Cyberataki już od wielu lat stanowią realne zagrożenie dla biznesu energetycznego. W dobie postępującej cyfryzacji sektor energetyki powinien pilnie wdrożyć dobre praktyki cyber-BHP i zakupić polisy cybernetyczne. Dlaczego działania te pomagają w obronie przed skutkami cyberincydentów?

Izabela Żylińska

Cyberincydenty – ryzyko biznesowe nr 1

Czy to w przestrzeni biznesowej czy prywatnej, informacje o konieczności zachowana cyberbezpieczeństwa bombardują nas z każdej strony. Nie bez powodu coraz częściej i głośniej mówi się na ten temat. Dziś, już chyba każdy miał choć jedną przygodę z mniejszym bądź większym cyberatakiem na komputer, telefon, stronę internetową czy konto bankowe… Nie będzie więc odkrywcze, jeśli napiszę, że liczba czyhających na nas zagrożeń z każdą minutą rośnie, a zwiększona aktywność hakerów wynika m.in. z rozpowszechnienia pracy zdalnej i hybrydowej, postępującej digitalizacji procesów w firmach, cyberkonfliktów czy trwającej wojny w Ukrainie. Jak podaje Check Point Research, liczba cyberataków na świecie jest najwyższa od 2 lat i wynosi średnio 1258 tygodniowo. Co istotne, w samym II kw. 2023 r. wzrosła o 8% w porównaniu do analogicznego okresu w roku ubiegłym. To nie koniec złych wiadomości. Za region o najwyższym wzroście ataków – ponad 21% r/r – uznaje się Europę. Natomiast w samej Polsce w II kw. 2023 r. odnotowano o 33% więcej cyberincydentów niż w II kw. 2022 r. [1, 2]. Dodatkowo, według szacunków Komisji Europejskiej, roczny koszt cyberprzestępczości dla światowej gospodarki w 2020 r. wyniósł 5,5 biliona euro! To aż  dwukrotny wzrost w porównaniu z 2015 r. [3].

Świadomość o czających się na prawie każdym kroku cyberzagrożeniach nie jest obca biznesowi. Potwierdzają to dane z udostępnionych w ostatnich miesiącach publikacji rynkowych. Przykładowo, respondenci międzynarodowego badania „Barometr Ryzyka Alliance 2023” już drugi rok z rzędu wskazują incydenty cybernetyczne jako ryzyko biznesowe nr 1 nie tylko w kontekście świata, ale również Europy. Ataki stanowią duże zagrożenie także dla polskich przedsiębiorstw i to niezależnie od ich wielkości i reprezentowanej branży. W publikacji „Barometr cyberbezpieczeństwa KPMG. Edycja 2023” możemy przeczytać, że w ubiegłym roku w naszym kraju:

• 58% firm odnotowało przynajmniej jeden incydent polegający na naruszeniu bezpieczeństwa,
• 33% firm zauważyło wzrost intensywności prób cyberataków,
• 20% firm odnotowało wzmożoną aktywność cyberprzestępców w związku trwającą wojną w Ukrainie.

Oczywiście mówimy tu o zarejestrowanych cyberatakach. Strach pomyśleć, ile incydentów nie zostało zauważonych i zgłoszonych! A jest czego obawiać się. Jak podaje raport „Threat Landscape 2022” Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA, European Union Agency for Cybersecurity), do głównych grup zagrożeń dla cyberbezpieczeństwa należą obecnie [4]:

1. ransomware, czyli przejęcie kontroli nad danymi i żądanie okupu za przywrócenie dostępu (najbardziej niepokojące zagrożenie),
2. malware, czyli złośliwe oprogramowanie szkodzące systemowi,
3. zagrożenia związane z socjotechniką, czyli wykorzystywanie błędu ludzkiego w celu uzyskania dostępu,
4. zagrożenia dla danych, czyli atakowanie źródeł danych dla uzyskania nieautoryzowanego dostępu lub ujawnienia ich,
5. zagrożenia dla dostępności do danych lub usług,
6. zagrożenia dla dostępności do Internetu,
7. dezinformacja / informacje wprowadzające w błąd,
8. zagrożenia dla łańcucha dostaw wpływające na relacje między organizacjami a dostawcami.

Powyższe potwierdzają przedstawiciele biznesu uczestniczący w raporcie Alliance. Wśród największych zagrożeń respondenci wymienili: naruszenie danych (53%), wzrost liczby ataków ransomware (50%) i malware (28%), zakłócenia wynikające z awarii cyfrowych łańcuchów dostaw, platform usług w chmurze/technologii (35%).

Komentarz: Polska energetyka odnotowuje wzrost cyberincydentów

• Piotr Gołębiewski, Kierownik Wydziału CERT, Departament Teleinformatyki, Polskie Sieci Elektroenergetyczne S.A.:

– Na początku wojny w Ukrainie nie zauważyliśmy zwiększonej liczby cyberataków. Natomiast obserwujemy więcej ataków typu phishing i spear phishing.

• Zespół Cyberbezpieczeństwa TAURON Polska Energia S.A. / Centrum Usług Wspólnych IT w TAURON Obsługa Klienta sp. z o.o.:

– Liczba zdarzeń / ataków dotyczących cyberbezpieczeństwa wzrasta z roku na rok, co doskonale odzwierciedla raport NASK Raport CERT 2022 – Raporty – NASK [5] za rok 2022 „Krajobraz bezpieczeństwa polskiego Internetu”. W naszych systemach zauważamy podobną tendencję wzrostową.

