Prace nad dokumentem Polityki Ochrony Cyberprzestrzeni Rzeczypospolitej Polskiej zostały zainicjowane przez Agencję Bezpieczeństwa Wewnętrznego i Ministerstwo Spraw Wewnętrznych i Administracji w roku 2008 w związku z pojawieniem się nowego typu zagrożeń międzynarodowych, jakimi były przeprowadzone przez Rosję cyberataki na Estonię (2007) i Gruzję (2008). W obu przypadkach jednym z głównych celów strony atakującej było wywołanie przy użyciu narzędzi informatycznych przerw w dostawach energii elektrycznej do wybranych obiektów administracji atakowanego państwa. Świat wkroczył w erę wojen hybrydowych.

Po pięciu latach, w dniu 25 czerwca 2013 r. Rada Ministrów RP przyjęła przedłożony przez Ministerstwo Administracji i Cyfryzacji we współpracy z Agencją Bezpieczeństwa Wewnętrznego dokument, którego głównym celem jest cyt.: „zapewnianie i rozwijanie zdolności jednostek organizacyjnych administracji publicznej Rzeczypospolitej Polskiej do ochrony przed cyberzagrożeniami, ze szczególnym uwzględnieniem ataków ukierunkowanych na infrastrukturę obejmującą systemy i sieci teleinformatyczne, których zniszczenie lub zakłócenie może stanowić zagrożenie dla życia, zdrowia ludzi, dziedzictwa narodowego oraz środowiska w znacznych rozmiarach, albo spowodować poważne straty materialne, a także zakłócić funkcjonowanie państwa.”

Warto przypomnieć, że ściśle powiązany z „Polityką..” Narodowy Program Ochrony Infrastruktury Krytycznej przyjęty trzy miesiące wcześniej, tj. 26 marca 2013 r. nałożył obowiązek ochrony sektora energetycznego na Ministra Gospodarki oraz Ministra Skarbu Państwa, których w działaniach wspierać powinny następujące organy administracji publicznej:

• Prezydent RP,
• Rada Ministrów,
• Ministrowie i kierownicy urzędów centralnych wykonujący zadania z zakresu zarządzania kryzysowego,
• Służby specjalne.

Rys. 1 Ministrowie odpowiedzialni za bezpieczeństwo Infrastruktury Krytycznej RP

Trudnym do skomentowania jest fakt, że w dokumencie strategicznym, jakim jest „Polityka..” problem bezpieczeństwa Krajowego Systemu Energetycznego został w wspomniany został tylko jeden raz (!). Znamienne jest poczynione zastrzeżenie cyt.: „Działania dotyczące bezpieczeństwa infrastruktury teleinformatycznej będą komplementarne w stosunku do działań mających na celu ochronę infrastruktury krytycznej Państwa. Polityka w tym zakresie nie narusza postanowień zawartych w Narodowym Programie Ochrony Infrastruktury Krytycznej.”. Tym bardziej dość powszechnym było oczekiwanie, że uwspólnienie obu dokumentów zostanie przeprowadzone w dokumentach wykonawczych do „Polityki…”, chociażby dlatego, że dokument ten przewidywał m.in.:

• dokonanie przeglądu regulacji prawnych dotyczących cyberbezpieczeństwa państwa, w wyniku, którego miały powstać rozwiązania zwiększające poziom cyberbezpieczeństwa nie tylko instytucji rządowych, ale również wszystkich użytkowników cyberprzestrzeni;
• podjęcie koniecznych kroków w celu stałego podnoszenia świadomości kadry urzędniczej w dziedzinie bezpieczeństwa systemów teleinformatycznych państwa poprzez wdrożenie programów szkoleniowych.

Na czym polega wojna hybrydowa?

