Raport: potrzebna lepsza ochrona infrastruktury krytycznej przed cyberatakami

Raport, który zaprezentowano w środę, powstał we współpracy z Rządowym Centrum Bezpieczeństwa oraz firmą doradczą EY. W jego opracowanie zaangażowali się też specjaliści z Wojskowej Akademii Technicznej, Politechniki Krakowskiej oraz Fundacji Bezpieczna Cyberprzestrzeń, a także kancelaria WKB i firma Matic.

"Chyba nie mamy jeszcze pełnej świadomości tego, jak dalece uzależniamy się od technologii informatycznych i telekomunikacyjnych i jak dalece nasze funkcjonowanie od nich zależy. (...) Infrastruktura krytyczna to ta część różnych systemów, instalacji, urządzeń, która stanowi o trwałości funkcjonowania podstawowych procesów, które towarzyszą nam w życiu i zapewniają nam komfort funkcjonowania; wśród nich są także systemy informatyczne i teletechniczne" - tłumaczył dyrektor RCB nadbryg. Janusz Skulich.

W skład infrastruktury krytycznej wchodzą m.in. systemy: teleinformatyczne; zaopatrzenia w energię, wodę czy paliwa; sieci teleinformatyczne zapewniające ciągłość działania administracji publicznej.

"Przy użyciu komputerów agresorzy są dzisiaj w stanie zdestabilizować działanie każdego państwa - zagrozić bezpieczeństwu publicznemu, wpłynąć negatywnie na gospodarkę generując wielomilionowe straty, a także zakłócić porządek publiczny. Dlatego bezpieczeństwo infrastruktury krytycznej jest kluczowe dla zapewnienia bezpieczeństwa całego państwa" - podkreśliła podczas prezentacji raportu prezes Instytutu Kościuszki (IK) Izabela Albrycht.

Adresatami rekomendacji zawartych w raporcie są przede wszystkim decydenci oraz eksperci i operatorzy bezpośrednio odpowiedzialni za zapewnianie bezpieczeństwa infrastruktury krytycznej.

"Ogólnoświatowym trendem jest, że coraz więcej infrastruktury krytycznej znajduje się w rękach prywatnych. Państwo musi zredefiniować myślenie o sposobie zapewniania bezpieczeństwa. Nie jesteśmy już w sytuacji, w której państwo ma wszystkie instrumenty i odpowiada za kluczowe dla bezpieczeństwa elementy. Musimy nauczyć się budować solidną współpracę prywatno-publiczną. Państwo powinno zmierzyć się z zaprojektowaniem systemu pomagającego właścicielom i operatorom infrastruktury krytycznej bronić tego, co z punktu widzenia kraju jest najważniejsze" - przekonywała dyrektor programu cyberbezpieczeństwa w IK i współautorka raportu Joanna Świątkowska.

Autorzy opracowania wskazują na konieczność stworzenia systemu bodźców (finansowych i niefinansowych) zachęcających do podejmowania współpracy prywatno-publicznej i rzetelnego zapewniania bezpieczeństwa systemów. Według ekspertów istnieje także potrzeba rozważenia rozszerzenia definicji infrastruktury krytycznej, tak, by nie pozostawiała wątpliwości, że obejmuje ona także infrastrukturę wirtualną, informacyjną - jak np. zbiory danych.

Szef zespołu doradztwa IT z firmy EY, a także współautor publikacji Aleksander Poniewierski argumentował, że warto stworzyć organ, który wypracowywałby standardy ochrony i wymuszałby działania operatorów w tej dziedzinie. Zwracał też uwagę na potrzebę zwiększania świadomości na temat zagrożeń, na jakie narażona jest infrastruktura krytyczna od strony systemów informatycznych oraz sterowania przemysłowego.

W raporcie wskazano też na możliwość nałożenia wymagań regulacyjnych i kontrolnych związanych z bezpieczeństwem dla dostawców tego rodzaju rozwiązań dla infrastruktury krytycznej. Z opracowania wynika potrzeba stałej identyfikacji trendów oraz przewidywania zmian w dziedzinie bezpieczeństwa teleinformatycznych systemów infrastruktury krytycznej. Autorzy postulują stworzenie katalogu cyberzagrożeń oraz budowy krajowego centrum kompetencji w dziedzinie zapobiegania im.

W publikacji jest również mowa o konieczności rozszerzenia programów kształcenia w zakresie wiedzy związanej z zagrożeniami dla infrastruktury krytycznej. Według ekspertów wskazane jest wsparcie finansowe działań związanych z badaniami i rozwojem, których efektem powinno być powstanie krajowych narzędzi informatycznych zwiększających m.in. efektywność wykrywania, przeciwdziałania i neutralizacji skutków cyberzagrożeń. Autorzy poddają też pod rozwagę możliwość finansowania przez państwo szkoleń i przeglądów bezpieczeństwa wybranych elementów infrastruktury krytycznej.

"W mojej ocenie jesteśmy w wieku niemowlęcym, jeżeli chodzi o budowanie mechanizmów skutecznej obrony przed tego typu zagrożeniami. (...) Jeżeli chodzi o to, czy jesteśmy w stanie uniknąć ataku, to trzeba sobie powiedzieć wprost - nie jesteśmy w stanie, tak samo jak nie jesteśmy w stanie uniknąć powodzi. Natomiast wydaje się, że jesteśmy w stanie stworzyć system zarządzania ryzykiem związanym z takimi niebezpieczeństwami" - podsumował Skulich.