Ostatnim z wątków dyskutowanych podczas zorgnizowanej przez Attis Broker konferencji Offshore Wind 2.0 było cyberbezpieczeństwo infrastruktury krytycznej.

W panelu udział wzięli: Piotr Kamela (Senior Manager, Risk Advisory, Cyber & Strategic Risk, Cyber Defense & Response, Deloitte Advisory), Włodzimierz Werochowski (Prezes Zarządu, Industria Project), Mateusz Manuszak (broker ubezpieczeniowy, Attis Broker), Sebastian Zimnol (Prezes Zarządu, Quantum Cybersecurity Group), Filip Papierz (Director of Commercial Division, Enamor) oraz Michał Latacz (Prezes Zarządu, Blue Armada Robotics). Rozmowę moderowała Mariola Radłowska (Dyrektor Działu Klienta Kluczowego, Attis Broker).

W dobie narastających zagrożeń w cyberprzestrzeni, zagwarantowanie bezpieczeństwa dla krytycznych elementów infrastruktury, w tym morskich farm wiatrowych, przyjmuje rangę imperatywu o zasięgu globalnym. Szybki postęp technologiczny oraz rozwój cyfryzacji wystawiają te istotne aktywa na ryzyko cyberataków, potencjalnie destabilizujących ich funkcjonowanie i zagrażających suwerenności energetycznej krajów. Rozwiązanie tych problemów wymaga współpracy interdyscyplinarnej, łączącej wiedzę i doświadczenie ekspertów z cyberbezpieczeństwa, sektora ubezpieczeń oraz nowych technologii, celem stworzenia zintegrowanej strategii ochronnej. Tylko przez współpracę i ciągłe dostosowywanie do zmieniającego się krajobrazu zagrożeń można efektywnie ochraniać morskie farmy wiatrowe, kluczowe dla transformacji energetycznej i budowania przyszłości w harmonii z zasadami zrównoważonego rozwoju.

Na wstępie dyskusji, moderatorka poprosiła Piotra Kamelę o przedstawienie kontekstu regulacji i aspektów prawnych dotyczących cyberbezpieczeństwa.

– Posiadamy regulacje definiujące pojęcie infrastruktury krytycznej. Mamy Ustawę o Krajowym Systemie Cyberbezpieczeństwa, wprowadzającą system alertów CRP, ALFA, BRAVO, CHARLIE, itd. Dysponujemy również zestawem sprawdzonych standardów i dobrych praktyk, w tym międzynarodową normą ISO 27001. Europejska Agencja ds. Bezpieczeństwa Sieci i Informacji (ENISA) również publikuje szereg dokumentów. Chodzi tu przede wszystkim o ustandaryzowanie określonych procesów. Standaryzacja, podnoszenie świadomości i współpraca to kluczowe elementy, które płyną z tych regulacji. Warto zauważyć, że wszystkie te regulacje i dobre praktyki są oparte na doświadczeniach z przeszłości. Nikt w tych regulacjach nie przewiduje dokładnie, co może się wydarzyć w przyszłości ani jak hakerzy zorganizują łańcuchy swoich ataków. Mimo to, robimy wszystko, co w naszej mocy. Dlatego kluczowe jest przestrzeganie tych regulacji i wdrażanie zalecanych standardów, takich jak normy ISO 27001, 22301 dotyczące ciągłości działania. To są aspekty, które warto mieć na uwadze, by być odpowiednio przygotowanym – wymienił Kamela.

Następnie Mariola Radłowska przekazała głos Filipowi Papierzowi. Pytanie brzmiało: dlaczego infrastruktura krytyczna jest na celowniku haktywistów?

– Mówimy tutaj przede wszystkim o morskich farmach wiatrowych, a one pozostają na celowniku z bardzo wielu powodów. Zasadniczym z nich jest fakt, że te farmy powstają jako lokalizacje zdalne. One są bardzo mocno oddalone od brzegu, budujemy je w morskiej wyłącznej strefie ekonomicznej, poza wodami terytorialnymi, co powoduje, że mamy ogromny problem z tym, żeby tę infrastrukturę chronić w sposób bezpośredni, tak jak robimy to z infrastrukturą, która znajduje się na lądzie. Należy wykorzystywać tutaj środki dozoru zdalnego. To samo w sobie powoduje większą ekspozycję na ryzyko. Kolejnym aspektem jest to, że budowa morskich farm wiatrowych jest elementem transformacji energetycznej naszego kraju, co czyni te inwestycje strategicznymi. Należy również pamiętać, że są to fizyczne obiekty na morzu, co powoduje zagrożenie bezpieczeństwa żeglugi. Statki będą musiały liczyć się z tym, że powstaną fizyczne obiekty, które tej żegludze mogą w jakiś sposób zagrozić i przeciwdziałać. Trzeba sobie również zdać sprawę, że inwestycje tego typu stają na celowniku hakerów nawet z tego powodu, że stoją one w sprzeczności z potencjalnymi interesami ekonomicznymi innych krajów,  które czerpały swoje silne pozycje gospodarcze z paliw kopalnych. Te wszystkie elementy powodują, że ekspozycja na ryzyko, na nowo powstające wyzwania jest w tym zakresie bardzo duża – odpowiedział.

