Rozmowa z przedstawicielami Integrity Partners: Mariuszem Szczęsnym, dyrektorem pionu cyberbezpieczeństwa, oraz Łukaszem Zawadowskim, ekspertem ds. cyberbezpieczeństwa.
Kopalnie oraz zakłady przemysłowe i produkcyjne mogą być częstym celem cyberataków. Jakiego typu ataki są dla nich szczególnie niebezpieczne?
Mariusz Szczęsny: W naszej części Europy energię elektryczną produkuje się głównie z węgla. To dlatego sektor wydobywczy jest narażony na cyberataki w podobnym stopniu jak sektor energetyczny. Kopalnie i przedsiębiorstwa produkcyjne dysponują złożoną infrastrukturą, zautomatyzowanym procesami, a co ważniejsze są istotną częścią całych gospodarek. To wszystko sprawia, że stają się atrakcyjnym celem dla cyberprzestępców. W szczególności niebezpieczne są dla nich wszelkiego rodzaju kampanie APT (Advanced Persistent Threat), czyli ataki ukierunkowane, które mają na celu albo szpiegostwo przemysłowe, albo haktywizm czy po prostu cyberwojnę. Mierzą się one z atakami na infrastrukturę krytyczną, atakami ransomware i atakami, których celem jest wyciek poufnych informacji.
Przykładów cyberdziałań dotyczących obu wymienionych sektorów jest wiele. Wystarczy wspomnieć ataki oprogramowaniem BlackEnergy, nasilone w latach 2015-2017, które na początku dotykały sektor energetyczny, a później przeniosły się także na kopalnie i sektor wydobywczy.
[caption id="attachment_5925" align="aligncenter" width="1200"] Cyberbezpieczeństwo w sektorze wydobywczym[/caption]
Po co cyberprzestępcy chcą atakować tego typu podmioty?
Łukasz Zawadowski: Motywacje cyberprzestępców są różne i to od nich zależy rodzaj ataku. U podstaw przestępczych działań może leżeć szantaż finansowy. Atakujący szyfruje na przykład dane kluczowe dla działania kopalni, by wymusić na właścicielu wypłacenie okupu. Taki atak miał miejsce w 2019 roku w Czechach. Cztery kopalnie węgla kamiennego zostały zaatakowane atakiem ransomware i musiały wstrzymać produkcję na kilka dni. Nie muszę tłumaczyć, że przestoje w produkcji wpływają negatywnie na dostawy węgla, co może się wprost przełożyć na odczuwalne dla wszystkich zaburzenia w produkcji energii elektrycznej.
Innym celem cyberataku może być szpiegostwo przemysłowe i próba zdobycia cennych informacji, choćby na temat technologii wykorzystywanych w przedsiębiorstwie. Motywacją cyberprzestępców bywa też zniszczenie reputacji i wartości firmy. Trzeba pamiętać, że wiele spółek z sektora energetycznego i wydobywczego jest notowanych na Giełdzie Papierów Wartościowych. Cyberatak może więc przyczynić się nie tylko do zatrzymania ich pracy, zaburzenia łańcucha dostaw w przemyśle, ale też do spadku ich wartości na giełdzie.
[caption id="attachment_5928" align="aligncenter" width="1200"] Wpływ cyberataku na wartość spółki na giełdzie[/caption]
Za kilka miesięcy polskie organizacje należące do sektora energetycznego będą musiały być gotowe na nowe przepisy wynikające z dyrektywy NIS 2. Czego od nich wymaga ta dyrektywa?
MSz: NIS 2 to obecnie wiodący temat w branży cyberbezpieczeństwa. Dotyczy właściwie wszystkich kluczowych dla gospodarki obszarów, także energetyki. Dyrektywa porządkuje wiele zagadnień, w tym analizę ryzyka, zarządzanie incydentami oraz zarządzanie łańcuchem dostaw.
W przypadku analizy ryzyka kładzie nacisk na konieczność prowadzenia analizy dynamicznej, która zmienia się w czasie rzeczywistym i różni się zasadniczo od znanej nam, wykonywanej okresowo analizy statycznej. W zakresie zarządzania incydentami dyrektywa zwraca uwagę na ich raportowanie do wyznaczonych instytucji i organów. Wymaga również współpracy i wymiany doświadczeń między poszczególnymi podmiotami, bo tylko dzięki uzupełnianiu wiedzy można skutecznie zapobiegać cyberatakom.
