Unia Europejska w wielu dziedzinach bezpieczeństwa wyznacza istotne kierunki działań, które determinują mocno sytuację w krajach członkowskich. Nie inaczej jest w obszarze cyberbezpieczeństwa. Przyjęta w lipcu 2016 roku dyrektywa Parlamentu i Rady UE w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (dyrektywa NIS), jest jednym z najbardziej znanych, jak i najważniejszym dokumentem, który wpływa na cyberbezpieczeństwo Unii Europejskiej. Polska, podobnie jak inne kraje członkowskie, będzie miała obowiązek wdrożenia dyrektywy NIS do maja 2018 roku. Jednym z ważniejszych zapisów dyrektywy jest zidentyfi kowanie i nałożenie szeregu wymagań na operatorów usług kluczowych. Będą oni wyznaczani w ramach kilku sektorów, w tym sektora energetycznego. Sektor energetyczny podzielony jest na kilka podsektorów:

• Energia elektryczna;

• Ropa naftowa;

• Gaz.

Głównym celem wymagań nałożonych na operatorów, wyznaczonych w konkretnych sektorach, będzie propagowanie kultury zarządzania ryzykiem i zgłaszania incydentów¹. Do początku listopada 2018 roku każdy kraj członkowski ma obowiązek zidentyfikowania operatorów usług kluczowych posiadających jednostkę organizacyjną na jej terytorium. Ponadto, dyrektywa zmierza także w kierunku przede wszystkim: poprawy zdolności do podejmowania działań w obszarze cyberbezpieczeństwa na szczeblu krajowym oraz rozwijania współpracy na szczeblu unijnym².

Innym ważnym działaniem, jakie zostało podjęte na poziomie Unii Europejskiej, było opublikowanie 13 września br. przez Komisję Europejską dokumentów, które nazywane są „pakietem cyberbezpieczeństwa” (pakiet). Zawierają one wiele działań, które mają zapewnić solidne podstawy cyberbezpieczeństwa Unii Europejskiej, w tym zharmonizowane podejście do wdrażania dyrektywy NIS. Pakiet ma szansę mocno wpłynąć na kwestie związane z zapewnianiem cyberbezpieczeństwa w Europie. Zapowiada on szereg działań, m.in. utworzenie (na bazie ENISY – Europejskiej Agencji Bezpieczeństwa Sieci i Informacji) Agencji Bezpieczeństwa Cybernetycznego UE, która będzie wspierać państwa członkowskie w odpieraniu ataków cybernetycznych, a także nowego europejskiego systemu certyfi kacji, gwarantującego bezpieczne korzystanie z produktów i usług w środowisku cyfrowym³.

Co robi Polska?

Polska przygotowuje się do wdrożenia implementacji dyrektywy NIS, podejmuje także wiele działań mających zwiększyć poziom cyberbezpieczeństwa. Jedną z ciekawszych, wdrożonych inicjatyw było utworzenie w lipcu 2016 roku Narodowego Centrum Cyberbezpieczeństwa (NC Cyber). Głównym zadaniem NC Cyber jest dbałość o bezpieczeństwo cyberprzestrzeni RP m.in. poprzez opracowywanie narodowych planów ochrony. Centrum funkcjonuje jako ośrodek wczesnego ostrzegania, który działając w systemie 24/7/365 monitoruje i zarządza trybem informowania o zagrożeniach sieciowych⁴. NC Cyber realizuje swoje działania we współpracy z administracją, biznesem oraz ze środowiskiem naukowym. Ważnym partnerem do działania jest oczywiście sektor energetyczny – do porozumienia w ramach NC Cyber przystąpiły: Energa, PSE S.A., Gas-System S.A., PERN S.A. oraz PKP Informatyka⁵.

Innym istotnym wydarzeniem, zrealizowanym w ostatnim czasie w Polsce, było podpisanie 9 maja 2017 roku, przez Prezes Rady Ministrów Beatę Szydło, Uchwały nr 52/2017 Rady Ministrów z dnia 27 kwietnia 2017 roku w sprawie Krajowych Ram Polityki Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2017-2022 (Polityka)⁶. Dokument ten wyznacza strategiczne obszary działań podejmowanych na poziomie państwowym zmierzających do wzmacniania cyberbezpieczeństwa. Jego ogólny charakter ma zostać dopełniony opracowaniem szczegółowego planu działań, nad którym aktualnie pracuje grupa robocza składająca się z przedstawicieli różnych organów administracji rządowej. Plan zawierać będzie konkretne przedsięwzięcia wraz z odpowiedzialnymi podmiotami oraz terminem realizacji.

