Wyobraź sobie dzień bez dostępu do wody, prądu lub Internetu – niestety to całkiem prawdopodobny scenariusz. Infrastruktura krytyczna, odpowiadająca za sprawne funkcjonowanie takich systemów, staje się celem coraz bardziej wyrafinowanych ataków, które mogą sparaliżować całe regiony i wpłynąć na życie milionów ludzi.
Na co dzień często nie zdajemy sobie sprawy, jak wiele systemów utrzymuje naszą gospodarkę, bezpieczeństwo czy zdrowie. Żyjemy w świecie, w którym technologia ściśle wiążące ze sobą różne sfery naszej rzeczywistości. Ten skomplikowany układ naczyń połączonych daje nam ogromne korzyści, ale jednocześnie jego uszkodzenie może prowadzić do trudnych do przewidzenia konsekwencji. Dlatego ochrona kluczowych systemów w tym układzie, zwanych „infrastrukturą krytyczną” ma szczególne znaczenie.
Choć cyberataki odcinające całe miasta od dostaw energii, hakerzy zakłócający działanie szpitali czy próby zatrucia ludności poprzez zdalną ingerencję w chemiczny skład wody w wodociągach brzmią jak motywy science fiction, zdarzają się naprawdę. Między innymi to właśnie przed takimi zagrożeniami muszą być chronione obiekty wchodzące w skład infrastruktury krytycznej. Dlatego państwa nakładają liczne obowiązki na przedsiębiorstwa będące częścią tych systemów.
W tym artykule wyjaśnimy, czym jest infrastruktura krytyczna (w skrócie „IK”), dlaczego jej ochrona jest tak ważna i omówimy kilka sytuacji, które mocno jej zagrażają. Ponadto zaprosimy osoby zajmujące się tą dziedziną do dołączenia do sieci interesariuszy, a mniejsze firmy do dedykowanego szkolenia.
Czym jest infrastruktura krytyczna
Infrastruktura krytyczna to termin używany do opisania elementów systemów infrastrukturalnych, które są niezbędne dla stabilnego funkcjonowania państwa, jego gospodarki, bezpieczeństwa narodowego i zdrowia publicznego. Obejmuje ona zarówno fizyczne obiekty, jak i systemy informatyczne oraz sieci telekomunikacyjne. W tym kontekście kluczowe dziedziny to między innymi energetyka, transport, wodociągi i kanalizacja, służba zdrowia, komunikacja, finanse czy bezpieczeństwo narodowe. W praktyce lista jest jeszcze dłuższa.
Świadomość zagrożeń, z jakimi spotykają się te systemy, sprawiła, że Unia Europejska przeznacza obecnie sporo energii i zasobów na zwiększenie bezpieczeństwa i odporności IK zarówno na zagrożenia fizyczne, jak i cybernetyczne. Jedną z istotnych inicjatyw w tym zakresie jest EU-CIP (Europejskie Centrum Wiedzy i Testowania Polityk w Zakresie Ochrony Infrastruktury Krytycznej), którego nadrzędną ambicją jest ułatwienie decydentom planowania działań na podstawie dowodów naukowych. W tym celu uruchomiono nowatorskie, ogólnoeuropejskie Centrum Wiedzy, które sprzyja wymianie informacji i współpracy między wszystkimi zainteresowanymi stronami. Centrum ma także wpływać na kształtowanie polityki oraz poprawę stanu ochrony i odporności IK poprzez innowacje.
Interesariusze infrastruktury krytycznej mogą już dołączać do Centrum Wiedzy. Więcej informacji znajdziesz na stronie eucip.eu.
Od pioruna do chaosu
To, jak istotne są dobrze zaprojektowane strategie ochrony infrastruktury krytycznej, świetnie ilustruje całodobowa przerwa w dostawie prądu w Nowym Jorku w 1977 roku. W tym okresie społeczeństwo było już niespokojne z powodu złej sytuacji ekonomicznej, co dotyczyło zwłaszcza mieszkańców biedniejszych dzielnic. Awaria wywołała efekt domina, gdzie niesprawność jednego z systemów IK (w tym wypadku dostawy prądu) pociągała za sobą kryzysy w kolejnych, doprowadzając w krótkim czasie miasto do chaosu. W wyniku tego doszło do rabunków w 134 sklepach, 550 policjantów zostało rannych, a 4500 osób aresztowano. Straty wyceniono na ponad 300 milionów dolarów (czyli równowartość 1,47 miliarda dolarów w 2022 roku).
W przytoczonym przypadku infrastruktura krytyczna uległa awarii z przyczyn naturalnych – uderzenia piorunów. Niemniej jednak szerokie konsekwencje podobnych zdarzeń sprawiają, że systemy o kluczowym znaczeniu dla bezpieczeństwa państwa i jego obywateli stają się powszechnym celem zaplanowanych ataków. Co więcej, współczesne technologie pozwalają przeprowadzać takie działania w pełni zdalnie. Przykład takich działań miał miejsce w Ukrainie w grudniu 2015 roku, gdy grupa hakerów Sandworm, powiązana z Rosją, zakłóciła działanie sieci energetycznej, pozbawiając prądu około 225 tysięcy ludzi na kilka godzin. Był to pierwszy znany przypadek, kiedy cyberatak doprowadził do wyłączenia sieci energetycznej.
