146
Cyberbezpieczeństwo sektora elektroenergetycznego
zaznaczyć, że utworzenie i utrzymanie CERT-u jest dużym wyzwaniem
(choćby ze względu na trudność pozyskania specjalistów o odpo-
wiednich kwalifikacjach) i znajduje zastosowanie jedynie w przy-
padku dużych podmiotów (w polskim sektorze elektroenergetycz-
nym CERT istnieje m.in. w Polskich Sieciach Elektroenergetycznych
i ENERDZE). Z tego względu powstaje szereg usług, takich jak out-
sourcing usług CERT lub SOC (z ang.
Security Operations Center
) lub
korzystanie z tzw. SOC nowej generacji. Istnieje szereg instytucji zrze-
szających CERT-y w ramach sektorów czy regionalnie. Ich zadaniem
jest wymiana informacji między zespołami, koordynacja wzajemnego
ostrzegania o zagrożeniach oraz podnoszenie kwalifikacji poprzez
wspólne szkolenia i wymianę dobrych praktyk.
x x x
Cyberpolisy
Od niedawna do elementów nowoczesnej polityki bezpieczeństwa
przedsiębiorstwa można włączyć cyberpolisy. W przypadku wystąpie-
nia ataku i powstania konkretnych szkód odpowiednia polisa będzie
kluczem do zachowania ciągłości działania. Cyberpolisa może mieć
także istotny potencjał zapobiegawczy, kiedy w skład komplekso-
wej usługi wchodzą audyty, ocena ryzyka, optymalizacja procesów
związanych z bezpieczeństwem i zarządzaniem ryzykiem, szkolenia
czy doradztwo.
x x x
Problem zwrotu z inwestycji
Istotnym, choć niewidocznym na pierwszy rzut oka, problemem
w budowaniu cyberbezpieczeństwa w dużych korporacjach jest trud-
ność wykazania zwrotu z inwestycji. Działania tego typu konkurują
z przedsięwzięciami skierowanymi w rozwój biznesu. Koszty przezna-
czone na jego wdrażanie i rozwój, a w szczególności na zatrudnie-
nie wykwalifikowanych specjalistów nie mają bezpośredniego prze-
łożenia na wydajność produkcji czy przychody przedsiębiorstwa. Ich
uzasadnienie opiera się na starannej ocenie ryzyka, którą niełatwo
przeprowadzić w obliczu ciągle ewoluującego wachlarza zagrożeń,
często pojawiających się w zupełnie nowych miejscach. Straty zwią-
zane z wystąpieniem incydentów również są trudne do oszacowania.
Przykładowo, Kaspersky wycenił średnią stratę w wyniku incydentu
komputerowego w sektorze średnich i małych przedsiębiorstw na
38 000 dolarów. Z kolei inne badanie, przeprowadzone przez rząd
brytyjski oraz PwC, ustaliło tę wartość na kwotę 112 000–466 000
dolarów. Dodatkowo na te kalkulacje mają wpływ regulacje unijne,
jak np. o ochronie danych osobowych (RODO) czy dotyczące bez-
pieczeństwa sieci i informacji (Dyrektywa NIS).
x x x
Nowe unijne prawodawstwo w zakresie
cyberbezpieczeństwa – NIS i RODO
Dyrektywa Parlamentu Europejskiego i Rady dotycząca bezpieczeń-
stwa sieci i informacji z dnia 6 lipca 2016 r. definiuje operatorów
dostawców usług kluczowych (w tym sektor elektroenergetyczny)
i nakłada na nich szereg obowiązków w kwestii cyberbezpieczeństwa,
m.in. w zakresie raportowania incydentów komputerowych, a także
w charakterze i wysokości kar nakładanych na podmioty niestosujące
się do wymogów prawa. Dyrektywa ma charakter ogólny i wymaga
implementacji na poziomie krajowym – w Polsce rolę tę ma pełnić
ustawa o krajowym systemie cyberbezpieczeństwa, która jest aktual-
nie na etapie projektowym (stan na 30 kwietnia 2018 r.). Regulacje
o ochronie danych osobowych to rozporządzenie unijne, obowiązu-
jące z pełną mocą od 25 maja 2018 r. Prawodawstwo ma charak-
ter bezpośredni i nie wymaga implementacji na poziomie krajowym.