Kolejnym, kluczowym przedsięwzięciem będzie przygotowanie i przyjęcie tak zwanej ustawy o cyberbezpieczeństwie, która poprzez swoje zapisy ma do prowadzić do wdrożenia w Polsce krajowego systemu cyberbezpieczeństwa. Plan wdrażania Polityki oraz ustawa o cyberbezpieczeństwie niewątpliwie stanowić będą najważniejsze instrumenty wdrażające dyrektywę NIS oraz przede wszystkim organizujące narodowe, systemowe rozwiązania nakierowane na podnoszenie cyberbezpieczeństwa. Z punktu widzenia skali makro, działania te będą miały kapitalne znaczenie. Wpływać będą bowiem między innymi na odpowiedzialności, kompetencje poszczególnych interesariuszy ekosystemu cyberbezpieczeństwa, w tym także na przedstawicieli sektora energetycznego.

Poza działaniami podejmowanymi na poziomie najwyższych szczebli państwowych realizowane są także działania sektorowe. Zauważyć należy, że sektor energetyki jest jednym z bardziej aktywnych sektorów we wdrażaniu działań zorientowanych na podniesienie poziomu cyberbezpieczeństwa. Warto tutaj zwrócić uwagę choćby na inicjatywę podjętą przez PSE S.A. Firma ta powołała do życia zespół operacyjny reagowania na incydenty w systemie IT – SOC⁷ oraz zespół reagowania na incydenty komputerowe – CERT⁸. Oba te podmioty stanowią centrum kompetencyjno-operacyjne, którego celem jest m.in⁹:

• wykonywanie zadań zespołu reagowania na incydenty komputerowe (ang. Computer Emergency Response Team) – CERT PSE;

• prowadzenie laboratorium bezpieczeństwa teleinformatycznego;

• opiniowanie i weryfikacja nowych rozwiązań teleinformatycznych pod względem spełniania wymogów bezpieczeństwa;

• współpraca z departamentem teleinformatyki w zakresie wspólnego budowania odporności i reagowania na cyberzagrożenia;

• zarządzanie systemami bezpieczeństwa teleinformatycznego wspierającymi działalność SOC PSE;

• współpraca z Narodowym Centrum Cyberbezpieczeństwa oraz innymi instytucjami krajowymi i międzynarodowymi w zakresie budowania odporności sektora elektroenergetycznego na zagrożenia płynące z cyberprzestrzeni.

CERT PSE, który pełni ważną rolę w zakresie całości systemu elektroenergetycznego rozwija także współpracę w ramach szerokiej grupy współpracujących podmiotów z sektora energetycznego. Przykładem tego jest między innymi podpisanie w marcu 2017 roku umowy o współpracy z CERT Energa¹⁰. Oba podmioty współpracują przede wszystkim na gruncie wymiany informacji o zagrożeniach płynących z cyberprzestrzeni, pojawiających się podatnościach, jak również w zakresie rozpowszechniania informacji, które mogą być wartościowe dla bezpieczeństwa. Ambicją podmiotów podejmujących owe działania jest zbudowanie CERT-u sektorowego dla sektora, który można byłoby nazywać E-CERT-em¹¹. Wcielenie w życie tej idei byłoby istotnym działaniem wdrażającym w życie założenia dyrektywy NIS, która wzywa do tworzenia CERT-ów, także sektorowych, widząc w tych działaniach istotny element wzmacniający całość cyberbezpieczeństwa.

