Bezpieczeństwo infrastruktury krytycznej – wyzwanie naszych czasów

Cyberwyzwania dla państwa i obywateli

 

 

Jak niespokojny świat i sytuacja geopolityczna w Europie, zwłaszcza wojna w Ukrainie, wpływa na zagrożenia wobec infrastruktury krytycznej w Polsce? W których sektorach są one największe?

 

 

Dr hab. inż. Piotra Małka, prof. PK: – Sytuacja geopolityczna, jaka w ostatnich latach ukształtowała się w Europie, zwłaszcza w jej wschodniej części, zaczęla znacząco wpływać na zagrożenia kierowane zarówno przeciwko państwom, jak i ich mieszkańcom. Takie działania wymierzone są głównie w infrastrukturę krytyczną i kluczową. Są tak określane rzeczywiste i cybernetyczne systemy – obiekty, urządzenia bądź instalacje – niezbędne do minimalnego funkcjonowania gospodarki oraz bezpieczeństwa państwa i jego obywateli. Infrastruktura krytyczna i kluczowa służy też zapewnieniu sprawnego funkcjonowania instytucji, administracji publicznej i biznesów. Polska – jako kraj czynnie wspierający Ukrainę – jest wyjątkowo narażona na ataki na tego typu infrastrukturę, zarówno dokonywane przez osoby zwerbowane lub działające na rzecz państw wrogich, jak i ataki spoza terytorium Polski. Szczególnie zagrożone są te obiekty, które oddziaływają na życie i funkcjonowanie mieszkańców – infrastruktura energetyczna, wodociągi i kanalizacja, szpitale i jednostki medyczne, transport, zarówno towarowy jak i osobowy i wiele innych. Ingerencje w dostawy prądu, czystej i bieżącej wody, zagrożenia atakami terrorystycznymi oraz sianie dezinformacji, np. tak prosta plotka jak ta o skażeniu wody, mogą wywoływać ogólny chaos i dezorganizację całego państwa.

 

Czy jesteśmy na to przygotowani: jako państwo, instytucje, firmy, obywatele? Ma Pan bogate doświadczenie nie tylko badawcze, ale i praktyczne jako specjalista pracujący w przedsiębiorstwie wodociągowym. Czy obecny poziom zabezpieczeń kluczowych systemów np. energetycznych, wodociągowych, transportowych w Polsce odpowiada realnym zagrożeniom ze strony zaawansowanych grup cyberprzestępców?

 

 

– To bardzo trudne pytanie, ponieważ ciężko jest określić i ustalić poziom naszego przygotowania. Nie ma miarodajnych badań, które określałyby ten poziom. Oczywiście obowiązuje w Polsce ustawa o infrastrukturze krytycznej z 2007 roku oraz Narodowy Program Ochrony Infrastruktury Krytycznej z 2023 roku, jak również Ustawa o Krajowym Systemie Cyberbezpieczeństwa z 2018 i ta wyczekiwana nowelizacja Ustawy KSC (dostosowanie do wymogów NIS2). Wszystkie te dokumenty nakładają na nasze państwo, instytucje oraz firmy szereg wymogów i obowiązkowych działań przygotowujących naszą infrastrukturę na różnego rodzaju zagrożenia i ataki. Jednakże brak adekwatnych środków finansowych, złe i niekompetentne zarządzanie, jak również brak odpowiednich specjalistów sprawia, że ciągle mamy olbrzymie luki w przygotowaniu państwa do adekwatnej i skutecznej obrony. Jeśli chodzi o nas, obywateli, to wydaje mi się, że z każdym dniem nasza świadomość rośnie i sprawia, że bardziej jesteśmy przygotowani na zagrożenia. Oczywiście nagły i niespodziewany atak może wywołać początkowy chaos. Mam jednak wrażenie, że my Polacy mamy zdolność do szybkiej adaptacji i przystosowania się do trudnych warunków. Ale w sytuacjach zagrożenia to państwo musi w pierwszej kolejności podjąć skuteczne i szybkie działania minimalizujące skutki ataku.

