Infrastruktura naprawdę krytyczna
Michalina Nowak, a&s Polska
Minął ponad rok od napaści Rosji na Ukrainę. 24 lutego 2022 r. cały świat wstrzymał oddech. Walka zbrojna trwa, a w Europie toczy się debata na temat bezpieczeństwa infrastruktury krytycznej państw członkowskich Unii Europejskiej. Czy w Polsce to dziś temat numer jeden i czy w najbliższym czasie należy spodziewać się wzmocnienia zabezpieczenia IK?
Otwarcie o zagrożeniu dla obiektów infrastruktury krytycznej ze strony Rosji mówią zarówno Niemcy, jak i Norwegowie. W opublikowanym niedawno raporcie norweskie służby odpowiedzialne za bezpieczeństwo wprost wskazały, że w razie rosyjskiego konfliktu z NATO Rosja może zaatakować infrastrukturę krytyczną tego kraju. W ubiegłym roku po wstrzymaniu dostaw gazu przez Moskwę Norwegia stała się bowiem głównym dostawcą tego surowca do Europy. Niemiecka infrastruktura krytyczna ulega z kolei coraz częściej awariom i staje się ofiarą cyberataków oraz ataków terrorystycznych na tle politycznym. W październiku 2022 r. po sabotażu, który polegał na przecięciu kabli kolei niemieckiej, doszło do kilku kolejnych incydentów. Obiekty IK są obserwowane przez profesjonalne drony, których pochodzenie „nie jest oczywiste” – piszą media w Berlinie.
Stres-testy w IK
W obliczu zagrożenia ze strony Rosji Unia Europejska została zmuszona do szybszego działania na rzecz ochrony IK. Jesienią 2022 roku Ursula von der Leyen, przewodnicząca Komisji Europejskiej, przedstawiła 5-punktowy plan na rzecz odporności infrastruktury krytycznej.
Jego najważniejsze elementy to:
- wzmocnienie gotowości;
- współpraca z państwami członkowskimi, by poddać ich infrastrukturę krytyczną testom warunków skrajnych (tzw. stres-testom znanym m.in. w świecie finansów), najpierw w sektorze energetycznym, a następnie w innych sektorach wysokiego ryzyka;
- zwiększenie zdolności reagowania, w szczególności za pośrednictwem Unijnego Mechanizmu Ochrony Ludności;
- efektywne wykorzystanie potencjału satelitarnego do wykrywania ewentualnych zagrożeń;
- zacieśnienie współpracy z NATO i kluczowymi partnerami w zakresie odporności infrastruktury krytycznej.
Mając świadomość powagi problemu i wyzwań, wobec których stoją dziś menedżerowie odpowiedzialni za bezpieczeństwo w obiektach IK, zapytaliśmy kilku, jakie stoją przed nimi wyzwania i jakie działania wzmacniające zabezpieczenia zamierzają podjąć.
Pod wysokim napięciem
Bezpieczeństwo energetyczne stanowi jeden z podstawowych elementów warunkujących możliwość zapewnienia bezpiecznego funkcjonowania państwa oraz trwałego i niezakłóconego jego rozwoju. Ten sektor nabrał dodatkowego znaczenia nie tylko ze względu na skutki wojny w Ukrainie czy panujący kryzys gospodarczy. Rozwój gospodarczy łączy się bowiem z dużym wzrostem globalnego zapotrzebowania na energię, surowce energetyczne czy paliwa, a to wymusza transformację energetyczną. Według prognoz Energy Information Administration produkcja energii elektrycznej do 2050 r. wzrośnie o 79%. Prawdopodobne jest również to, że już w 2035 r. nawet 50% energii elektrycznej będzie pochodzić ze źródeł odnawialnych.
Jak wynika z raportu Polskiego Komitetu Energii Elektrycznej, polskie spółki energetyczne intensywnie inwestują w odnawialne źródła energii (OZE). Do 2030 r. PGE planuje zmagazynowanie co najmniej 800 MWe, Tauron zakłada zwiększenie mocy OZE o ponad 500% w stosunku do 2030 r., Enea zamierza przebudować sieć pasywną na aktywną (dwukierunkową) oraz przekształcić infrastrukturę sieciową w tzw. inteligentną (smart grid), Energa zaś chce osiągnąć do 2030 r. aż 1,1 GWe mocy w lądowych OZE oraz udział w projektach MFW o mocy ok. 1,3 GWe.
