Adres: Polska Izba Przemysłu Chemicznego
ul. Śniadeckich 17
00-654 Warszawa
Zadzwoń: 790-340-010
Napisz: pawel.zawadzki@pipc.org.pl

Krajowy System Cyberbezpieczeństwa a przemysł chemiczny

Wrzesień 21, 2018

by admin Aktualności, Promocja bezpieczeństwa 0 comment

Jednym z zagadnień omawianych podczas V edycji Seminarium „Bezpieczna Chemia” będzie cyberbezpieczeństwo. Choć obowiązująca od 28 sierpnia 2018 r. Ustawa o krajowym systemie cyberbezpieczeństwa nie ma bezpośredniego zastosowania do większości podmiotów z sektora chemicznego, mechanizmy wprowadzane przepisami tej ustawy mogą stanowić cenną wskazówkę, odnośnie ustalenia minimum staranności działania firm z sektora, w zakresie ochrony przed cyberzagrożeniami. O tym, dlaczego i jak powinien chronić się sektor chemiczny przed cyberprzestępcami, pisze Ireneusz Piecuch, radca prawny, partner i lider praktyki TMT w Europie Środkowo-Wschodniej w kancelarii CMS. Zachęcamy do zapoznania się z artykułem.

Krajowy System Cyberbezpieczeństwa a przemysł chemiczny

Przemysł chemiczny wielokrotnie był miejscem spektakularnych katastrof, czy to ekologicznych, czy też takich, w których ofiarami padali także ludzie, żeby wspomnieć katastrofę Bhopal Gas (1984), wybuch w fabryce Nypro w Flixborough (1974), katastrofę w San Juanico (1976) czy też eksplozję w fabryce nawozów niedaleko Tuluzy (2001). Większość z tych tragicznych wydarzeń, związana była z awariami sprzętu, wyciekiem niebezpiecznych substancji a w końcu z eksplozją tych związków i nie miała nic wspólnego z zagrożeniami, które zwykło się obecnie określać mianem cyberataków, czyli celowej działalności osób trzecich, które korzystając z infrastruktury teleinformatycznej atakowanych podmiotów, dążą (z różnych zresztą celów) do wyrządzenia szkody w ich majątku. Od kiedy wirus Stuxnet, skutecznie opóźnił irański program jądrowy w 2010 roku, wiadomym jest, że wyzwanie cyberbezpieczeństwa nie ograniczy się tylko do banków i instytucji finansowych czy też osób fizycznych a firmy przemysłowe oraz wykorzystywane przez nie systemy automatyki przemysłowej będą w coraz większym stopniu narażone na te ryzyka. Wyciek substancji chemicznych może być skutkiem awarii albo przejęcia kontroli przez osoby trzecie. Zainfekowanie systemów komputerowych – nawet jeśli są one odseparowane od systemów automatyki przemysłowej, może grozić paraliżem działalności danej fabryki czy sieci fabryk (ofiarą takiego ataku stała się jedna z najpotężniejszych światowych korporacji – Aramco). Własność intelektualna, tak istotna przy produkcji złożonych związków chemicznych lub produktów farmaceutycznych, może paść łupem konkurencji i to w sposób niezauważalny dla właściciela tych praw.
Mobilność, przemysł 4.0, internet rzeczy (ang. Internet of Things – IoT) – tematy z pierwszych stron gazet, które kształtować mają naszą przyszłość, stają się kolejnymi obszarami zwiększającymi prawdopodobieństwo ataku na nasze środowisko teleinformatyczne. McAfee, amerykańska firma specjalizująca się w zabezpieczeniach systemów komputerowych ocenia, że działalność cyberprzestępców kosztowała globalną gospodarkę tylko w roku 2017 około 600 miliardów dolarów – prawie 0.8% światowego GDP. W miejsce nastoletnich hackerów włamujących się do cudzych systemów dla samej satysfakcji złamania zabezpieczeń, pojawiły się zorganizowane grupy przestępcze, ba całe armie zdyscyplinowanych, świetnie wykształconych informatyków, działających nierzadko pod auspicjami rządowymi. Skala tej przestępczości ustępuje jeszcze korupcji oraz narkobiznesowi ale już wkrótce kolejność ta może się zmienić. Cyberprzestępcy są bowiem