Czy jesteśmy gotowi na ataki cybernetyczne?

Sławomir Dolecki

O znaczeniu cyberbezpieczeństwa i braku świadomości zagrożeń rozmawiamy z Izabelą Albrycht.

Do niedawna cyberbezpieczeństwo było domeną sektora bankowego, wojska i przedsiębiorstw IT. Dzisiaj problem zaczyna dotyczyć wszystkich?

Zagrożenia cybernetyczne dotyczą wszystkich branż gospodarki we wszystkich krajach na świecie. To zagrożenie globalne i wyzwanie dla wielkich korporacji, ale i małych oraz średnich przedsiębiorstw, ponieważ zdecydowana większość firm jest podłączona do internetu – do sieci przyłączony jest nie tylko sprzęt biurowy, ale także maszyny. Jednym z największych wyzwań jest bezpieczeństwo sektora energetycznego, zarówno tego konwencjonalnego, OZE oraz – co bardzo istotne – elektrowni atomowych. O ile kiedyś, na początku ery cyfrowej, ataki były przeprowadzane przez indywidualnych hakerów, tak teraz mówi się o zagrożeniach ze strony państw, które wykorzystują do tego własne zasoby militarne lub zlecają ataki wyspecjalizowanym agencjom hakerskim. Przykłady takich ataków mieliśmy w Stanach Zjednoczonych, gdzie FBI oraz Departament Bezpieczeństwa Krajowego USA potwierdził, że od marca 2016 roku Rosja przeprowadziła wiele cyberataków o różnej skali na amerykańską infrastrukturę krytyczną, obejmującą sektor energetyczny, nuklearny, lotniczy i przemysł.

Po co przeprowadza się cyberataki na infrastrukturę krytyczną? Kiedyś haker chciał coś ukraść lub udowodnić swoje umiejętności, a dzisiaj?

Cyberprzestrzeń jest lustrzanym odbiciem relacji polityczno-gospodarczych na świecie, pojawiają się więc powody polityczne i gospodarcze. Różnego rodzaju ataki cybernetyczne mogą być jednym z narzędzi wykorzystywanych we współczesnych wojnach i w tym zakresie także trwa wyścig zbrojeń. Coraz więcej krajów chce móc się skutecznie bronić przed skutkami ewentualnego ataku cybernetycznego, ale także rozwijać zdolności ofensywne w cyberprzestrzeni. To jest temat, który pojawił się ostatnio w mediach przy okazji próby zabójstwa byłego oficera GRU, który współpracował z brytyjskim wywiadem.

Czy mały i średni biznes, dajmy na to fabryka butów, również może znaleźć się w kręgu zainteresowania tego typu przestępców?

Wszędzie tam, gdzie wykorzystuje się systemy podłączone do sieci, element cyberbezpieczeństwa jest bardzo ważny. Każda z fabryk pracuje na przykład na danych osobowych, a one także są łakomym kąskiem dla hakerów, ponieważ mają swoją konkretną wartość na czarnym rynku. Dlatego też nie ma granicy, która rozdziela firmy bezpieczne od narażonych na ataki.

Dyskusja o cyberbezpieczeństwe wyszła poza krąg ekspertów i stała się dyskusją publiczną. Czy ludzie mają już wystarczającą wiedzę, czy jest to jedynie pobieżne traktowanie tematu?

Cyberbezpieczeństwa uczymy się codziennie. Kolejne zagrożenia i ataki są dla nas zawsze zaskoczeniem, ponieważ są wypadkową możliwości, wiedzy i nowoczesnej technologii, więc ważne jest mówienie o tych zagadnieniach i edukowanie kadry menedżerskiej. Powinna to być edukacja cykliczna, gdyż całe otoczenie – regulacyjne, jak i cyfrowe – nieustannie się zmienia. Istotna jest także edukacja pracowników wszystkich szczebli, ponieważ to człowiek jest najsłabszym ogniwem w całym systemie. Według raportu Cyber Security Intelligence Index firmy IBM, aż 95 proc. incydentów jest skutkiem błędu ludzkiego. Dzisiaj każdy musi mieć świadomość, że może paść ofiarą bardzo wyrafinowanego ataku. Z pozoru zwykły e-mail może być elementem phishingu. W ten właśnie sposób wykradane są informacje dotyczące firmy, tajemnice przedsiębiorstwa.

Jaka jest skala tego typu ataków?

