Czy hakerzy już szturmują fabryki?

„A więc wojna!” – tak brzmiał komunikat w Polskim Radiu czytany pierwszego dnia światowego konfliktu w 1939 roku i to samo zdanie usłyszeliśmy podczas konferencji InfraSEC w kontekście zagrożenia cyberatakami polskiego przemysłu. Z każdym rokiem liczba zagrożeń i czynnych włamań do systemów rośnie, a pojęcie „wojny cyfrowej” nabiera rzeczywistego i złowieszczego  znaczenia. Bezpieczeństwo przemysłowych systemów sterowania przez lata nie znajdowało się w centrum uwagi. Dopiero wydarzenia ostatnich kilku lat pokazały, że zagrożenia są realne i poważne. To oznacza, że infrastruktura podmiotów kluczowych dla polskiej gospodarki z branży energetyki, paliw i gazu oraz firm przemysłowych także może być celem ataku i musi zostać objęta odpowiednią ochroną. Motywacja i źródła ataków

Motywacja i źródła ataków

Według raportu Mandiant najczęstszymi motywacjami do ataku są: kradzież danych, cyberprzestępczość, haktywizm i uderzenia w infrastrukturę, które były szczególnie odczuwalne w 2015 roku. Wtedy m.in. dokonano ataku na ukraińską sieć energetyczną.
Paweł Pietrzak z FireEye wymienia dwóch najważniejszych aktorów na scenie cyberkryminalnej – państw najbardziej zaangażowanych w zorganizowaną cyberprzestępczość. Pierwszym z nich jest Rosja, której grupy przestępcze finansowane są głównie po to, by osiągać cele polityczne. O tym, że Rosyjscy hakerzy dysponują sporymi możliwościami, świadczy raport z dnia 29 grudnia 2016 roku Departamentu Bezpieczeństwa i FBI mówiący o wpływie drużyn hakerskich na ostatnią elekcję prezydencką w USA. W tym przypadku szczególną rolę odegrały dwie rosyjskie grupy hakerskie Tsar Team/APT28 oraz Temp.Monkey/APT 29. Piszemy o tym, ponieważ te same grupy podejrzewane są o skuteczny atak na ukraińską sieć energetyczną w grudniu 2015 roku. Wówczas to szkodliwe oprogramowanie o nazwie BlackEnergy wykorzystane zostało do przejęcia kontroli nad systemem SCADA.
Drugą znaczącą globalnie „wylęgarnię” drużyn hakerskich stworzyła Korea Północna. Wprawdzie ta część podziemia dopiero się „kształci”, ale już ma na swoim koncie pierwsze sukcesy – ich malware nazywany Dark Seoul spowodował m.in. spore perturbacje w działaniu stacji telewizyjnych sąsiedniej Korei Południowej, przypisuje się im także sukces ataku na Sony Pictures Entertainment w 2014 roku w odpowiedzi na zrealizowany przez tę wytwórnię, szydzący z wodza Korei Północnej film „Wywiad”.

Scenariusz ataku

Jak wygląda typowy atak grupy hakerskiej? Zaczyna się od wstępnej kompromitacji bazującej zwykle na phishingu. Jeden z pracowników otrzymuje e-mail np. z żądaniem zmiany hasła do systemu; wiadomość wygląda zwykle podobnie jak komunikat stworzony przez system. Nieświadomy zagrożenia użytkownik wprowadza swoje dane do logowania niekoniecznie do systemu przemysłowego, może to być mniej istotny system. Wprowadzone przez  pracownika dane przez internet trafiają do grupy hakerskiej. Jest także możliwość, że użytkownik bezrefleksyjnie zgodzi się na instalację drobnego fragmentu oprogramowania instalowanego na jego sprzęcie – np. dodatku do przeglądarki czy aplikacji na telefon – którego celem będzie późniejsze szpiegowanie. Dzięki instalacji takiego programu możliwe jest przechwytywanie loginów i haseł do systemów, którymi posługuje się zhakowany użytkownik. Drugim etapem jest stabilizacja (Establish Foothold) i poszerzanie zakresu posiadanych informacji o atakowanym celu – sieci przedsiębiorstwa i działających w nim aplikacji. Następnie mamy do czynienia ze zdobywaniem nowych uprawnień przez atakującego oraz wyszukiwaniem nowych celów ataku. W kolejnym etapie następują już właściwe działania kończące się destrukcyjnymi operacjami na sieci i infrastrukturze albo kradzieżą danych.

