Wnioski dla USA z cyberataku na infrastrukturę krytyczną Ukrainy

Chociaż w przeszłości pojawiały się już informacje, jakoby sieci energetyczne zostały sparaliżowane wskutek cyberataków, doniesienia te oparte były wyłącznie na spekulacjach. Tak było w przypadku Brazylii w 2005 i 2007 r. Pierwszy, potwierdzony cyberatak na infrastrukturę elektroenergetyczną miał miejsce w grudniu 2015 r. na Ukrainie. Uderzenie w spółkę Prykarpattja Obłenergo (Прикарпаттяобленерго), w wyniku którego setki tysięcy klientów straciło dostęp do energii elektrycznej przez kilkanaście godzin, przykuło uwagę ekspertów od cyberbezpieczeństwa. Nawet jeżeli zdarzenie to nie wskazuje na rozwój nowych wektorów zagrożeń i zdolności technicznych, tak jak było to parę lat temu w przypadku wirusa Stuxnet w Iranie,  dowiodło ono, że pojawiła się wola ukierunkowania cyberagresji przeciwko infrastrukturze krytycznej. Może to doprowadzić do wzrostu znaczenia cyberzagrożeń.

 Admirał Mike S. Rogers, szef U.S. Cyber Command i NSA, wyraził zaniepokojenie, że cyberatak przeciwko ukraińskiej spółce energetycznej może wskazywać na powstanie nowego oblicza cyberkonfliktu. „Atak przeciwko infrastrukturze krytycznej Stanów Zjednoczonych pozostaje jedynie kwestią czasu” - ostrzegł Rogers. Najnowszy raport Electricity Information Sharing and Analysis Center (E-ISAC - Centrum Rozpowszechniania i Analiz Informacji Na Temat Energii Elektrycznej), „Analysis of the Cyber Attack on the Ukrainian Power Grid” (Analiza Cyber-Ataku na Sieć Energetyczną Ukrainy) stanowi cenne studium metodologii ataku i środków, które wdrożono w celu złagodzenia jego skutków. Pomimo, że środki te muszą mieć na względzie głównie operatorzy infrastruktury elektroenergetycznej, problem dotyczy wszelkiego typu przemysłowych systemów sterowania (ICS - Industrial Control System), które cechują się wysokim stopniem wrażliwości na podobne działania.

Lekcja, którą otrzymaliśmy w wyniku cyberataku na infrastrukturę elektroenergetyczną Ukrainy, zostanie zmarnowana, jeśli nie będziemy w stanie opracować regulacji prawnych i narzędzi biurokratycznych, żeby wnioski z niej płynące wcielić w życie.

Ośrodek  E-ISAC w swoim raporcie rekomenduje zastosowanie strategii łagodzących skutki potencjalnych ataków w trzech określonych obszarach cyberbezpieczeństwa. Chodzi o architekturę (systemu – przyp. red.), obronę pasywną i aktywną.

W ramach architektury rekomendacja odnosi się do kwestii „planowania, stworzenia i utrzymania systemów z naciskiem położonym na bezpieczeństwo”. Zalecenia w tym obszarze są zróżnicowane i obejmują szerokie spectrum od powszechnie cenionych, choć niekoniecznie spektakularnych, dobrych praktyk (np. należyte oddzielenie od siebie sieci w celu zapobieżenia phishingowi wymierzonemu przeciwko prywatnym kontom e-mail i zapewniającemu napastnikom uwierzytelnienie i dostęp do przemysłowych systemów sterowania (ICS) i nadzorowania (SCADA) procesów technologicznych) po rozwiązania bardziej zaawansowane. Mowa tu o umożliwieniu na potrzeby wewnętrzne rejestracji danych na urządzeniach systemowych. Celem jest zapewnienie zdolności monitorowania zdarzeń i zagwarantowanie, że architektura sieciowa (m.in. komutatory), jest aktualizowana wraz z czujnikami, które mogą gromadzić dane. Mamy tu na myśli informacje, które mogą wspierać działanie mechanizmów obronnych, zarówno pasywnych, jak i aktywnych.

