - uważa dyrektor Skulich.

*   *   *

NIK w cyberprzestrzeni

Państwo nie prowadzi spójnych i systemowych działań związanych z ochroną cyberprzestrzeni RP - tak wynika z kontroli przeprowadzonej przez Najwyższą Izbę Kontroli. Pozytywne działania, na przykład powoływanie i utrzymywanie zespołów reagowania na incydenty komputerowe (tzw. CERT-ów) w ABW, MON oraz naukowej i akademickiej sieci komputerowej, były jedynie fragmentaryczne.

Oceniono, że nie ma kompleksowych regulacji prawnych w dziedzinie bezpieczeństwa w cyberprzestrzeni. Akty prawne są rozproszone, niekompletne i nie tworzą spójnego systemu. NIK uważa, że główni decydenci polityczni i kierownictwo administracji rządowej nie mają świadomości nowych zagrożeń, nie interesują się bezpieczeństwem technologii informacyjnych (wyjątkiem jest BBN, które przygotowuje doktrynę cyberbezpieczeństwa).

MON zostało pochwalone za aktywny udział w budowie systemu ochrony cyberprzestrzeni, wymianę informacji w kraju i za granicą oraz rozwój Narodowego Centrum Kryptologii.

Małgorzata Schwarzgruber