Na celowniku cyberprzestępców coraz częściej stają firmy z sektora energetycznego, szczególnie te, których działalność jest związana z zapewnieniem bezpieczeństwa energetycznego – w tym bezpieczeństwa dostaw energii.
W ubiegłym roku PwC opublikował raport dot. Stanu Bezpieczeństwa Informacji w Polsce, w którym wskazuje, że liczba wykrytych incydentów naruszających bezpieczeństwo informacji w 2016 r. wzrosła w Polsce (w stosunku do roku 2015) o 46%. O atakach na polskie firmy energetyczne głośno było m.in. w 2014 r., kiedy to systemy kontrolne wielu europejskich i amerykańskich firm z branży energetycznej zostały zaatakowane z użyciem nowoczesnej broni cybernetycznej przez hakerów. Pod koniec 2015 r. nastąpiła z kolei rozległa awaria systemu dystrybucji energii na Ukrainie.
Procedury, ludzie, pieniądze
Infekcja oprogramowaniem złośliwym następuje przede wszystkim wskutek nieprzestrzegania podstawowych zasad bezpieczeństwa IT – czytamy w ostatnim dostępnym Raporcie o stanie bezpieczeństwa cyberprzestrzeni RP. Do skutecznych ataków przyczyniają się m.in. brak odpowiednich procedur w instytucjach, brak dedykowanych zespołów czy pracowników odpowiedzialnych za reagowanie na incydenty a także tendencja do redukcji środków finansowych przeznaczonych na bezpieczeństwo IT. Aby przeciwdziałać cyberzagrożeniu Ministerstwo Administracji i Cyfryzacji oraz Agencja Bezpieczeństwa Wewnętrznego wdrożyły w 2013 r. Politykę ochrony cyberprzestrzeni Rzeczpospolitej Polskiej. W tę politykę wpisują się m.in. Operator Systemu Przesyłowego oraz Operatorzy Systemów Dystrybucyjnych. Polskie Sieci Elektroenergetyczne zainicjowały m.in. powstanie grupy roboczej w ramach PTPiREE, podejmującej działania na rzecz podniesienia bezpieczeństwa podmiotów z sektora elektroenergetycznego i służącej jako głos ekspercki m.in. w tworzeniu przyszłych standardów i aktów prawnych.
Strategiczne bezpieczeństwo
Operator Systemu Przesyłowego to spółka o znaczeniu strategicznym dla bezpieczeństwa energetycznego kraju, dlatego zespoły pracowników PSE odpowiedzialnych za teleinformatykę i bezpieczeństwo uczestniczyły w uruchamianiu Narodowego Centrum Cyberbezpieczeństwa – NCCyber, z którym utrzymują teraz stałą współpracę. Kwestia bezpieczeństwa znalazła swoje odbicie w strategii spółki. – Uruchomiliśmy m.in. SOC (Security Operations Center), dedykowane centrum zajmujące się stałym monitorowaniem stanu bezpieczeństwa teleinformatycznego i aktywnym wykrywaniem incydentów i reagowaniem na nie, z użyciem oprogramowania klasy SIEM. Centrum i wspierające go oprogramowanie są ciągle rozbudowywane i doskonalone – mówi Grzegorz Bojar, Dyrektor Departamentu Teleinformatyki w Polskich Sieciach Elektroenergetycznych – Formalnie utworzyliśmy także zespół CERT PSE (Computer Emergency Response Team -– Zespół Reagowania na Incydenty Komputerowe), który tworzy kolejną linię wsparcia dla użytkowników i SOC w zakresie rozwiązywania incydentów i analizy dotkniętych nimi systemów, a także koordynacji reagowania na incydenty w innymi podmiotami z sektora elektroenergetycznego – dodaje.
Zapewnienie cyberbezpieczeństwa wiąże się głównie z systemami OT (Operational Technology) m.in. informatycznymi, telekomunikacyjnymi i technologicznymi stacji elektroenergetycznych, od których bezpośrednio zależy stabilność i ciągłość działania systemu energetycznego. Kluczowa jest odpowiednia separacja sieci OT od sieci IT, w których pracują systemy niekrytyczne. PSE przeprowadziły też migrację do nowego standardu stacji roboczej, spółka doskonali system zdalnego dostępu, dobiega też końca wdrożenie nowego internetowego portalu zewnętrznego, wykonanego od podstaw z uwzględnieniem specyficznych wymagań funkcjonalnych i bezpieczeństwa PSE.