Jako „obronę pasywną” autorzy omawianego raportu definiują „systemy dodane do architektury w celu zapewnienia wydajnej obrony i monitorowania zagrożeń bez udziału czynnika ludzkiego”. Podobnie jak w przypadku architektury systemu w grę wchodzi cały wachlarz powszechnie akceptowanych dobrych praktyk i technik: lista godnych zaufania aplikacji, brzegowe zapory ogniowe (perimeter firewall), zapory ogniowe pomiędzy poszczególnymi segmentami sieci, rutynowo aktualizowane progamy antywirusowe, technologie zabezpieczeń punktów końcowych i systemy wykrywania włamań. Równie istotne są wymienione w raporcie zalecenia, których realizacja ma ułatwić reagowanie i uzdrowienie systemu w zakresie obejmującym centralną rejestrację danych i agregację informacji w celu umożliwienia szybszego gromadzenia dowodów i wdrożenia rygorystycznej polityki zmiany haseł dostępu w przypadku wykrycia jakichkolwiek naruszeń.

W części poświęconej „obronie aktywnej” twórcy raportu omawiają „proces monitorowania prowadzony przez analityków, reagowanie i uczenie się od przeciwnika. A wszystko to wewnątrz własnej sieci”. W znacznej mierze chodzi tu o taktykę, którą aktywni obrońcy powinni umieć zastosować. Obejmuje ona namierzanie dziwnej komunikacji wychodzącej z sieci i nieznanych adresów IP, ciągłe monitorowanie bezpieczeństwa sieciowego pod kątem ewentualnych nieprawidłowości, opracowywanie i wykorzystywanie planów reakcji na incydenty i regularne stosowanie narzędzi do tworzenia kopii zapasowych i odzyskiwania danych.

W ujęciu ogólnym żadna z powyższych rekomendacji nie odnosi się ściśle do incydentu na Ukrainie czy też do energetyki. Większość stanowi po prostu najlepsze praktyki, które można wdrażać w dowolnym środowisku sieciowym, nie tylko w odniesieniu do przemysłowych systemów sterowania. Rodzi się tutaj pytanie: jeżeli postrzegamy incydent na Ukrainie jako poważne zagrożenie, które powinno skłonić nas do podjęcia działań i wdrożenia odpowiedniego zestawu środków zaradczych, a co za tym idzie, zwrócenia uwagi na problem, dlaczego lekcja, która z ataku wymierzonego w Kijów wynika, ma tak ogólny charakter? Co za tym idzie, czy istnieje mechanizm, który pozwoliłby nam upewnić się, że wyżej wymienione zalecenia byłyby powszechnie stosowane i przestrzegane, przez operatorów infrastruktury krytycznej?

Pytania te dotyczą sedna wielu problemów wynikających z przeszkód natury głownie prawnej, które należy wyeliminować podnosząc poziom cyberbezpieczeństwa w USA. By zrozumieć istotę tych barier, musimy wiedzieć, kto jest autorem raportu na temat cyberataku przeciwko ukraińskiej infrastrukturze elektroenergetycznej i jaki autorytet reprezentuje ta instytucja.

Celem misji ośrodka E-ISAC jest aktualizacja naszej wiedzy na temat zagrożeń, a także rekomendowanie dobrych praktyk, które mogą być wdrożone przez operatorów infrastruktury energetycznej. Centrum „zbiera i analizuje informacje na temat bezpieczeństwa, koordynuje procesy zarządzania incydentami i opracowuje strategie łagodzenia (ich skutków – przyp. red.), przekazując wiedzę na ich temat podmiotom z branży elektroenergetycznej, propagując ją w powiązanych z elektroenergetyką sektorach (gospodarki i administracji – przyp. red.), a także dzieląc się tymi informacjami z partnerami rządowymi”. Kluczowe znaczenie ma to, że przywołanym ośrodkiem analitycznym zarządza North American Electric Reliability Corporation (NERC),  organizacja non-profit, która jest związana z regulatorem działając pod auspicjami Federalnej Komisji Regulacji Energetyki (Federal Energy Regulatory Commission - FERC).

Standardy niezawodności opracowywane przez NERC są zróżnicowane pod względem autorytatywności. Niektóre są obowiązkowe, rząd (tj. FERC) wymaga ich przestrzegania od wszystkich operatorów systemu energetycznego. Inne jeszcze nie są wymagane bezwarunkowo, jednak będą one egzekwowane w przyszłości, co daje operatorom wystarczająco dużo czasu na ich wdrożenie. Pozostałe są jedynie przedmiotem rozważań.