 

 

Wyzwania w ochronie infrastruktury krytycznej będą zapewne także w koordynacji działań pomiędzy sektorem publicznym a prywatnym…

 

 

– Wyzwania w tym zakresie są olbrzymie – musimy jako Polska budować relacje nie tylko biznesowe, ale przede wszystkim wspólnej odpowiedzialności za nasze bezpieczeństwo. W tym przypadku istotne znaczenie ma centralizacja i polonizacja istotnych dla państwa i społeczeństwa branż, zakwalifikowanych jako infrastruktura krytyczna i kluczowa. Dodatkowo ważne jest wykorzystywanie w procesie bieżącej obsługi, konserwacji, napraw i budowy nowych obiektów polskich firm z polskim kapitałem, zarówno finansowym jak i ludzkim.

 

 

Policjanci i złodzieje – poważna gra o bezpieczeństwo 

 

 

Jak najczęściej atakowana jest infrastruktura krytyczna?

 

 

– Najczęstszymi metodami ataków na infrastrukturę jest dezinformacja oraz cyberataki, kierowane zazwyczaj bezpośrednio na obszar przemysłowy OT (Operational Technology). Odpowiada on za procesy produkcyjne, transportowe, wytwórcze oraz przesyłowe. Mamy do czynienia praktycznie każdego dnia z informacją o różnego rodzaju atakach, np. pożarach, wyłączeniach prądu itp., zarówno tych uderzających bezpośrednio w infrastrukturę, jak i takich, które są kierowane na nasze systemy informatyczne i sterujące procesami produkcyjnymi. Tak atakuje się systemy energetyczne, łączności czy sieci wodociągowych.

 

 

A jakie są szanse i metody na unieszkodliwianie takich prób ataków i skuteczne odpowiadanie na nie, gdy się już zdarzą? Czy to nie jest taka niekończąca się gra w policjantów i złodziei, tylko niestety na poważnie …

 

 

– Dokładnie tak jest, to jest ciągła gonitwa za uciekającym „króliczkiem” czy właśnie zabawa w policjantów i złodziei. Choć, tak jak już wspomniałem wcześniej, obowiązują w Unii Europejskiej i w Polsce odpowiednie dyrektywy, ustawy, które regulują i nakazują operatorom infrastruktury krytycznej i kluczowej wprowadzanie odpowiednich i adekwatnych regulacji wewnętrznych oraz planów ciągłości działania, opartych na dobrych praktykach zawartych w NPOIK czy normach takich jak ISO 22301 (ciągłość działania) i ISO 22361 (zarządzanie kryzysowe). Są to dokumenty niejawne i ściśle chronione przez jednostki infrastruktury krytycznej. A co nas może chronić oprócz przetestowanych procedur, technologii i czuwających nad nimi prawdziwych specjalistów? Najlepsza metoda to świadomość i czujność pracowników i obywateli. To tak jak z najlepszym zabezpieczeniem naszego domu przed złodziejem – jest nim dobry sąsiad... A co do postępowania w przypadku ataku, zawsze najważniejszy jest spokój, rozwaga i stosowanie się do procedur i wytycznych. Pomocne jest tutaj ciągłe szkolenie, nieustanny proces doskonalenia poprzez testy ciągłości działania i czujności w zakresie cyberataków.

 

 

Blackout w Polsce? Niewykluczony 

 

 

Słyszeliśmy ostatnio o blackoutach w Hiszpanii i Czechach. Czy pozbawienie części lub całości Polski dostępu do prądu albo kluczowych usług komunalnych – pitnej wody, usług oczyszczania ścieków, śmieci – wcześniej czy później wydarzy się i u nas?