Wrażliwa SCADA, standaryzacja i najlepsze praktyki
Wiele działań poprawiających bezpieczeństwo wdrażają również Operatorzy Systemów Dystrybucyjnych. Polski ustawodawca opracowuje m.in. wymagania dla sieci SCADA, które będą musiały już niebawem wdrożyć firmy OSD.
– Znaczącym aspektem jest duża różnorodność rozwiązań systemów SCADA oraz urządzeń stosowanych do zarządzania siecią energetyczną. Niestety, ale poziom rozwiązań dostawców OT nie dorównuje jeszcze skomplikowanym i coraz bardziej rozbudowanym zagrożeniom. Obserwowany jest znaczący postęp we wdrażanych zabezpieczeniach, jednak jest jeszcze wiele do zrobienia – komentuje Bartłomiej Szymczak IT Security Manager z innogy Stoen Operator – Zagrożeniem jest również postęp technologiczny. Infrastruktura IT staje się powszechnie stosowana w obiektach energetycznych. Coraz większa liczba obiektów jest łączona w jedną sieć, w celu zdalnego sterowania oraz zbierania informacji o aktualnym stanie funkcjonowania sieci – dodaje.
Pierwszą linią obrony innogy Stoen Operator przed cyberatakami jest prawidłowa konfiguracja systemów i elementów zabezpieczeń. Spółka organizuje profilowane audyty bezpieczeństwa, w ramach których weryfikowane są m.in. systemy sterownia, sieci zdalnego odczytu jak i liczniki inteligentne. Jednym z najważniejszych aspektów pozostaje sprawna komunikacja. – Niezbędne jest aby zespoły specjalistów mogły skutecznie dzielić się informacjami o potencjalnych oraz faktycznych zagrożeniach. W tym miejscu potrzebne jest wypracowanie jak powinien funkcjonować i w jakim zakresie zespół CERT dla Energii Elektrycznej – mówi Bartłomiej Szymczak.
Prewencja i edukacja
Energa-Operator, podobnie jak PSE, formalnie powołał i uruchomił – w marcu 2016 roku – Zespół Reagowania na Incydenty Bezpieczeństwa w Grupie Energa pod nazwą CERT ENERGA, który swoim działaniem obejmuje całą grupę. – Kluczowym zadaniem CERT ENERGA, w której istotną rolę realizuje koordynator Segmentu Dystrybucji, tj. pracownik Spółki Energa-Operator, jest zcentralizowana obsługa globalnych Incydentów Bezpieczeństwa wraz ze wczesnym ostrzeganiem, wykrywaniem zagrożeń, analiza złośliwego oprogramowania, wydawanie komunikatów bezpieczeństwa, ocena i audyty bezpieczeństwa oraz szkolenia i konsultacje w zakresie bezpieczeństwa teleinformatycznego – informuje Wiesław Frydrych, Dyrektor Pionu Informatyki i Telekomunikacji z Energa-Operator. Po pierwszym kwartale funkcjonowania (tj. w lipcu 2016 roku) Energa podpisała porozumienie dotyczące współpracy CERT ENERGA z Narodowym Centrum Cyberbezpieczeństwa. Spółka zobowiązała się do współpracy na rzecz podniesienia poziomu bezpieczeństwa cyberprzestrzeni Polski, w szczególności w zakresie wykrywania cyberzagrożeń oraz ich analizy, przygotowywania informacji, na podstawie których będą podejmowane działania o charakterze strategicznym oraz operacyjnym. – Zespół CERT ENERGA oraz komórki bezpieczeństwa przeprowadzili też w segmentach Grupy cykl szkoleń dla pracowników z zakresu bezpieczeństwa teleinformatycznego z uwzględnieniem aktualnych cyberzagrożeń, CERT ENERGA uruchomił też centralny punkt zgłaszania przez pracowników wszelkich zdarzeń mających znamiona incydentów bezpieczeństwa teleinformatycznego. Można to zrobić mailowo oraz za pomocą całodobowego numeru telefonicznego – dodaje Wiesław Frydrych.