NIS 2 reguluje także zarządzanie łańcuchem dostaw, w szczególności kontrahentami, podwykonawcami, kontraktorami oraz umowami z nimi, co dziś bywa bagatelizowane przez wiele firm. Według mnie w tym zakresie NIS 2 wymusi dużo pozytywnych zmian.
Firmy i organizacje, widząc rosnącą skalę zagrożeń, coraz więcej inwestują w rozwiązania z zakresu cyberbezpieczeństwa. W jaki sposób mogą najskuteczniej ochronić swoje zasoby przed cyberprzestępcami?
ŁZ: Specyfika i charakter branży wydobywczej nie pozwalają na ciągłą i szybką aktualizację wdrożonych systemów. Z drugiej strony natomiast rozwój cyberzagrożeń jest błyskawiczny. Rynek cyberbezpieczeństwa przemysłowego powinien urosnąć do 2032 roku do wartości 43 miliardów dolarów. W 2022 roku był wyceniany na 20 miliardów. To jasno pokazuje, że cyberzagrożenia w obszarze przemysłu będą się nasilały i wymagają coraz większych inwestycji.
Dlatego kluczowe jest dziś nie tylko rozbudowywanie infrastruktury bezpieczeństwa, ale też budowanie i podnoszenie świadomości zarządów firm na temat tego, jak istotne jest cyberbezpieczeństwo.
MSz: Ta świadomość rzeczywiście rośnie. Przedsiębiorstwa coraz więcej inwestują w cyberbezpieczeństwo. Widzimy to przede wszystkim my, czołowi integratorzy w Polsce. Na co dzień doradzamy dużym organizacjom, jak się skutecznie chronić. Realizujemy wdrożenia, bardzo często również świadczymy serwis i utrzymujemy zaimplementowane systemy, zatem mamy jasny obraz sytuacji i potrzeb firm.
Obserwując decyzje zarządów, widzę, że inwestycje przesuwają się w kierunku rozwiązań analizujących w czasie rzeczywistym duże wolumeny informacji pochodzących z systemów cyberbezpieczeństwa. W tym zakresie przechodzimy pewną transformację. Mniejszą wagę przykłada się już do analizy informacji, które pochodzą z logów, czyli obrazują jakiś stan sprzed kilku godzin czy nawet dni. Bardziej interesująca jest analiza w czasie rzeczywistym czy zbliżonym do rzeczywistego.
Dlaczego ta zmiana jest istotna i jakie rozwiązania pozwalają na tego typu analizę?
MSz: Cyberataki są dziś coraz bardziej wyrafinowane i coraz szybsze. Potrafią się wydarzyć w przeciągu kilkudziesięciu minut. A to oznacza, że po kilku godzinach wszelkie ślady działania przestępców mogą być już usunięte, a proces infiltracji sieci zakończony.
ŁZ: Dodatkowo cały świat mierzy się dziś z deficytem kadry IT, zwłaszcza specjalistów ds. cyberbezpieczeństwa. Firmy muszą więc inwestować także w rozwiązania do automatyzacji i orkiestracji, które odciążają niewystarczająco rozbudowane zespoły.
W zakładach produkcyjnych i przemysłowych kluczową rolę odgrywa technologia operacyjna (OT). Kiedyś była izolowana, dziś musimy dbać o jej bezpieczeństwo. Jak ją ochronić przed cyberatakami?
ŁZ: Sieć produkcyjna czy przemysłowa jest nieodzownym elementem systemu teleinformatycznego każdej organizacji produkcyjnej, wydobywczej czy energetycznej. I rzeczywiście w dużym stopniu w przeszłości były to środowiska izolowane. To dlatego do dziś są słabo monitorowane. Przedsiębiorstwa nie mają zatem wglądu w to, co się w nich dzieje.