Dlaczego ataki się udają?

O tym, jak skuteczni są hakerzy, świadczą statystyki przedstawione przez Izabelę Lewandowską-Wiśniewską, koordynatora, starszego inżyniera ryzyka w PZU Lab. Według danych PZU średnio na każdą firmę w Polsce przypadało aż 126 cyberataków. W stosunku do zeszłego roku liczba ataków na świecie wzrosła o 38%, a średni czas uzyskania nieautoryzowanego dostępu do systemów i danych wyniósł 4 godziny.

Często słabym ogniwem obrony przeciwko hakerom są pracownicy. Zwykle przedsiębiorstwa przemysłowe koncentrują sie na typowych aspektach obrony zapewniającej bezpieczeństwo sterowników PAC/PLC/RTU, urządzeń HMI, sieci sterowania i bezpieczeństwo stacji operatorskich.

Filip Kupiński i Artur Józefiak z Accenture stwierdzają, że klasyczne mechanizmy wyszukiwania informacji o atakach przestają działać i aby skutecznie wykrywać naruszenia bezpieczeństwa we wczesnych fazach, konieczne jest wdrożenie narzędzi pracujących na dużych wolumenach danych – Big Data. Problemem jest to, że coraz bardziej brakuje na rynku specjalistów, którzy mogliby takie narzędzia przygotowywać i na bieżąco dostosowywać do potrzeb. Szacuje się, że już wkrótce na rynku będzie brakowało tysięcy ekspertów, bo potrzeby gwałtownie rosną. Zagraniczne firmy widzą, że polską specjalnością jest cyberbezpieczeństwo i skutecznie drenują nasz rynek pracy z ekspertów. Rozwiązaniem może być tworzenie współdzielonych Security Operations Center, które będą zapleczem kompetencyjnym dla większej grupy spółek, np. posiadających tego samego właściciela. Wprawdzie stworzenie takiego centrum wymaga dużego wysiłku organizacyjnego, jednak już w krótkim czasie widać wymierne korzyści.

Jak się bronić?

„Czym innym jest intencja współpracy, a czym innym operacyjna współpraca SOC-ów. Ma to szczególne znaczenie przy wyborze dostawcy technologii, którego obdarzymy zaufaniem. Wejście w usługi cyfrowe jest dla konsumenta ściśle związane z ufnością w kompetencje dostawcy” – mówi Artur Józefiak, dyrektor Zespołu Bezpieczeństwa, Accenture.

Przykładem działającego centrum kompetencyjnego jest CERT stworzony przez Energa. W ramach kompetencji CERT świadczonych jest 12 podstawowych usług zarówno prewencyjnych, także reakcyjnych na wypadek ataku, jak i usług zarządzania jakością i bezpieczeństwem danych. „Bezpieczeństwo musi być zapewnione na trzech płaszczyznach: strategicznej dotyczącej regulacji wewnętrznych i zewnętrznych, operacyjnej służącej do koordynacji działań oraz technicznej na poziomie Security Operation Center. Jednym z najważniejszych elementów spójności procesów jest zaufanie współpracujących ze sobą ludzi” – mówi Bogusław Kowalski, Head of CERT ENERGA.

Inny przykład udanego wdrożenia procedur i systemów bezpieczeństwa zaprezentował ekspert IT Security firmy Bosch podczas sesji „Organizacja” konferencji InfraSEC Heinz-Uwe GernhardIT Manufacturing Coordination. Bosch stawia na ścisłe przestrzeganie reguł, norm i standardów bezpieczeństwa w organizacji. Właściwa ich implementacja na poziomie organizacyjnym i technicznym sprawia, że minimalizowane są ryzyka wystąpienia incydentów bezpieczeństwa. Wiadomo także, jak rozwiązać już zaistniałe problemy.

Jakie jest podejście państwa do problemu?

W Rządowym Centrum Bezpieczeństwa tworzone są standardy dotyczące ochrony przed atakami. Dotychczas Centrum wydało cztery poradniki na ten temat. Praca nad standardami trwa i nie ogranicza się do przetłumaczenia pozycji zagranicznych. Standardy te muszą być skorelowane z innymi narzędziami, takimi jak audyty czy kontrole.