 

 

– Dziś nie możemy niczego wykluczyć. To co dzieje się w Europie pokazuje nam jak bardzo to zagrożenie jest prawdopodobne także w Polsce. Oczywiście każda jednostka podlegająca pod infrastrukturę krytyczną posiada plany ciągłości działania i plany zarządzania kryzysowego. Jednak zawsze należy dbać o to, by dokonywać ciągłych przeglądów tych dokumentów i prowadzić testy na „żywym organizmie”. Miałem okazję rozmawiać z osobą, która była w czasie blackoutu w Hiszpanii. Przestało działać wszystko co było na prąd. Co najdziwniejsze, przestały też działać sieci komórkowe i jakakolwiek łączność, które powinny być zabezpieczone na wypadek zaniku zasilania. To pokazuje jak wielkie jest to zagrożenie i jak bardzo powinniśmy się wziąć wszyscy do pracy w dla naszego wspólnego bezpieczeństwa. Oczywiście największy ciężar odpowiedzialności spoczywa tu na władzach centralnych i samorządowych. A czy jesteśmy w stanie zapobiec takim zagrożeniom? Myślę, że nie. Ale możemy znacząco wpłynąć na zminimalizowanie ich skutków.

 

 

A co z sabotażem fizycznym np. atakami na linie energetyczne, wodociągi, rurociągi, kolej? Jak ocenia tu Pan Profesor naszą gotowość operacyjną?

 

 

– Obserwując informacje prasowe, bo do takich oficjalnie mamy dostęp, rzeczywiście widzimy, że nie tylko cyberprzestrzępcy stanowią poważne zagrożenie dla naszego bezpieczeństwa. Państwa, które są wrogo nastawione do naszego kraju, każdego dnia działają w celu zwerbowania i pozyskania osób, które mogłyby wprowadzić potencjalne zagrożenie i zdezorganizować funkcjonowanie jednostek i firm odpowiedzialnych za dostarczanie prądu, wody, odprowadzających ściek czy też świadczących usługi transportowe, oraz wszelakiej łączności. Moje doświadczenie zawodowe w obszarze cyberbezpieczeństwa niestety nie napawa mnie optymizmem. Wciąż brak jest przepisów i legislacji w zakresie wdrożenia dyrektywy NIS2. Można by tu wymieniać inne obszary, za które odpowiedzialne jest Rządowe Centrum Bezpieczeństwa, w których ciągle brak odpowiednich ustaw i rozporządzeń. Co do gotowości operacyjnej prowadzone są testy ciągłości działania i odtworzenia infrastruktury w jednostkach objętych infrastrukturą krytyczną, jak i kluczową oraz ważną. Największą bolączką firm realizujących te zadania jest brak wyspecjalizowanej i wyszkolonej kadry specjalistów, która jest w stanie w szybki i skuteczny sposób zabezpieczyć i ochronić naszą infrastrukturę dostarczającą prąd, wodę, ciepło itp.

 

 

Dużo słyszymy o atakach dronów na infrastrukturę krytyczną podczas wojny w Ukrainie. Jak na tego typu ataki się przygotować? Czy technologie, którymi dysponujemy w Polsce, idą z parze ze skalą wyzwań?

 

 

– Ataki dronów stały się powszechną metodą ataku i oddziaływania na otoczenie, zwłaszcza to bezpośrednio przyczyniające się do naszego bezpieczeństwa i zapewnienia podstawowych warunków do życia takich jak prąd czy woda. Najnowsze systemy obrony potrafią zidentyfikować i unieszkodliwić drony i obiekty latające. Problem w tym, że takie systemy posiada tylko wojsko i inne jednostki odpowiedzialne za bezpieczeństwo państwa. Firm produkujących i dostarczających prąd czy wodę nie stać na zainstalowanie takich systemów. Wynika to po pierwsze z bardzo dużych kosztów zakupu i utrzymania, a po drugie z rozległości sieci i obiektów technologicznych rozsianych po całych miejscowościach i obszarze objętym dostarczaniem mediów. Wydaje się, że najbardziej adekwatnym i skutecznym zabezpieczaniem się przed tego typu atakami jest zapewnienie odpowiedniego i skutecznego monitoringu wizyjnego oraz czujność i skuteczność pracowników ochrony tych jednostek.

