Krytyczna infrastruktura krajowa (critical national infrastructure) jest niezbędna do prawidłowego funkcjonowania każdego społeczeństwa. Zapewnia  energię, transport, wodę, szpitale i ważne usługi internetowe. Stanowi jednak również częsty cel ataków – ze strony haktywistów i grup cyberprzestępczych, a coraz częściej również wrogich państw. Dlatego też na początku maja weszła w życie dyrektywa w sprawie bezpieczeństwa sieci i informacji (Dyrektywa NIS).

Ponieważ starsze systemy i nowe technologie takie jak Internet rzeczy (IoT) powodują, że przestrzeń ataków wciąż się rozszerza, operatorzy infrastruktury krytycznej muszą zadbać o to, żeby stosować mechanizmy kontrolne i procesy, które zapewnią im bezpieczeństwo i zgodność z przepisami.

Zagrożenia czyhają wszędzie

Transformacja cyfrowa pozwoliła dostawcom CNI wyróżnić się na rynku poprzez nowe, innowacyjne usługi, zwiększenie produktywności personelu, obniżenie kosztów i bardziej elastyczną działalność. Jednak połączenie nowych narzędzi ze starymi systemami naraża ich na jeszcze większe ryzyko ataku. Luki w zabezpieczeniach, otwarte porty sieciowe, niewykryte zmiany plików, słabe uwierzytelnianie i niezabezpieczone protokoły sieciowe to prawdziwa gratka dla cyberprzestępców dysponujących odpowiednimi umiejętnościami.

Przemysłowy Internet rzeczy (IIoT) jest szczególnie narażony na zagrożenia, jeśli fabryczne domyślne dane logowania są pozostawione na urządzeniach, a poprawki nie są generowane i wprowadzane wystarczająco szybko. Badanie Trend Micro  pokazało, że średni czas pomiędzy poinformowaniem dostawcy systemu SCADA o luce w zabezpieczeniach a wprowadzeniem poprawki może wynieść nawet 150 dni. To dużo dłużej niż w przypadku powszechnie używanego oprogramowania takich firm jak Microsoft czy Adobe.

Sprawa wygląda jeszcze gorzej, jeżeli systemy informatyczne operatorów CNI działają na przestarzałych platformach. Systemy Windows NT i XP nie należą u nich do rzadkości. Niestety dla wielu szefów działów informatycznych systemy te mają zbyt kluczowe znaczenie, aby mogły zostać wyłączone w celu wprowadzenia poprawek lub modernizacji, szczególnie jeśli są podłączone do punktów końcowych przemysłowego Internetu rzeczy czy systemów SCADA. Całkowite odizolowanie ich od Internetu w wielu przypadkach już nie wchodzi w grę, ponieważ firmy przechodzą na usługi chmurowe w celu obsługi tych systemów i zarządzania nimi. Protokoły takie jak MODBUS nie zostały opracowane pod kątem działania w połączonym świecie i nie umożliwiają uwierzytelniania ani szyfrowania, co jeszcze bardziej naraża te starsze systemy na ryzyko.

A ponieważ chodzi tu o kluczową infrastrukturę, ataki mogą wyrządzić dużo większe szkody niż kradzież danych. Ukraińscy dostawcy energii aż za dobrze się o tym przekonali. Ataki na ich kluczowe systemy w grudniu 2015 i 2016 roku spowodowały odcięcie prądu tysiącom klientów. Nie oni jedni są w niebezpieczeństwie. Niedawno rządy Wielkiej Brytanii i USA wydały wspólne ostrzeżenie przed sponsorowanymi przez Kreml atakami na dostawców CNI i inne firmy.

Czas na osiągnięcie zgodności z przepisami

Wprowadzona przez Komisję Europejską dyrektywa NIS ma na celu wyegzekwowanie minimalnych standardów opartych na najlepszych procedurach, aby zwiększyć bezpieczeństwo dostawców „usług kluczowych”. Za poważne naruszenia firmom grożą teoretycznie wysokie kary do 17 mln GBP lub 4% globalnych obrotów — tak jak w przypadku RODO.

Dyrektywa jest podzielona na cztery główne obszary: zarządzanie ryzykiem dotyczącym bezpieczeństwa; ochrona przed cyberatakami, wykrywanie zdarzeń związanych z cyberbezpieczeństwem i minimalizacja wpływu incydentów. Obszary te obejmują szerokie spektrum zagadnień, m.in. nadzór, zarządzanie ryzykiem, bezpieczeństwo łańcucha dostaw, szkolenia dla personelu, mechanizmy zabezpieczeń, zarządzanie zasobami, reagowanie na incydenty i odtwarzanie po awarii.

Dyrektywa nie zawiera zestawu zasad, których trzeba przestrzegać, ale brytyjskie Krajowe Centrum Cyberbezpieczeństwa (National Cyber Security Centre) opracowało szczegółowy zestaw zasad pomagających zachować zgodność z przepisami. Generalnie rzecz biorąc, pierwszy krok to zrozumienie, z jakich systemów firma korzysta. Mając tę informację, można lepiej zidentyfikować cyberzagrożenia i wprowadzić mechanizmy kontrolne, aby im zapobiegać.

Najlepszy sposób zapewnienia bezpieczeństwa to konsolidacja jak największej liczby elementów u zaufanego dostawcy, który dysponuje szerokim zakresem narzędzi różnych generacji do ochrony przed cyberzagrożeniami, a narzędzia te dzielą się informacjami. Stosując to podejście, firma ma dużą szansę na optymalizację swojej infrastruktury zabezpieczeń, aczkolwiek jest to jedynie część zachowania zgodności z przepisami.

Dotychczas na pierwszych stronach gazet dominowało RODO, ale ta nowa dyrektywa UE jest w dłuższym terminie równie ważna dla naszego bezpieczeństwa, stabilności i rozwoju.