Czy hakerzy wyłączą nam prąd?

W przywołanym powyżej filmie grupa hakerów przeprowadza atak na krytyczną infrastrukturę kraju. Jedna z postaci tłumaczy głównemu bohaterowi, granego tradycyjnie przez Bruce'a Willisa, z czym mają do czynienia:

"Wyprzedaż po pożarze to trójfazowy atak na infrastrukturę kraju. Etap numer jeden to paraliż transportu. Etap numer dwa to finanse i telekomunikacja. Etap numer trzy - odłączenia mediów, gazu, wody i elektryczności. Mówią o tym >>wyprzedaż po pożarze<<, bo wszystko musi pójść."

Niektórym mogłoby się wydawać, że odwoływanie się do kina akcji jest śmieszne, a to była tylko filmowa fikcja. Problem jednak w tym, że taki scenariusz miał już miejsce w rzeczywistości.

Nawet Bruce Willis nie pomoże

W 2007 roku cyberatak w Estonii na niemal dwa tygodnie sparaliżował cały kraj. Nie funkcjonował internet, przestały działać systemy banków, strony parlamentu czy mediów. Co gorsza, zawiódł też system zarządzający dostawami energii, a przez jakiś czas nie działał telefon alarmowy 112.
Jak wynika z raportu Instytutu Kościuszki "Bezpieczeństwo Infrastruktury krytycznej wymiar teleinformatyczny", cyberataki mogą stać się kluczowym zagrożeniem dla bezpieczeństwa kraju. Dziś taka sytuacja jak w Estonii może powtórzyć się także w Polsce. Można wręcz nie tyle stawiać pytanie "czy", ale "kiedy". Chociaż nasze państwo podejmuje kroki mające zapewnić ochronę, to tak naprawdę nigdy nie będziemy w 100 procentach zabezpieczeni przed tego rodzaju atakami.

- Estończycy mieli do czynienia z atakami hakerów najprawdopodobniej finansowanych przez inne państwo. Jak pokazuje analiza tego przykładu wszystko zależało od atakującego. W rozmowach z nami przedstawiciele Estonii przyznali także, że przez ten czas byli bezradni i problem ustał dopiero wtedy, gdy atakujący zdecydował się o zakończeniu akcji - zauważa Maciej Pyznar z Rządowego Centrum Bezpieczeństwa.

Oczywiście po tym zdarzeniu Estończycy podjęli kolejne kroki i wzmocnili swoją ochronę, jednak tak naprawdę jest to nieustający wyścig inwestycyjny.

Dlatego bezpieczeństwo infrastruktury technicznej jest szczególnie ważne. W jej skład wchodzą obiekty służące zapewnieniu sprawnego funkcjonowania nie tylko organów administracji publicznej, ale także przedsiębiorstw oraz zapewniające ochronę zdrowia i życia obywateli.

Dziś komputerami sterowane jest właściwie wszystko. Od administracji publicznej, systemy policji, poprzez bankowość, systemy finansowe, giełdę, wodociągi, linie lotnicze czy szpitale.

To szczególnie istotne zwłaszcza w przypadku wspomnianej bankowości. Hakerzy atakując banki mogliby zdobyć dostęp do wszystkich najważniejszych informacji o nas, uniemożliwić nam dostęp do kont, wyczyścić je, a do tego jeszcze za pomocą pozyskanych danych wyłudzić kredyt.

- Infrastrukturę krytyczną można porównać do systemu naczyń połączonych. Gdy w jednym miejscu nastąpi wyciek, można go zastopować. Inaczej jest, jeśli takich wycieków w tym samym momencie powstaje więcej. Podobnie jest w infrastrukturze krytycznej, tamowanie zagrożenia jest łatwe, jeśli wiemy, gdzie wystąpiło naruszenie bezpieczeństwa i jeśli jest to zdarzenie jednorazowe - dodaje dr Aleksander Poniewierski, Partner Zarządzający Działem Doradztwa Informatycznego, Lider Grupy Doradztwa Informatycznego w Europe Środkowej i Południowo-Wschodniej EY.

Zagrożeń może być z resztą znacznie więcej. Hakerzy mogą dokonać ataku chociażby na zakłady przetwarzających żywność. W dzisiejszych czasach system kontroli jakości opiera się w dużej mierze na skomplikowanych systemach operacyjnych. Teoretycznie przestępcy mogliby włamać się do nich i zmienić tak ustawienia, że nie reagowałyby one na ewentualne nieprawidłowości pojawiające się podczas procesu produkcji. Idealny i cichy sposób na przykład na wypuszczenie na rynek partii mięsa nie nadającej się do spożycia.

Istotnym elementem jest także to, że infrastruktura krytyczna zajmuje się w dużej mierze w rękach podmiotów prywatnych i globalnych koncernów. Razem ze wzrostem ich roli powinno wzrastać także ich zaangażowanie w budowanie skutecznych mechanizmów współpracy z podmiotami publicznymi, które zakładałyby wymianę informacji na temat zagrożeń, przyjmowanie dobrych praktyk i rekomendacji.

To chociażby operatorzy telefoniczni. Podczas gdy priorytetem państwa jest ochrona infrastruktury, głównym celem prywatnych przedsiębiorstw jest generowanie zysku. Problemem jest także to, że obecnie w kraju nie mamy ujednoliconego standardu bezpieczeństwa.

- Sprawne funkcjonowanie infrastruktury krytycznej zależy w znacznym stopniu od współpracy sektora prywatnego i administracji publicznej. Zapewnieniem tej współpracy, budowaniem relacji administracji publicznej z przedsiębiorcami zajęło Rządowe Centrum Bezpieczeństwa - powiedział Janusz Skulich, dyrektor RCB.

Jak dodaje Skulich w Centrum został przygotowany Narodowy Program Ochrony Infrastruktury Krytycznej (NPOIK) przyjęty 26 marca 2013 roku przez Radę Ministrów. Jego celem jest stworzenie warunków do poprawy bezpieczeństwa infrastruktury krytycznej w Polsce.
- Państwo musi zachęcać przedsiębiorców do współpracy i rzetelnego wykonywania zadań związanych z bezpieczeństwem. Takimi sposobami mogą być np.: ulgi podatkowe, granty na innowacyjne działania obejmujące bezpieczeństwo infrastruktury, ulgi ubezpieczeniowe, certyfikowanie firm czy kredyty przeznaczane na wzmocnienie bezpieczeństwa - twierdzi Joanna Świątkowska dyrektor obszaru cyberbezpieczeństwa w Instytucie Kościuszki.

Raport Instytutu Kościuszki "Bezpieczeństwo infrastruktury krytycznej wymiar teleinformatyczny" powstał przy współpracy z Rządowym Centrum Bezpieczeństwa, firmą doradczą EY, kancelarią prawną WKB, firmą Matic, a także ekspertami Fundacji Cyberprzestrzeń i Politechniki Krakowskiej i Wojskowej Akademii Technicznej. Głównym celem opracowania jest dostarczenie podmiotom zaangażowanym w ochronę infrastruktury krytycznej rekomendacji przyczyniających się do zwiększenia poziomu jej bezpieczeństwa. Raport powstał w ramach realizowanego przez Instytut Kościuszki projektu Cel: Cyberbezpieczeństwo.