Oszczędzają na bezpieczeństwie

Z punktu widzenia sektora energetycznego, trendem, który bardzo wyraźnie wpłynie na działania związane z cyberbezpieczeństwem, jest coraz bardziej intensywne wdrażanie internetu rzeczy. Wszechobecne sensory i połączone ze sobą za pomocą internetu przedmioty, systemy stały się już rzeczywistością. Proces ten będzie się wyłącznie pogłębiał, determinując zarówno wiele szans, jak i wyzwań. Wdrażanie nowoczesnych technologii, także takich, jak choćby inteligentnej sieci energetycznej Smart Grid, musi być zbudowane na bardzo solidnych podstawach zapewniających bezpieczeństwo. Niestety z punktu widzenia aktualnego stanu dotyczącego internetu rzeczy, ocena sytuacji nie wypada wyłącznie pozytywnie. Często producenci poszczególnych rozwiązań IoT kładą większy nacisk na użyteczność produktów, systemów niż na ich zabezpieczenia¹². Ma to związek często z chęcią oszczędzania oraz z faktem, że sam rynek, konsumenci, poprzez swoje decyzje nie wywołują wystarczającej presji. Oczekują tanich rozwiązań, niekoniecznie w pierwszej kolejności stawiając na bezpieczeństwo. Biorąc to pod uwagę należy zauważyć, że dotychczas nie podjęto także wystarczających decyzji po stronie regulatorów, które narzucałyby stosowanie odpowiednich zabezpieczeń. Zagrożenia tymczasem nieustannie wzrastają, a złoczyńcy wiedzą, że miliony niezabezpieczonych urządzeń mogą stać się łatwym celem. W jednym ze swoich raportów na temat cyberbezpieczeństwa, zatytułowanym „What Every CEO Needs to Know About Cybersecurity”, fi rma AT&T wskazuje na wzrost aż o 458% prób skanowania systemów IoT w poszukiwaniu ich podatności¹³. Pokazuje to skalę problemu. W świecie, gdzie zagrożenia płynące z cyberprzestrzeni są w stanie realnie zagrozić funkcjonowaniu systemów niezwykle istotnych nie tylko dla użytkowników końcowych, ale dla całego państwa, bezpieczeństwo powinno stać się priorytetem.
Konieczne będzie przyjęcie bardziej proaktywnego podejścia. Zmiana w tym kierunku staje się coraz bardziej widoczna. W opisanej wcześniej propozycji pakietu cyberbezpieczeństwa zaproponowano stworzenie systemu certyfi kacji dla produktów i usług z punktu widzenia poziomu cyberbezpieczeństwa¹⁴. Celem jest stworzenie dobrowolnego systemu certyfi kacji, który ułatwiałby odbiorcom poszczególnych rozwiązań związanych także z IoT wybór tych produktów i usług, które kładą nacisk na cyberbezpieczeństwo. Większa świadomość konsumentów nie byłaby jedyną korzyścią. Wdrożenie certyfikacji stanowiłoby pozytywną mobilizację dla samych producentów rozwiązań, którzy mogliby uczynić z bezpieczeństwa swych produktów i usług przewagę konkurencyjną.

Jak zostało zaznaczone, sektor energetyczny będzie jednym z kluczowych sektorów wdrażających inteligentne rozwiązania zbudowane na IoT. Bezpieczeństwo tego newralgicznego obszaru musi zostać zapewnione. Leży to w interesie samych operatorów. Problemy z cyberbezpieczeństwem mogą bowiem doprowadzić do problemów z naruszeniem prywatności i danych osobowych klientów, co z kolei, w obliczu nowego rozporządzenia o ochronie danych osobowych, może przełożyć się na bardzo dotkliwe kary finansowe¹⁵. Jest to zatem priorytet nie wyłącznie o charakterze misyjnym, ale o charakterze biznesowym.

Budowa silnego systemu cyberbezpieczeństwa jest wyzwaniem, które musi być realizowane na wielu różnych poziomach – zarówno strategicznym, jak i operacyjnym. W dodatku powinno być to działanie angażujące całe spektrum interesariuszy odpowiedzialnych za różne zadania. Polska jako kraj, jak również konkretne sektory, coraz aktywniej podejmują to wyzwanie. Widać to na przykładach działań zrealizowanych w ostatnim czasie. Wiele jednak przed nami. I to, z jaką determinacją działać będziemy w nadchodzących kilku miesiącach, będzie miało ogromne.
 

Artykuł został również opublikowany w nr 8/2017 dwumiesięcznika "Energetyka Cieplna i Zawodowa".