Zawsze jest pole do doskonalenia – wywiad z Krzysztofem Malesą, zastępcą dyrektora RCB
Jaką rolę pełni Rządowe Centrum Bezpieczeństwa w systemie ochrony obiektów infrastruktury krytycznej?
Ochrona infrastruktury krytycznej to pojęcie, które w polskim systemie prawnym pojawiło się wraz z wejściem w życie ustawy z 26 kwietnia 2007 r. o zarządzaniu kryzysowym.
System ochrony IK od podstaw przygotowało Rządowe Centrum Bezpieczeństwa. Zarówno wymogi prawne, jak i dokumenty strategiczne, takie jak Narodowy Program Ochrony Infrastruktury Krytycznej (NPOIK), określają wszelkie działania RCB w zakresie koordynacji systemu ochrony infrastruktury krytycznej w Polsce.
Należy jednak pamiętać, że ochrona infrastruktury krytycznej jest obowiązkiem jej właściciela, a RCB na różne sposoby wspiera wszystkich operatorów infrastruktury krytycznej w tych działaniach. NPOIK w wersji z roku 2013 jako priorytetowe określał podniesienie poziomu świadomości, wiedzy i kompetencji wszystkich uczestników programu w zakresie znaczenia IK dla sprawnego funkcjonowania państwa, a także sposobów jej ochrony. Z zadowoleniem mogę powiedzieć, że te cele w znacznym stopniu udało się zrealizować.
W aktualizacji NPOIK z 2015 r. nakreślono kolejne priorytety – pogłębienie współpracy między uczestnikami programu w obszarze ochrony IK, identyfikacja zależności pomiędzy systemami IK, dokonanie oceny ryzyka zakłócenia funkcjonowania systemu IK oraz zainicjowanie skutecznej współpracy między uczestnikami programu.
Trzeba również pamiętać, że wymienione priorytety składają się na cel główny, jakim jest wzrost poziomu bezpieczeństwa IK. Nie obejmują wielu codziennych działań podejmowanych przez RCB. A jest ich bardzo dużo. Jako reprezentatywne wymienię np. system szkoleń operatorów IK i współpracującej z nimi administracji czy pracę nad planami OIK operatorów.
Jak układa się współpraca z instytucjami odpowiedzialnymi za bezpieczeństwo infrastruktury krytycznej z sektora publicznego, a jak z biznesem?
Jedną z podstawowych zasad NPOIK jest równość wszystkich operatorów IK. Nawet jeśli w sektorach prywatnym i publicznym mamy do czynienia z innym rodzajem motywacji, to ogólny cel przedstawicieli biznesu i administracji jest zbieżny: wszystkim zależy na poprawie bezpieczeństwa. Oczywiście w każdej organizacji spotykamy zarówno pasjonatów, jak i ludzi mniej zaangażowanych, ale na szczęście pasjonatów nie brakuje po obu stronach.
Czy przedsiębiorcy, którzy są właścicielami obiektów IK lub nimi zarządzają, mają świadomość szczególnych wymagań dotyczących ochrony? Czy chętnie współpracują z RCB?
Oczywiście, operatorzy mają tego świadomość. Już pierwszy NPOIK z 2013 r. jako fundamenty systemu ochrony IK określał informowanie i edukację. Po kilku latach pracy widać efekty takiego podejścia. Rządowe Centrum Bezpieczeństwa wprowadziło wiele narzędzi, np. system internetowej wymiany informacji czy spotkania w ramach forum IK. Zakładamy, że po kilku latach kampania informacyjna dotarła już do wszystkich.
Operatorów nie trzeba długo namawiać do współpracy, tym bardziej że RCB proponuje wiele użytecznych inicjatyw, m.in. szkolenia czy opracowania dotyczące tego zagadnienia. Trzeba pamiętać, że to przede wszystkim operatorom zależy na zapewnieniu ciągłości działania własnej infrastruktury i zapewne dostrzegają zalety współpracy z RCB.
Ubiegłoroczny raport NIK na temat bezpieczeństwa infrastruktury krytycznej nie wypadł jednak pomyślnie. Wskazano sporo nieprawidłowości. W jakim obszarze dostrzega Pan największy problem?
Zawsze jest pole do doskonalenia. Wyniki kontroli w zakresie działań i kompetencji RCB są jednak pozytywne. W swoich opracowaniach pokontrolnych NIK wprost wykazała właściwe podejście RCB do ochrony infrastruktury krytycznej.
Czy to odpowiedzialni za IK lekceważą kwestie bezpieczeństwa?