Wszystkie obiekty elektroenergetyczne oraz sieci przesyłowe i dystrybucyjne wymagają więc szczególnej ochrony, by sprostać zmianom modelu wytwarzania energii i gospodarowania nią. O bezpieczeństwie jednego z największych dystrybutorów energii elektrycznej w Polsce mówi Ireneusz Rupik, specjalista ds. bezpieczeństwa w Grupie TAURON. – Bezpieczeństwo jest priorytetem dla całej branży energetycznej. Wciąż pracujemy nad procesem udoskonalania rozwiązań oraz utrzymywania najwyższych standardów w zakresie fizycznego i technicznego bezpieczeństwa obiektów infrastruktury energetycznej.
Co to oznacza w praktyce? W ostatnim czasie Wsparcie Grupa TAURON stała się częścią prowadzonego przez Polski Holding Obronny projektu integracji polskiego sektora ochrony.
– W Grupie TAURON usługi ochrony osób i mienia w zakresie ochrony fizycznej, montażu i obsługi systemów zabezpieczenia technicznego oraz monitorowania alarmów świadczy firma Wsparcie Grupa TAURON, z własną stacją monitorowania alarmów. Włączenie spółki WGT do struktur grupy PHO jest kolejnym krokiem w kierunku budowy silnego, narodowego lidera w świadczeniu kompleksowych usług ochrony. Dzięki dokonanej konsolidacji, wymianie doświadczeń, rozbudowie technologii oraz nowym obowiązkom Polski Holding Obronny wraz ze spółką Wsparcie Grupa TAURON stanie się jednym z filarów krajowego bezpieczeństwa oraz ochrony infrastruktury krytycznej państwa – wyjaśnia specjalista.
Zapewnienie odpowiedniego poziomu bezpieczeństwa wiąże się z inwestycjami w systemy zabezpieczeń z najnowszymi technologiami. – W roku 2023 w związku z realizacją opracowanej Koncepcji Systemu Zabezpieczenia Technicznego i Ochrony Fizycznej (SZT i OF) dla obiektu TAURON przygotowujemy postępowania przetargowe na nowe inwestycje. Wśród nich planujemy wykonanie dokumentacji projektowej dla nowych systemów zabezpieczenia technicznego obiektu, wykonanie projektu nowego DSO i modernizacji, wymiany systemu sygnalizacji pożarowej czy opracowanie projektu nowej organizacji ruchu dla obiektu wraz z przebudową ciągów komunikacyjnych – dodaje Ireneusz Rupik.
Wodociągi nie dają się zatopić przeciwnościom
Człowiek powinien pić 2–2,5 l wody dziennie. Do tego dochodzą potrzeby związane z utrzymaniem czystości i higieny. Przyjmuje się, że jedna osoba w gospodarstwie domowym produkuje od 80 do 120 l ścieków dziennie. Odcięcie dostaw wody przez jeden dzień nie stanowi wielkiej niedogodności, lecz co się stanie, kiedy wodociągi nie będą działać przez tydzień, a woda butelkowana w sklepach zostanie wyprzedana?
Jednym z największych wyzwań w zakresie zabezpieczenia dostaw wody i odbioru ścieków jest przede wszystkim skuteczne zabezpieczenie… dostaw energii elektrycznej niezbędnej do tego, by działały przepompownie wodne i kanalizacyjne. Nie należy przy tym zapominać, że infrastruktura tych obiektów musi być odporna na zmiany temperatury w poszczególnych porach roku, gwałtowne zjawiska pogodowe, brak opadów, ale też powodzie. Sytuację utrudnia też fakt, że spółki wodociągowo-kanalizacyjne odczuwają skutki kryzysu gospodarczego. Gwałtowny wzrost kosztów energii elektrycznej oraz gazu przy równoczesnym niezmienionym poziomie taryf to duże wyzwanie.
O plany przedsiębiorstw wodociągowo-kanalizacyjnych zapytaliśmy organizację samorządu gospodarczego z tej branży Izbę Gospodarczą Wodociągi Polskie.
– Najistotniejszym długofalowym celem branży jest oczywiście uzyskanie przez obiekty infrastruktury krytycznej samowystarczalności energetycznej, która pozwoli na uniezależnienie się od dostawców zewnętrznych. Przedsiębiorstwa wodociągowo-kanalizacyjne do tego dążą poprzez wdrażanie nowoczesnych rozwiązań technicznych i technologicznych w swoich obiektach, w myśl zarządzeń kryzysowych – mówi główny specjalista ds. technicznych Paulina Kopeć z Izby Gospodarczej Wodociągi Polskie.