Michał Latacz zwrócił uwagę na istotny rynkowy trend.

– Dziś jesteśmy w miejscu, w którym należy stwierdzić, że w pracach dla branży energetyki wiatrowej czy dla branży oil & gas, czy w zasadzie dla wszystkich interesariuszy mających aktywa w morzu, robotyka jest nieodzownym elementem obrazu, który kształtuje nową postać rynku. Od tego nie ma odwrotu. Wiemy jak wyglądają budżety klientów, a robotyka pozwala na znaczne oszczędności. Robimy to wszystko w sposób, który odpowiada na potrzeby braku kadr, braku statków – zaczął. – Firma Blue Armada Robotics, którą mam przyjemność reprezentować, jest jaskółką tej zmiany. Jesteśmy młodym podmiotem, który tworzy flotę statków bezzałogowych i statków autonomicznych, co to jest bardzo ważne z punktu widzenia kalkulacji ryzyka. Dziś jesteśmy na tak zwanej pierwszej fali innowacji. To oznacza, że technika wyprzedza regulacje i prawo. Z każdym klientem jest case by case, przypadek po przypadku, podejmowana rozmowa o tym, jakie ryzyka chcemy ubezpieczyć. Nie ma na to homogenicznych wytycznych – wskazywał.

Prezes wyjaśnił także różnicę między pojazdem bezzałogowym a pojazdem autonomicznym i wynikające z niej konswekwencję w zakresie kalkulacji ryzyka.

– Pojazd bezzałogowy to po prostu pojazd, który nie ma załogi. Jest on jednak nadal sterowany z brzegu, z centrum kontroli czy ze stacji kontroli. To oznacza, że między robotem a stacją brzegową jest utrzymywane cały czas połączenie teleinformatyczne. Taki pojazd jest tak naprawdę pływającym komputerem, który można zaatakować w formie cyber. Czym innym jest pojazd autonomiczny. Dziś nasze roboty posiadają poziom autonomii, który pozwala im w sposób całkowicie bez ingerencji człowieka brać udziału w ruchu statkowym. Jesteśmy zintegrowani z systemami AIS, z systemami radarowymi, z systemami wizyjnymi. Pojazd autonomiczny, który nie wymaga ciągłego połączenia z brzegiem, jest dużo mniej podatny na atak w morzu. Natomiast jest bardzo podatny na atak na lądzie, gdzie jest połączony z systemami teleinformatycznymi firmy. Z mojego punktu widzenia bardzo ważne jest, żeby wyraźnie rozróżnić pojazd autonomiczny od pojazdu bezzałogowego. To są zupełnie inaczej liczone profile ryzyka i w inny sposób trzeba do tego po prostu podchodzić, planując mitygację tych ryzyk – podkreślił. 

O tym, jak zmieni się to cyberbezpieczeństwo w epoce kwantowej opowiedział Sebastian Zimnol.

– Podczas jednej z konferencji NATO miałem okazję rozmawiać z generałem, który podzielił się ze mną interesującą refleksją dotyczącą przyszłości obronności i technologii. Tradycyjnie bezpieczeństwo militarne koncentrowało się na trzech zakresach: lądzie, morzu i powietrzu. Obecnie, w dobie zaawansowanych technologii, priorytetem staje się ochrona cyberprzestrzeni i kosmosu. To zmienia paradygmat obronności, zwłaszcza w kontekście infrastruktur takich jak morskie farmy wiatrowe, które stają się podatne na ataki w tych nowych sferach. Dziś takie firmy jak IBM i Google intensywnie pracują nad rozwijaniem technologii kwantowej, przewidując, że między 2025 a 2030 rokiem powstaną komputery kwantowe zdolne do zakłócenia współczesnej kryptologii. Dla sektorów takich jak morska energetyka wiatrowa, które planują swoją działalność na dekady do przodu, rozumienie i adaptacja do tych zmian mają kluczowe znaczenie. Stany Zjednoczone, rozpoznając pilność tej kwestii, wprowadziły w styczniu 2023 roku ustawę Quantum Safe, mającą na celu zabezpieczenie kluczowych infrastruktur i firm przed potencjalnymi zagrożeniami kwantowymi – mówił. 