Nie mogę się zgodzić ze stwierdzeniem, że te osoby podchodzą lekceważąco do kwestii bezpieczeństwa. W krótkim kilkuletnim okresie funkcjonowania systemu IK w Polsce widać raczej duże zaangażowanie operatorów zarówno z administracji, jak i prywatnych. Oczywiście kluczowa jest tu motywacja poszczególnych osób. Zdarza się niedbałe traktowanie kwestii ochrony IK – operatorzy podejmują działanie jedynie po to, aby wypełnić wymogi formalne. W takich przypadkach można oczywiście zastosować elementy naprawcze, np. edukacja lub uświadomienie zagrożeń, jakie niesie zaniechanie pewnych działań.
Jakie wyzwania mógłby Pan wskazać dla RCB w kontekście ochrony infrastruktury krytycznej? Co jest jeszcze do zrobienia?
Przed nami mnóstwo pracy. Żyjemy w świecie niezwykle dynamicznych zmian. Klasyczny przykład cyklu Deminga (ciągłe doskonalenie przebiegające w czterech następujących po sobie etapach: planowanie, wykonanie, sprawdzenie, poprawienie) dowodzi konieczności ciągłego doskonalenia każdej organizacji i systemu. Myślę, że jednym z większych zadań stojących przed RCB w ramach ochrony infrastruktury krytycznej jest możliwość przejścia, w ramach wyłaniania IK, z systemu obiektowego do procesowego. Oznaczałoby to większy nacisk na ciągłość działania usług dostarczanych przez infrastrukturę krytyczną.
Ochrona infrastruktury krytycznej jest kosztowna. Czy przewiduje się przeznaczenie na te działania większych środków? Jakie są potrzeby w tym zakresie?
Mówiliśmy już o świadomości przedsiębiorców dotyczącej szczególnych wymogów ochrony IK. Zarząd spółki, który nowocześnie myśli o ciągłości działania i szeroko pojętym bezpieczeństwie, wie, że inwestycje w bezpieczeństwo nie są wyłącznie kosztem, lecz w dłuższej perspektywie pozwalają uniknąć o wiele większych kosztów usuwania poważnej potencjalnej awarii. Organizacje, które nie poczyniły takich inwestycji, mogą nie przetrwać i w tym też należy upatrywać zysku z inwestycji – przewagi konkurencyjnej. Rolą dobrego menedżera do spraw bezpieczeństwa jest nie tylko przekonanie zarządu, że pewne inwestycje są konieczne, ale też wykonanie rzetelnej analizy ryzyka, która pozwoli uniknąć wydawania pieniędzy na rzeczy niepotrzebne. Jeśli będziemy myśleć takimi kategoriami, koszty skutecznej ochrony IK mogą okazać się niższe, niżby się to wydawało na pierwszy rzut oka.
Coraz poważniejsze stają się zagrożenia cybernetyczne. Jakie działania RCB podejmuje w tym zakresie?
Rządowe Centrum Bezpieczeństwa jest instytucją, której zadaniem w zakresie zapewnienia bezpieczeństwa infrastruktury krytycznej jest m.in. tworzenie ram w formie zaleceń oraz wymagań technicznych i organizacyjnych, którym podlegają operatorzy IK. Podstawowym dokumentem, który kompleksowo traktuje zagadnienia ochrony IK, jest załącznik nr 1 do Narodowego Programu Ochrony Infrastruktury Krytycznej. Jego obszerną część zajmują wskazówki dotyczące właśnie sposobu zapewniania bezpieczeństwa infrastrukturze teleinformatycznej operatorów IK. Ponadto w zakresie współpracy RCB z konkretnymi sektorami są przygotowywane poradniki, np. w zakresie bezpieczeństwa infrastruktury teleinformatycznej, w tym przede wszystkim związanej z systemami sterowania przemysłowego.
W ostatniej fazie uzgodnień są poradniki dla sektora ropy i gazu. Są one przygotowywane we współpracy z przedstawicielami operatorów infrastruktury krytycznej.
Istotnym elementem ochrony infrastruktury krytycznej jest także przekazywanie operatorom informacji uzyskanych od Rządowego Zespołu Reagowania na Incydenty Komputerowe cert.gov.pl (główny zespół CERT w obszarze administracji rządowej, znajdujący się w strukturze ABW), dotyczących podatności w systemach użytkowanych przez operatorów, uwzględniając zarówno systemy tradycyjne IT, jak i systemy sterowania przemysłowego. Rządowe Centrum Bezpieczeństwa ściśle współpracuje również z Ministerstwem Cyfryzacji w zakresie strategii cyberbezpieczeństwa oraz ustawy implementującej dyrektywę NIS.
