Ostatnie dwa lata postawiły bezpieczeństwo infrastruktury krytycznej (IK) na podium dyskusji publicznej. Mówiąc o IK w uproszczeniu mamy na myśli całość zasobów i systemów, stanowiących podstawę funkcjonowania społeczeństw i gospodarek. Dotychczas do tej kategorii zaliczano poszczególne branże: energetykę,  transport, finanse, telekomunikację, wodociągi, szpitale, placówki ochrony zdrowia, itp. Gospodarczy efekt motyla i wiele przykładów konsekwencji przerwanych łańcuchów dostaw, rosnąca  złożoność systemów społeczno-gospodarczych, zdecydowały o wprowadzeniu nowych regulacji, które zmieniają postrzeganie IK. UE wyszła z założenia, że w krytycznych dla społeczeństwa obszarach ochronie podlegać powinien cały system wraz z jego otoczeniem. Aby zapewnić bezpieczeństwo IK, konieczne jest stałe dostosowywanie do zagrożeń i inwestowanie w środki ochronne oraz współpracę międzysektorową. Nowe regulacje wymuszają, aby rozpoczynać od identyfikacji współzależności między systemami, a dopiero później przeprowadzać analizę ryzyka dla konkretnego podmiotu. Podkreślić należy, iż oprócz tradycyjnych ryzyk, takich jak awarie czy katastrofy naturalne na czoło peletonu zagrożeń wysuwają się ataki cybernetyczne.

Cyberodporna Europa, system systemów i regulacje 3.0

Dyrektywa NIS2 koncentruje się na poprawie bezpieczeństwa sieci i systemów informatycznych i obejmuje wymogi dla firm w zakresie wdrażania środków w celu zapobiegania, wykrywania i reagowania na incydenty bezpieczeństwa. Incydenty te muszą być również zgłaszane właściwym organom krajowym. Aby zapewnić zgodność z dyrektywą NIS2, organizacje muszą implementować skuteczne procesy identyfikacji i zarządzania ryzykiem, a także wdrożyć plan reagowania na incydenty. Zgodność z dyrektywą NIS2 jest niezbędna do zapewnienia ochrony klientów i pracowników przed cyberatakami. Aby zareagować na rosnące zagrożenia dyrektywa obejmuje również średnie i duże podmioty z większej liczby sektorów w oparciu o ich krytyczne znaczenie. Liczba obiektów IK z samej tylko Polski wzrośnie z około 580 do kilku tysięcy. NIS2 zaostrza wymogi bezpieczeństwa nałożone na przedsiębiorstwa w zakresie bezpieczeństwa łańcuchów dostaw i relacji z dostawcami, usprawnia obowiązki sprawozdawcze, wprowadza bardziej rygorystyczne środki nadzorcze dla organów krajowych, surowsze wymogi w zakresie egzekwowania prawa i ma na celu harmonizację systemów sankcji w państwach członkowskich. Zapisy dokumentu mają zwiększyć wymianę informacji i współpracę w zakresie zarządzania kryzysami cybernetycznymi na szczeblu krajowym i unijnym. Biorąc pod uwagę rzeczywistość w jakiej funkcjonujemy wydaje się, iż kierunek jaki przyjęła UE jest w pełni zasadny.

Istotne trendy

Liczba i intensywność ataków hakerskich nasiliła się wobec państw, które uczestniczą w organizacji pomocy humanitarnej i wojskowej dla Ukrainy. Uwagę skupiają ataki typu killware, które mogą zaburzyć funkcjonowanie państw i bezpośrednio wpływać na bezpieczeństwo ludzi. Tylko z ostatnich miesięcy możemy wymienić, takie zdarzenie jak cyberatak na systemy IT włoskiego państwowego operatora kolejowego – Ferrovie dello Stato Italiane (FS), którego paraliż uziemił pociągi czeskiego operatora Metrans na granicach Austrii i Słowenii. Ogromne konsekwencje miał udany cyberatak na jeden z największych rurociągów w USA - Colonial Pipeline, którego przyczyną był atak ransomware. Oprócz zawirowań dla branży lotniczej czy logistycznej, ceny paliwa w niektórych stanach wzrosły o 8%, a znacząca liczba stacji paliw musiała na kilka dni przerwać świadczenie usług. Finalnie organizacja zapłaciła okup hakerom. Cyberprzestępcy zhakowali systemy zdalnego sterowania obsługujące około 2 tysięcy turbin niemieckiej firmy Deutsche Windtechnik specjalizującej się w konserwacji turbin wiatrowych. Nie działały one przez dzień po ataku. Z kolei Nordex SE, firma zajmująca się projektowaniem, sprzedażą i produkcją turbin wiatrowych poinformowała, iż 31 marca wykryła cyberatak, który zmusił ich do zamknięcia systemów informatycznych. Przykłady zdarzeń możemy niestety tylko mnożyć, a skala implikacji ataków cybernetycznych jest niepokojąca.

Plan, głupcze!

