Kto wygra wojnę w cyberprzestrzeni? PZU namawia do wspólnej obrony

Dyskutowali o tym uczestnicy debaty "Cyberbezpieczeństwo przemysłu i infrastruktury krytycznej - czy jesteśmy przygotowani?", zorganizowanej przez PZU przy okazji Forum Ekonomicznego w Krynicy Zdroju. Prezes PZU Paweł Surówka zaproponował, żeby polskie firmy stworzyły wspólny system wymiany informacji i wczesnego ostrzegania przez cyberatakami.

- Cyberwojna nigdy nie została wypowiedziana, ale trwa - mówił prezes Surówka. To inna wojna niż ją sobie do tej pory wyobrażaliśmy. Naprzeciwko siebie nie stoją armie. Zamiast nich jest mnóstwo rozmaitych aktorów - państwa, wywiady, terroryści, organizacje przestępcze, mafie i samotni hakerzy piszący kody dla dziesiątek rodzajów wirusów.  

Panika i utrata zaufania - to jeden z najgorszych skutków cyberwojny. Jesienią 1938 roku amerykańska stacja radiowa CBS nadała słuchowisko o ataku Marsjan na Ziemię. Scenariusz napisał Orson Welles według swoje powieści futurologicznej "Wojna Światów". Opowieść była tak sugestywna, że mieszkańcy New Jersey i Nowego Jorku wpadli w panikę. Efekt? Kilka zgonów w wyniku zawału serca, załamania nerwowe. I straty, które oszacowano na kilkaset tysięcy dolarów (dziś byłyby to miliony dolarów). 

To mogłoby się powtórzyć i to na bez porównania większą skalę, gdyby cyberprzestępcy skutecznie zaatakowali infrastrukturę krytyczną kraju. Co to takiego? Wszystko, bez czego społeczeństwo i gospodarka nie mogą funkcjonować. A więc zaopatrzenie w energię, ogrzewanie, gaz i inne paliwa, telekomunikacja, wodociągi, drogi, koleje, lotniska, porty morskie, produkcja i dystrybucja żywności, szpitale, banki oraz oczywiście będące w stanie gotowości wojsko i policja.

Infrastruktura krytyczna składa się z wielu obszarów, a paraliż jednego z nich mógłby doprowadzić do nieobliczalnych skutków. A tak już bywało. W maju 2017 roku wirus WannaCry zaatakował brytyjskie szpitale, unieruchamiając ich systemy informatyczne. Nie były w stanie przyjmować i diagnozować chorych. Rok później malware Petya unieruchomił na dłuższy czas m.in. sieci supermarketów na Ukrainie, a także kilka firm przemysłowych w Polsce, choć u nas akurat za bardzo się nie rozprzestrzeniał. Petya zostawił swoje ślady - i szkody - w 64 krajach.

- Gdy mówimy o infrastrukturze krytycznej, to efekty ataku mogą być dramatyczne. Mogą realnie zatrzymać gospodarkę - przestrzegał w czasie debaty prezes PZU Życie Roman Pałac. - Dla każdego operatora to czarny sen - dodał prezes PERN Igor Wasilewski. Przedsiębiorstwo to odpowiada za transport m.in. ropy naftowej w Polsce i zalicza się do "infrastruktury krytycznej".

Minister cyfryzacji Marek Zagórski wskazywał, że Polska ma już instytucjonalne podstawy systemu cyberbezpieczeństwa. Ponad rok temu została uchwalona ustawa, która powołała na poziomie krajowym trzy zespoły reagowania. Naukowa i Akademicka Sieć Komputerowa (NASK) tworzy zespół reagowania na zagrożenie bezpieczeństwa "cywilnej" sieci komputerowej. Zostały też powołane "sektorowe" zespoły cyberbezpieczeństwa, mające chronić instytucje zaliczane do infrastruktury krytycznej. - Zostało ustalone, jak to ma być zorganizowane, kto ma tym zarządzać - mówił minister Zagórski.