 

 

Politechnika z mocnym wsparciem dla biznesu i rynku pracy 

 

 

Jaką rolę odgrywają polskie uczelnie w budowaniu bezpieczeństwa polskiej infrastruktury krytycznej, państwa i obywateli oraz kształceniu specjalistów w tym obszarze? Czy współpraca między środowiskiem akademickim a instytucjami odpowiedzialnymi za ochronę infrastruktury krytycznej, np. w zakresie badań, analiz zagrożeń czy symulacji scenariuszy kryzysowych jest wystarczająca?

 

 

– Na polskich uczelniach i w jednostkach badawczo-naukowych widać znaczące zainteresowanie kształceniem studentów z zakresu szeroko pojętego bezpieczeństwa. Powstają nowe kierunki i obszary badawcze obejmujące zakresem te zagadnienia. Nieodzownym elementem skutecznego i dobrego kształcenia jest nauka nie tylko zagadnień teoretycznych, ale przed wszystkim praktycznych. I w tym zakresie współpraca świata nauki z instytucjami odpowiedzialnymi za infrastrukturę krytyczną jest konieczna. Nie wyobrażam sobie absolwenta kierunku bezpieczeństwa czy to fizycznego czy też cyberbezpieczeństwa, który nigdy nie widział takiego obiektu i takiej instalacji na żywo i nie brał czynnego udziału w jej funkcjonowaniu, choćby w ramach praktyk czy stażów. Dodatkowo polskie uczelnie powinny brać czynny udział w tworzeniu nowych i innowacyjnych technologii, opracowań, scenariuszy i analiz zagrożeń w zakresie bezpieczeństwa infrastruktury krytycznej i kluczowej. Tu dobrym przykładem jest Politechnika Krakowska i nasi naukowcy. Angażujemy się w rozwój wiedzy w tym obszarze i bierzemy udział w projektach i realizacji zleceń od partnerów biznesowych. Mamy bardzo liczną grupę specjalistów z zakresu cyberbezpieczeństwa, a skorzystanie z ich wiedzy i doświadczenia to gwarancja bezpieczeństwa firmy. Moje zainteresowania i najnowsze badania skierowane są na obszar zabezpieczenia produkcji rolnej, takiej jak produkcja mięsa, roślin i innych koniecznych do normalnego funkcjonowania naszego społeczeństwa. W tym obszarze jest bardzo dużo do zrobienia na polu implementacji skutecznych metod zapewniania bezpieczeństwa. To szeroki temat na kolejną rozmowę ...

 

 

Łączy Pan Profesor pracę akademicką z praktyką specjalisty w przedsiębiorstwie wodociągowym, ma wiedzę na temat rynku pracy, jego potrzeb. Jakich specjalistów potrzebujemy najbardziej?

 

 

 

– Analizy i obserwacje, jakie prowadzę od kilku już lat, pokazują, że mamy wielki deficyt specjalistów z obszaru zabezpieczania infrastruktury krytycznej i kluczowej, mało osób ma doświadczenie w tym obszarze. Oczywiście na rynku edukacyjnym mamy wiele kierunków studiów czy szkoleń z zakresu bezpieczeństwa, ale skupione są na teorii, a nam potrzeba praktyków... Analiza ofert pracy pokazuje, że najbardziej brakuje nam specjalistów z zakresu cyberbezpieczeństwa systemów przemysłowych Operational Technology OT. Ten obszar odpowiedzialny jest za procesy produkcyjne i dystrybucyjne takich branż jak produkcja prądu, wody, oczyszczanie ścieków, transport, produkcja żywności i wiele innych. Wszędzie tam opieramy się na nowoczesnych technologiach, a one wymuszają nie tylko obsługę w zakresie utrzymania ruchu, ale też zabezpieczanie przed włamaniami czy innymi aktami sabotażu.

 

 

Unikatowe studia o ochronie infrastruktury krytycznej

 

 

Politechnika Krakowska stworzyła studia podyplomowe na temat bezpieczeństwa infrastruktury krytycznej i kluczowej w zakresie systemów przemysłowych Operational Technology (OT). Już pierwsza edycja spotkała się z dużym zainteresowaniem. To znaczy, że świadomość szefów firm i instytucji rośnie?

