Potrzeba lepszej współpracy telekomów i sektora publicznego (aktl.)

15.01. Warszawa (PAP) - Potrzeba zaufania i lepszej wymiany informacji pomiędzy sektorem prywatnym i publicznym w reagowaniu na ataki cybernetyczne - wynika z ćwiczeń Cyber-Exe Polska 2014. Wzięło w nich udział 7 firm telekomunikacyjnych i 5 instytucji państwowych.

Ćwiczenia zorganizowane przez Fundację Bezpieczna Cyberprzestrzeń przy wsparciu Deloitte i Rządowego Centrum Bezpieczeństwa, na przełomie października i listopada 2014 r. Ich celem było sprawdzenie zdolności reagowania operatorów na atak teleinformatyczny, przebiegu komunikacji pomiędzy nimi oraz między operatorami a organami administracji państwowej i dostawcami sprzętu. Ćwiczenia pozwoliły również zidentyfikować zależności pomiędzy przedsiębiorstwami telekomunikacyjnymi a regulatorem rynku (Urzędem Komunikacji Elektronicznej) w sytuacji, kiedy atakowany jest cały sektor telekomunikacyjny. Zdaniem prezesa Fundacji Bezpieczna Cyberprzestrzeń Mirosława Maja, właśnie współpraca między telekomami a administracją publiczną, powinna być przedmiotem szczególnej troski w przyszłości.

"W interesie samych operatorów leży wywieranie presji na regulatorów, aby zmienić przepisy prawa w zakresie cyberbezpieczeństwa. Niezbędnym minimum wydaje się być wyznaczenie podmiotu, który będzie koordynatorem działań w razie wystąpienia sytuacji kryzysowej i uruchomienie przez administrację usługi e-SOS. Nasze ćwiczenie wyraźnie pokazało, że istniejące podmioty nie spełniają w tej chwili żadnej z tych ról" - powiedział Maj.

Zdaniem eksperta Deloitte ds. zarządzania ryzykiem Cezarego Piekarskiego polskie firmy telekomunikacyjne są dobrze przygotowane na wypadek wystąpienia zorganizowanego ataku cybernetycznego. "Sześciu na siedmiu operatorów niezwłocznie powołało sztaby kryzysowe dla zbadania i rozwiązanie symulowanego problemu" - powiedział. Raport z ćwiczenia, który został przedstawiony w czwartek, wskazuje, że wszystkim operatorom poprawne zdiagnozowanie problemu i przejście do jego rozwiązywania zajęło poniżej trzech godzin.

Ćwiczenia wskazały jednak na szereg spraw, które wymagają poprawy. U kilku operatorów szwankowała przede wszystkim współpraca z dostawcami sprzętu dla klientów (modemów, routerów, telefonów itd.) w celu ustalenia luk w ich zabezpieczeniach i poszukania przynajmniej doraźnego rozwiązania. Sprawą wymagającą poprawy jest też kwestia współpracy zespołów prasowych z działami technicznymi i zespołami kryzysowymi, w celu sprawniejszego przekazywania informacji klientom. Innym rekomendowanym rozwiązaniem dla operatorów jest powołanie zespołów szybkiego reagowania (CERT), ponieważ spośród operatorów biorących udział w badaniu taki zespół funkcjonował tylko w Orange.

Ekspert Rządowego Centrum Bezpieczeństwa Michał Grzybowski zwrócił uwagę, że istnieje potrzeba budowania zaufania między sektorem prywatnym i państwowym. Jego zdaniem dobrym rozwiązaniem byłoby stworzenie kanałów przepływu informacji i raportowania problemu do instytucji państwowych, ponieważ informacje, których wymagają od telekomów różne podmioty państwowe w wielu miejscach się pokrywają. Jego zdaniem, gdyby taki kanał informacyjny istniał, telekomy mogłyby za jego pomocą udostępniać państwu zestandaryzowany zestaw informacji, z których każda instytucja mogłaby pobierać te, których potrzebuje.

Grzybowski dodał, że dużą trudnością dla samych operatorów był obowiązek jednoczesnego raportowania o zagrożeniu aż do pięciu różnych instytucji państwowych i dużym ułatwieniem byłoby określenie jednego ośrodka zbierającego takie dane. "Ten obowiązek informacyjny stanowi dodatkowe obciążenie dla firm, które muszą angażować ludzi do szczegółowego informowania instytucji, zamiast gasić kryzys w swojej firmie. Każda instytucja ma inne wymagania informacyjne wobec telekomów, a część z nich się pokrywa" - powiedział.

Dodał jednak, że z jednej strony operatorzy oczekują koordynacji wsparcia ze strony państwa, z drugiej nie zawsze są skorzy do dzielenia się informacjami których te instytucje potrzebują. "Urząd Komunikacji Elektronicznej, który w czasie ćwiczenia mógł wydać komunikat, że coś dzieje się w sektorze komunikacyjnym wskazywał, że przesłane dane nie dają możliwości stworzenia pełnego obrazu sytuacji" - powiedział. Mirosław Maj dodał, że szwankowała również współpraca pomiędzy samymi operatorami, którzy nie potrafili wydać żadnego wspólnego komunikatu, pomimo że problem który symulowaliśmy dotyczył całego sektora. Jego zdaniem wyrażali oni obawę, że przekazywanie takich danych może sprowokować konkurencję do nieuczciwego ich wykorzystania i w efekcie utraty przewagi konkurencyjnej.

W badaniach wzięło udział siedem firm z sektora telekomunikacyjnego: Cyfrowy Polsat SA, Exatel SA, Multimedia Polska SA, Orange Polska SA, Polkomtel Sp. z o.o., TK Telekom Sp. z o.o. i T-Mobile Polska SA, oraz pięć podmiotów administracji państwowej: biuro Głównego Inspektora Ochrony Danych Osobowych, Komenda Główna Policji, Ministerstwo Administracji i Cyfryzacji, Urząd Komunikacji Elektronicznej i Rządowe Centrum Bezpieczeństwa. Celem ćwiczeń, było sprawdzenie sprawności procedur kryzysowych i koordynacji działań operatorów oraz państwa, na wypadek dużego, zorganizowanego ataku hakerów na sektor telekomunikacyjny. Była to już trzecia edycja ćwiczeń dla firm działających w kluczowych branżach infrastruktury krytycznej państwa. W poprzednich edycjach z Deloitte ćwiczyły firmy sektora energetycznego (2012 r.) oraz banki (2013 r.).