Ale to nie wszystko. W związku z dwoma nowymi dyrektywami przyjętymi w zeszłym roku (o odporności infrastruktury krytycznej i cyberbezpieczeństwie) Polska jest zobowiązana do transpozycji tych dyrektyw do polskiego prawa. – Branża wodno-kanalizacyjna chce czynnie uczestniczyć w transpozycji i wdrażaniu tych dyrektyw. Nie jest to zadanie proste, szczególnie w kontakcie realizacji inwestycji – dodaje.
Wojna w Ukrainie sprawiła, że wiele przedsiębiorstw weryfikuje obecnie schematy postępowania na wypadek działań wojennych. W każdej sytuacji kryzysowej niezwykle istotne są opracowane wcześniej plany, które pozwalają przedsiębiorstwom poradzić sobie z niespodziewanym zdarzeniem bez przerw w pracy. Jak zapewnia ekspert, przedsiębiorstwa wodociągowo-kanalizacyjne są przygotowane na różnego rodzaju kryzysy.
– Przedsiębiorstwa są stale kontrolowane przez instytucje państwowe, co sprawia, że dopasowują się do nowych wyzwań i wymagań zarządzeń kryzysowych. Wprowadzają plany bezpieczeństwa wody oraz wdrażają najnowsze systemy informatyczne zarządzania w tym zakresie, znacznie poprawiając wydajność monitoringu poszczególnych etapów pobierania, uzdatniania i dostawy wody oraz odbioru i oczyszczania ścieków – podkreśla Paulina Kopeć.
Nowe prawo transponujące dyrektywę w sprawie wody pitnej (DWD) nakłada obowiązek zarządzania ryzykiem w systemach zaopatrzenia, przez co plany bezpieczeństwa wody będą obowiązkowe – na co przedsiębiorstwa wodociągowo-kanalizacyjne są gotowe.
Infrastruktura telekomunikacyjna na fali zabezpieczeń
Infrastruktura krytyczna to także telekomunikacja. Według raportu o stanie rynku telekomunikacyjnego w Polsce za rok 2021 liczba zainstalowanych własnych węzłów sieci telekomunikacyjnych wzrosła o blisko 30 tys. w ciągu roku. Przyrost ten przekłada się na zwiększenie zasięgu sieci szerokopasmowych. W roku 2021 dostęp do Internetu stacjonarnego o przepustowości minimalnej 30 Mb/s miało ponad 80% gospodarstw domowych, a dzięki sfinalizowaniu zatwierdzonych projektów w ramach Programu Operacyjnego Polska Cyfrowa (POPC) dostęp szerokopasmowy uzyska kolejne 4% gospodarstw. Szacuje się, że w 2026 r. 81% użytkowników mobilnego dostępu do Internetu będzie korzystać z technologii 5G.
Tym perspektywom towarzyszą wyzwania. Wśród realnych zagrożeń dla infrastruktury telekomunikacyjnej najczęściej wymienia się brak dostaw prądu, błędy wywołane przez tzw. czynnik ludzki oraz niestabilne powiązania międzysektorowe. Polska Izba Informatyki i Telekomunikacji przekonuje, że zobowiązanie do utrzymania ciągłości sieci w Polsce traktuje bardzo poważnie. Jak zatem jest zabezpieczana infrastruktura telekomunikacyjna?
O wypowiedź poprosiliśmy jednego z największych operatorów naziemnej infrastruktury radiowo-telewizyjnej spółkę Emitel.
– Jako spółka robimy bardzo dużo, aby zbudować wysoki poziom odporności na potencjalne zagrożenia, które mogą wystąpić w przyszłości. Musimy jednak pamiętać, że budowanie bezpieczeństwa to proces długotrwały. Potrzeba czasu, cierpliwości, konsekwencji, doświadczenia i specyficznego rodzaju kompetencji. Wdrożyliśmy procedury zarządzania bezpieczeństwem informacji, przejrzeliśmy i wprowadziliśmy najlepsze praktyki rynkowe, cały czas wykorzystujemy elementy i rozwiązania z zakresu IoT. Mamy zorganizowane struktury zarządzania kryzysowego, które przetestowaliśmy skutecznie podczas pandemii, wdrożyliśmy i konsekwentnie rozwijamy oraz udoskonalamy np. ISMS (system zarządzania bezpieczeństwem informacji wg ISO 27001) czy BCMS (system zarządzania ciągłością działania wg ISO 22301) – mówi Marcin Buzdygan, dyrektor Biura Zarządzania Bezpieczeństwem w Emitel.