 

 

– Stworzyliśmy studia podyplomowe z zakresu bezpieczeństwa infrastruktury krytycznej i kluczowej na Wydziale Inżynierii Elektrycznej i Komputerowej wspólnie z firmami ANZENA, ELMARK i Dagma. Uczymy o cyberbezpieczeństwie systemów Operational Technology OT takich jak układy sterowania (SCADA), automatyka, robotyka, systemy sieciowe itd. To jedyne takie studia w Polsce i myślę, że unikatowe na skalę europejską. Za nami pierwsza edycja studiów, która cieszyła się bardzo dużym zainteresowaniem. Udało się nam wykształcić pierwszych w Polsce specjalistów z zakresu bezpieczeństwa systemów przemysłowych OT. Zainteresowanie naszymi studiami wynika przede wszystkim z coraz większej świadomości kadry zarządzającej firmami zakwalifikowanymi jako infrastruktura krytyczna i kluczowa. Teraz nie tylko działy IT kojarzą się z cyberochroną, ale przede wszystkim działy utrzymania ruchu obsługujące i zapewniające ciągłość działania, a w tym także cyberochronę tych procesów. Unikatowość naszych studiów polega na całkowicie praktycznym podejściu do nauki i kształcenia. Od samego początku, kiedy tworzyłem i budowałem kierunek, przyświecał mi cel, żeby nauczyć studentów tego, z czym spotkają się w praktyce, a nie tylko teorii. Stąd współpraca ze specjalistami z firm i wspólne kształcenie. Eksperckie doświadczenie naszych wykładowców-praktyków zdobyte w przemyśle bezpośrednio przekłada się na wiedzę, którą przekazują studentom. Na tym polega wyjątkowość tych studiów, że zbudowaliśmy dla nich znakomitą kadrę wykładowców oraz zapewniamy dostęp do unikatowej infrastruktury laboratoryjnej Politechniki, służącej do praktycznej edukacji.

 

 

 

Do kogo skierowana jest oferta studiów? Jakie kompetencje zdobywają Wasi słuchacze?

 

 

– Studia podyplomowe skierowane są do bardzo szerokiego grona odbiorców – począwszy od pracowników firm, które zaliczone są do infrastruktury krytycznej oraz kluczowej, wynikającej z ustawy o Krajowym Systemie Cyberbezpieczeństwa, aż po wszystkie firmy produkcyjne. Zastosowanie systemów przemysłowych OT jest nieodzownym elementem funkcjonowania tych podmiotów. Nie wyobrażamy sobie teraz produkcji bez użycia mikrokontrolerów, systemów sterowania SCADA, sensorów, które komunikują się ze sobą i ze światem zewnętrznym poprzez sieć Ethernet. A to wiąże się z ryzykiem cyberataku i oznacza, że w tych wszystkich jednostkach potrzeba wykwalifikowanych pracowników i odpowiednich służb potrafiących zidentyfikować i zablokować możliwy atak. Tego właśnie uczymy – praktycznego identyfikowania zagrożeń i rozwiązywania problemów, które mogą rodzić. Nasz absolwent nauczy się w praktyce metod zabezpieczania i ochrony infrastruktury krytycznej. Dodatkowo studenci uczą się jak prowadzić dokumentację SZBI, jak tworzyć plany ciągłości działania, jak je w rzeczywistości testować i – w razie ataku – zastosować.

 

 

Na jakich praktycznych przykładach, sytuacjach pracujecie ze słuchaczami? Analizujecie konkretne przypadki ataków na infrastrukturę, ucząc na cudzych błędach? Czy raczej modelujcie takie sytuacje i pokazujecie, jak opracować scenariusze kryzysowe na nie?