• Grzegorz Wojtaszek, Dyrektor Departamentu Cyberbezpieczeństwa w PGE Systemy S.A.:

– Zespół PGE-CERT od momentu rosyjskiej agresji na Ukrainę obserwuje wzrost liczby ataków na sieci teleinformatyczne. Zauważalny jest wzrost skali działania w zakresie kampanii phishingowych, mających na celu wyłudzenie danych uwierzytelniających. Ze względu na bezpieczeństwo działalności, spółka nie upublicznia informacji dotyczących liczby i rodzaju cyberzagrożeń, z którymi ma do czynienia w działaniach operacyjnych.

• Aleksander Wiśniewski, Analityk E.ON CERT PL:

– Widzimy wzrastającą z roku na rok liczbę cyberataków na całym świecie. Te informacje pochodzą zarówno z naszych własnych źródeł, ale też od instytucji państwowych. Dostępne nam dane nie potwierdzają jednak, by wybuch wojny w Ukrainie miał bezpośrednie przełożenie na znaczący, skokowy wzrost tego typu ataków.

Ogłaszamy cyberalarm dla polskiej energetyki!

O powadze sytuacji związanej z cyberbezpieczeństwem w Polsce świadczą wciąż obowiązujące na terenie całego kraju stopnie alarmowe BRAVO i CHARLIE–CRP. Jak podaje gov.pl [6], drugi stopień alarmowy BRAVO ma charakter prewencyjny i dotyczy aktualnej sytuacji geopolitycznej w regionie związanej z różnego rodzaju działaniami o charakterze ataku hybrydowego prowadzonego przez Federację Rosyjską i Białoruś względem Polski i innych krajów Unii Europejskiej oraz konsekwencjami zbrojnego ataku Rosji na Ukrainę. Trzeci stopień CHARLIE–CRP jest wprowadzany w przypadku wystąpienia zdarzenia potwierdzającego prawdopodobny cel ataku o charakterze terrorystycznym w cyberprzestrzeni albo uzyskania wiarygodnych informacji o planowanym zdarzeniu. Podczas jego trwania obowiązują w szczególności następujące zadania:

• całodobowe dyżury administratorów systemów kluczowych dla funkcjonowania organizacji oraz personelu uprawnionego do podejmowania decyzji w sprawach bezpieczeństwa tych systemów,
• przegląd zasobów pod względem możliwości ich wykorzystania w przypadku zaistnienia ataku,
• przygotowanie się do uruchomienia planów umożliwiających zachowanie ciągłości działania po wystąpieniu potencjalnego ataku, w tym szybkiego i bezawaryjnego zamknięcia serwerów.

Oba stopnie alarmowe dotyczą również sektora energii, którego podsektory: wydobywanie kopalin, energia elektryczna, ciepło, ropa naftowa, gaz, dostawy i usługi dla sektora energii, jednostki nadzorowane i podległe, znalazły się w wykazie usług kluczowych w Rozporządzeniu Rady Ministrów z dnia 11 września 2018 r. (poz. 1806), niezbędnego dla pełnej implementacji unijnej dyrektywy NIS oraz powstania Krajowego Systemu Cyberbezpieczeństwa. Przypomnę w tym miejscu, że usługa kluczowa to taka, która ma strategiczne znaczenie dla utrzymania krytycznej działalności społecznej lub gospodarczej. Sprawne działanie energetyki niezbędne jest więc do zapewnienia funkcjonowania polskiej gospodarki, Polaków, a także bezpieczeństwa wewnętrznego i zewnętrznego naszego kraju. Aby to zagwarantować, potrzebujemy utrzymywać w należytym stanie technicznym i cyberbezpiecznym fizyczne elementy sieci elektroenergetycznych, jak również jej systemy IT i OT.

W związku z tym, że nasz artykuł dotyczy tylko kwestii cyberbezpieczeństwa, skupmy się na odpowiedzi na pytanie: Czy istnieje możliwość uniknięcia cyberataków na energetykę?

Bezpieczeństwo to nie produkt to proces

Przy szybko rozwijających się technologiach, pędzie do digitalizacji wszystkiego także w energetyce, 100% uniknięcie incydentów cybernetycznych nie jest dziś możliwe. Stosując dobre praktyki cyber-BHP, jesteśmy jednak w stanie zmniejszyć podatność organizacji i nas samych na cyberataki.

▶ Propozycja: Zachęcam Czytelników do lektury analizy „Psychologiczne aspekty cyberbezpieczeństwa” autorstwa Pawła Zegarowa.

Cyber-BHP to pojęcie o złożonym i interdyscyplinarnym charakterze. Najczęściej mianem cyberhigieny określa się zbiór zasad, zachowań i zaleceń, których przestrzeganie zwiększa cyberbezpieczeństwo indywidualnych użytkowników i organizacji. Wśród porad, jak zadbać o bezpieczeństwo higieny pracy w świecie cyfrowym, serwis rządowy gov.pl wymienia m.in. stosowanie bezpiecznych haseł wraz z dodatkową weryfikacją podczas logowania poprzez wieloskładnikowe uwierzytelnianie (MFA, ang. Multi-Factor Authentication). Dlaczego w energetyce niezwykle istotne jest zadbanie o hasła – i to nie tylko te do logowania na komputer lub skrzynkę e-mail – pokazuje „Raport roczny z działalności CERT Polska 2022. Krajobraz bezpieczeństwa polskiego Internetu” [5]. Na stronach 20 i 21 publikacji opisane zostały dwa ciekawe przykłady z Polski dotyczące podłączanych bezpośrednio do Internetu dużych instalacji OZE. W przypadku pierwszym, na jednej ze stacji elektroenergetycznych WN 110/20 kV, znaleziono sterownik oraz kamerę, dostępne zdalnie bez uwierzytelniania. Stacja, której dotyczył problem, odpowiedzialna była za przesył wytworzonej energii elektrycznej z farmy wiatrowej 14 MW. Kolejnym opisanym przykładem była podstacja energetyczna należącą do farmy fotowoltaicznej, której panel administracyjny sterownika stacyjnego został podłączony do Internetu bez hasła przez modem komórkowy.