Czy według Pana ryzyko ataku (konwencjonalnego lub cybernetycznego) na infrastrukturę krytyczną jest teraz większe? Jak się przed tym ochronić lub przynajmniej ograniczyć je?
Ataki teleinformatyczne na system elektroenergetyczny Ukrainy w grudniu 2015 r. pokazują, że musimy brać pod uwagę nie tylko szkodliwe działanie pojedynczych osób, które z takiej czy innej przyczyny chcą zaszkodzić infrastrukturze krytycznej, ale również ataki inspirowane przez instytucje rządowe innych państw. Trzeba mieć świadomość, że w zakresie cyberbezpieczeństwa czy też bezpieczeństwa teleinformatycznego broniący się zawsze jest krok za atakującym, a idea stuprocentowego bezpieczeństwa jest nieosiągalna. W takim kontekście należy się zgodzić ze stwierdzeniem, że poziom ryzyka rośnie. Kraje w swoich strategiach coraz śmielej wspominają o możliwości wykorzystania środków teleinformatycznych w celach ofensywnych. Rządowe Centrum Bezpieczeństwa jest tego świadome i uwzględnia uwarunkowania międzynarodowe w swoich działaniach, w miarę ustawowych możliwości.
Należy mieć jednocześnie świadomość, że pomimo wzrastającego zagrożenia ataków na infrastrukturę krytyczną z zewnątrz do najbardziej powszechnych należą ataki nieświadome, czyli takie, które nie są nakierowane na infrastrukturę krytyczną, ale mają na celu znalezienie jakiejkolwiek luki w systemie. Chodzi tu nie tylko o np. oprogramowanie typu ransomware (szyfrowanie danych w celu wymuszenia okupu), ale także sieci botnet wykorzystywane w innych przestępstwach. Ataki celowane, takie jak Stuxnet, atak hakerski na instytucje Estonii czy ataki na system elektroenergetyczny Ukrainy są jednostkowe. Działania Rządowego Centrum Bezpieczeństwa w tym zakresie dotyczą odpowiedniego szkolenia pracowników, tworzenia odpowiedniej kultury organizacyjnej bezpieczeństwa teleinformatycznego – mają na celu minimalizację ryzyka materializacji zagrożeń.
Ostatnim równie istotnym elementem, o którym należy wspomnieć, jest kwestia tzw. insider threat, czyli zagrożeń związanych z pracownikami, w szczególności tymi, którzy posiadają wysokie uprawnienia w systemach teleinformatycznych. Przykładem jest szeroko opisywane w literaturze doprowadzenie przez hakerów do awaryjnego wygaszenia pieca hutniczego w Niemczech. Pomimo iż opublikowany w tej sprawie raport BSI pozostawił nieco niedopowiedzeń, było jasne, że źródłem problemów był pracownik huty. W tym zakresie RCB kładzie olbrzymi nacisk na odpowiednie zarządzanie uprawnieniami w systemach operatorów, ale również na dokładne weryfikowanie zatrudnionych przez operatora, zwłaszcza na stanowiska kluczowe. Narzędziami na tym polu są: weryfikacja autentyczności dokumentów, odpowiednie procedury zwalniania pracowników itp.
Należy mieć świadomość, że udany atak na infrastrukturę krytyczną może się wydarzyć w każdym kraju, bez względu na stosowane środki zaradcze, dlatego w naszych działaniach uwzględniamy również zagadnienia zapewnienia ciągłości działania i przywracania infrastruktury do funkcjonowania po niekorzystnym zdarzeniu. Pomimo dużego nakładu pracy Rządowego Centrum Bezpieczeństwa główna odpowiedzialność za funkcjonowanie infrastruktury krytycznej spoczywa jednak na jej operatorze, a RCB wspomaga operatora w tym zadaniu.
RCB cyklicznie organizuje spotkania Forum Infrastruktury Krytycznej. Kiedy jest planowane kolejne i jakim zagadnieniom zostanie poświęcone?
W zakresie ochrony infrastruktury krytycznej RCB zaproponowało cykliczne spotkania ujęte wspólną nazwą: Forum. Krajowe forum odbywa się raz do roku, a systemowe i regionalne fora (w każdym województwie) – dwa razy w roku. Krajowe forum zwykle jest organizowane jesienią. Nie chciałbym na razie zdradzać wszystkich szczegółów związanych z tegoroczną tematyką. Na pewno jak co roku będzie wiele bieżących, ważnych tematów z zakresu ochrony infrastruktury krytycznej.
Dziękuję za rozmowę.
Rozmawiał Mariusz Kucharski