Streszczenie: W obliczu rosnących zagrożeń geopolitycznych i cybernetycznych kluczowe staje się zabezpieczenie infrastruktury krytycznej – sieci energetycznych, wodociągów, systemów transportowych czy telekomunikacyjnych. Współczesne konflikty coraz częściej toczą się w sferze cyfrowej, a ataki na infrastrukturę mają na celu paraliżowanie gospodarek i destabilizację państw. W artykule podkreślono potrzebę wspólnego działania rządów, sektora prywatnego i organizacji międzynarodowych na rzecz zwiększenia odporności infrastruktury krytycznej. Kluczowe są inwestycje w nowe technologie, rozwój kompetencji cyberbezpieczeństwa oraz wprowadzenie jednolitych regulacji i standardów. Autor zaznacza, że Polska ma szczególną rolę do odegrania jako kraj położony na styku Wschodu i Zachodu – z jednej strony jest celem potencjalnych ataków, z drugiej może stać się liderem w zakresie ochrony infrastruktury i cyfrowej suwerenności.
Nie ma większych różnic w technikach cyberataków na świecie. Istotne rozbieżności dotyczą natomiast monitorowania bezpieczeństwa oraz sposobu i sprawności reagowania na wykryte przypadki jego naruszenia
agrożenia dla środowiska teleinformatycznego firm czy administracji są takie same na całym świecie. Bardzo podobne są również techniki przełamywania zabezpieczeń. Polskie firmy w takim samym stopniu są podatne na zagrożenia wynikające z ataków wewnętrznych, jak w Stanach Zjednoczonych, Kanadzie czy Japonii.
Firma doradcza EY co roku przeprowadza Światowe Badania Nadużyć Gospodarczych. W ubiegłym roku w Polsce 60% ankietowanych uznało cyberprzestępczość za istotne zagrożenie. Według ankietowanych menedżerów, źródłem ataków mogą być przede wszystkim pracownicy – tak deklaruje 52%, konkurencja – 42%, hakerów wskazało 36% ankietowanych, a zorganizowane grupy przestępcze – 8%.
Przedsiębiorstwa mają świadomość tych niebezpieczeństw i wdrażają systemy kontroli wewnętrznej, jednak ich zdolności do wykrywania zagrożeń są dalekie od realnych potrzeb. Jak wskazują wyniki 17. Światowego Badania Bezpieczeństwa Informacji EY, co trzeci ankietowany nie wie, ile czasu jego firmie zajmuje reakcja na cyberatak. Jednocześnie 56% firm przyznaje, że identyfikacja i wczesne wykrycie zagrożeń stanowiłoby dla nich problem. Według 28% respondentów, podstawowym celem takich cyberataków jest kradzież danych finansowych, na przykład numerów kart kredytowych, 25% ankietowanych wskazało chęć destabilizacji przedsiębiorstwa, na kolejnych miejscach znalazły się kradzież własności intelektualnej i nadużycia finansowe.
W przypadku polskich firm i administracji widać istotna lukę kompetencji i brak zaawansowanych narzędzi do zapobiegania i wykrywania cyberprzestępczości. W naszym kraju brakuje kompleksowych strategii ochrony cyberprzestrzeni oraz poprawnie wdrożonych systemów zarządzania nimi. Brak również kompleksowych programów edukacyjnych i szkoleniowych dla użytkowników systemów informatycznych i ich administratorów. Kursy z zakresu bezpieczeństwa oraz narzędzia do monitorowania i zarządzania bezpieczeństwem wciąż są traktowane jako luksus.
Nowym celem ataków są także systemy informatyki przemysłowej – czyli technologie związane z wytwarzaniem prądu, systemami dystrybucji gazu czy kontroli transportu, w tym lotniczego. Szczególnie istotnym obszarem są systemy automatyki przemysłowej (zwane ICS – Industry Control System), odpowiedzialne za sterowanie procesami technologicznymi. Ataki na te systemy skutkują nie tylko ujawnieniem poufnej informacji, ale przede wszystkim zatrzymaniem lub destabilizacją procesów technologicznych, co w rezultacie może powodować wielomilionowe straty, czasami o wymiarze katastrofalnym dla firmy lub nawet infrastruktury krytycznej państwa. O ile każdy z nas może wyobrazić sobie skutki ataku hakerskiego na przykład na bank i związaną z tym kradzież danych, to dużo trudniej zwizualizować sobie odcięcie transportu gazu. O ile w pierwszym przypadku straty mogą iść w miliony dolarów, to w tym drugim mówimy już o miliardach.
W Polsce od dawna mamy świadomość potrzeby inwestowania w bezpieczeństwo systemów informatycznych. Niestety, budowanie tej świadomości jest oparte na wywoływaniu strachu w zarządach firm przed bliżej nieokreślonymi zagrożeniami, w konsekwencji których można stracić nieokreślone korzyści. Tymczasem należy prowadzić profesjonalną ocenę zagrożeń oraz ryzyka związanego z bezpieczeństwem systemów informatycznych. Dopiero w efekcie takiej oceny należy wdrażać rozwiązania adekwatne do potrzeb, dzięki którym możliwe będzie prewencyjne, detekcyjne i korekcyjne zabezpieczenie środowiska teleinformatycznego. Trzeba przy tym pamiętać, że zapobieganie cyberatakom jest znacznie tańsze niż działania naprawcze. Wśród pozytywnych przykładów znacznej poprawy bezpieczeństwa systemów w Polsce na pewno trzeba wskazać duże firmy, w szczególności banki, koncerny telekomunikacyjne oraz sektor ochrony zdrowia. Na drugim biegunie znajduje się wspomniana już wcześniej administracja publiczna, energetyka i firmy logistyczne.
Należy się spodziewać bardzo dużego wzrostu informacji o wykrywaniu kolejnych przypadków naruszeń bezpieczeństwa. Będzie się tak działo – po pierwsze – za sprawą coraz bardziej upowszechniającego się korzystania z technologii informatycznej przez użytkowników oraz używania jej do coraz to nowych zastosowań. Po drugie – z powodu rosnącej wykrywalności naruszeń bezpieczeństwa i coraz chętniejszego dzielenia się tą informacją publicznie. W lutym Barack Obama podpisał dekret prezydencki wspierający wymianę informacji między firmami oraz między firmami a rządem w zakresie zagrożeń w sieci. To odpowiedź na coraz liczniejsze i bardziej dotkliwe w skutkach ataki zarówno na przedsiębiorstwa, jak i sektor publiczny za oceanem. Jak tłumaczył amerykański prezydent, „to jest wspólna misja. Wiele sieci komputerowych i elementów infrastruktury krytycznej jest w rękach sektora prywatnego, co oznacza, że rząd nie może podjąć tych działań samodzielnie. Z drugiej strony sektor prywatny też samodzielnie nic nie osiągnie”.