Nakłada szereg restrykcji i obowiązków na wszystkie podmioty prze-
twarzające dane osobowe i ustanawia kary za niedostosowanie się do
przepisów (górny limit to 20 mln euro lub 4% obrotu światowego).
Oba akty prawne w znaczący sposób zwiększają odpowiedzialność
podmiotów gospodarczych za zapewnienie właściwego poziomu cyber-
bezpieczeństwa swojej działalności. Jakościową zmianą jest zdefi-
niowanie zakresu odpowiedzialności i ustanowienie systemu sankcji
w przypadku zaniechania obowiązków. Jednakże, jak rekomenduje
raport Instytutu Kościuszki „Cyberbezpieczeństwo polskiego przemy-
słu – sektor energetyczny”, dyrektywę NIS należy traktować jedynie
jako zestaw niezbędnych minimalnych wymagań. Podmioty muszą roz-
wijać cyberbezpieczeństwo w oparciu o wewnętrzną ocenę ryzyka i cią-
gle aktualizowany obraz zagrożeń. Procedury postępowania w przy-
padku wystąpienia incydentu powinny wynikać z własnej wiedzy
i doświadczeń.
x x x
Podsumowanie
Sektor elektroenergetyczny to jeden z kluczowych obszarów gospo-
darki, a jego ochrona powinna stanowić fundament bezpieczeństwa
współczesnego państwa. W wyniku rozwoju systemów informatycz-
nych i cyfryzacji procesów przemysłowych przedsiębiorstwa energe-
tyczne znalazły się w zasięgu nowego rodzaju niebezpieczeństw, któ-
rym muszą stawić czoła. Zagrożenia cybernetyczne stojące przed
operatorami infrastruktury krytycznej, a w szczególności przed sekto-
rem elektroenergetycznym, są złożone, a ich zakres wybiega daleko
poza tradycyjnie pojmowane bezpieczeństwo oprogramowania IT.
Zagadnienie to obejmuje także hardware IT oraz wkracza coraz bar-
dziej w tradycyjnie pojmowane bezpieczeństwo fizyczne.
Budowanie cyberbezpieczeństwa to proces, a nie pojedyncza inwe-
stycja. Wymaga zaangażowania wszystkich pracowników w proces
podnoszenia świadomości. Cyberbezpieczeństwo jest znacznie bar-
dziej regulowaną dziedziną. Za sprawą prawodawstwa unijnego,
a także krajowego, dbanie o nie stało się obowiązkiem prawnym
obarczonym odpowiednimi sankcjami.
Przypisy
1
Symantec: Targeted Attacks Against the Energy Sector.
2
What happens during a blackout, Office of Technology
Assessment at the German Bundestag, 2011.
3
CYBERSEC 2017 Recommendations, Instytut Kościuszki, 2017 r.
).
Corporate Venture Capital (CVC)
– fundusz, w ramach któ-
rego firma przeznacza część środków na inwestycje w zewnętrz-
ne start-upy w zamian za udział kapitałowy. Jest to atrakcyjny
model współpracy przy rozwoju nowatorskich rozwiązań, np.
w dziedzinie cyberbezpieczeństwa, który angażuje minimum
zasobów osobowych po stronie firmy (co jest szczególnie ważne
wziąwszy pod uwagę lukę zatrudnienia wśród specjalistów tej
branży) oraz pozwala brać udział w procesie rozwoju produktów
i usług start-upu i dostosowywania ich do potrzeb korporacji.
W Polsce utworzenie funduszy CVC zapowiedziały m.in. Tauron
Polska Energia i Grupa LOTOS.