„Standard przeznaczony jest przede wszystkim dla kadry zarządzającej przedsiębiorstw z sektora,  osób odpowiedzialnych za prawidłowe funkcjonowanie automatyki przemysłowej  oraz pracowników odpowiedzialnych za bezpieczeństwo w obiektach infrastruktury krytycznej. Aby zapewnić zrozumienie i przychylność tych osób, nie możemy po prostu przetłumaczyć norm obowiązujących w innych krajach, bo tworzone one były w innych warunkach prawnych i organizacyjnych” – tłumaczy Maciej Pyznar, szef wydziału w Rządowym Centrum Bezpieczeństwa.

Warto wspomnieć o konsekwencjach zaniedbań w obszarze ochrony przedsiębiorstw przed atakami z zewnątrz. Mówił o tym mec. Maciej Gawroński, partner w Kancelarii Prawnej Maruta Wachta. Mecenas zwrócił uwagę na gąszcz norm opisujących zjawisko cyberprzestępczości i brak jednolitego podejścia prawnego do tego zagadnienia. „W sprawie naszej właściwej reakcji na zagrożenie cyberatakiem głos ostateczny będzie miał prokurator, który oceni, czy postępowanie to cechowało się wystarczającą starannością” – zauważył mec. Maciej Gawroński.

Automatyka pod specjalnym nadzorem

Według ICS-CERT USA w 2009 roku zanotowano dziewięć incydentów związanych z bezpieczeństwem systemów automatyki przemysłowej. Jednak już w 2015 roku było ich aż 295. Nie ma jeszcze danych za rok ubiegły, ale wyraźnie widać niepokojącą tendencję. Systemy ICS (Industrial Control System), do których zaliczane są systemy SCADA (Supervisory Control and Data Acquisition), DCS (Distributed Control Systems) czy BPCS (Basic Process Control Systems) są atakowane praktycznie każdego dnia. Ich szczególnie wrażliwe części składowe – elementy PLC i RTU, czujniki i transmitery, elementy wykonawcze – znajdują się na celowniku nastawionych na zyski przestępców, sfrustrowanych pracowników albo wrogich państw, pośród których wymienia się głównie Rosję, Chiny i Koreę Północną. Konsekwencje udanego ataku mogą polegać nie tylko na stratach finansowych, ale także stanowić zagrożenie dla ludzkiego życia.

O konsekwencjach ataków na ukraińskie sieci energetyczne w 2015 i 2016 roku oraz działaniach zapobiegawczych podejmowanych przez Ukrainę opowiadał Oleksandr Sukhodolia, jeden z gości specjalnych InfraSEC 2017, szef departamentu odpowiedzialnego za bezpieczeństwo energetyczne w ukraińskim Narodowym Instytucie Studiów Strategicznych. „Ataki na infrastrukturę krytyczną stanowią potężny instrument nacisku politycznego. Choć spowodowane straty nie były duże, to jednak stanowiły one poważny problem. Przywracanie działania systemu w niektórych regionach było długotrwałe” – mówił Oleksandr Sukhodolia.

„Ukraińska lekcja” pokazuje, że incydenty tego typu nie stanowią jedynie potencjalnego zagrożenia. Są realne i trzeba się na nie przygotowywać. Oleksandr Sukhodolia podkreślał znaczenie ciągłego szkolenia personelu w tym zakresie. Zwracał przy tym uwagę, że można na te ataki spojrzeć jako na zbieranie doświadczeń potrzebnych do przygotowania większego, bardziej groźnego w skutkach ataku w przyszłości.

Twarda strefa

Jednym z głównych źródeł problemów jest konwergencja sieci automatyki przemysłowej i sieci teleinformatycznych. Obecnie są one ze sobą połączone, wykorzystują te same protokoły komunikacyjne, te same systemy operacyjne, taki sam sprzęt. „Dlatego do ataków dochodzi w klasyczny sposób – zwykle źródłem jest phishing lub niezadowolony użytkownik. Polegają one najczęściej nie na wykorzystaniu podatności, ale na przejmowaniu uprawnień. Przez to, że większość ataków wykorzystuje czynnik ludzki, celowane jest miejsce, w którym człowiek styka się z komputerem, sprawne systemy bezpieczeństwa czy 2-stopniowe uwierzytelnianie na niewiele mogą się przydać” – opowiadali Grzegorz Bojar, dyrektor Departamentu Teleinformatyki oraz Jeremi Gryka, zastępca dyrektora Departamentu Teleinformatyki w firmie Polskie Sieci Elektroenergetyczne SA.