Jeżeli chodzi o straty dla PKB w skali globalnej, to szacuje się, że wynoszą one ok. 600 mld dolarów rocznie. Wielka Brytania pada ofiarą 500 poważnych cyberataków dziennie, 92 proc. z nich dotyczy internetu rzeczy, w ramach którego bardzo dużo sprzętu nie spełnia warunków bezpieczeństwa. Według Ponemon Institute aż 80 proc. urządzeń podłączonych do sieci nie jest w ogóle testowanych pod kątem bezpieczeństwa. W sektorze energetycznym liczba cyberataków wzrasta rok do roku sześciokrotnie, dzisiaj trzecia część cyberprzestępczości dotyka właśnie sektora energetycznego. Sektor ropy i gazu – również bardzo podatny na ataki – traci rocznie 12,8 mln dolarów. Na sektor lotniczy skierowanych jest do tysiąca poważnych ataków miesięcznie. To jest ogromna skala, która wymaga nakładów na zabezpieczenia, ale wciąż wydaje się na nie zbyt mało.

Czy dla przeciętnego człowieka jest to realny problem, czy to tylko zmartwienie biznesu i gospodarki?

To jest problem, który dotyczy wszystkich, zarówno pracowników firm, jak i konsumentów. Na przykład kradzież tożsamości, danych osobowych, środków finansowych z rachunku bankowego. Dzisiaj powszechnie stosuje się karty płatnicze, na których z jednej strony jest numer karty z datą ważności, a z drugiej – unikatowy kod. Jeśli te dane dostaną się w niepowołane ręce, to dzięki nim można dokonać wielu transakcji internetowych, ponieważ nie wszystkie banki stosują dodatkowe zabezpieczenia autoryzacyjne.

Świadomość zagrożeń wynika między innymi z edukacji. Czy szkoły wyższe przygotowujące przyszłych menedżerów poświęcają wystarczająco dużo czasu na tego typu zagrożenia, na które narażone są firmy?

Jest bardzo mało takich szkół. Potrzebujemy zarówno więcej specjalistów od transformacji cyfrowej, pracowników, którzy będą posiadali podstawową wiedzę, jak też menedżerów, prawników i politologów, którzy będą świadomi zagrożeń. Do tego potrzebna jest jednak pewna strategiczna decyzja państwa. Instytut Kościuszki stoi na stanowisku, że powinien zostać uruchomiony rządowy program edukacji budujący kadry dla bezpiecznej transformacji cyfrowej kraju. Według przewidywań w 2020 roku ma brakować ok. 900 tys. specjalistów IT, a już dzisiaj w Polsce brakuje ich ok. 50 tys. Po stronie kadry zarządzającej ta luka jest jeszcze większa.

Jak więc wpływać na świadomość menedżerów, skoro system edukacji nie jest wystarczająco rozwinięty?

Na rosnącą świadomość mają wpływ na przykład nowe wymagania prawne. W maju tego roku minął  termin wdrożenia unijnego rozporządzenia dotyczącego ochrony danych osobowych (tzw. RODO), a także dyrektywy NIS w sprawie środków na rzecz wysokiego, wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych. Akty te nakładają konkretne obowiązki i ewentualne sankcje na przedsiębiorstwa, ze szczególnym uwzględnieniem operatorów usług kluczowych, czyli infrastruktury krytycznej. Obecnie jest także procedowana w UE propozycja wprowadzenia certyfikacji cyberbezpieczeństwa, która będzie kolejnym zestawem wymogów i standardów. Z drugiej strony wynika to także z praktyki biznesowej, związanej z szeroko rozumianym zarządzaniem ryzykiem w firmie.

„Przemysł 4.0” jako pewna filozofia rozwoju gospodarki, jak i internet rzeczy, który z kolei obejmuje także konsumentów, to tendencje, których nie da się zatrzymać. Co będzie stanowiło w najbliższych latach największe zagrożenie dla tego rozwoju?

Na pewno zagrożenia cybernetyczne oraz skutki ewentualnych ataków. Szacuje się, że w 2020 roku będzie 26 mld urządzeń podłączonych do internetu rzeczy. Stale będzie z nich korzystać 4 mld ludzi. W 2012 roku do sieci było podłączonych ok. 2 proc. samochodów. Szacuje się, że za rok będzie to 90 proc. Wzrost liczby sprzętu podłączonego do internetu jest zbyt gwałtowny w stosunku do podejmowanych działań zaradczych. Z drugiej strony internet rzeczy oraz zakłady funkcjonujące w ramach „przemysłu 4.0” potrzebują szybszych połączeń internetowych. W związku z tym budowa sieci piątej generacji jest wielkim wyzwaniem. Unia Europejska wskazuje tu rok 2020. Polska musi przyspieszyć ten proces, bo jesteśmy na etapie koncepcji rozwoju sieci 5G, a mamy już rok 2018. Bez wątpienia chcemy korzystać z nowych technologii, jednak nie możemy wprowadzać kolejnych wymagających elementów do systemu, jeśli sieć nie jest wystarczająco szybka, a przede wszystkim odpowiednio zabezpieczona.