Z chwilą przeniesienia wojny informacyjnej do Internetu, tradycyjne działania wywiadu i agentury, propaganda w środkach masowego przekazu i manipulacja informacją zostały uzupełnione działaniami opartymi na metodach i narzędziach stosowanych przez hakerów, informatyków-anarchistów oraz przestępców działających w cyberprzestrzeni. Celem tych działań jest przejęcie lub zniszczenie zasobów informacyjnych przeciwnika, następnie obezwładnienie czynnika ludzkiego strony przeciwnej, a w konsekwencji uzyskanie kontroli nad zasobami przeciwnika. Co ciekawe dotyczy to wszystkich uczestników konfliktu, tak strony atakującej, jak i atakowanej.

Wojna hybrydowa współcześnie oznacza uzupełnienie tradycyjnych metod prowadzenia wojny działaniami przeprowadzanymi z użyciem środków teleinformatycznych, aktami terroryzmu i zachowaniami kryminalnymi w celu osiągnięcia zysków politycznych. Wojna hybrydowa, prowadzona bez oficjalnej deklaracji wojny, pozwala agresorowi na całkowite lub częściowe uniknięcie odpowiedzialności za prowadzenie takich działań. Przeciwnika w wojnie hybrydowej zniewala się stopniowo, cierpliwie i precyzyjnie, przeprowadzając wielowątkowe działania dywersyjno-wywiadowcze. Działania przeprowadzane z użyciem środków teleinformatycznych z powodzeniem uzupełniły działania wywiadowcze służb dyplomatycznych, a działania wyspecjalizowanych wojskowych jednostek cybernetycznych - lub firm działających na zlecenie wojska - zastąpiły konwencjonalną działalność dywersyjną.

Wojna informacyjna w energetyce

Sieci energetyczne są obiektem ataków informatycznych od samego początku ery wojen informacyjnych. Informacje o niektórych atakach przedostały się do opinii publicznej. Najgłośniejszymi przykładami są:

• największy nienuklearny wybuch widziany z kosmosu” o sile 3 kiloton wywołany w wyniku przejęcia kontroli nad komputerami sterującymi zaworami i pompami jednego z rosyjskich rurociągów na Syberii (1982)
• wyłączenie systemu monitorowania bezpieczeństwa w elektrowni jądrowej Davis-Besse (USA) przy użyciu robaka Slammer (1992)
• sabotaż irańskiego programu nuklearnego przy użyciu robaka o nazwie Stuxnet (2010),
• cyberatak na sześć irańskich terminali naftowych, w tym największego na wyspie Chark nad Zatoką Perską (2012), w wyniku którego władze irańskie zmuszone były wstrzymać ich pracę,
• instalacja złośliwego oprogramowania (Dragonfly, BlackEnergy, Sandworm) w systemach informatycznych firm energetycznych w USA i Europie (2014).

W przypadku ataków w 2014 r. obecność złośliwego oprogramowania stwierdzono także w systemach jednego z polskich koncernów energetycznych.

Zobacz także: Polscy OSD po doniesieniach o cyberatakach

Wydarzenia te zmusiły rządy państw na całym świecie do podjęcia zdecydowanych działań profilaktycznych. Najwcześniej, bo już w 2011 r. uczyniła to administracja prezydenta Baracka Obamy. Państwa członkowskie Unii Europejskiej w latach 2011-2012 kolejno przyjmowały własne strategie cyberbezpieczeństwa, a niektóre z nich (Holandia, Wielka Brytania oraz Estonia) w odpowiedzi na szybko zmieniający się charakter zagrożeń cybernetycznych opracowały i przyjęły już drugą wersję takiej strategii. Pośród krytycznych wyzwań dotyczących cyberbezpieczeństwa w tych programach zdefiniowano m.in. następujące zadania:

• zabezpieczenie systemu energetycznego przed cyberatakami,
• opracowanie procedur zapewniających utrzymanie sprawności systemu energetycznego podczas cyberataku oraz odbudowę utraconych podczas ataku funkcjonalności,

a także

• rozwój i utrzymania świadomości zagrożenia oraz istnienia ścisłych wytycznych i standardów cyberbezpieczeństwa energetycznego.