– Przedstawione w raporcie CERT Polska przykłady świetnie oddają dotychczasowe podejście biznesu do cyber-BHP i jakiejkolwiek kontroli merytorycznej bezpieczeństwa IT w organizacjach. Do tej pory IT miało bowiem spełniać potrzeby biznesowe, a aspekt prywatności i bezpieczeństwa (czy to w kwestii polityki zarządzania hasłami czy zakupu systemu zabezpieczającego) był ignorowany. Uważano również, że zabezpieczenia cyber kosztują więcej niż potencjalne straty. Takie przeświadczenie wynikało z niedoszacowania zagrożeń na poziomie najwyższego kierownictwa – komentuje główne przyczyny zaniedbań Mateusz Kopacz, Information Security Officer, Grupa MCX. – Warto w tym miejscy wskazać, że biznes sam siebie kontrolować nie może, a w przypadku wystąpienia incydentów nie zgłaszano tego do instytucji państwowych, jak Policja czy IODO, lecz płacono okupy lub wykupywano dodatkową polisę ubezpieczeniowych.

Co może wydarzyć się po uzyskaniu dostępu do sterowników czy kamer przez osobę nieuprawnioną? Jak wskazuje Ekspert Grupy MCX, już po przełamaniu pierwszego zabezpieczenia, jakim jest słabe hasło lub jego brak, atakujący nie tylko może wpłynąć na działanie farmy fotowoltaicznej czy wiatrowej, ale przede wszystkim uzyskuje wiele krytycznych informacji o organizacji, do której się dostał. Akces inicjujący pokazuje m.in. logikę uwierzytelniania się przez przedsiębiorstwo, jaki stosuje system, czy jest on aktualizowany, na jakim stoi serwerze, czy są na nim wdrożone inne narzędzia i jak są zabezpieczone. W kolejnym kroku atakujący, wykorzystując wiedzę, jaką zdobył w pierwszej fazie ataku, podnosi swoje uprawnienia do najwyższych możliwych. Eskalacja uprawnień pozwala na zdobycie kolejnych dostępów do informacji i zwiększenia rażenia cyberataku.

Aby w przyszłości uniknąć tego typu sytuacji, na etapie projektowania i tworzenia systemów informatycznych konieczne jest przyjęcie założeń filozofii „Security by design”. Stosowanie tego podejścia jest niezwykle ważne w szybko digitalizowanym świecie biznesowym, czyli także i w branży energetycznej.

– Zgodnie z ideą „Security by design” procesy bezpieczeństwa należy wpisać w DNA organizacji już na starcie. Sensem wspomnianego podejścia jest prewencja i zapobieganie naruszeniom zasad cyberbezpieczeństwa, w miejsce naprawiania szkód i przywracania funkcjonowania systemów – mówi Mateusz Kopacz z Grupy MCX i dodaje: – Jednak nawet najlepiej opisane procedury bez budżetu na zabezpieczenia nie pomogą w uzyskaniu cyberbezpieczeństwa. Powinni o tym pamiętać właściciele biznesów, do których zadań należy sprawdzenie stosowanych zabezpieczeń w przedsiębiorstwie. W końcu, w myśl najświeższych regulacji, obowiązek detekcji, prewencji i reakcji spoczywa na najwyższym kierownictwie, czyli zarządzie i radzie nadzorczej. Warto więc w organizacji wypracować i finansować model, w którym system bezpieczeństwa jest regularnie testowany, weryfikowany i poprawiany. Tylko adaptacyjne podejście przyniesie wymierne skutki w przyszłości.

Klucze sprzętowe jako niezbędny element zabezpieczenia systemu

Jednym z najpopularniejszych sposobów na uwierzytelnianie wieloskładnikowe są dwuskładnikowe etapy weryfikacji (2FA, ang. Two-Factor Authentication), czyli np. jednorazowe kody wysyłane na telefon lub kreowane przez specjalną aplikację, a także klucze zabezpieczające U2F (ang. Universal 2^nd Factor). Używanie kluczy sprzętowych jako dodatkowej warstwy zabezpieczeń obok haseł i dwuskładnikowego uwierzytelniania rekomenduje Marcin Majchrzak, Regional Sales Manager DACH & CEE, Yubico. Rozwiązania te odporne są na ataki phishingowe, a ich wykorzystanie może silnie zwiększyć bezpieczeństwo w procesie uwierzytelniania. Poprzez wykorzystanie kluczy, usuwa się bowiem odpowiedzialność związaną z uwierzytelnianiem oraz identyfikacją ataku phishingowego z użytkownika.

– Dobre hasło i dwuskładnikowe uwierzytelnianie są krokiem w dobrą stronę, ale nie zawsze wystarczają, by w pełni zabezpieczyć się przed phishingiem. Korzystając z tradycyjnego drugiego składnika, takiego jak kod SMS, hasło jednorazowe czy powiadomienie push nadal polegamy na użytkowniku, który ma za zadanie rozpoznać stronę phishingową od prawdziwej. W przypadku phishingu, atakujący próbują przechwycić hasło, jak również kod jednorazowy, które użytkownik wpisuje na fałszywej stronie – mówi Marcin Majchrzak. – Klucze sprzętowe, takie jak YubiKey, działają w oparciu o technologię FIDO (Fast Identity Online), która eliminuje konieczność wpisywania haseł. W trakcie uwierzytelniania, YubiKey generuje unikatowy kod, który jest bezpiecznie przesyłany do zabezpieczonej strony internetowej. Ponadto, klucz sprzętowy wymaga fizycznego włożenia lub dotknięcia, co uniemożliwia przechwycenie kodu przez atakujących.