Przedstawiciele PSE przedstawili przy tym historię udanych ataków cyfrowych na systemy technologiczne: pierwszy z nich, eksplozja rurociągu gazowego na Syberii, nastąpił w 1992 roku; w ciągu ostatnich miesięcy uwagę najbardziej zwracały ataki na Ukrainie. „Sektor energetyczny jest bardzo atrakcyjny dla przestępców. Dlatego ataków w tym obszarze będzie coraz więcej. Jak zatem się bronić?” – pytał Grzegorz Bojar. I od razu odpowiadał: „Istotną rolę odgrywają standardy i dobre praktyki oraz segmentacja sieci, zwłaszcza rozdzielenie IT od OT. Ważna jest również ochrona stacji roboczych i styku z internetem. Ochrona perymetryczna nadal się sprawdza, pod warunkiem że jest dostatecznie twardo stosowana”.

Bezpieczne komponenty, bezpieczne systemy

Dr. Joern Eichler, szef departamentu Secure Software Engineering we Fraunhofer Institute AISEC (Applied and Integrated Security), zwracał uwagę na konieczność współdziałania dostawców i operatorów systemów na rzecz cyberbezpieczeństwa systemów ICS. Podkreślał przy tym, że informacje zwrotne od użytkowników są niezwykle istotne dla dostawców już na wczesnych etapach projektowania bezpiecznych komponentów. Fraunhofer Institute to największa organizacja w Europie koncentrująca się na praktycznych zastosowaniach badań naukowych. Działający w jej ramach AISEC koncentruje się na wypracowywaniu technologii bezpieczeństwa, a także powiązanych metod i narzędzi.

Fraunhofer AISEC promuje koncepcję wbudowanego, domyślnego bezpieczeństwa systemów. Opiera się ona na bezpiecznych komponentach. Jak je tworzyć? Kluczowe znaczenie mają model procesu (który opisuje, co, kto, kiedy i po co oraz z jakim rezultatem robił), metoda i narzędzia (opisują kolejne kroki gwarantujące powtarzalne rezultaty i odnoszą się do tego, jak i gdzie robić) oraz miary (pozwalają ocenić, jak dobre jest to, co zrobiliśmy).

„Jakość produktów zależy od dojrzałości, jakości procesu, na które składa się zestaw celów, aktywności do wykonania i kryteriów. Mierzenie jakości procesów pozwala dowiedzieć się, jak dobry, bezpieczny będzie produkt. To istotne, ponieważ certyfikaty potwierdzają zwykle bezpieczeństwo starszych wersji produktów, których raczej nie używają operatorzy” – mówił dr. Joern Eichler. Wynika to z czasu potrzebnego do uzyskania certyfikatu. Oznacza to, że przejście procesu certyfikacji potwierdza raczej dostawca, który poważnie traktuje kwestie bezpieczeństwa, ale nie oznacza, że używany produkt jest w pełni bezpieczny.

Siła współpracy

O znaczeniu współpracy i dostępnych możliwościach opowiadał także Johan Rambi pełniący funkcję Privacy & Security advisora GRC w Alliander, holenderskiej firmie będącej operatorem sieci przesyłowych gazu i energii elektrycznej. Organizacja jest jednym ze współtwórców EE-ISAC, europejskiego forum wymiany informacji dotyczących bezpieczeństwa w sektorze utilities. Powołując się słowa Petera Molengraafa, CEO Alliander, Johan Rambi przekonywał, że międzynarodowa współpraca w gronie zaufanych partnerów to warunek przeciwdziałania atakom.