Polskie instytucje powołane do ochrony Cyberprzestrzeni RP wykazały brak świadomości opisanych powyżej wyzwań, co doprowadziło Radę Ministrów do błędnego przeświadczenia, że w realiach początku XXI wieku mamy do czynienia wyłącznie z zagrożeniami ataków hackerskich na systemy i sieci teleinformatyczne administracji państwowej. Całkowicie umknęło uwadze Rady Ministrów realne zagrożenia działań szpiegowsko-dywersyjnych prowadzonych w Cyberprzestrzeni RP oraz groźba sparaliżowania państwa poprzez cyberatak wymierzony w elementy infrastruktury energetycznej. Jednak to nie było największe z zaniechań administracji państwowej.

Jak przez ostatnie 2 lata realizowano Politykę Ochrony Cyberprzestrzeni RP?

W czerwcu 2015 r. Najwyższa Izba Kontroli przedstawiła wyniki zainicjowanej z własnej inicjatywy kontroli pn. „Realizacja przez podmioty państwowe zadań w zakresie ochrony cyberprzestrzeni RP”. Kontrola została podjęta głównie z uwagi na trzy czynniki:

• sygnalizowany przez instytucje zewnętrzne - w tym agendy Unii Europejskiej - drastyczny wzrost cyberzagrożeń,
• zdefiniowanie cyberprzestrzeni jako nowego obszaru działań podmiotów państwowych,
• przekonanie o niskiej świadomości obywateli i urzędników na temat bezpieczeństwa cybernetycznego.

Kontrolą objęte zostały m.in. zagadnienia spójności systemu działań administracji publicznej w zakresie ochrony cyberprzestrzeni RP, czy zostało przeprowadzone zakreślone „Polityką…” szacowanie ryzyk cybernetycznych, jaki jest podział kompetencji pomiędzy poszczególne urzędy i agendy państwa, jakie zostały wdrożone mechanizmy koordynacji.

W opisie stanu faktycznego autorzy Raportu aż 67 razy użyli słowa "brak" w sformułowanych ocenach. Dokładniejsza analiza pozwala wyodrębnić główne przyczyny opisanego Raportem stanu rzeczy. Przyczyny te przedstawiam na wykresie poniżej.

Rys.2 Przyczyny braku realizacji zadań i obowiązków określonych
w "Polityce Ochrony Cyberprzestrzeni RP" wg Raportu NIK.

Na takie ujęcie wyników kontroli – które zostały określone, jako „miażdżące” – spojrzyjmy z perspektywy sektora energetycznego.

Administracja państwowa na dzień sporządzenia Raportu NIK cyt.: „nie podjęła niezbędnych działań, w celu zapewnienia bezpieczeństwa teleinformatycznego” przedsiębiorstw energetycznych. „Działania organów państwa sprowadzały się do doraźnego, ograniczonego reagowania na bieżące wydarzenia oraz biernego oczekiwania na rozwiązania, które zaproponuje Unia Europejska.”. Praktycznie wszystkie urzędy określone w Narodowym Program Ochrony Infrastruktury Krytycznej z 26 marca 2013 r., jako odpowiedzialne za bezpieczeństwo IK pozostawały bierne wobec narastającego cyberzagrożenia sektora energetyki, nie współpracowały ze sobą. Nie wdrożono skutecznych mechanizmów koordynacji działań w tym obszarze, w tym nie prowadzono praktycznie żadnych prac legislacyjnych mających na celu unormowanie zagadnień związanych z bezpieczeństwem teleinformatycznym sektora energetycznego.Wyjątkiem, na który warto zwrócić uwagę jest „Wzorcowa specyfikacja techniczna dla postępowań przetargowych na dostawę infrastruktury licznikowej dla systemów AMI” opracowywana z inicjatywy Prezesa URE we współpracy z operatorami systemów dystrybucyjnych, środowiskiem sprzedawców energii reprezentowanym przez Towarzystwo Obrotu Energią (TOE) oraz środowiskiem dostawców technologii reprezentowanym przez Krajową Izbę Gospodarczą Elektroniki i Telekomunikacji (KIGEiT). W swoim pierwotnym kształcie specyfikacja ta określała wymagania bezpieczeństwa informatycznego, jakie powinny spełniać elementy inteligentnych systemów pomiarowych w energetyce. Ostatecznie zamiast WST Urząd Regulacji Energetyki w maju 2015 r. opublikował "Rekomendowane zapisy specyfikacji istotnych warunków zamówienia opracowane dla postępowań przetargowych na dostawę infrastruktury licznikowej dla systemów AMI".