Klucze sprzętowe zaprojektowano tak, aby były łatwe w obsłudze przez każdego użytkownika. Po zapoznaniu się z prostymi instrukcjami, większość osób powinna być w stanie skutecznie skorzystać z klucza podczas uwierzytelniania. Zawsze jednak warto zorganizować sesje szkoleniowe i zapewnić wsparcie techniczne, aby ułatwić pracownikom adaptację do nowego zabezpieczenia.

Czy pamiętasz o systematycznej aktualizacji systemów?

Kolejnym elementem cyberbezpieczeństwa, jaki wskazują eksperci gov.pl, jest instalacja profesjonalnych programów antywirusowych, a także systematyczne aktualizowanie urządzeń, programów i aplikacji, z których korzysta się w pracy.

– Aktualizacje oprogramowania zawierają wiele poprawek bezpieczeństwa, które zapobiegają atakom hakerskim i rozprzestrzenianiu szkodliwego oprogramowania. Wraz z rosnącym ryzykiem cyberataków i wykorzystywaniem podatności w oprogramowaniu, aktualizacje stają się coraz bardziej istotne w zapewnieniu bezpieczeństwa działania komputerów, aplikacji oraz infrastruktury sterującej procesami technologicznymi – podkreśla Tomasz Kozar, Cloud Technology Strategist, Microsoft Polska.

Według przedstawiciela Microsoft Polska szczególnie istotne dla firm energetycznych pod kątem aktualizacji są dwa obszary:

1. Systemy Technologiczne (OT), gdzie mamy urządzenia działające bezpośrednio w sieci energetycznej, np. liczniki zdalnego odczytu i systemy dyspozytorskie, które są najczęściej instalowane na komputerach w sieciach odłączonych od Internetu, bez możliwości pobierania aktualizacji oprogramowania. W takim środowisku, zdarzało się, że administrator systemów nie wykonywał aktualizacji oprogramowania, otwierając się na istotne podatności i zagrożenia cyberatakami. Jeszcze kilka lat temu można było nadal zobaczyć systemy SCADA, działające na Windowsach XP, co  stanowiło bardzo duże zagrożenia dla funkcjonowania istotnych elementów infrastruktury krytycznej. Ostatnimi czasy, poziom świadomości i poziom zabezpieczeń firm energetycznych bardzo się podniósł i aktualizacja oprogramowania jest wykonywana na bieżąco, zgodnie z zaleceniami i rekomendacjami.
2. Środowisko biurowe (Digital Workspace), w którym zabezpieczenie infrastruktury krytycznej przed rosnącym cyberzagrożeniem jest również bardzo istotne. Konieczność wykorzystania najnowszej wersji oprogramowania i modeli uczących nie wynika jedynie z ogromnej ilości poczty elektronicznej, którą przetwarza statystyczna organizacja (ani z tego, jak duży jej procent stanowią niechciane wiadomości), ale także – a może przede wszystkim – z możliwości brania pod uwagę przy podejmowaniu decyzji innych czynników, mających swoje źródło w wiedzy o zagrożeniach (threat intelligence) dostawcy. W przypadku poczty mogą to być bloki adresów IP znanych dostawcy jako powiązane np. z phishingiem, odnośniki do podejrzanych URL czy liczba podobnych wiadomości wysyłanych globalnie.

Case study: Cyberwojna na Ukrainie

Dlaczego systematyczna aktualizacja systemów w energetyce jest niezwykle ważna, pokazują obserwacje Microsoft's Digital Security Unit zamieszczone w raporcie RE4Vwwd [7]. W dokumencie opisano ataki wykonywane na infrastrukturę Ukrainy, którym można było zapobiec poprzez aktualizację oprogramowania oraz zabezpieczenia na poziomie systemów.

– Ataki były prowadzone w celu uzyskiwania wstępnego dostępu do środowiska IT organizacji. Zastosowano m.in. kampanie phishingowe, wykorzystujące niezałatane luki w zabezpieczeniach lokalnych serwerów Exchange i kompromitowanie dostawców usług IT, na przykład Kitsoft, z którego oferty korzystały firmy rządowe i energetyczne na Ukrainie – przybliża zagadnienie Tomasz Kozar z Microsoft. – Początkowy dostęp do komputera użytkownika był następnie wykorzystywany w przejęciu dostępu do systemów dyspozytorskich, zmiany ustawień i rekonfiguracji urządzeń pracujących w infrastrukturze krytycznej.

Opisane wyżej działania miały charakter długoterminowy. Polegały na skanowaniu portów, instalowaniu złośliwego oprogramowania (malware), szpiegostwie i przejmowaniu kontroli nad krytycznymi elementami infrastruktury. Celem cyberataków była destabilizacja pracy sieci elektroenergetycznej, zablokowanie działania krytycznych aplikacji lub zniszczenie elementów infrastruktury, które pracowały pod jej nadzorem.