Od szantażu do paniki
Atak na ukraińską sieć był elementem wojny hybrydowej, ale czasem wystarczy motywacja finansowa, by do takich aktów doszło. Głośnym przypadkiem tego typu operacji było zablokowanie ropociągu Colonial Pipeline w maju 2021 roku. Dokonali tego hakerzy z grupy DarkSide żądający okupu za przywrócenie systemów prywatnej firmy. Colonial Pipeline to kluczowy rurociąg dla wschodniego wybrzeża Stanów Zjednoczonych, a przestój w transferze paliwa trwał aż sześć dni. Skutkowało to wybuchem społecznej paniki i masowym wykupowaniem paliwa, co tylko pogłębiło kryzys. Warto zaznaczyć, że do ataku mogło dojść z powodu zaniedbań w procedurach bezpieczeństwa systemów komputerowych właściciela rurociągu.
Niepokoje wywoływane przez zakłócenie funkcjonowania infrastruktury krytycznej są właśnie tym czynnikiem, który zachęca do ataków, niezależnie czy są motywowane politycznie, czy finansowo. W pierwszym wypadku celem jest destabilizacja sytuacji w kraju, a w drugim szybkie wymuszenie zapłaty ogromnych okupów. To, że każdy system IK jest zagrożony, jest już dobrze wiadome. Świadczą o tym choćby znane ataki na szpitale (Düsseldorf, Niemcy 2020) czy wodociągi (Floryda, USA 2021).
Może Cię zainteresować też artykuł:
Zagrożenia hybrydowe – współczesne formy wywierania nacisku politycznego
Hybrydowe zagrożenia
Obserwowana dziś wzmożona presja cyberataków w Europie, a szczególnie w jej wschodniej części, w tym Polsce, powinna nas uczulić na wagę zabezpieczenia się przed takimi zdarzeniami. Również bowiem mniejsze przedsiębiorstwa mogą stać się obiektem działań hakerów w celu destabilizacji sytuacji w regionie i wywołania niepokoju. Teraz łatwiej wyobrazić sobie poważne konsekwencje wynikające z zachwiania funkcjonowania choćby takich usług jak wywóz odpadów, odprowadzanie ścieków, system weryfikacji tożsamości obywateli, telefonia komórkowa, Internet czy płatności bezgotówkowe.
Musimy zdawać sobie też sprawę, że konieczność szczególnej ochrony dotyczy wielu podmiotów, nie tylko wielkich spółek Skarbu Państwa i właścicieli dużych zakładów o znaczeniu strategicznym. W dostawy usług o krytycznym znaczeniu zaangażowane są także mniejsze przedsiębiorstwa, które mogą stać się celem ataków jako potencjalnie słabsze ogniwa. Należy zatem zadbać zarówno o plan ochrony, jak i odpowiednie zabezpieczenia, ale też o szkolenie każdego pracownika z osobna, ponieważ niekiedy wystarczy jeden błąd ludzki, żeby zniweczyć starania wielu osób. W naszym systemie naczyń powiązanych mała luka może wywołać turbulencje na szeroką skalę.
Czy moja organizacja jest elementem infrastruktury krytycznej?
Należy upowszechniać przekonanie, że w pewnym stopniu każdy z nas ma wpływ na wzajemne cyberbezpieczeństwo, a wiedza z zakresu cyberzagrożeń powinna być podstawą do korzystania z nowoczesnych technologii. Szczególne obowiązki spoczywają jednak na tych instytucjach, które zaliczają się do kategorii Infrastruktury Krytycznej.
Lista tych systemów jest długa, dlatego warto upewnić się, czy działalność Twojej organizacji się na niej nie znajduje. Jeśli faktycznie tak jest, konieczne jest poznanie ustawowych wymogów, które trzeba spełnić. Dla takich instytucji Polska Platforma Bezpieczeństwa Wewnętrznego oferuje szkolenie „Infrastruktura krytyczna – co każdy urzędnik i przedsiębiorca powinien o niej wiedzieć?”, podczas którego uczestnicy mogą zdobyć i usystematyzować wiedzę z zakresu pojęć związanych z IK oraz obiektami podlegającymi obowiązkowej ochronie, koniecznymi planami, dokumentami i procedurami, do których przygotowania i uzgodnienia obligują ustawy.
Szkolenie jest skierowane do operatorów infrastruktury krytycznej zarówno na poziomie administracji publicznej, jak i prywatnych przedsiębiorstw. Poprowadzi je specjalistka do spraw bezpieczeństwa, biegła sądowa, nauczycielka akademicka zajmująca się szeroko pojętym bezpieczeństwem IK, zwłaszcza w kontekście zagrożeń bezpieczeństwa fizycznego i osobowego. Jest autorką trzech książek i wielu publikacji związanych z terroryzmem, bezpieczeństwem obiektów i infrastrukturą krytyczną.
Szczegółowe informacje o szkoleniu, w tym data najbliższego spotkania oraz formularz zapisu, są dostępne tutaj: Infrastruktura Krytyczna
Serdecznie zapraszamy do zapoznania się z ofertą i dołączenia do Centrum Wiedzy w ramach projektu EU-CIP.