Zagadnienie współpracy w skali krajowej w obszarze cyberbezpieczeństwa oraz organizacji systemu informacji było również jednym z głównych tematów debaty, w której uczestniczyli przedstawiciele firm z sektora utilities: PGE Systemy, Grupy PGNiG, PSE, a także Ministerstwa Cyfryzacji oraz NASK. Uczestnicy byli zgodni co do konieczności tworzenia formalnych platform współpracy i wymiany informacji obejmujących przedstawicieli poszczególnych sektorów, ale także szerszych, obejmujących różne sektory. Działania zmierzające w tym kierunku prowadzi Ministerstwo Cyfryzacji m.in. przy okazji budowy krajowego systemu cyberbezpieczeństwa, a także PSE w ramach PTPiREE. Na efekty trzeba jeszcze będzie poczekać i do tego czasu wykorzystywać nieformalne fora i osobiste relacje pomiędzy osobami odpowiedzialnymi za obszar cyberbezpieczeństwa w poszczególnych firmach.


PERN stawia na Blockchain

PERN to kluczowy element rynku paliwowego w Polsce. Firma z siedzibą w Płocku jest operatorem rurociągów przemysłowych odpowiadających w praktyce za 100% dostaw ropy naftowej do Polski, a jej spółka zależna OLPP posiada 19 baz magazynowych paliw rozlokowanych na terenie całego kraju. Ze względu na rozbudowaną infrastrukturę, dużą ilość systemów automatyki przemysłowej oraz urządzeń, zagrożenia i wyzwania związane z bezpieczeństwem stanowią dla firmy biznesowy priorytet.

We współpracy z konsultantami EY, PERN poszukuje innowacyjnych rozwiązań technicznych dla tych problemów. W centrum zainteresowania znajduje się technologia blockchain znana przede wszystkim jako fundament technologiczny dla kryptowaluty bitcoin. Mechanizmy konsensusu oraz niezaprzeczalnej rejestracji w formie łańcucha bloków stwarzają możliwości podniesienia poziomu bezpieczeństwa m.in. w dwóch kluczowych dla PERN obszarach: ochrony urządzeń automatyki przemysłowej za pośrednictwem systemu zdalnego sterowania infrastrukturą IIoT (industrial Internet of Things) oraz rejestracji wszystkich operacji paliwowych na potrzeby akcyzy przy wykorzystaniu rejestrów powiązanych zdarzeń izalgorytmizowanych kontraktów blockchain.

Na razie powstała ogólna mapa drogowa wykorzystania technologii łańcucha bloków w PERN. Przedstawiciele firmy mają świadomość istniejących wyzwań związanych z brakiem standardów czy faktu, że znaczna część wykorzystywanej automatyki przemysłowej nie będzie współpracować z nowoczesnymi systemami, niemniej potencjalne korzyści są warte wysiłku koniecznego do ich przezwyciężenia. Przedstawiciele PERN i EY zapowiedzieli, że za rok, podczas kolejnej edycji InfraSEC Forum, opowiedzą o postępie prac i podzielą się wnioskami z dotychczasowych działań.

Dr. Joern Eichler,eichler
Head of Department for Secure Software Engineering, Fraunhofer Institute for Applied and Integrated Security (AISEC)

Mniej niż połowa firm kontroluje bezpieczeństwo komponentów zewnętrznych wykorzystywanych do budowy systemów. Mniej niż 20 procent sprawdza pod tym kątem własny proces; jeszcze mniej spełnia wszystkie wymagania w zakresie bezpieczeństwa. Są trzy przyczyny takiej sytuacji: pierwsza to presja dotycząca szybkiego wprowadzania produktu na rynek. Druga to brak wiedzy, a trzecia – brak odpowiednich metod i narzędzi. Choć nie możemy nic poradzić na pierwszy z tych czynników, to mamy wpływ na drugi i trzeci.

grykaGrzegorz Bojar, dyrektor Departamentu Teleinformatyki, Polskie Sieci Elektroenergetyczne SAbojar

Jeremi Gryka, zastępca dyrektora Departamentu Teleinformatyki, Polskie Sieci Elektroenergetyczne SA

Udany atak na systemy sterowania wymaga przełamania ochrony fizycznej lub sieciowej. Czy ochrona perymetryczna nadal się sprawdza? Choć nie istnieje coś takiego jak separacja galwaniczna, to paradygmat ochrony strefowej się nie skończył. Ochrona tego typu nadal się sprawdza, ale pod warunkiem, że jest dostatecznie twardo stosowana. Konieczne jest także ograniczenie liczby systemów najbardziej chronionych. W samym centrum systemu ochrony muszą znaleźć się czujniki i PLC, a kolejna warstwa to SCADA.