– Bardzo ważnym incydentem było również wykrycie przez Microsoft Threat Intelligence Center (MSTIC) nowego trojana FoxBlade (aka HermeticWiper). Oprogramowanie ukierunkowano przeciwko infrastrukturze cyfrowej Ukrainy na kilka godzin przed rozpoczęciem wojny przez Rosję – mówi Tomasz Kozar. – Trojan ten mógł bez wiedzy użytkownika wykorzystywać jego komputer do przeprowadzania ataków typu DDoS (Distributed Denial-of-Service).

Trojan FoxBlade, w przeciwieństwie do malware’u NotPetya firmy IRIDIUM, były precyzyjnie ukierunkowany. Pobierał i instalował złośliwe oprogramowanie na zaatakowanych maszynach i rozprzestrzeniał się na urządzeniach podłączonych w ramach danej organizacji. W odpowiedzi na to zagrożenie, aby zabezpieczyć komputery użytkowników i zablokować rozprzestrzenianie się ataku, firma Microsoft dodała w ciągu trzech godzin nowe sygnatury do usługi ochrony „Microsoft Defender for Endpoint”. Później nie zaobserwowano już rozprzestrzenienia się złośliwego oprogramowania tak, jak to było przy ataku NotPetya w 2017 r.

Pracownicy wciąż podatni na wyłudzanie informacji

Za większość problemów związanych z cyberbezpieczeństwem w przedsiębiorstwach odpowiadają – niestety – pracownicy i to niezależnie od zajmowanego stanowiska. Powodem takiego stanu rzeczy mogą być: brak lub podejmowanie złych decyzji, świadome negatywne działanie na rzecz organizacji, brak poczucia odpowiedzialności, bezmyślność, niewiedza i zmanipulowanie, jak również presja czasu.

– Warto pamiętać, że proste techniki phishingowe mogą czasami obejść nawet zaawansowane, zabezpieczenia, co stanowi dodatkowe wyzwanie dla pracowników w identyfikacji ataków. Ostatecznie, rosnąca liczba zagrożeń i zróżnicowane sposoby ich przeprowadzania utrudniają pracownikom ochronę przed phishingiem, od którego de facto rozpoczyna się 9/10 ataków i wycieków danych – wskazuje Marcin Majchrzak, Regional Sales Manager DACH & CEE, Yubico.

Wspomniany wyżej phishing to technika o charakterze socjotechnicznym, polegająca na podszywaniu się pod inną osobę lub instytucję w celu wyłudzenia poufnych informacji. Podczas ataku, poprzez wezwanie do pilnego działania, bardzo często ofierze narzucana jest też presja czasu. W 2022 r. CERT Polska zarejestrował 25 625 incydentów zaklasyfikowanych jako phishing, które stanowiły 64 proc. wszystkich obsłużonych incydentów w 2022 r. O tym dlaczego wyłudzenie danych przy pomocy e-maila lub SMS jest niebezpieczne dla sektora energetyki, opowiada na hipotetycznym przykładzie Ewa Piekart, CEO, Data Point Sp. z o.o.

– Wyobraźmy sobie sytuację, w której pracownik przedsiębiorstwa energetycznego dostaje wiadomość e-mail od administratora sieci o odbytym właśnie cyberataku, z prośbą, aby ten w trybie natychmiastowym zmienił swoje dane dostępowe do konkretnej usługi. W tym celu przekazany zostaje pracownikowi link do kontrolowanej przez przestępcę witryny, gdzie, aby utworzyć nowe hasło, musi podać dotychczasowe i swój login – przedstawia sposób działania hakerów Ewa Piekart. – Niestety, będąc w takiej sytuacji, niejeden pracownik w dobrej wierze, podda się zleconemu zadaniu. Nie spodziewając się zagrożenia, wpłynie znacząco na bezpieczeństwo, a tym samym funkcjonowanie, całej organizacji.

To, że pracownicy stanowią słabe ogniwo w organizacji potwierdza też przedstawiciel państwowej spółki z grupy energetycznej.

– Często to właśnie pracownicy są pierwszym celem ataków przestępców, aby poprzez odpowiednią manipulację lub wykorzystanie złych nawyków wykraść dostęp do firmowej sieci lub informacji wrażliwych, które mogą ułatwić dalszą penetrację zasobów teleinformatycznych – podkreśla Grzegorz Wojtaszek, Dyrektor Departamentu Cyberbezpieczeństwa w PGE Systemy S.A., i dodaje: – Ataki socjotechniczne są obecnie powszechne, a ich nasilenie stale rośnie. Techniki te pozwalają cyberprzestępcom na skuteczne omijanie zabezpieczeń i uzyskanie dostępu do zasobów atakowanej organizacji. Dlatego systematyczne podnoszenie świadomości pracowników i przekazywanie wiedzy z zakresu cyberbezpieczeństwa, z rozpoznawania phishingu i budowania odporności na różne techniki manipulacji w cyfrowym środowisku, stanowi konieczność.

Ciągła edukacja zwiększa cyberbezpieczeństwo organizacji

Spółki energetyczne to jedni z największych pracodawców w Polsce, którzy wyznaczają trendy w ważnych dla funkcjonowania społeczeństwa aspektach, jak np. cyberbezpieczeństwo. Przyjrzyjmy się więc, jak rozumie się w nich cyber-BHP i jak edukuje się o nim pracowników.

– Grupa E.ON przykłada dużą wagę do bezpieczeństwa danych w firmie i kwestii cyberbezpieczeństwa. Stale pracujemy nad podnoszeniem naszych kwalifikacji i ulepszaniem naszych systemów oraz infrastruktury. Przynależność do międzynarodowego koncernu pozwala nam korzystać z wiedzy zebranej w 17 krajach, w których działa E.ON. Możemy wykorzystać to doświadczenie do budowy i udoskonalania naszych lokalnych narzędzi oraz możliwości wykrywania i obrony przed cyberatakami – podkreśla Aleksander Wiśniewski, analityk E.ON CERT PL.

