Wiadomości
Cyberochrona energetyki – jak zabezpieczona jest kluczowa infrastruktura w Polsce
Kiedy energetyka spotyka cyberbezpieczeństwo. O wyzwaniach, jakie stoją przed tymi dwoma sektorami, rozmawiano podczas 40. Konferencji Energetycznej EuroPOWER & OZE Power. Jak zgodnie przyznawali uczestnicy debaty, choć tyle mówi się o bezpieczeństwie energetycznym, dostaw, to w kwestii zabezpieczenia kluczowej infrastruktury i danych jest jeszcze wiele do zrobienia.
Materiał sponsorowany
W trakcie panelu „Współpraca dla bezpieczeństwa – rola sektorów publicznego i prywatnego w cyberochronie energetyki” Maciej Wyczesany, prezes zarządu i dyrektor generalny Apator S.A., mówił, że w zakresie cyberbezpieczeństwa Polska jest jednym z niewielu państw w tej części Europy, który nie ma ustalonych żadnych standardów bezpieczeństwa związanych z urządzeniami montowanymi na sieci energetycznej.
– Niemcy, Francja, Litwa, Łotwa, w zasadzie wszystkie kraje ościenne, rozwiązały te problemy w różny sposób i dzięki temu też zabezpieczyły podstawową swoją funkcjonalność. (…). Jak w takim wypadku prowadzić rozmowę o bezpieczeństwie energetyki, jeśli na miliony urządzeń w naszym kraju praktycznie tych standardów nie ma? Problemem nie jest pojedynczy licznik, inwestor. Problemem jest ich masowość i rozsianie ich po całym kraju – powiedział Wyczesany. Jak dodał, transformacja energetyki, wydatki na nowe źródła, zwłaszcza zielone, to dobre kierunki rozwoju. Zaapelował natomiast, aby nie pomijać właśnie kwestii cyberbezpieczeństwa.
Sebastian Kwapisz, Dyrektor Biura Cyberbezpieczeństwa Orlen, był pytany o to, jakie wnioski – z perspektywy spółki, którą reprezentuje – już wyciągnięto w związku ze wzmożoną liczbą cyberataków w ostatnich latach. – Musimy się skoncentrować na praktycznym podejściu do zabezpieczenia. Wykorzystywanie podatności na różnych poziomach, jest w tej chwili faktem i trzeba o tym myśleć zarówno pod kątem aktualizacji, dobrych praktyk, segmentacji, czy też adekwatnego monitorowania pod kątem wszelkich zagrożeń – mówił.
Może w takim razie na ratunek energetyce i jej bezpieczeństwu przyjdzie sztuczna inteligencja? Zdaniem Kamila Wąsowicza, Dyrektora Zarządzającego Departamentu Teleinformatyki Polskich Sieci Elektroenergetycznych, wiele zależy od tego, po „której stronie będzie stało AI”. – Jeśli mówimy o systemach IT, to nie mam problemów z tym, aby AI pomógł nam przeanalizować ten system, służył do predykcji itd. Zupełnie inaczej patrzę na to z punktu widzenia systemów chmurowych, trudno mi to sobie wyobrazić. (…) przetwarzanie w chmurze przez AI danych z systemu REMIT, które mają trafiać jednocześnie do wszystkich uczestników rynku, rodzi pewne ryzyka – powiedział.
Bartłomiej Nieścierowicz, SVP i Leader BU PLLE, CGI, wyraził opinię, że „jest za późno” w kwestii regulacji w zakresie cyberbezpieczeństwa. – Weszliśmy w taki moment, w którym mamy rozproszone źródła energii, rozproszonych prosumentów. Na szczęście przygotowujemy regulacje, ale wiemy, że one są opóźnione. To, że będziemy mieć regulacje, nie rozwiąże wielu problemów wynikających z ich implementacją – wskazał. – To ważny element, ta nadążność regulacji i współpracy administracji z biznesem, to jest najbardziej istotne. Ważne jest też to, aby ludzie byli wyposażeni w odpowiednie narzędzia, wiedzę, aby mogli działać – zgodził się z nim Marek Głazowski Prezes Zarządu, IFS.
– Szczególnie teraz, kiedy zagrożeń będzie tylko więcej, jesteśmy między USA a Chinami, jesteśmy w obszarze europejskim, a mamy duże zapóźnienie. Trzeba działać, reagować, ten element współpracy (biznesu i administracji – red.) – jest bardzo istotny – dodał Głazowski.
Jak przygotować się na liczne wyzwania i niebezpieczeństwa? Kamil Wąsowicz opisał, że jest rozwiązanie, które stosuje instytucja, którą reprezentuje. – Są różne strategie i różne technologie, które pomagają w przypadku, gdy zostanie zaatakowana. Jedną z tych, którą my realizujemy zgodnie z naszymi politykami, to jest utrzymanie gdzieś, tak kolokwialnie mówiąc z boku, minimalnej konfiguracji i zestawu danych. To pozwoli firmie odtworzyć najbardziej potrzebne procesy i nie przejmować się tym albo dać jej więcej czasu na zarządzanie tym ryzykiem, które wyniknęło z zaszyfrowania czy zniszczenia danych – ocenił przedstawiciel PSE.
Według Kwapisza sytuacja po ataku zawsze jest podbramkowa. – Jeżeli ten atak materializuje się w naszej infrastrukturze, powinny być w stanie odpowiednio to zaadresować i obsłużyć. Na pewno aspekty związane z ciągłością działania, zapewnienie backupu, to jest kluczowe. Zabezpieczenie organizacji trzeba zacząć dużo wcześniej, ataki ransomware to zawsze efekt luki wewnątrz organizacji – powiedział.
Jednocześnie, z czym też zgodzili się paneliści, kiedy już dojdzie do ataku – niezależnie w jakiej skali – jest już za późno. Oznacza to, że organizacja na którymś z etapów zabezpieczania swojej działalności nie wykonała tej pracy w pełni. Nie ma co prawda w 100 proc. odpornego systemu bezpieczeństwa, ale już samo włamanie oznacza, że jest duża przestrzeń do poprawy.
– Mówiliśmy dużo o infrastrukturze, a ja chciałbym dodać tu element, aspekt, czynnik ludzki. Pewne badania pokazały braki kadrowe w cyberbezpieczeństwie, musimy na to zwrócić uwagę, bo my możemy mieć doskonałą technologię. Pytanie, kto będzie ją obsługiwał i reagował, kiedy będziemy mieć taką odporność? Ale tak, człowiek jest często słabym ogniwem tych procesów – zaznaczył Mateusz Majewski, Vice President Southeast Europe, UiPath. – Absolutnie, kluczowe są szkolenia, budowanie świadomości, współpracy – dodał, podkreślając, że często dzieje się tak, iż po incydencie, włamaniu czy ataku, rusza fala szkoleń i zainteresowania tematyką bezpieczeństwa. – A potem występuje cisza – skwitował.
Koniec panelu podsumowano stwierdzeniem: – Musimy pamiętać, że nieważne jak grube są ściany tych cyfrowych bunkrów, o których rozmawiamy, najlepiej, żeby były po prostu wielowarstwowe.