Ta parafraza hasła Billa Clintona ze zwycięskiej kampanii wyborczej z 1992r. celnie podsumowuje konieczność prac nad właściwym zabezpieczeniem organizacji. Mapa ryzyk jest niezwykle bogata i nieoczywista. Ostatnie wydarzenia w Polsce sugerują konieczność uwzględnienia zarówno cyberataków, zagrożeń o charakterze naturalnym, awarii czy sabotażu jak i działań dywersyjnych. Zrządzający IK muszą brać pod uwagę i przyjąć plan działania na wypadek incydentów, jakie jeszcze kilka lat temu uznawalibyśmy za wysoce nieprawdopodobne. Przywołać tutaj można choćby wybuch gazociągu Nord Stream 2  czy instalację ukrytych kamer rejestrujących obraz na ważnych węzłach kolejowych i transmitujące go do sieci. Agenci zatrzymali sześciu członków siatki, która działała na rzecz Rosji. Kamery miały być zamontowane m.in. w pobliżu lotniska w Jasionce, przez które transportowana jest pomoc dla Ukrainy.

Morze Bałtyckie charakteryzuje się znacznym zagęszczeniem infrastruktury strategicznej i energetycznej. Powstanie w nieodległej przyszłości morskich farm wiatrowych w Polsce, które mogą odpowiadać w 2035 r. za generację nawet 1/5 zapotrzebowania krajowego na energię elektryczną powoduje, że obiekty te szczególnie narażone będą na ataki zarówno terrorystyczne jak i cybernetyczne. Warto odnotować, iż ataki na IK są doskonałym narzędziem z uwagi na brak regulacji prawnych, które uniemożliwiają kinetyczne ataki odwetowe. Podejrzenie, że jakaś organizacja „sympatyzuje” z jakimś rządem, nie daje pewności, że działa na jego zlecenie.

Należy podkreślić, iż proces zwiększania cyberodporności powinien być ciągły, biorąc pod uwagę rzeczywisty krajobraz cyberzagrożeń. W przypadku MEW nie należy lekceważyć zagrożeń związanych z tradycyjnymi ryzykami - przeniesienie ładunku wybuchowego w rejon turbiny wiatrowej lub kabli podmorskich jest prawdopodobnym scenariuszem. Ataki mogą zostać również przeprowadzone za pomocą dronów czy jednostek pływających. Należy rozważyć każdy scenariusz potencjalnego incydentu oraz opracować indywidualny plan reakcji na każdy z nich. Organizacje muszą przewidywać możliwe wektory ataków i podejmować środki bezpieczeństwa w celu ochrony swoich zasobów. Znajomość ryzyka i zagrożeń to pierwszy krok do skutecznej obrony.

Przezorny zawsze ubezpieczony... Ale czy na pewno?

Cyberbezpieczeństwo IK to trudne wyzwanie w dzisiejszym świecie, gdzie coraz więcej systemów i urządzeń jest zintegrowanych. Wymaga podejmowania stałych inwestycji w rozwiązania systemowe, szkolenia personelu, monitorowania i reagowania na pojawiające się zagrożenia. Co istotne, w dobie zagrożeń hybrydowych ważnym jest holistyczne podejście do budowania kultury bezpieczeństwa cybernetycznego. Podejmowane działania nierozerwalnie wiążą się z potrzebą mitygacji ryzyka oraz częściowego transferu na ubezpieczyciela. Oprócz tradycyjnych polis chroniących majątek od wszystkich ryzyk, czy polis ubezpieczenia ryzyka terroryzmu i sabotażu, istotnym jest rozważenie zawarcia polisy cyber. Należy pamiętać, iż Ubezpieczyciel zanim przedstawi ofertę bardzo szczegółowo bada przygotowanie i odporność organizacji na incydenty. Rola brokera w tym procesie jest niezwykle istotna. Ubezpieczanie IK od skutków ataków cybernetycznych jest jednym z elementów zarządzania ryzykiem. Pozwala na pokrycie kosztów, m.in. własnych - związanych z koniecznością przywrócenia systemów do pracy, utraty zysku czy nawet zapłaty okupu oraz kosztów związanych z odpowiedzialnością cywilną wobec osób trzecich z tytułu naruszenia prywatności czy bezpieczeństwa. Niezwykle istotnym elementem polisy jest dostęp do zespołu ekspertów i specjalistów reagowania na incydenty, który pomoże dotrzeć do sedna ataku i wrócić do trybu online. Niestety z uwagi na coraz częstsze rozległe incydenty cybernetyczne a także coraz bardziej wyrafinowane ataki celowane oraz dynamiczny wzrost kwot wypłacanych odszkodowań - ubezpieczenie od cyberataku staje się trudniejsze do uzyskania. Z pewnością firmy i instytucje, które nie podejmą teraz działań zarówno poprawiających jakość ryzyka jak i zmierzających do pozyskania ochrony ubezpieczeniowej, w przyszłości będą miały jeszcze większy problem z uzyskaniem ochrony ubezpieczeniowej.

Mariola Radłowska

Dyrektor Działu Klienta Kluczowego
Attis Broker Sp. z o.o.

Branże - Odnawialne Źródła Energii - Attis Broker