– Dbamy, aby nasi pracownicy mieli jak największą wiedzę i świadomość w tym obszarze. Prowadzimy szkolenia i inne działania edukacyjne, a także regularnie przypominamy obowiązujące procedury postępowania w przypadku incydentu cyberbezpieczeństwa – uzupełnia wypowiedź przedstawiciela E.ON CERT PL, Aneta Dobruk-Serkowska, Oficer Bezpieczeństwa Informacji (ISO) w Grupie E.ON w Polsce.

– Do zadań Zespołu CERT PSE należy między innymi podnoszenie świadomości użytkowników (pracowników PSE S.A.) w zakresie cyberzagrożeń, które to zadanie jest wykonywane regularnie – zarówno planowo, jak i w miarę bieżących potrzeb. Inicjatywy edukacyjne i szkolenia mają na celu nie tylko przybliżenie zasad cyberbezpieczeństwa, ale także powszechną ich znajomość, zrozumienie i stosowanie. Podejmowane przez nas działania są skierowane do wszystkich pracowników – mówi Piotr Gołębiewski, Kierownik Wydziału CERT, Departament Teleinformatyki, PSE. – Aby skuteczne edukować, korzystamy z różnych narzędzi, m.in.: wpisów na INTRANECIE, infografik lub plakatów, szkoleń na platformie e-learningowej, szkoleń stacjonarnych z prezenterem lub w formie on-line, artykułów, które są publikowane w Magazynie GK PSE „Przesył”, kampanii antyphishingowych z wykorzystaniem dedykowanej platformy.

Zespół Cyberbezpieczeństwa TPE / Centrum Usług Wspólnych IT w TOK wskazuje, że wszystkich użytkowników w Grupie TAURON obowiązują polityki, standardy oraz inne regulacje w zakresie cyberbezpieczeństwa. Edukacja na temat cyberhigieny odbywa się poprzez szkolenia, webinary czy kampanie informacyjne. Użytkownicy mają do dyspozycji narzędzia podnoszące poziom bezpieczeństwa. Oprócz tego, przez 24 godziny na dobę 7 dni w tygodniu, działa SOC (Security Operation Center, Centrum Bezpieczeństwa Operacji).

Dbałość o jak najwyższe standardy bezpieczeństwa należy do priorytetów także i w PGE Systemy. Spółka w sposób ciągły rozwija zabezpieczenia oraz wdraża dedykowane systemy bezpieczeństwa. Dla przedsiębiorstwa istotne są również działania uświadamiające, które pozwalają na podnoszenie wiedzy z tego obszaru wśród pracowników.

– Przede wszystkim naszym celem jest szkolenie pracowników tak, aby potrafili wykrywać potencjalne ataki w przestrzeni cyfrowej i nie dopuszczali do wystąpienia incydentów z zakresu cyberbezpieczeństwa. W tym celu pracownicy Grupy PGE cyklicznie odbywają szkolenia z zakresu bezpieczeństwa, mające za zadanie poszerzenie wiedzy z zakresu cyberzagrożeń. Dodatkowo, naszymi wewnętrznymi kanałami, informujemy pracowników o zagrożeniach, na które powinni zwrócić szczególną uwagę podczas wykonywania obowiązków służbowych, jak również w życiu prywatnym – podkreśla Grzegorz Wojtaszek, Dyrektor Departamentu Cyberbezpieczeństwa w PGE Systemy.

Przedstawiciel PGE Systemy wskazuje również jako konieczne stałe budowanie wśród pracowników Grupy PGE właściwych nawyków związanych z ochroną informacji, laptopów, telefonów komórkowych, haseł lub zachowań podczas korzystania z Internetu.

Komentarz: Procedury zgłaszania cyberincydentów w firmach energetycznych

• Piotr Gołębiewski, Kierownik Wydziału CERT, Departament Teleinformatyki, Polskie Sieci Elektroenergetyczne S.A.:

– W przypadku otrzymania podejrzanej wiadomości e-mail pracownicy mają obowiązek zgłosić taką wiadomość do zespołu CERT PSE zgodnie z obowiązującymi w PSE S.A. regulacjami. Instrukcja, w jaki sposób należy zgłosić incydent, znajduje się w INTRANECIE dostępnym dla wszystkich pracowników Spółki.

• Zespół Cyberbezpieczeństwa TAURON Polska Energia S.A. / Centrum Usług Wspólnych IT w TAURON Obsługa Klienta sp. z o.o.:

– Pracownicy Tauron w przypadku incydentu cyberbezpieczeństw mają zachować się zgodnie z obowiązującymi regulacjami.

• Aneta Dobruk-Serkowska, Oficer Bezpieczeństwa Informacji (ISO), E.ON CERT PL:

– Pracownicy E.ON wiedzą, że incydenty cyberbezpieczeństwa mają obowiązek zgłaszać telefonicznie i mailowo do naszego zespołu SOC, który pracuje 24 godziny na dobę, 7 dni w tygodniu. Dodatkowo ISO na bieżąco współpracuje z lokalnym CERT, podejmowane są wspólne inicjatywy w celu eliminowania niewłaściwych zachowań wśród pracowników.

▶ UWAGA: Pamiętajmy, aby zgłaszać incydenty do CSIRT NASK. Cyberataki można zarejestrować pod adresem https://incydent.cert.pl/.

Jak trwoga to… do ubezpieczyciela?