mini-4b4f0765x


Oleksandr Sukhodolia,
Head of Energy Security and Technogenic Safety Department, National Institute for Strategic Studies

Ataki na infrastrukturę krytyczną Ukrainy stanowią potężny instrument nacisku politycznego. Choć straty spowodowane nimi nie były duże, to jednak stanowiły poważny problem. Przywracanie działania systemu w niektórych regionach zajęło dużo czasu. Poza tym można się zastanawiać, czy nie jest to zbieranie doświadczeń przed większym atakiem, którego skutki mogą być poważniejsze.

Artur Józefiak,jozefiak
dyrektor Zespołu Bezpieczeństwa, Accenture.

Czym innym jest intencja współpracy, a czym innym operacyjna współpraca SOC-ów. Ma to szczególne znaczenie przy wyborze dostawcy technologii, którego obdarzymy zaufaniem. Wejście w usługi cyfrowe jest dla konsumenta ściśle związane z ufnością w kompetencje dostawcy.

rambi

Johan Rambi,
Privacy & Security advisor GRC, Alliander

Odporność na zagrożenia w rozumieniu Alliandera – holenderskiej firmy z branży utilities – to zdolność do antycypowania, monitorowania i reagowania na różnorodne zagrożenia wymierzone w misję organizacji. Takie podejście spowodowało wytworzenie ekosystemu bezpieczeństwa, który działa na zasadzie sprzężenia zwrotnego między elementami strategicznymi, taktycznymi i operacyjnymi. W tych ramach działa nasz własny SOC, który jest zasilany informacjami z trzech źródeł: systemów fizycznych, operacyjnych oraz cyfrowych.

Tomasz Chodor,chodor
zastępca dyrektora, Departament Bezpieczeństwa, Grupa Kapitałowa PGNiG

Oficjalna sektorowa platforma wymiany informacji byłaby bardzo przydatna. W ramach takiego forum można wymieniać się doświadczeniami, case studies, informacjami o incydentach. To przyczyniłoby się do ogólnego wzrostu poziomu wiedzy. To jednak wrażliwa tematyka i wymaga przełamania bariery zaufania. Można się spodziewać, że początki będą trudne, ale trzeba podjąć to wyzwanie.

kowalskiBogusław Kowalski,
Head of CERT ENERGA

Bezpieczeństwo musi być zapewnione na trzech płaszczyznach: strategicznej dotyczącej regulacji wewnętrznych i zewnętrznych, operacyjnej służącej do koordynacji działań oraz technicznej na poziomie Security Operations Center. Jednym z najważniejszych elementów spójności procesów jest zaufanie współpracujących ze sobą ludzi.

Dr Łukasz Kister,kister
dyrektor Departamentu Audytu i Bezpieczeństwa, Polskie Sieci Elektroenergetyczne; kierownik Zespołu ds. Cyberbezpieczeństwa Polskiego Towarzystwa Przesyłu i Rozdziału Energii Elektryczn
ej

Z racji swojej niezależnej pozycji i stabilności jako PSE mamy poczucie obowiązku budowy systemu ułatwiającego rozmowy i wymianę kluczowych informacji, które pozwolą szybciej rozwiązywać problemy i odpowiadać na ryzyka w obszarze bezpieczeństwa. Przykładem działań może być inicjatywa realizowana w ramach PTPiREE – Zespół ds. Cyberbezpieczeństwa ma właśnie umożliwić współdziałanie podczas rozwiązywania kryzysów, wymienianie się umiejętnościami i wspierać działania prewencyjne. Wspieramy budowę podobnego ciała poza obszarem energetyki, które integrowałoby pozostałych operatorów przesyłowych.

gawronskiMaciej Gawroński,
Partner w Kancelarii Prawnej Maruta Wachta.

W sprawie naszej właściwej reakcji na zagrożenie cyberatakiem głos ostateczny będzie miał prokurator, który oceni, czy postępowanie to cechowało się wystarczającą starannością.