Zmagamy się więc z wyzwaniem, jakim jest pojawienie się komputerów kwantowych zdolnych do radykalnego zrewolucjonizowania krajobrazu bezpieczeństwa cyfrowego.

– Aktualnie stosowane metody szyfrowania, algorytmy takie jak RSA, są nie do złamania przy użyciu tradycyjnych komputerów. Te zabezpieczenia okażą się jednak niewystarczające w obliczu potęgi obliczeniowej komputerów kwantowych, które będą mogły złamać te szyfry w sekundy lub minuty. W odpowiedzi nadchodzące zmiany, nasza firma współpracuje z Międzynarodowym Centrum Teorii Technologii Kwantowych (ICTQT) w Gdańsku, które jest wiodącym ośrodkiem badawczym w swojej dziedzinie. Celem tej współpracy jest opracowanie rozwiązań chroniących przed zagrożeniami kwantowymi. Wykorzystujemy np. technologię kwantowych generatorów liczb losowych, wysyłamy też klucze kryptologiczne przez splątane fotony – zapewnił Zimnol. Na koniec zwrócił uwagę, że rozwijanie nowych technologii napotyka na wyzwanie w postaci braku stosownych regulacji dotyczących dziedzin takich jak robotyka, sztuczna inteligencja, komputery kwantowe czy blockchain. 

Swoją perspektywą miał okazję podzielić się Włodzimierz Werochowski.

– Tematyka cyberbezpieczeństwa, choć nowa, zyskała na znaczeniu w naszym kraju przez wydarzenia ostatnich lat. Chciałbym zaprezentować perspektywę biura projektowego i konsultanta, który wykonuje projekty w tym zakresie. Zamiast skupiać się na niedoskonałościach i lukach w przepisach, w naszej firmie koncentrujemy się na stosowaniu dostępnych norm, w tym ISO 27001, która opiera się na kilku fundamentach. Pierwszym jest świadomość klienta o ryzykach. Drugim - świadomość zarządzających i pracowników o znaczeniu ich roli w zapobieganiu cyberatakowm. Standaryzacja procesów jest kolejnym aspektem, przyczynia się do definiowania, analizy i weryfikacji standardów, otwierając drogę do ich ciągłego ulepszania w odpowiedzi na dynamiczny rozwój zagrożeń. Kluczową rolę odgrywają tu też relacje między wszystkimi uczestnikami procesu: klientami, konsultantami i jednostkami certyfikującymi. Współpraca i partnerskie relacje są fundamentem skutecznej obrony przed zagrożeniami – zwrócił uwagę. – Podczas spotkań, takich jak to, na którym się znajdujemy, dzielimy się wiedzą, planujemy warsztaty i prace komisji, aby usprawniać i polepszać nasze działania w obszarze cyberbezpieczeństwa – podkreślał. 

Dyskusję spointował Mateusz Manuszak. Opowiedział o specyfice produktu, jakim jest ubezpieczenie cyber.

– To produkt o stosunkowo prostym zakresie, składający się z trzech głównych części. Pierwsza dotyczy ochrony przed szkodami własnymi, które ubezpieczony może ponieść w wyniku zaistnienia incydentu cybernetycznego. Tutaj chodzi przede wszystkim o rekompensatę za zakłócenie działalności, odtworzenie danych i przywrócenie funkcjonowania biznesu. Ważnym aspektem jest również kwestia pokrycia kosztów okupu przy użyciu oprogramowania Ransomware, gdzie ubezpieczyciele nie wypłacają okupu bezpośrednio, aby nie finansować przestępców, lecz poprzez negocjacje starają się zminimalizować straty lub odzyskać dostęp do danych bez płacenia okupu. Drugi element to odpowiedzialność ubezpieczonego, obejmująca zarówno odpowiedzialność cywilną za naruszenie danych, jak i odpowiedzialność administracyjną. Tutaj istotne są kwestie związane z rozporządzeniem o ochronie danych osobowych, które wpłynęły na popularność ubezpieczeń cyber, biorąc pod uwagę potencjalne kary administracyjne. Ubezpieczyciel oferuje wsparcie w przypadku wycieku danych, zapewniając pomoc prawną w zarządzaniu postępowaniem administracyjnym, by zminimalizować ewentualne kary. Ostatni element to assistance, czyli wsparcie w sytuacjach kryzysowych, w tym pokrycie kosztów związanych z działaniami informatyków śledczych. Branża ta, choć wysoko wynagradzana, cierpi na brak specjalistów. Ubezpieczyciele, mając podpisane umowy z ekspertami w zakresie informatyki śledczej, mogą zapewnić szybką pomoc ubezpieczonemu w przypadku incydentu, ułatwiając dostęp do niezbędnych usług – opisał.