W przypadku, gdy organizacja nie zadbała o cyberhigienę lub zastosowane środki bezpieczeństwa były niewystarczające i nastąpił cyberatak, może okazać się koniecznym poniesienie różnego rodzaju kosztów finansowych. Aby zabezpieczyć się przed taką sytuacją, warto zaopatrzyć się w specjalistyczną polisę cybernetyczną.

– Polisa cyber zapewnia niezwłoczną pomoc assistance w momencie wystąpienia incydentu. Ubezpieczyciel koordynuje i opłaca koszty działań ekspertów z zakresu informatyki śledczej, obrony prawnej oraz public relations – wskazuje Łukasz Górny, Dyrektor Departamentu Rozwoju EIB SA, Radca Prawny, i dodaje: – W przypadku spółek energetycznych kluczowe znaczenie ma ochrona w następujących obszarach:

1. Odpowiedzialność cywilna za naruszenie przepisów o ochronie danych osobowych, w tym RODO, a także kary administracyjne w związku z naruszeniem RODO.
2. Koszty reakcji na incydent bezpieczeństwa, w tym koszty notyfikacji osób poszkodowanych.
3. Straty z tytułu przerwy w działalności wywołanej incydentem naruszenia bezpieczeństwa danych.
4. Koszty odtworzenia danych i oprogramowania.
5. Koszty poniesione na skutek otrzymania groźby usunięcia danych, zablokowania do nich dostępu lub ich ujawnienia (tzw. ransomware).

Opisany zakres ochrony w ramach ubezpieczenia cyber brzmi niezwykle zachęcająco dla potencjalnego ubezpieczonego, jednak w opinii Zespołu Cyberbezpieczeństwa TAURON Polska Energia S.A. / Centrum Usług Wspólnych IT w TAURON Obsługa Klienta sp. z o.o., cyberubezpieczania nie są jeszcze popularnym narzędziem mitygującym ryzyko cyber, a środki na nie lepiej zainwestować w zabezpieczenia i ludzi. Zainteresowanie ubezpieczeniami cyber wśród niewielkiej liczby przedsiębiorstw z sektora energetycznego w Polsce potwierdza Michał Balwiński, Cyber Practice Leader w Departamencie Underwritingu Ubezpieczeń Korporacyjnych w Generali T.U. S.A.

– Nie mogę podać dokładnych danych, ale byłbym w stanie wyliczyć umowy ubezpieczenia zawarte pomiędzy nami a podmiotami z sektora energetycznego na palcach jednej ręki. Głównie są to firmy zajmujące się dystrybucją energii – mówi Ekspert Generali T.U. S.A.

O powodach małej popularności usług cyberubezpieczenia wśród spółek z branży energetycznej rozmawiam wraz z Michałem Balwińskim w wywiadzie „Polisa cyber – dla wszystkich w energetyce czy tylko dla wybrańców?”.

Odmienną opinię w kwestii zapotrzebowania na cyberpolisy ma Łukasz Górny, Dyrektor Departamentu Rozwoju EIB SA, Radca Prawny.

– Ryzyka cybernetyczne od wielu lat zajmują pierwsze miejsca na liście zagrożeń, których najbardziej obawiają się menadżerowie i osoby odpowiedzialne za zarządzanie ryzykiem. Tym bardziej dotyczy to spółek energetycznych, które doskonalą rozumieją, że ich kluczowa rola wiąże się z obowiązkiem wdrożenia wysokiej jakości procedur i systemów bezpieczeństwa IT. W politykę wielu z nich wpisana jest dodatkowo asekuracja tego obszaru za pomocą specjalistycznych polis cybernetycznych – podkreśla przedstawiciel brokera ubezpieczeniowego EIB SA. – Duże spółki energetyczne są zainteresowane bardzo wysokimi sumami ubezpieczenia (poziomem maksymalnych kosztów, jakie mogą być pokryte z polisy po incydencie), ponieważ potrzebują wsparcia w sytuacjach poważnego kryzysu, a z mniejszymi incydentami są w stanie poradzić sobie same. Niemniej jednak, dla mniejszych spółek energetycznych w dalszym ciągu możliwe jest uzyskanie oferty ubezpieczenia na rynku lokalnym. Dla dużych podmiotów poszukiwania ochrony odbywają się także na rynkach światowych.

Sytuacja ta wiąże się z wydarzeniami, jakie miały miejsce w poprzednich latach. Wtedy to cały portfel polis cyber na świecie został dotknięty bardzo dużą szkodowością, w tym zwłaszcza z sektora publicznego, więc czołowi ubezpieczyciele zweryfikowali swoją politykę w tym obszarze.

– Z uwagi na to, że spółki energetyczne stanowią potencjalny cel ataków hakerskich, duża część rynku ubezpieczeniowego wyłącza ze swojego „apetytu” ofertę cyber dla tego sektora. Przestój wytwórcy energii spowodowany cyberincydentem lub wyciek danych osobowych klientów operatora, wiążą się z ogromnymi stratami – wyjaśnia Radca Prawny.

Nie każda firma energetyczna otrzyma cyberpolisę

Zarządzanie infrastrukturą krytyczną, publiczny i komunalny charakter przedsiębiorstw energetycznych, to niejedyne kryteria oceniane przez ubezpieczycieli, które sprawiają, że uzyskanie oferty ubezpieczenia jest utrudnione.

