W poprzednich swoich artykułach autorzy zwracali uwagę przede wszystkim na obowiązujące akty prawne, mające na celu zapewnienie gruntu prawnego dla aktywności związanej z bezpieczeństwem m.in. infrastruktury krytycznej, ze strony ataków w cyber przestrzeni. W niniejszym artykule autorzy chcą przybliżyć realne działania, mające na celu ochronę infrastruktury krytycznej przed atakiem w cyberprzestrzeni. 

Powyższe kwestie mają znaczenie fundamentalne dla planowych inwestycji m.in. w morską energetykę wiatrową, w instalacje wodorowe oraz elektrownię jądrową. 

Regulacje prawne

W kwestii przypomnienia tematyki poprzednich artykułów, traktujących o cyberbezpieczeństwie, należy wskazać, iż na gruncie prawa krajowego regulacjami, które w swoim zamyśle miały zapewnić legislacyjny grunt pod ochronę m.in. infrastruktury krytycznej przed zagrożeniami w cyber przestrzeni, są m.in.:

– Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (t.j. Dz. U. z 2023 r. poz. 913). To właśnie ten akt prawny przede wszystkim po pierwsze określa organizację krajowego systemu cyberbezpieczeństwa oraz zadania i obowiązki podmiotów wchodzących w skład tego systemu; sposób sprawowania nadzoru i kontroli w zakresie stosowania przepisów ustawy oraz zakres Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej. Po wtóre wyznacza cel ogólny krajowego systemu cyberbezpieczeństwa jako zapewnienie cyberbezpieczeństwa na poziomie krajowym, w tym niezakłóconego świadczenia usług kluczowych i usług cyfrowych, przez osiągnięcie odpowiedniego poziomu bezpieczeństwa systemów informacyjnych służących do świadczenia tych usług oraz zapewnienie obsługi incydentów;

– Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2019-2024. W ramach Strategii Cyberbezpieczeństwa RP określone zostały wizja oraz cel główny związane z bezpieczeństwem cyber przestrzeni Rzeczypospolitej Polskiej. Wskazano, iż wraz ze wzrostem gospodarczym oraz codzienną działalnością przedsiębiorców oraz obywateli, związanymi ze sprawnym i bezpiecznym działaniem systemów informacyjnych i środków komunikacji elektronicznej konieczne jest wzmocnienie oraz rozwój krajowego systemu cyberbezpieczeństwa. Działania te miały uwzględnić systemowe rozwiązania organizacyjne, operacyjne, technologiczne, prawne, kreowanie postaw społecznych oraz prowadzenie badań naukowych tak, aby zapewnić spełnienie wysokich standardów cyberbezpieczeństwa w obszarze oprogramowania, urządzeń i usług cyfrowych. Miały one być podejmowane przez rząd z poszanowaniem praw i wolności obywateli oraz przez budowę zaufania między poszczególnymi sektorami rynkowymi a administracją publiczną.

Analiza powyższych regulacji prowadzi do dwóch istotnych wniosków, o czym autorzy pisali w swoich poprzednich artykułach:

– po raz kolejny daje się zauważyć, w tak newralgicznej sferze bezpieczeństwa gospodarki narodowej, jaką jest zapewnieni odpowiedniego poziomu cyberbezpieczeństwa infrastrukturze krytycznej, znaczne rozczłonkowanie kompetencji oraz zadań organów administracji państwowej;

– przerzucanie po raz kolejny całej odpowiedzialności za zapewnienie bezpieczeństwa w cyber przestrzeni na użytkownika danego systemu, bez jednoczesnego wsparcia tegoż użytkownika ze strony Państwa, odpowiednią legislacją oraz realną pomocą może bardzo poważnie odbić się w przyszłości na bezpieczeństwie energetycznym naszego państwa.