 

 

– Na zajęciach oprócz konkretnie przygotowanych scenariuszy zdarzeń, jakie miały miejsce, studenci uczą się metod identyfikacji i wczesnego wykrywania potencjalnych ataków. Wielką wartość do programu kształcenia wnoszą specjaliści, którzy prowadzą nasze zajęcia. To praktycy, czynnie działający w zawodzie specjalistów systemów OT. Przedstawiają często przypadki z rzeczywistości, zdarzenia z jakimi zmierzyli się pracując w przemyśle. Sięgamy też do kazusów zgłaszanych przez naszych słuchaczy, do problemów, jakie pojawiają się w praktyce firm z ich branż. Co ważne, niejednokrotnie wiedza naszych prowadzących pomogła naszym studentom w rozwiązaniu wyzwań w ich firmach.

 

 

Czy wystarczy nie robić selfie z mostem?

 

 

W pracy dyplomowej słuchacze muszą się wykazać tym, czego się nauczą?

 

 

– Na zaliczenie studiów uczestnik, w ciągu drugiego semestru, ma zbudować cyberbezpieczny system, składający się z systemów automatyki sterowania i systemów chroniących je w postaci Firewall-i IDS/IPS oraz SIEM. Odbywa się to w specjalnie zbudowanym laboratorium systemów OT Wydziału Inżynierii Elektrycznej i Komputerowej Politechniki. Laboratorium zostało zbudowane z wykorzystaniem najnowszych rozwiązań dostępnych na rynku światowym i polskim. Jest to jedno z nielicznych w Polsce miejsc, gdzie można prowadzić szkolenia i zajęcia w zakresie cyberbezpieczeństwa systemów przemysłowych OT.

 

 

Wobec rosnących, globalnych napięć wydaje się, że chętnych na pozyskiwanie wiedzy o bezpieczeństwie infrastruktury będzie przybywać. Ale trudno się z cieszyć z pędu do wiedzy, który wynika z takich motywów …

 

 

– Myślę, że kształcenie w tym zakresie w najbliższych latach bardzo się rozwinie i stanie się wiodącym kierunkiem na wielu polskich uczelniach kształcących inżynierów z zakresu automatyki, infotroniki, mechatroniki, robotyki i energetyki. My na Politechnice Krakowskiej jesteśmy pionierami w tym zakresie i uważam, że powinniśmy tę szansę wykorzystać. Problemem jaki tu widzę są potężne koszty dla pracodawców utrzymania takich pracowników, ale jest to nieodzowne i firmy muszą się do tego przygotować. Popyt na takich specjalistów w najbliższych latach będzie olbrzymi, zwłaszcza po wejściu w Polsce nowej ustawy o Krajowym Systemie Cyberbezpieczeństwa i dyrektywy CER, mówiącej o odporności naszej infrastruktury.

 

 

Jak my, zwykli ludzie, na co dzień możemy dbać o bezpieczeństwo infrastruktury krytycznej? Jakich podstawowych zasad przestrzegać? Na razie chyba najbardziej przebiło się nam do świadomości, że mamy nie robić sobie zdjęć na tle mostów albo zapór wodnych …

 

 

– Dokładnie tak, póki co wszyscy mamy w głowach zakaz fotografowania obiektów infrastruktury krytycznej i siebie na ich tle. Ale nasza świadomość rośnie z każdym dniem. Nawet najmniejszy przejaw naszego właściwego postępowania może przenieść się na nasze bezpieczeństwo. Przykładem może być reakcja i powiadomienie służb o zauważonym przez nas dziwnym zachowaniu osób przebywających w pobliżu infrastruktury krytycznej. Ważne jest np. nierozpowszechnianie w mediach społecznościowych treści uderzających w nasze państwo, nasze miejscowości, naszą infrastrukturę wodociągową, energetyczną, transportową. Warto tu dodać, że powinniśmy jako społeczeństwo być też szkoleni w zakresie postępowania w sytuacji braku energii, wody, łączności. Takiej wiedzy większość Polaków nie posiada, a warto tu wziąć wzory z innych państw, które systematycznie szkolą i informują swoich obywateli jak postąpić w takich sytuacjach.

« powrót