Wpływ obecnej sytuacji geopolitycznej na cyberzagrożenia w krytycznych działach gospodarki

Tak jak pandemia zmieniła cały krajobraz cyberzagrożeń, o czym mówiła w listopadzie 2021 roku na łamach tego wydawnictwa pani Izabela Albrycht, przewodnicząca Rady Programowej CYBERSEC i członek zarządu Digital Europe, tak teraz zmiany te pogłębia sytuacja geopolityczna na świecie, a w szczególności wojna w Ukrainie.

Każdego dnia odkrywane są nowe rodzaje cyberataków, a ich źródła stają się coraz bardziej niebezpieczne. Rośnie nie tylko liczba, stopień zaawansowania, złożoność ataków, ale także metod działania cyberprzestępców realizujących coraz częściej ataki na zlecenie i posługujących się coraz bardziej skutecznymi narzędziami. Jednocześnie rośnie napięcie w cyberprzestrzeni w wymiarze międzynarodowym. Znacznie rośnie liczba ataków wspieranych przez rządy, w tym na krytyczne działy gospodarki.

W szczególności najbardziej zagrożeni są operatorzy infrastruktury krytycznej, tacy jak dostawcy wody lub energii. Wiąże się to z radykalnymi zmianami, jakie społeczeństwa i gospodarki, w tym w krajach europejskich, przechodzą w wyniku transformacji cyfrowej. Podczas tego procesu infrastruktury techniczne łączą się, tworząc zunifikowany przemysłowy Internet rzeczy (ang. Internet of Things – IoT). Łączenie i sieciowanie działów korporacyjnych o różnych wymaganiach bezpieczeństwa i wartościach biznesowych tworzy stale rosnące, złożone krajobrazy systemowe, a tym samym nowe cele ataków dla cyberprzestępców.

Ataki te są coraz bardziej wyrafinowane, dlatego konieczna staje się potrzeba powszechnego korzystania ze skutecznych instrumentów do monitorowania sieci przemysłowych w celu dostarczania alertów dotyczących nietypowych lub podejrzanych zachowań. Odporność gospodarki europejskiej zależy od tego, jak szybko będziemy w stanie wykryć takie cyberzagrożenia i zareagować na nie.

Trend wspólnoty europejskiej w kierunku zdecentralizowanej produkcji energii stawia dodatkowe wyzwanie ustanowienia odpowiedniej cyberobrony, a postępująca cyfryzacja procesów potęguje tę potrzebę. W tej sytuacji atakujący nie skupiają się wyłącznie na dużych korporacjach lub operatorach CRITIS (ang. Critical Information Infrastructures Security), ale coraz częściej na małych i średnich przedsiębiorstwach (MŚP). Dlatego zapewnienie wymaganego poziomu cyberbezpieczeństwa stało się ważnym wyzwaniem dla MŚP. Według raportu Verizon 2019 Data Breach Investigations Report 43 proc. cyberataków skierowanych jest dzisiaj na małe, a nie duże firmy. ENISA, agencja unijna odpowiedzialna za cyberbezpieczeństwo, ocenia, że koszt incydentu związanego z bezpieczeństwem w UE wynosi zwykle od 213 000 do 300 000 euro. Do najczęstszych problemów należą złośliwe oprogramowanie i ataki hakerskie na infrastrukturę IT MŚP, które w zdecydowanej większości nie dysponują zasobami i wiedzą, jak skutecznie przeciwdziałać takim zagrożeniom.

W obecnej sytuacji geopolitycznej firmy te stoją w obliczu zupełnie nowych zagrożeń. Bez powszechnego korzystania z rozwiązań służących ochronie przemysłowej infrastruktury IT gospodarki stoją w obliczu niebezpieczeństwa zniszczenia danych, szpiegostwa przemysłowego, sabotażu, kradzieży danych i tożsamości cyfrowych, szantażu i utraty wizerunku. A coraz częstsze ukierunkowane cyberataki (ang. Advanced Persistent Threats, APT) są zazwyczaj wykrywane zbyt późno lub wcale.

Cyberbezpieczeństwo ochrona danych

Rosnąca złożoność i różnorodność, wielowarstwowe zaciemnianie (unikanie detekcji, korzystanie z technik tzw. zaciemniania kodu i antyanalizy) oraz inteligentne algorytmy propagacji sprawiają, że adekwatne, innowacyjne koncepcje i strategie bezpieczeństwa IT są niezbędne do wykrywania prób ataków ukierunkowanych i wzmacniania odporności firm przemysłowych. MŚP nie są w stanie samodzielnie sprostać tym wyzwaniom ze względu na brak zasobów ludzkich i technicznych. W tym względzie konieczne są ciągłe intensywne i skuteczne działania. W przeciwnym razie przedsiębiorstwom tym, a w ślad za tym całym systemom gospodarczym, grozi dalsza utrata suwerenności cyfrowej. Złożoność dzisiejszych ataków można przezwyciężać jedynie za pomocą inteligentnych i zautomatyzowanych procedur monitorowania. Algorytmy uczenia maszynowego (ML) pomagają w szybkim wykrywaniu anomalii takich jak naruszenia i działania złośliwego oprogramowania, a także wykrywają atakujących w sieci poprzez znajdowanie wzorców w zestawach danych. Wymaga to jednak czegoś więcej niż tylko algorytmów.

Procedury muszą być zintegrowane z istniejącą infrastrukturą. Taka sytuacja wymaga holistycznego podejścia obejmującego cały proces reagowania na incydenty, a nie tylko poszczególne kroki. Jednocześnie takie rozwiązanie musi być otwarte na ekspansję i nadążać za stale zmieniającym się krajobrazem zagrożeń. Potrzebne są stale udoskonalane operacyjne platformy analizy zagrożeń i reagowania.

Dodatkowo jeden aspekt musi być udoskonalany w istniejących podejściach i rozwiązaniach. Kluczowe znaczenie ma bowiem wsparcie z jednej strony służb ratowniczych, takich jak zespoły reagowania na incydenty komputerowe (CERT), jak i z drugiej strony organy ścigania. Czas to najważniejszy czynnik skutecznej reakcji na incydent i podjęcie walki z cyberatakiem. Niezbędne jest również szybkie zebranie i przeanalizowanie odpowiednich, sformalizowanych informacji w jednym punkcie oraz zapewnienie wszystkich wymogów stawianych w związku z potrzebą wykorzystania do tego celu informatyki śledczej.

Artykuł opublikowany w ramach kampanii edukacyjnej „Cyberbezpieczństwo” prowadzonej z ramienia wydawnictwa MediaPlanet. Autorami tekstu są Marek Wierzbicki i dr hab. Inż. Jerzy Kosiński – eksperci Polskiej Platformy Bezpieczeństwa Wewnętrznego.