Wśród menedżerów z branży energetycznej duże zainteresowanie wzbudziła wydana niedawno pod patronatem portalu WysokieNapiecie.pl książka „Blackout”, która opowiada o masowych problemach z dostawami energii w Europie na skutek ataku hakerskiego. Pisaliśmy o niej tutaj: (Nie)bezpieczne systemy energetyczne. Książka należy do gatunku science-fiction, ale problemy z bezpieczeństwem infrastruktury krytycznej fikcją już niestety nie są.
Cyberataki wymierzone w przedsiębiorstwa przemysłowe nie tylko nie są niczym nowym, ale też zyskują na sile i stają się coraz bardziej wyrafinowane. Od 2000 roku mieliśmy do czynienia mieliśmy do czynienia z kilkoma takimi przypadkami. W 2003 r. dokonano ataku na należącą do First Energy elektrownię Davis-Besse. W 2010 r. zainfekowano system informatyczny elektrowni atomowej Stuxnet w Iranie. Tak zwany robak (bug) dokonał nie tylko zniszczeń w siłowni, ale też rozprzestrzenił się po świecie i zainfekował oprogramowanie w wielu innych elektrowniach. Nie ominęło to również Polski.
Energetyka ze względu na strategiczne znaczenie dla bezpieczeństwa państwa staje się jednym z kluczowych celów cyberprzestępców. Uwaga hakerów uderzających w firmy przemysłowe skupia się m.in. na systemach takich jak stosowane w energetyce SCADA (supervisory control and data acquisition) czy PLC (programmable logic controllers, programowalne sterowniki logiczne).
Tymczasem jak wynika np. z opublikowanego niedawno raportu Najwyższej Izby Kontroli, bezpieczeństwo teleinformatyczne w Polsce stoi na bardzo niskim poziomie. Administracja państwowa nie podjęła dotychczas niezbędnych działań, które pozwoliłyby to zmienić. Wśród głównych zaniedbań organów państwa inspektorzy NIK wyliczyli m.in. brak narodowej strategii cyberbezpieczeństwa, brak niezbędnych regulacji prawnych oraz niespójną i nieefektywną politykę najważniejszych podmiotów państwowych odpowiedzialnych za bezpieczeństwo Polski w wymiarze teleinformatycznym.
Zdaniem Joanny Świątkowskiej, eksperta Instytutu Kościuszki ds. cyberbezpieczeństwa, zrozumienie powagi ryzyka to dziś kwestia kluczowa. – Doświadczenia innych krajów, także tych, które uważane są za dalece bardziej zaawansowane w obszarze cyberbezpieczeństwa, pokazują, że wzrasta zagrożenie skutecznych ataków w cyberprzestrzeni. Skoro ich ofiarami padają najbogatsze państwa G8, które są lepiej przygotowane, to łatwo wyobrazić sobie przed jakim zagrożeniem stoi Polska. Szczególnie, że napięta sytuacja w naszym regionie sprzyja wzrostowi zagrożeń – podkreśla Świątkowska.
Poważnym problemem, na który wskazują eksperci NIK jest również brak niezbędnych rozwiązań legislacyjnych, które pozwoliłyby na unormowanie kwestii związanych z bezpieczeństwem w cyberprzestrzeni. Dotychczasowe przepisy prawne uznano za „nieprecyzyjne, nieadekwatne lub też w ogóle nie stosowane w praktyce”, co w kontekście biernej postawy organów państwowych, braku planowanych reform prawnych oraz braku rzetelnej wizji systemowych rozwiązań wzmacniających cyberbezpieczeństwo Polski może rodzić poważne konsekwencje w przyszłości.
Wrażliwość infrastruktury energetycznej na cyberataki będzie na przestrzeni rosła. Światowe megatrendy wskazują, że wraz z postępem technologicznym scentralizowane metody produkcji energii w dużych elektrowniach będą ustępować miejsca źródłom rozproszonym. Wraz z tym procesem zastosowanie układów mikroprocesorowych będzie przyspieszać, a układy zarządzania systemem energetycznym będą coraz bardziej skomplikowane. Będzie też mieć coraz większe znaczenie dla zarządzania siecią, a to oznacza większe zniszczenia w przypadku cyberataków.
Przestrzenią wymiany i pozyskiwania rekomendacji w tej dziedzinie będzie organizowane przez Instytut Kościuszki w Krakowie CYBERSEC – Europejskie Forum Cyberbezpieczeństwa, podczas którego debatować będą światowi liderzy w zakresie cyberbezpieczeństwa i zaprezentują najlepsze rozwiązania funkcjonujące w swoich organizacjach i krajach. Polska powinna czerpać z tych wzorców.