Infrastruktura krytyczna łakomym kąskiem dla cybeprzestępców

Przeczytaj także: Kolejna fala cyberataków wycelowanych w przemysł? Co doskwiera ICS?

Czym jest infrastruktura krytyczna? Najkrócej mówiąc, są to zasoby o fundamentalnym znaczeniu dla funkcjonowania społeczeństwa i gospodarki, a więc zarazem kluczowy element bezpieczeństwa państwa i jego obywateli. W jej skład wchodzą obiekty służące zapewnieniu sprawnego funkcjonowania organów administracji publicznej oraz przedsiębiorstw oraz zapewniające ochronę zdrowia i życia obywateli.

- Cyberbezpieczeństwo infrastruktury krytycznej to nie tylko konieczność wprowadzania rozwiązań technicznych, to przede wszystkim strategiczne wyzwanie dla państwa, wymagające podjęcia wielu kompleksowych działań i zaangażowania najważniejszych graczy – to jedna z kluczowych konkluzji raportu. Istotne jest także zbudowanie dobrze funkcjonującej, opartej na zaufaniu współpracy publiczno-prywatnej, jak również konieczność inwestycji finansowych w cały obszar infrastruktury krytycznej – uważa Joanna Świątkowska, dyrektor obszaru cyberbezpieczeństwa w Instytucie Kościuszki.

- Infrastrukturę krytyczną można porównać do systemu naczyń połączonych. Gdy w jednym miejscu nastąpi wyciek, można go zastopować. Inaczej jest, jeśli takich wycieków w tym samym momencie powstaje więcej. Podobnie jest w infrastrukturze krytycznej, tamowanie zagrożenia jest łatwe, jeśli wiemy, gdzie wystąpiło naruszenie bezpieczeństwa i jeśli jest to zdarzenie jednorazowe - dodaje dr Aleksander Poniewierski, Partner Zarządzający Działem Doradztwa Informatycznego, Lider Grupy Doradztwa Informatycznego w Europe Środkowej i Południowo-Wschodniej EY.

Konsekwencje cyberataków na IK mogą być porównywalne ze stratami powstałymi w wyniku innych zdarzeń i niekoniecznie muszą dotyczyć tylko wymiaru teleinformatycznego. W 2007 roku cyberatak w Estonii na kilka dni sparaliżował kraj. Nie funkcjonowała sieć internetowa, przestały działać systemy banków, strony parlamentu czy mediów. Zawiódł też system zarządzający dostawami energii. Przez jakiś czas nie działał także telefon alarmowy 112. - Dlatego państwo, będąc odpowiedzialnym za bezpieczeństwo swoich obywateli, musi wspierać podmioty, które są właścicielami IK, aby zapewnić nie tylko funkcjonowanie infrastruktury, ale także ciągłość oferowanych przez nią usług tak, by ewentualne skutki zagrożeń, jakie niesie ona dla zdrowia i życia ludzkiego oraz dla środowiska naturalnegobyły minimalne – mówi Janusz Skulich, dyrektor Rządowego Centrum Bezpieczeństwa.

W Polsce identyfikację IK przeprowadzono w trzech etapach. Pierwszy obejmował wstępną selekcję obiektów, instalacji, urządzeń oraz usług na podstawie kryteriów systemowych. Następnie sprawdzono, na ile są one kluczowe dla bezpieczeństwa państwa i obywateli. W trzecim etapie oceniono potencjalne skutki zniszczenia lub zaprzestania funkcjonowania poszczególnych elementów infrastruktury. – Identyfikację obiektów i systemów kluczowych dla bezpieczeństwa państwa, w więc infrastruktury krytycznej w Polsce oraz potencjalne skutki zakłócenia jej funkcjonowania przygotowało Rządowe Centrum Bezpieczeństwa we współpracy z ministrami odpowiedzialnymi za poszczególne systemy IK - wyjaśnia dyrektor Skulich.

Współpraca państwa i podmiotów prywatnych

Coraz większa część infrastruktury krytycznej znajduje się w prywatnych rękach, a także w zarządzaniu globalnych koncernów. Wzrastająca rola podmiotów prywatnych powinna iść w parze z budowaniem skutecznych mechanizmów współpracy z podmiotami publicznymi m.in. przez wymianę informacji na temat zagrożeń, dobrych praktyk czy rekomendacji. - Konieczne jest uświadomienie przedstawicielom zarządów firm, jak powszechnym i kosztownym problemem są cyberzagrożenia – wyjaśnia dr Aleksander Poniewierski.