Oprócz stosowania najnowszych rozwiązań technicznych bardzo ważne jest podnoszenie świadomości zagrożeń wśród ludzi, gdyż to oni są najsłabszym ogniwem we wszystkich systemach bezpieczeństwa.
– Przykładamy ogromną wagę do budowania świadomości oraz poszerzania wiedzy pracowników i współpracowników w zakresie procedur bezpieczeństwa, w tym szczególnie bezpieczeństwa informacji oraz ciągłości działania. Kompetentna i świadoma zagrożeń kadra to bardzo istotny element bezpieczeństwa – podkreśla Marcin Buzdygan.
Obiekty IK na celowniku cyberprzestępców
Infrastruktura krytyczna potrzebuje dziś nie tylko najwyższej klasy systemów zabezpieczeń technicznych, ale także stałego monitorowania zagrożeń, które pojawiają się w cyberprzestrzeni. Według prognoz Check Point w 2023 r. liczba cyberataków na obiekty użyteczności publicznej, w tym przedsiębiorstwa gazowe i energetyczne, transport publiczny, służbę zdrowia czy przedsiębiorstwa zaopatrzenia w wodę, wzrośnie. Jak podają eksperci Noventiq, Polska zajmuje szóste miejsce w Europie pod względem zagrożeń cybernetycznych. Dane wskazują również, że w 2022 r. rodzime firmy doświadczały ataków hakerskich średnio co 9 minut.
– Paleta zagrożeń i obszar cyberataków rośnie wraz z liczbą stosowanych technologii oraz coraz większym tempem tworzenia aplikacji. Niestety często oznacza to luki w zabezpieczeniach urządzeń, oprogramowaniu systemowym czy aplikacjach. Jednym z rozwiązań stosowanym w Grupie TAURON jest monitorowanie zdarzeń bezpieczeństwa w wielu warstwach, począwszy od ruchu sieciowego w urządzaniach infrastruktury, skończywszy na logowaniu zdarzeń z aplikacji użytkownika. Tak duże powiększenie obserwowanego obszaru daje lepsze spojrzenie na odporność organizacji na cyberzagrożenia – wskazuje Ireneusz Rupik.
Zapewnienie bezpieczeństwa informatycznego wiąże się z jednej strony z zatrudnianiem specjalistów umiejętnie, wręcz intuicyjnie rozpoznających niebezpieczeństwo, z drugiej – taka edukacja szeregowych pracowników, by byli odporni na manipulacje socjotechniczne, jakimi posługują się cyberprzestępcy. Wciąż bowiem najsłabszym ogniwem łańcucha zabezpieczeń obiektów infrastruktury krytycznej jest… człowiek (więcej na ten temat w artykule Najlepsza polityka: zero zaufania, nr 2/2023 “a&s Polska”, str. 46).
– Cyberzagrożenia stają się coraz większym wyzwaniem, szczególnie że ulegają dynamicznej zmianie. Pojawiają się nowe formy tego ryzyka. Staramy się je poznawać i eliminować. Współpracujemy z wieloma podmiotami, instytucjami i organizacjami, które nam w tym pomagają. Skupiamy się nie tylko na rozwiązaniach technicznych czy procesowo ograniczanych (ISMS czy też BCMS), ale także na edukacji naszej kadry. Kluczowym działaniem, jakie obecnie realizujemy, jest budowanie świadomości naszego zespołu pracowników. Uważamy, że wysoki poziom świadomości prowadzi do zmniejszenia ryzyka zagrożeń. Angażujemy zespół w ćwiczenia, regularnie organizujemy testy i prowadzimy kampanie edukacyjne, w tym spotkania online – mówi Marcin Buzdygan.
Przywoływane przez naszych rozmówców działania każą nam wierzyć, że security managerowie obiektów IK są dziś świadomi wielu zagrożeń i przygotowują swoje organizacje na realne stres-testy. Czy tak jest naprawdę? Obyśmy nie musieli się o tym przekonać.