Piotr Balcerzak,balcerzak
zastępca dyrektora Departamentu Cyberbezpieczeństwa, Ministerstwo Cyfryzacji

Zaufanie oparte na nieformalnych kontaktach odgrywa pewną rolę, ale musimy wychodzić poza nieformalne relacje. To warunek efektywnego działania. Musimy połączyć różnorodne elementy i stworzyć system, który obejmie wszystkich interesariuszy. W ramach prac nad krajowym systemem cyberbezpieczeństwa zidentyfikowaliśmy siedem sektorów zainteresowanych tymi zagadnieniami. Dzięki zorganizowanym spotkaniom, w których uczestniczyli przedstawiciele tych sektorów, wyłoniły się ciekawe pomysły rozwiązań systemowych. Ostatecznie wszyscy mamy wspólny cel: bezproblemowe, ciągłe działanie infrastruktury krytycznej.

lencher

Yariv Lenchner,
Senior Product Manager, Operational Technologies (OT), CyberArk Software

Zastosowanie najlepszych praktyk w zakresie zabezpieczania kont uprzywilejowanych w systemach ICS umożliwia zmniejszenie ryzyka udanego ataku. Należy zacząć od wyizolowania sesji uprzywilejowanych użytkowników, w tym sesji zdalnych. Następnie zapewnić kontrolę dostępu do kluczowych systemów, monitorować aktywność w czasie rzeczywistym, a także rejestrować sesje uprzywilejowane.

Cezary Prokopowicz,
Regional Sales Manager Eastern Europe, HPEprokopowicz

Sieci inteligentne stanowią oś rozwoju sektora energetycznego. Automatyzacja zapewnia większą stabilność operacyjną, ale jednocześnie tworzy większe pole do cyberataków. Przy tym zagrożenia nie są czysto teoretyczne. Przykłady udanych ataków można mnożyć. Najlepszym rozwiązaniem w obliczu tych wyzwań jest stworzenie inteligentnego SOC, który pozwala skutecznie analizować strumień informacji o zdarzeniach i zagrożeniach pochodzących z infrastruktury IT oraz systemów wewnętrznych. Dzięki usługom komercyjnym takim jak HPE Threat Central, wspierającym SOC, możliwe jest także szybsze rozpoznawanie zagrożeń. To istotne, zwłaszcza jeśli weźmie się pod uwagę rosnącą ilość informacji do przetworzenia, konieczność zawężenia strumienia alertów oraz zwiększenia mocy przetwarzania, a także zagwarantowania niższego poziomu tzw. false positives.

gruszczynskiKarol Gruszczyński,
dyrektor Działu Bezpieczeństwa, Trafford IT sp. z o.o. sp. k.

SCAD Aguardian firmy NOZOMI opiera się na innowacyjnej technologii monitorowania i oceny przemysłowych systemów sterowania. Zapewnia bardzo wysoki poziom widoczności automatyki i bezpieczeństwa. Pozwala wykrywać anomalie i przewidywać wystąpienie awarii, skraca czas poszukiwania źródła problemu i usuwania go, a także dostarcza mechanizmów automatycznego raportowania i monitorowania zgodności z regulacjami.

Tomasz Kibil,kibil
Executive Director, EY

Tak jak internet powstał dla zapewnienia komunikacji bez występowania pojedynczego punktu awarii, tak blockchain powstał dla zapewnienia wiarygodności bez występowania zaufanej trzeciej strony. Pomimo że wartość środków zgromadzonych w kryptowalucie bitcoin sięga dziś kilkunastu miliardów dolarów, mechanizm konsensusu i rejestracji w formie łańcucha bloków nie został skompromitowany. Obecnie oprócz blockchain bitcoin występują różne konkurujące ze sobą rozwiązania, zapewniające zbliżone funkcjonalności i parametry. Można je wykorzystać w różnych obszarach, m.in. na potrzeby rozliczeń i opłat, ale także identyfikacji i autentykacji, rejestrowania transakcji, a nawet bezobsługowych systemów magazynowania i transportu czy autonomicznych systemów automatyki.

stepniakGrzegorz Stępniak,
dyrektor IT, PERN Przyjaźń

W PERN chcemy budować kompetencje wewnętrzne w zakresie technologii blockchain przy wykorzystaniu doświadczeń zewnętrznych. Będziemy koncentrować się na jej zastosowaniu w zakresie zapewnienia wiarygodności wewnętrznej – na potrzeby gwarantowania niezaprzeczalności i transparentności operacji wewnątrz organizacji – a także zapewnienia wiarygodności zewnętrznej – na potrzeby transakcji zawieranych ze stronami trzecimi w ramach obrotu paliw: dostawcami, odbiorcami, usługodawcami. Ostatecznie chcielibyśmy stworzyć branżowe centrum kompetencyjne działające na rzecz podmiotów zewnętrznych.