Oznacza to, że organizacja, która dostarcza analiz bezpieczeństwa (E-ISAC) jest związana, lecz nie tożsama z instytucją określającą standardy bezpieczeństwa (NERC). Stanowi to problem dwojakiego rodzaju: jako że E-ISAC jest związany z regulatorem, niektórzy przedstawiciele lobby przemysłowego nader  wstrzemięźliwie dzielą się z tym ośrodkiem informacjami na temat potencjalnych zagrożeń w obawie, że zostaną one wykorzystane do nakładania na ich firmy większej liczby kar przez Federalną Komisję Regulacji Energetyki (FERC). Stawia to pod znakiem zapytania wartość usług świadczonych przez E-ISAC.

Z drugiej strony jednak, ponieważ E-ISAC nie odpowiada bezpośrednio za opracowywanie standardów bezpieczeństwa, istnieje pewien rozdźwięk pomiędzy ekspertami zajmującymi się monitoringiem i analizą sektora elektroenergetycznego, a tymi, którzy uczestniczą w polityce opracowywania standardów (bezpieczeństwa – przyp. red.).

Sytuacja komplikuje się jeszcze bardziej, ponieważ E-ISAC działa w służbie całej energetyki, natomiast władza NERC ogranicza się wyłącznie do „systemu elektroenergetycznego” (bulk power system), który zasadniczo oznacza przesył energii, lecz nie jej produkcję. Ważniejsze jest jednak, że ani służby dostarczające informacji na temat bezpieczeństwa, ani organ opracowujący standardy bezpieczeństwa w energetyce, nie odpowiadają w USA za reagowanie na incydenty, które swym charakterem przypominają cyberatak znany z Ukrainy.

Jeżeli postrzegamy incydent na Ukrainie jako poważne zagrożenie, które powinno skłonić nas do podjęcia działań i wdrożenia odpowiedniego zestawu środków zaradczych, dlaczego lekcja, która z ataku wymierzonego w Kijów wynika, ma tak ogólny charakter? Czy istnieje mechanizm, który pozwoliłby nam upewnić się, że zalecenia z raportu E-ISAC byłyby powszechnie stosowane i przestrzegane przez operatorów infrastruktury krytycznej w USA?

Stany Zjednoczone posiadają obecnie dwie odrębne regulacje, które określają zasady reagowania na zagrożenia – jedna to zbiór procedur na wypadek zdarzeń konwencjonalnych, natomiast drugą odnosi się do  incydentów w cyberprzestrzeni. Wytyczne w zakresie reagowania na katastrofy konwencjonalne zawierają Narodowy Plan Reagowania (National Response Framework/NRF), dokument opracowany przez Departament Bezpieczeństwa Wewnętrznego USA (Department of Homeland Security/DHS) w 2008 r. Jego aktualizacji dokonano w 2010 r. Ramy te, w swojej treści, obejmują także szerokie odcięcie od energii elektrycznej. Osobny dokument, opracowany również przez DHS w 2010 r. jako  Przejściowy Narodowy Plan Reagowania na Incydenty w Cyberprzestrzeni (the 2010 Interim National Cyber Incident Response Plan), pełni rolę instruktażu reagowania w przypadku cyberataku na infrastrukturę krytyczną. Różnice i potencjalne konflikty, jakie mogą zaistnieć pomiędzy osobami odpowiedzialnymi za realizację obu planów, oznaczają ryzyko, że w apogeum ewentualnego cyberataku możemy mieć do czynienia z jałowymi sporami i walką o władzę zamiast z jasnym podziałem i koordynacją zadań o żywotnym znaczeniu.

Nauka i wyciąganie wniosków z takich ataków jak ten, który był skierowany przeciwko  sieciom elektroenergetycznym na Ukrainie, są ważne. Jednak lekcja, którą otrzymaliśmy, zostanie zmarnowana, jeśli nie będziemy w stanie opracować regulacji prawnych i  narzędzi biurokratycznych, żeby wnioski z niej płynące wcielić w życie.

Blaise Misztal zajmuje się kwestiami bezpieczeństwa narodowego, ze szczególnym uwzględnieniem cyberbezpieczeństwa, w jednym z prominentnych waszyngtońskich think tanków, gdzie opracował m.in. symulację strategiczną Cyber ShockWave. Jest stałym ekspertem Cyberdefence24.pl