Według NIK Minister Administracji i Cyfryzacji nie podjął żadnych prób określenia potrzeb finansowych ani zdefiniowania systemu przekazywania środków poszczególnym jednostkom administracji publicznej na finansowanie działań związane z ochroną cyberprzestrzeni RP. Zaniechanie to nie wywołało reakcji Prezydenta RP, Sejmu, Senatu, Rady Ministrów, ani żadnego z szefów służb specjalnych, ani urzędów centralnych wykonujących zadania z zakresu zarządzania kryzysowego. W efekcie w Polsce nie funkcjonuje krajowy system reagowania na incydenty komputerowe, nie utworzono na poziomie krajowym Zespołu CSIRT (ang. Computer Security Incident Response Team) powołanego do koordynacji obsługi incydentów bezpieczeństwa w cyberprzestrzeni kraju, funkcjonującego w trybie 24h/dobę. Trzeba zaznaczyć, że ponieważ obsługa incydentów dotyczących całej cyberprzestrzeni przez jeden zespół nie jest w praktyce możliwa, CSIRT krajowy powinien przekazywać rozwiązywanie konkretnych przypadków do właściwych CSIRT-ów sektorowych. Tymczasem CSIRT energetyczny także nie powstał, a tym samym administracja państwowa nie tylko nie dysponuje zespołem mogącym zarządzać sytuacją kryzysową powstałą w wyniku ataku na system energetyczny, ale nawet nie dysponuje wiedzą na temat skali i rodzaju incydentów bezpieczeństwa w systemach teleinformatycznych sektora energetycznego.

Minister Gospodarki, ani żaden z innych powołanych podmiotów nie organizował również zapisanych w "Polityce.." programów szkoleniowych, ani ćwiczeń dotyczących bezpieczeństwa teleinformatycznego sektora energetycznego. Jedyną inicjatywę w tym zakresie wykazały wspólnie Fundacja Instytut Mikromakro, Fundacja Bezpieczna Cyberprzestrzeń oraz magazyn Computerworld. W zorganizowanych przez te podmioty we wrześniu 2012 r. ćwiczeniach Cyber-EXE Polska udział wzięło około 80 osób, reprezentujących: Rządowe Centrum Bezpieczeństwa, Ministerstwo Obrony Narodowej, Komendę Główną Policji, Politechnikę Wrocławską, Wojskową Akademię Techniczną, Gaz-System SA, RWE Polska SA, CERT Orange Polska oraz PSE-Operator SA. Scenariusz ćwiczeń przewidywał atak i spowodowanie awarii w systemach przesyłu gazu ziemnego oraz wyłączenie dostaw energii elektrycznej w dużej części Wrocławia. Rolę atakujących odegrał zespół z Wojskowej Akademii Technicznej wspieranych przez pracowników i studentów Politechniki Wrocławskiej. Celem ćwiczeń było sprawdzenie, jak uczestniczące w nich firmy i instytucje radzą sobie z rozpoznaniem zagrożenia, jak przeciwdziałają atakom, czy stosowane w nich procedury okażą się wystarczające w przypadku uderzenia cyberterrorystów. Ćwiczenia dostarczyły informacji o tym, jak hakerzy, wykorzystując istnienie publicznie znanych podatności, przeprowadzą atak, jakie mogą być jego konsekwencje i, przede wszystkim, jak zachowają się zaatakowane organizacje, a więc na ile sprawdzą się ich procedury zapisane w planach obrony. Raport z ćwiczeń został przekazany wszystkim instytucjom biorącym udział w ćwiczeniach oraz Biuru Bezpieczeństwa Narodowego.

