Infrastruktura krytyczna musi się zmienić
A wszystko to dzięki nowej dyrektywie Unii Europejskiej dot. bezpieczeństwa sieci i informacji (NIS). Wprowadza ona nowe standardy bezpieczeństwa dla systemów i sieci zwłaszcza dla infrastruktury krytycznej (IK). Dyrektywa została przyjęta przez Parlament Europejski w środę, 6.07.2016 r.
Co niesie ze sobą nowa dyrektywa? Przede wszystkich wprowadza konieczność posiadania przez każde z państw strategii bezpieczeństwa sieci i informacji. I to właśnie od niej oraz od ustawodawstwa krajowego zależy, czy efektywnie będzie wdrażane nowe prawo unijne. Dla branż z infrastruktury krytycznej (w polskiej ustawie określono 11 sektorów m.in. energetyczny, teleinformatyczny, transportowy, ochrony zdrowia) istotne jest, że teraz to na nich spoczywa odpowiedzialność za wdrażanie odpowiedniego poziomu zabezpieczeń, monitorowanie oraz zgłaszanie incydentów.
Nowa dyrektywa jest powiązana z regulacjami unijnymi dotyczącymi Ochrony Danych Osobowych (General Data Protection Regulation ). Oba akty prawne starają się zwiększać obowiązki firm w zakresie ochrony systemów i danych. Nakładają również spore kary za zaniedbania w tym obszarze oraz konieczność ujawnienia naruszeń bezpieczeństwa. Nie każdej prywatnej firmie będzie się to podobać, zwłaszcza, że koszty wprowadzenia zmian będą spoczywać na przedsiębiorstwie. Dzięki dyrektywie oraz odpowiednim przepisom krajowym skończy się (miejmy nadzieję) „zamiatanie spraw pod dywan” i zatajanie okoliczności oraz skali ataków na przedsiębiorstwa czy instytucje. Pozwoli to, nie tylko oceniać rzeczywistą skalę zagrożenia, ale również wyciągać wnioski odnośnie celów, rodzajów ataków i wykorzystanych w nich technologiach.
Zagrożeniem dla bezpieczeństwa sieci są zarówno hackerzy, którzy wciąż rozwijają swoje techniki, jak i sami pracownicy. Żadne przedsiębiorstwo nie może więc uznać, że jest w pełni bezpieczne. Dyrektywa NIS wychodzi naprzeciw temu zjawisku i wprowadza nakaz raportowania naruszenia bezpieczeństwa sieci. Ma to zapewnić odpowiednią wiedzę, aby przedsięwziąć właściwe środki obrony przed zagrożeniami cybernetycznymi. Jak wskazują dane amerykańskiej instytucji Industrial Control Systems Cyber Emergency Response Team 95% spośród zgłoszonych ataków w zeszłym roku dotyczyło właśnie IK. Z tego 46% dotknęło sektora energetycznego. W Europie również nie brakuje przykładów podobnych incydentów. W 2015 roku oczyszczalnia ścieków w Wielkiej Brytanii stała się celem dla cyberprzestępców, a rok wcześniej ucierpiała niemiecka huta stali.
Widzimy jednak duży problem związany z większością przedsiębiorstw z IK. Jest nim posiadanie infrastruktury sprzed ery Internetu. Używany system SCADA (Supervisory Control And Data Acquisition) jest bardzo prosty w działaniu. Łatwo pokonać jego metody uwierzytelnienia i przesyłania danych w postaci zwykłego tekstu. Jego podstawowy kod jest bardzo podatny na cyberataki i nie zapewnia pełnej ochrony IK. Przykładem słabości tego systemu są ostatnie ataki na sieć przesyłu energii na zachodniej Ukrainie. Wykorzystana została tam metoda spear-phishningu oraz DDoS. Natomiast w przypadku ataku na ukraiński port lotniczy zainfekowano główny komputer przy lotnisku w Kijowie.
Warto zauważyć , że Stuxnet and Flame to dwie, wciąż groźne formy złośliwego oprogramowania, które są wykorzystywane do włamania się do systemów SCADA. Są one nadal dostępne w sprzedaży na czarnym rynku. Jednak hakerzy stają się coraz bardziej sprytni, tworzą nowe technologie służące do przeprowadzania bardziej skomplikowanych ataków, które wykorzystują dostępne luki w systemach. Zabezpieczenia, które były wdrażane kilka lat temu już nie wystarczają. Systemy zabezpieczeń stosowane przez firmy muszą ewoluować, by wyprzedzać ruchy cyberprzestępców, a nie jedynie reagować na nie. Nie zawsze jest to jednak możliwe i realne. Jak dużym jest to wyzwaniem, wskazuje właśnie zagrożenie dla branż z IK, które mają ogromne znaczenie dla bezpieczeństwa i funkcjonowania całego państwa.
Firmy muszą oprzeć się na inteligentnym systemie bezpieczeństwa digital, czyli monitorować zagrożenia i szybko na nie reagować. Dyrektywa NIS ma im w tym pomóc, dzięki centralnemu gromadzeniu informacji na temat incydentów i ich analizowaniu. Pojawia się jedno „ale”. Wszystko zależy od wprowadzonych rozwiązań na szczeblu krajowym. Muszą one odpowiadać naszej rzeczywistości oraz możliwościom. Państwo powinno również starać się stworzyć odpowiednie przepisy uwzględniające rozwój technologii i egzekwować prawo, które powinno być takie samo dla wszystkich podmiotów. Tylko dzięki współpracy między sektorami a jednostkami rządowymi możliwe jest wypracowanie efektywnego systemu bezpieczeństwa IK.