Krzysztof Podwiński,mini-4b4f1211x
zastępca kierownika projektu AMI, kierownik Zespołu ds. Bezpieczeństwa, Departament Sprzedaży Usług Dystrybucyjnych, Tauron Dystrybucja

System AMI stworzony w ramach projektu AMIplus. Smart City Wrocław obejmuje swoim zasięgiem elementy infrastruktury energetycznej oraz informatycznej. Obecnie w trybie produkcyjnym pracuje już 280 tys. liczników. Ochrona systemu musi obejmować liczniki oraz urządzenia tworzące sieć AMI, system odczytowy, komponenty sieci IT oraz OT a także sieć HAN. To jednocześnie oznacza, że system bezpieczeństwa musi koncentrować się nie tylko na zagrożeniach fizycznych, ale także cyfrowych. Przy tym na różnych poziomach potrzebne są inne rodzaje zabezpieczeń.

fuhrDavid Fuhr,
Head of Research, HiSolutions AG

Starsze protokoły komunikacyjne w infrastrukturach krytycznych, OT oraz IOT nie zapewniają wysokiego poziomu bezpieczeństwa. Obarczone są podatnościami w obszarze dostępu zdalnego i serwisowego. Na szczęście protokoły nowej generacji były tworzone z naciskiem na zwiększenie bezpieczeństwa komunikacji w systemach ICS.

Janusz Samuła,samula
dyrektor Departamentu Innowacji i Rozwoju, Urząd Dozoru Technicznego

Podatność systemów ICS na cyberatak wynika z kilku czynników. Pierwszy z nich to komponenty – przestarzałe, nieprzystosowane do zagrożeń ery cyfrowej albo rozwiązania komercyjne „z półki”, których podatności są powszechnie znane. Problemy powstają także na skutek fuzji przedsiębiorstw i powstawania niespójnych rozwiązań stanowiących kombinację różnych systemów. Istotne znaczenie ma także stosowanie powszechnie dostępnych mediów komunikacji oraz brak izolacji pomiędzy systemem ICS a biurowym systemem IT.

Konferencja InfraSec

Jeśli konferencja z obszaru IT/OT/bezpieczeństwa, to tylko z Evention. To kolejna wasza konferencja, w której biorę udział. Do zobaczenia we Wrocławiu.
Piotr Ziętek, Tauron Obsługa Klienta

Mój pierwszy raz, ciekawie. Będę chciał pojawić się w przyszłym roku.
Dominik Malnowicz, Gaz-System

Ciekawa tematyka, tematy praktyczne i problemy z którymi stykamy się na co dzień w firmie.
Adrian Parczewski, MPW w Warszawie

Konferencja adresująca problemy współczesnych przedsiębiorstw z zakresu bezpieczeństwa sieci OT. W czytelny i przejrzysty sposób zaadresowane zostały problemy, bolączki oraz potencjalne obszary działań.
Marcin Supierz, Trecom Enterprise

Bardzo dobrze przygotowana i praktyczna konferencja. Wiele przykładów i rozmów z praktykami. Ciekawe forum wymiany doświadczeń.
Andrzej Romek, CEZ Polska

Debata panelowa

Bardzo dobra debata, pokazująca koniecznie kierunki działań.
Andrzej Romek, CEZ Polska 

Najsilniejszy punkt konferencji, więcej dyskusji panelowych w następnych konferencjach tego typu.
Piotr Ziętek, Tauron Obsługa Klienta

Sesje roundtables

Merytoryczna dyskusja.
Michał Skórka, PWPW S.A.

Bardzo dobry pomysł.
Elżbieta Andrukiewicz, CEDC International

Interesujące spotkanie praktyków.
Andrzej Romek, CEZ Polska