Pomimo powszechnie pozytywnego odbioru tej formy podnoszenia poziomu wiedzy, sprawdzania poziomu bezpieczeństwa teleinformatycznego sektora energetycznego oraz budowania zasad współpracy zainteresowanych podmiotów, ćwiczenia te nie zostały dotąd powtórzone, a płynące z nich wnioski nie zostały wykorzystane. Zaniechania te mogą okazać się brzemienne w skutki praktycznie w każdym momencie.

Podsumowanie

Analiza raportu NIK pozwala na sformułowanie wniosków o charakterze systemowym, które w całości odnoszą się do bezpieczeństwa energetycznego państwa. Za najważniejsze należy uznać:

• doprowadzenie w trybie pilnym do powstania krajowego systemu ochrony cyberprzestrzeni RP, wyposażonego w odpowiednie zasoby (finansowe, osobowe i techniczne) w celu efektywnej realizacji zadań wynikających z krajowych aktów prawnych, dyrektyw Unii Europejskiej oraz obowiązków wynikającej z uczestnictwa w NATO;
• zapewnienie, aby utworzony system uwzględniał i maksymalnie wykorzystywał dotychczasowe doświadczenia instytucji takich, jak CERT Polska, czy CERT.GOV.PL, potencjał innych podmiotów działających w dziedzinie cyberbezpieczeństwa, jak również rozwiązania stosowane w innych krajach;
• wyznaczenie w trybie pilnym ogólnokrajowego organu koordynującego działania w zakresie ochrony cyberprzestrzeni, będącego w początkowym etapie CSIRT-em narodowym; częścią składową CSIRT-u narodowego powinien być CSIRT sektora energetycznego;
• ustanowienie dla kadry kierowniczej administracji państwowej minimalnych wymogów wiedzy nt. zagrożeń oraz technologii zabezpieczających infrastrukturę krytyczną przed cyberatakami, cyberbezpieczeństwa, procesów analiz ryzyk informatycznych oraz schematów raportowania o istotnych incydentach w celu zapewnienia skoordynowanego podejścia do cyberbezpieczeństwa;
• doprowadzenie do uwspólnienia funkcjonujących dokumentów o charakterze strategicznym obejmujących zagadnienia bezpieczeństwa cyberprzestrzeni, opracowanie jednego dokumentu o charakterze strategicznym: strategii ochrony cyberprzestrzeni RP.

   

Autor: mgr inż. Marek Wąsowski, Politechnika Wrocławska, Wydział Elektryczny

mgr inż. Marek Wąsowski - Dyrektor Biura Konsorcjum Smart Power Grids – Polska realizującego projekty w zakresie inteligentnych sieci elektroenergetycznych (Smart Grids). W latach 1996-2005 pracował na stanowiskach kierowniczych w Polkomtel SA, Netia SA, UPC, Onet.pl. Od 2007 r. związany z rynkiem produktów bezpieczeństwa, od 2011 r. na Wydziale Elektrycznym Politechniki Wrocławskiej zajmuje się cyberbezpieczeństwem sieci energetycznych. Autor szeregu publikacji dotyczących Smart Grids i Smart Metering. Absolwent Politechniki Śląskiej, studia podyplomowe ukończył na Uniwersytecie Śląskim.

Zobacz także:

• NIK o bezpieczeństwie w cyberprzestrzeni
• Enel nagrodzony przez ONZ za projekt cyberbezpieczeństwa inteligentnej sieci
• Memorandum PIIT dotyczące bezpieczeństwa infrastruktury krytycznej
• UWAGA! Cyberataki w energetyce
• Projekt dyrektywy o atakach cybernetycznych na energetykę
• Wzrost zagrożeń dla bezpieczeństwa IT - raport