Z raportu T-Mobile na temat rynku cyberbezpieczeństwa w Polsce wynika, że większość respondentów nie planuje podniesienia wydatków na bezpieczeństwo – dynamika zmian na poziomie 6-7 proc. wskazuje raczej na wzrost inflacyjny niż inwestycje w nowe rozwiązania. Stagnacja w obszarze zabezpieczeń jest niepokojąca i wynika z braku świadomości zagrożeń?

Jedną z głównych rekomendacji konferencji CYBERSEC 2017 było zwiększenie inwestycji w cyberbezpieczeństwo. Skala zagrożeń powinna wymusić bardziej aktywne działania po stronie menedżerów, chociażby w zakresie edukacji użytkowników systemów. Muszą pojawić się większe inwestycje w bezpieczny sprzęt oraz oprogramowanie, trzeba tworzyć procedury i dodatkowe zabezpieczenia. Uważam, że środki na cyberbezpieczeństwo powinny zostać zwiększone i dotyczy to nie tylko firm, ale także instytucji publicznych. To jest kwestia absolutnie kluczowa, jeśli chcemy, aby transformacja cyfrowa była pasmem sukcesów, a nie porażek.

Z edukacją jest słabo, ze świadomością menedżerów też niezbyt rewelacyjnie, jednoznacznej i dobrej strategii nie ma, prawo nie nadąża za zagrożeniami… Czy w związku z tym powinniśmy się bać przyszłości?

Niestety, nie jestem w tej kwestii optymistką, ale jeśli wszystkie te elementy dostrzeżemy i zrozumiemy, to jest szansa na zmianę negatywnego trendu. Musimy zacząć świadomie kształtować cyberprzestrzeń, rozwiązywać te kwestie w sensie strategicznym i operacyjnym, ale zacząć też aktywniej rozmawiać o pewnych normach zachowań w cyberprzestrzeni, starać się narzucić państwom, które wykazują wrogie zamiary w świecie cyfrowym, stosowanie norm międzynarodowych.


Izabela-AlbrychtIzabela Albrycht Prezes Instytutu Kościuszki od 2010 roku. Od 2014 roku przewodnicząca Komitetu Organizacyjnego Europejskiego i Polskiego Forum Cyberbezpieczeństwa – CYBERSEC. Współautorka raportów, publikacji i analiz koncentrujących się na zagadnieniach związanych z politykami unijnymi i stosunkami międzynarodowymi. W kręgu jej zainteresowań badawczych znajdują się: system instytucjonalny UE, polityka energetyczna, strategiczne wyzwania związane z transformacją cyfrową i budową systemu cyberbezpieczeństwa. W 2017 roku znalazła się na prestiżowej liście New Europe 100 Challengers 2017 opracowanej przez „Financial Times”, „Res Publica”, Google i International Visegrad Fund.

Instytut Kościuszki Pozarządowy ośrodek naukowo-badawczy o charakterze non profit założony w 2000 roku. Jego misją jest działanie na rzecz społeczno-gospodarczego rozwoju i bezpieczeństwa Polski jako aktywnego członka Unii Europejskiej oraz NATO. Instytut specjalizuje się w tworzeniu strategicznych rekomendacji i kierunków rozwoju kluczowych polityk publicznych, stanowiących merytoryczne wsparcie dla polskich i europejskich decydentów politycznych. Instytut Kościuszki realizuje wiele krajowych i międzynarodowych projektów poświęconych tematyce bezpieczeństwa, w tym bezpieczeństwa energetycznego, gospodarczego oraz cyberbezpieczeństwa. Jest pomysłodawcą i głównym organizatorem CYBERSEC. To jedna z pięciu – według rankingu Concise Courses – najważniejszych konferencji tego typu w Europie.

Rozmawiał: Sławomir Dolecki

O autorze

Sławomir Dolecki

Jestem niezależnym dziennikarzem, reporterem i redaktorem. Specjalizuję się w tematyce związanej z energetyką, infrastrukturą krytyczną i ochroną środowiska. Z firmą ABB jestem związany od roku 1998, niemal od samego początku współtworzę kwartalnik dla klientów „Dzisiaj” i magazyn dla pracowników „Flesz”.
Related stories
Skomentuj ten artykuł
Wskazówki dla społeczności