Z drugiej strony ta widoczność jest niezbędna. Pamiętajmy, że systemy OT również wymagają aktualizacji czy poprawek. Przeprowadzają je pracownicy dostawcy systemu, którzy pojawiają się w zakładzie przemysłowym i podłączają nośnik USB lub łączą się zdalnie z systemem, by wykonać prace modernizacyjne. To są punkty styku, przez które może przeniknąć niechciane oprogramowanie i spowodować zakłócenia czy nawet zatrzymanie pracy sieci przemysłowej.
MSz: Warto pamiętać, że ataki w sieci OT wyglądają dość nietypowo. Nie polegają zazwyczaj na zablokowaniu bądź wyłączeniu jakiegoś urządzenia czy systemu. Taki atak łatwo byłoby zidentyfikować i wyeliminować jego skutki. Cyberprzestępcy działają zatem w inny sposób. Ich celem jest wprowadzenie takich zmian w pracy urządzenia, które z czasem doprowadzą do awarii. Później może to wyglądać na zwykłe zużycie materiału lub zwyczajną awarię, a nie na atak, nie na ingerencję z zewnątrz. Nikt nie wie zatem, że przestępca infiltruje sieć produkcyjną.
To dlatego bezpieczeństwo i pełna widoczność tych sieci są konieczne. W ofercie Integrity Partners mamy różnego rodzaju systemy, które dają pełną widoczność w zakresie komunikacji sieciowej oraz wymiany systemowej. Generują alerty i przekazują informacje o wszelkich anomaliach.
Coraz więcej w kontekście cyberbezpieczeństwa mówi się o bezpieczeństwie tożsamości. Czym jest Identity Security, czy i dlaczego warto wdrożyć rozwiązania z tego obszaru w zakładach wydobywczych? W czym pomagają i w jaki sposób chronią przed cyberatakami?
ŁZ: Wspomniałem o aktualizacjach, upgrade’ach sieci przemysłowych. W ich czasie do systemów kopalni czy zakładu produkcyjnego mają dostęp osoby z zewnątrz. Jednak czy na pewno są to osoby do tego powołane? Czy w naszej sieci działa pracownik dostawcy oprogramowania czy może cyberprzestępca, który przejął jego dane dostępowe? To ważne, aby mieć pewność co do tego, kto wchodzi do naszej sieci. Zwłaszcza dostęp do krytycznych systemów powinien być ściśle nadzorowany i monitorowany.
Rozwiązania Identity Security pozwalają na weryfikację tożsamości i zarządzanie dostępem do kluczowych zasobów przedsiębiorstwa. Obecnie prawie wszystkie próby skutecznych cyberataków kończą się przejęciem tożsamości – użytkownika czy administratora. Taka skradziona tożsamość służy później do infiltracji systemów. Zatem Identity Security jest dziś po prostu koniecznością. To od rozwiązań z tego obszaru zaczyna się bezpieczeństwo sieci i systemów.
[caption id="attachment_5929" align="aligncenter" width="1200"] Identity Security jest teraz koniecznością[/caption]
Tematem przewodnim w obszarze technologii jest dziś sztuczna inteligencja. Jak ona wpływa na krajobraz cyberbezpieczeństwa? I czy każda firma, organizacja może jej użyć w swojej strategii ochrony? Jakie rozwiązania wykorzystują sztuczną inteligencję w walce z cyberprzestępcami?
MSz: Ilość danych, które musimy na co dzień analizować, by wykrywać zagrożenia czy cyberataki, już dawno przekroczyła możliwości ludzkiej percepcji. Nie jesteśmy w stanie wyciągać adekwatnych wniosków na podstawie dostarczanych informacji, bo tych informacji jest po prostu za dużo. To dlatego podpieramy się algorytmami machine learning, czyli uczenia maszynowego. Coraz częściej idziemy też w kierunku generatywnej sztucznej inteligencji, która potrafi wyciągać wnioski na bazie analizowanych danych czy ciągów matematycznych. Wiele narzędzi z dużym sukcesem wspomaga się takimi mechanizmami.
W moim przekonaniu to bardzo dobry kierunek rozwoju. Na razie jednak nie możemy mówić o własnej świadomości takich systemów. Czy sztuczna inteligencja osiągnie ten etap i będzie np. w stanie w stanie budować sama modele ochrony dla danej organizacji? Myślę, że na odpowiedź na to pytanie jest jeszcze zdecydowanie za wcześnie.