Dyrektywa NIS 2

Z punktu widzenia niniejszego artykułu znamiennym aktem prawnym jest oczywiście Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148czyli tzw. dyrektywa NIS 2. Głównym celem dyrektywy NIS 2 jest określenie minimalnych przepisów, jakie państwa członkowskie powinny wdrożyć, by ograniczyć ryzyko incydentów dotyczących cyberbezpieczeństwa. Dyrektywa ta ma zacząć obowiązywać w prawie polskim najpóźniej od 17 października 2024 r. należy w tym miejscu wskazać, iż podmiotami obowiązkowo objętymi regulacjami dyrektywy NIS 2 są podmioty z takich obszarów gospodarki jak:

• Energetyka (energia elektryczna, centralne ogrzewanie i chłodzenie, ropa, gaz, wodór);

• Transport (powietrzny, kolejowy, wodny, lądowy);

• Bankowość;

• Infrastruktura rynków finansowych;

• Zdrowie;

• Woda pitna;

• Ścieki;

• Infrastruktura cyfrowa;

• Administracja publiczna;

• Przestrzeń kosmiczna.

W ramach dyrektywy NIS 2 wszystkie ww. podmioty mają obowiązek zapewnić:

• ciągłość działań i zarządzanie kryzysowe;

• obsługę incydentów (zapobieganie, wykrywanie i reagowanie na incydenty);

• analizę ryzyka i politykę bezpieczeństwa systemów informatycznych;

• bezpieczeństwo łańcucha dostaw;

• bezpieczeństwo w pozyskiwaniu, rozwijaniu i utrzymywaniu sieci i systemów informatycznych (w tym obsługa i ujawnianie podatności);

• procedury (testowanie i audyt) służące ocenie skuteczności środków zarządzania ryzykiem cyberbezpieczeństwa;

• wykorzystywanie kryptografii i szyfrowania.

Jeżeli chodzi o zmiany w stosunku do obowiązującej dyrektywy NIS, to dyrektywa NIS 2 między innymi wprowadza obowiązek raportowania incydentów oraz nakłada większe wymagania w zakresie zarządzania, obsługi i ujawniania luk w zabezpieczeniach, testowaniu poziomu cyberbezpieczeństwa oraz efektywnym wykorzystywaniu szyfrowania. Dodatkowo dyrektywa ta, na której przyjęcie Polska miała 20 miesięcy na wdrożenie jej do polskiego systemu prawnego, wprowadza odpowiedzialność dla kierownictwa firmy za zgodność ze środkami zarządzania ryzykiem w cyberbezpieczeństwie.

Cyberbezpieczeństwo OT i ICS

Jeżeli mówimy o cyberbezpieczeństwie infrastruktury krytycznej, to koniecznym jest słów kilka na temat bezpieczeństwa systemów OT i ICS. Zapewnienie bezpieczeństwa tychże systemów, to zapewnienie bezpieczeństwa systemów automatyki przemysłowej oraz procesu produkcyjnego w fabrykach czy przedsiębiorstwach produkcyjnych lub usługowych. Systemy operacyjne służące do monitorowania, sterowania oraz kontroli procesów podczas produkcji (OT) czy przemysłowe systemy sterowania (ICS) są często podłączone do Internetu bez właściwej ochrony tejże sieci. Istotnym podkreślenia jest fakt, jak bardzo ważne jest zapewnienie cyberbezpieczeństwa systemów OT. W przypadku cyberataku na sie

 w przedsiębiorstwie produkcyjnym lub usługowym realnym i najbardziej prawdopodobnym zagrożeniem jest zatrzymanie procesu produkcji czy też wyrządzenie nieodwracalnych szkód fizycznych (np. uszkodzenie lub całkowite zniszczenie urządzeń) oraz technologicznych (np. zmiana składu produktu końcowego, zmiana temperatury czy innych składowych) w procesie. Ważnym jest, aby podmiot, będący operatorem m.in. infrastruktury krytycznej, był świadomy tego, iż gdy cyberprzestępca dostanie się do sieci, to ma możliwość zrobić wszystko, to co operator o równym dostępie – ma możliwość dowolnego sterowania procesem.