– Podmiot, który chce zawrzeć polisę cyber w pierwszej kolejności musi spełnić minimalne wymogi techniczne oceny ryzyka, takie jak zapewnienie tzw. MFA (uwierzytelnienie wieloskładnikowe) czy też dotyczące wykonywania kopii zapasowych w trybie offline – mówi Łukasz Górny, Dyrektor Departamentu Rozwoju EIB SA, Radca Prawny. – Ubezpieczyciele współpracują z firmami, które mogą przeprowadzić steress test infrastruktury IT klienta i wskazać miejsca wymagające poprawy bezpieczeństwa. Wdrożenie zaleceń z raportu ułatwia w kolejnym kroku uzyskać ofertę ubezpieczenia cyber.

Wycena ryzyka, a więc proponowana składka, dokonywana jest indywidualnie na podstawie tego, jakiego rodzaju systemy i procedury zostały wdrożone w spółce. Dokonuje się jej także w oparciu o oczekiwany limit odpowiedzialności w polisie, wysokość franszyz, określanych procentowo i kwotowo, które wskazują, jak bardzo w kosztach każdej szkody będzie partycypowała sama spółka, wysokość przychodów oraz liczbę rekordów danych osobowych, jakie przetwarza podmiot.

Analizując powyższe informacje przekazane przez Eksperta EIB SA, łatwo dojść do wniosku, że nie każde przedsiębiorstwo energetyczne w Polsce, które zgłosi się do ubezpieczyciela, uzyska od niego ofertę na cyberpolisę. A jeśli nawet pojawi się „zielone” światło na taką współpracę, może okazać się, że zaproponowana składka będzie zbyt wysoka do opłacenia. W związku z tym, że w obu przypadkach firmy nie będą mogły pokryć kosztów ataku z ubezpieczenia cybernetycznego, będą musiały przestać „udawać”, że problem cyberzagrożeń nie istnieje. Fundamentalnym stanie się więc zbudowanie solidnych podstaw cyber-BHP, zastosowanie podejścia „Security by design” i zorganizowanie budżetu na aktywne cyberbezpieczeństwo.

Cyber-BHP – dlaczego ważne jest bezpieczeństwo i higiena w cyfrowym świecie?

Do kontynuacji tematu cyberhigieny i cyberpolis zapraszamy podczas 7. Konferencji „Inteligentna Energetyka”. Wydarzenie już 6 grudnia 2023 r. w Warszawie. Tegoroczna edycja konferencji, odbędzie się pod hasłem „Cyber(NIE)bezpieczeństwo polskiej energetyki – fakty czy mity?”. Celem spotkania jest obalenie lub udowodnienie tez sformułowanych jako tytuły sesji w ramach programu. Na podstawie uzyskanych wniosków wraz z partnerami konferencji przygotujemy raport rynkowy, który będzie dostępny w wersji cyfrowej do bezpłatnego pobrania na stronie wydarzenia i na portalu Smart-Grids.pl.

Chcesz wygłosić prezentację podczas 7. Konferencji „Inteligentna Energetyka”? Zapraszamy do kontaktu Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript..

Rejestracja na spotkanie na stronie: https://www.inteligentnaenergetyka.pl/konferencje/o-7-konferencji/.

Partnerzy i Patroni 7. Konferencji „Inteligentna Energetyka” (na dzień 05.12.2023 r.)

• Patronat Honorowy: Ministerstwo Rozwoju i Technologii, Adama Andruszkiewicza Sekretarza Stanu w Ministerstwie Cyfryzacji, Polskie Towarzystwo Informatyczne
• Partner Strategiczny: ESMETRIC GROUP
• Partner Technologiczny: MCX Pro, Andra, BlackBerry
• Partner Prelekcji: Nokia Solutions and Networks, SMA Solar Technology AG, PGE Polska Grupa Energetyczna
• Partner Wystawy: Generali T.U.
• Partner Prawny: Kancelaria Adwokacka dr Magdalena Krawczyk
• Patroni Instytucjonalni: Fundacja AI LAW TECH, Aigorithmics, Fundacja Bezpieczna Cyberprzestrzeń, Polska Izba Informatyki i Telekomunikacji, KIGEiT
• Sponsor Nagród: Helion, Yubico
• Główny Patron Medialny: Smart-Grids.pl
• Patroni Medialni: magazynbiomasa.pl, wysokienapiecie.pl, energetyka-rozproszona.pl, Nowa Energia, cire.pl, Energetyka Wodna, PolitykaBezpieczenstwa.pl, Security Magazine
• Partner Networkingowy: Energetic Business Mixer
• Partner Wideo: IGS Production
• Organizator: Agencja Reklamowo-Wydawnicza ARTSMART

fot.: freepik / rawpixel.com, Racool studio

Literatura:
[1] https://ceo.com.pl/hakerzy-coraz-czesciej-atakuja-dla-okupu-rosnie-ilosc-atakow-ransomware-wysokosc-okupow-i-grup-hakerskich-52905
[2] https://crn.pl/aktualnosci/najwyzszy-poziom-cyberatakow-od-dwoch-lat/
[3] https://digital-strategy.ec.europa.eu/en/library/cybersecure-digital-transformation-complex-threat-environment-brochure
[4] https://www.europarl.europa.eu/news/pl/headlines/society/20220120STO21428/cyberbezpieczenstwo-glowne-i-nowe-zagrozenia
[5] https://www.nask.pl/pl/raporty/raporty/5203,Raport-CERT-2022.html
[6] https://www.gov.pl/web/mswia/stopnie-alarmowe-bravo-i-charliecrp-na-terenie-calego-kraju-wciaz-obowiazuja2
[7] https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RE4Vwwd

 © Materiał chroniony prawem autorskim – wszelkie prawa zastrzeżone.
Dalsze rozpowszechnianie artykułu tylko za zgodą wydawcy ARTSMART Izabela Żylińska. Więcej w Regulaminie