standard Infrastruktura krytyczna

Funkcjonowanie najważniejszych z punktu widzenia bezpieczeństwa państwa obiektów, instalacji, usług oraz urządzeń jest coraz bardziej uzależnione od rozwiązań teleinformatycznych. Dlatego cyberataki stają się coraz poważniejszym zagrożeniem – wynika z raportu Instytutu Kościuszki „Bezpieczeństwo infrastruktury krytycznej wymiar teleinformatyczny”, przygotowanego we współpracy m.in. z Rządowym Centrum Bezpieczeństwa i firmą doradczą EY.

Infrastruktura krytyczna (IK) to kluczowy element bezpieczeństwa państwa i jego obywateli. W jej skład wchodzą obiekty służące zapewnieniu sprawnego funkcjonowania organów administracji publicznej oraz przedsiębiorstw, a także zapewniające ochronę zdrowia i życia obywateli.

Konsekwencje cyberataków na IK mogą być porównywalne ze stratami powstałymi w wyniku innych zdarzeń i niekoniecznie muszą dotyczyć tylko wymiaru teleinformatycznego. W 2007 roku cyberatak w Estonii na kilka dni sparaliżował kraj. Nie funkcjonowała sieć internetowa, przestały działać systemy banków, strony parlamentu czy mediów. Zawiódł też system zarządzający dostawami energii. Przez jakiś czas nie działał także telefon alarmowy 112.

– Dlatego państwo, będąc odpowiedzialnym za bezpieczeństwo swoich obywateli, musi wspierać podmioty, które są właścicielami IK, aby zapewnić nie tylko funkcjonowanie infrastruktury, ale także ciągłość oferowanych przez nią usług  tak, by ewentualne skutki zagrożeń, jakie niesie ona dla zdrowia i życia ludzkiego oraz dla środowiska naturalnego były minimalne – stwierdził Janusz Skulich, dyrektor Rządowego Centrum Bezpieczeństwa.

Identyfikację obiektów i systemów kluczowych dla bezpieczeństwa państwa, w więc infrastruktury krytycznej w Polsce oraz potencjalne skutki zakłócenia jej funkcjonowania przygotowało Rządowe Centrum Bezpieczeństwa we współpracy z ministrami odpowiedzialnymi za poszczególne systemy IK. Identyfikację IK przeprowadzono w trzech etapach. Pierwszy obejmował wstępną selekcję obiektów, instalacji, urządzeń oraz usług na podstawie kryteriów systemowych. Następnie sprawdzono, na ile są one kluczowe dla bezpieczeństwa państwa i obywateli. W trzecim etapie oceniono potencjalne skutki zniszczenia lub zaprzestania funkcjonowania poszczególnych elementów infrastruktury.

Z raportu wynika, że coraz większa część infrastruktury krytycznej znajduje się w prywatnych rękach, a także w zarządzaniu globalnych koncernów. Wzrastająca rola podmiotów prywatnych powinna iść w parze z budowaniem skutecznych mechanizmów współpracy z podmiotami publicznymi m.in. przez wymianę informacji na temat zagrożeń, dobrych praktyk czy rekomendacji.

Zapewnieniem współpracy, budowaniem relacji administracji publicznej z przedsiębiorcami zajęło się Rządowe Centrum Bezpieczeństwa – wyjaśnił Janusz Skulich. – W Centrum został przygotowany Narodowy Program Ochrony Infrastruktury Krytycznej (NPOIK) przyjęty w ubr. przez Radę Ministrów.

Jednocześnie Unia Europejska pracuje nad dyrektywą, która będzie wymagała od właścicieli infrastruktury krytycznej wdrożenia rozwiązań zwiększających bezpieczeństwo, a także raportowanie incydentów naruszających bezpieczeństwo informacji i sieci.

Są dwa rodzaje systemów – informatyczne (IT) oraz sterowania przemysłowego (OT – ang. Operational Technology). Ta część infrastruktury krytycznej, która dotyczy usług dla obywateli korzysta przede wszystkim z rozwiązań IT. Natomiast wszystkie procesy technologiczne wykorzystują systemy sterowania przemysłowego. I to właśnie systemy OT stają się coraz częstszą ofiarą cyberataków.

Autorzy raportu „Bezpieczeństwo infrastruktury krytycznej wymiar teleinformatyczny” nie mają wątpliwości, że całkowite zapewnienie bezpieczeństwa infrastruktury krytycznej nie jest możliwe. Ich zdaniem jednak, na pewno można je polepszyć. Po pierwsze, konieczne jest odpowiednie zabezpieczenie sprzętowe, czyli zabezpieczenie serwerów i stacji roboczych, wraz z wykorzystywanymi systemami operacyjnymi. Obejmuje to także fizyczne zabezpieczenie infrastruktury. Kolejnym krokiem jest stworzenie odpowiedniej struktury organizacyjnej osób odpowiedzialnych w danej organizacji za bezpieczeństwo. Na końcu stworzenie i wdrożenie wewnętrznych polityk i procedur opisujących zasady działania w środowisku automatyki przemysłowej.

Polska powinna rozważyć adaptację światowych standardów bezpieczeństwa systemów przemysłowych do warunków lokalnych, a następnie rozpocząć dyskusję nad wdrożeniem wymagań regulacyjnych i kontrolnych nałożonych na dostawców IT oraz OT. Systemy te powinny podlegać regularnym przeglądom bezpieczeństwa. Ponadto konieczne jest stworzenie katalogu cyberzagrożeń i powołanie odpowiedniego Krajowego Centrum Kompetencji. Nie bez znaczenia jest także kampania edukacyjna, w tym także specjalistyczna edukacja na poziomie akademickim, a także ewentualne uzupełnienie ustawowej definicji infrastruktury krytycznej tak, aby było jasne, że obejmuje ona także infrastrukturę informacyjną.

O raporcie

Raport Instytutu Kościuszki „Bezpieczeństwo infrastruktury krytycznej wymiar teleinformatyczny” powstał przy współpracy  z Rządowym Centrum Bezpieczeństwa, firmą doradczą EY, kancelarią prawną WKB, firmą Matic, a także ekspertami Fundacji Cyberprzestrzeń i Politechniki Krakowskiej i Wojskowej Akademii Technicznej.

Filip