Ataki w OT nie są żadną rzadkością. Przytaczając chociażby tylko niektóre to należy wskazać na przykład atak robakiem NotPetya, który dotknął wiele firm:

• producenta ciasteczek Oreo – firmę Mondelez International Inc, która oszacowała straty na 5% spadek kwartalnej sprzedaży z produktu;

• producenta leków Merck & Co Inc, który z winy ataku musiał wstrzymać produkcję niektórych leków;

• firmę FedEx Corp, która z powodu ataków spowolniła zaplanowane dostawy;

• i inne mniej znane firmy jak np. Reckitt Benckiser PLC czy AP Moller-Maersk A/S.

Kolejnym atakiem, który mógł być katastrofalny w skutkach, był atak na wodociągi na Florydzie. W lutym 2021 roku nastąpił atak w cyberprzestrzeni na wodociągi w hrabstwie Pinellas. Nieznany sprawca włamał się do wodociągów i zwiększył stężenie wodorotlenku sodu stukrotne do wartości 11000 ppm. Takie parametry wody sprawiają, że jej oddziaływanie jest zbliżone (niestety byłoby jeszcze gorsze dla człowieka) do tego, jakie znamy m.in. ze środka do udrażniania rur. Atak udało się zatrzymać dzięki czujności pracownika, który dodatkowo zabezpieczał system monitoringu czuwający m.in. nad PH wody. Należy również przypomnieć atak, jaki miał miejsce w grudniu 2015 roku na Ukrainie, a który był pierwszym, znanym atakiem na sieć energetyczną, który zakończył się sukcesem. Przestępcy włamali się do systemów informatycznych trzech firm zajmujących się dystrybucją energii na Ukrainie zakłócając czasowo dostawy energii elektrycznej do ok 230000 konsumentów. Według danych, osoby te zostały pozbawione energii elektrycznej na czas od 1 do 6 godzin.

Mając na uwadze przytoczone powyżej incydenty oraz fakt, iż zgodnie z regulacjami przywołanymi we wcześniejszej części niniejszego artykułu, nałożony został obowiązek raportowania incydentów jak również zwiększono wymagania w zakresie zarządzania, obsługi i ujawniania luk w zabezpieczeniach, testowaniu poziomu cyberbezpieczeństwa oraz efektywnym wykorzystywaniu szyfrowania, najistotniejszy jest prawidłowy dobór narzędzi oraz rozwiązań, mających na celu zniwelowanie potencjalnego ataku do dopuszczalnego minimum. Na rynku obecnie istnieje wiele rozwiązań komercyjnych, jednak podstawową zasadą doboru tychże jest zrozumienie procesu technologicznego czy produkcyjnego pozwala na wydzielenie odpowiednich segmentów i stworzenie takiego zabezpieczenia sieci i będących w niej urządzeń, aby w przypadku ataku szkody były jak najmniej dotkliwe dla całości procesu technologicznego oraz przedsiębiorstwa. Najrozsądniejszym krokiem, który powinien przyświecać operatorom istniejących czy też nowo budowanych obiektów, wchodzących w skład m.in. infrastruktury krytycznej RP, jest dokonanie w pierwszej kolejności audytu sieci przemysłowej. Dzięki temu operator nabędzie wiedzę w przedmiocie potencjalnych słabych punktów oraz źródeł zagrożenia, jak również możliwych skutków ataku w cyberprzestrzeni. Mając taką wiedzę będzie w stanie dobrać odpowiedni produkt, mający na celu zapewnienie jak najefektywniejszego poziomu ochrony procesów sterujących produkcją.

Podsumowanie

Po raz kolejny należy podkreślić fakt, jak daleko idące obowiązki dotyczące zapewnienia cyberbezpieczeństwa zostały przerzucone na operatorów m.in. infrastruktury krytycznej, przy jednoczesnym braku wsparcia legislacyjnego w tej tematyce. 

Należy po raz kolejny z pełną mocą podkreślić, iż bez systemowego podejścia do problemu cyberbezpieczeństwa RP temat ten pozostanie kolejną sferą życia zarówno publicznego jak i prywatnego, wypełnioną martwymi przepisami oraz pustymi deklaracjami, co z kolei może prowadzić do zablokowania wielu inwestycji m.in. w OZE.

Mateusz Romowicz – radca prawny

Przemysław Niewiński - prawnik