Ale zagrożenia dla społeczeństwa i gospodarki nie sprowadzają się tylko do możliwości skutecznego ataku na "infrastrukturę krytyczną" i np. paraliżu sieci wodociągowej. Każda, a zwłaszcza duża firma przemysłowa, używa Internetu do komunikacji ze światem, a równocześnie systemów informatycznych do zarządzania swoją produkcją, logistyką, dostawami, sprzedażą. Jeszcze kilkanaście lat temu banki miały swoje wewnętrzne systemy, które były niemal całkowicie odporne na zagrożenia, bo odizolowane od zewnętrznego świata. Ale bankowość internetowa wszystko zmieniła. 

- Petya zaatakował największe firmy na świecie. Udostępniając dojście do naszych sieci, możemy dać dostęp do całej naszej infrastruktury - ostrzegał prezes NASK Jarosław Tyc. W ten sposób cyberprzestępcy doprowadzili kilka lat temu do tego, że jedna z niemieckich hut musiała wygasić wielki piec.

Dostali się najpierw do zewnętrznej sieci handlowej, stosując phishing, czyli najprostszą metodę polegającą na tym, że któryś z pracowników otworzył wiadomość e-mail i kliknął w przysłany w niej "zarażony" wirusem link.  Z zewnętrznej sieci, krok po kroku, przedostali się do sieci wewnętrznej, zarządzającej produkcją. Dzięki temu uszkodzili elementy kontrolujące proces wytopu stali, a to z kolei spowodowało konieczność awaryjnego wygaszenia jednego z wielkich pieców. Straty były ogromne.

Takie ataki mogą się już zdarzyć wszędzie. Czy polskie firmy, które decydują się na automatyzację produkcji, a więc zarządzanie i sterowanie nią przez komputery, są gotowe na zagrożenia? Najbardziej narażone na niebezpieczeństwa są firmy globalne, ale w kraju ok. 70 proc. przedsiębiorstw przyznaje, że w ostatnim półroczu wystąpił u nich choćby drobny "cyberincydent".

- Polski biznes ma świadomość cyberzagrożeń. Większość firm przyznałaby, że traktują je bardzo poważnie. Ale to, że mamy świadomość, nie znaczy jeszcze, że coś robimy. Dziedzina cyberbezpieczeństwa jest niedoinwestowana w polskich spółkach - zwracał uwagę prezes PZU Paweł Surówka.

- Ataki w Polsce są na razie małe. Ale niektóre firmy decydują się na wykonanie audytu bezpieczeństwa (ma wykazać, gdzie w danej firmie znajdują się najsłabsze i najbardziej podatne na atak punkty). Duże firmy chcą już zabezpieczać nie tylko IT, ale i infrastrukturę przemysłową - dodał prezes NASK Jarosław Tyc.

Barierą są koszty. Bezpieczeństwo kosztuje. Cyberbezpiecześntwo powinno kosztować przynajmniej tyle samo. - Skoro państwo wydaje 2 proc. PKB na wojsko, firmy powinny wydawać 2 proc. swoich przychodów na cyberwojsko - postulował Igor Wasilewski z PERN.

Prezes NASK dodał, że zespoły odpowiadające za cyberbezpieczeństwo potrzebują przede wszystkim ludzi i kompetencji. - Musimy ustanowić system podnoszenia kompetencji od przedszkola. Potrzebny jest europejski program podnoszenia kompetencji i świadomości w tym zakresie, także świadomości konsumentów - zgodził się minister Zagórski.

Skoro przed cyberatakiem trudno się ustrzec, to czy można się od niego ubezpieczyć? - Już ubezpieczamy ryzyka związane z cyberbezpieczeństwem. Ale tych problemów nie da się rozwiązać samymi ubezpieczeniami - powiedział wiceprezes PZU Życie Roman Pałac.

- Trzeba zainwestować w obronę cybernetyczną - postulował Paweł Surówka. Dlatego PZU namawia firmy do budowania odporności na cyberzagrożenia i wypracowania podstawowych standardów ochrony. Według prezesa PZU koniecznie jest stworzenie systemu szybkiej wymiany informacji o cyberatakach między firmami. W ten sposób łatwiej będzie się przed nimi chronić i uniknąć przenoszenia infekcji.

Jacek Ramotowski