w czołówce „przedsiębiorców” korzystających z najnowszych rozwiązań cyfrowych. Płatności cyfrowe w znakomity sposób pozwoliły im na minimalizację ryzyka związanego z pobieraniem haraczu za odblokowanie zainfekowanych złośliwym oprogramowaniem serwerów a chmura obliczeniowa na wykorzystywanie nielimitowanych zasobów informatycznych. Setki milionów różnego rodzaju urządzeń przyłączanych do sieci w ramach internetu rzeczy, pozbawionych jakiejkolwiek ochrony przed przejęciem kontroli, stanowią niewyczerpane źródło urządzeń wykorzystywanych do ataków DDoS (ang. Distributed Denial of Service – atak na system komputerowy lub usługę sieciową poprzez zajęcie wszystkich wolnych zasobów, przeprowadzany równocześnie z wielu komputerów). Ciemna strona internetu tzw. Dark Net, zapewnia możliwość handlu skradzionymi danymi na niespotykaną wręcz skalę. Prawdziwe przestępcze Eldorado – i do tego cyfrowe. I jeszcze jedno udogodnienie: niska wykrywalność i jeszcze niższa skuteczność ścigania. Przestępczość cyfrowa to biznes z definicji globalny. Nie zna granic czy problemów językowych. To dlatego zwalczanie tego typu działalności wymaga działań ponad granicami.
Taka też była geneza powstania regulacji europejskiej mającej tworzyć zręby dla powstania skutecznej ochrony gospodarki i obywateli UE w Cyfrowej Europie – sztandarowym projekcie wdrażanym przez Komisję Europejską. Dyrektywa Parlamentu Europejskiego i Rady w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (tzw. dyrektywa NIS), została uchwalona 6 lipca 2016 roku. Dyrektywa zobowiązała państwa członkowskie do przyjęcia krajowych strategii w zakresie bezpieczeństwa sieci i systemów informatycznych (w Polsce strategię taką na lata 2017-2022 przyjęto w dniu 27 kwietnia 2017 roku), utworzyła tzw. grupę współpracy składającą się z przedstawicieli państw członkowskich, komisji oraz Agencji Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji ENISA (do dnia dzisiejszego grupa ta opracowała już szereg niewiążących rekomendacji dotyczących poszczególnych zagadnień adresowanych przez dyrektywę) oraz zespołów reagowania na incydenty bezpieczeństwa komputerowego (tzw. CSIRT-y). Dyrektywa zobowiązała także państwa członkowskie do wyznaczenia organów odpowiedzialnych za realizację celów w zakresie cyberbezpieczeństwa oraz ustanowiła wymogi dotyczące bezpieczeństwa oraz zgłaszania incydentów czyli zdarzeń mających niekorzystny wpływ na bezpieczeństwo sieci i systemów informatycznych.
Do dnia 9 maja 2018 roku, każdy członek UE miał dokonać implementacji postanowień dyrektywy do ustawodawstwa krajowego. W Polsce proces ten zakończył się niedawno, czyli w dniu 1 sierpnia 2018 roku, kiedy to Prezydent podpisał ustawę z dnia 5 lipca 2018 roku o krajowym systemie cyberbezpieczeństwa (KSC). Ustawa weszła w życie 28 sierpnia 2018 roku. Przez kolejne lata stanowić będzie fundament systemu ochrony polskich obywateli, przedsiębiorstw oraz jednostek administracji państwowych i samorządowych przed jednym z głównych zagrożeń XXI wieku.
Aczkolwiek, przepisy tej ustawy nie będą miały bezpośredniego zastosowania do większości podmiotów z sektora chemicznego, mechanizmy wprowadzane przepisami tej ustawy mogą stanowić cenną wskazówkę, odnośnie ustalenia minimum staranności działania zarządów firm z tego sektora, w zakresie ochrony przed cyberzagrożeniami. Co więcej, nie ma żadnych przeciwskazań, aby podmioty te włączyły się w system sygnalizacji i raportowania incydentów wprowadzony tą ustawą (ustawa przewiduje taką możliwość).
Zgodnie z wymogami dyrektywy NIS, polska ustawa definiuje organizację, zadania i obowiązki podmiotów wchodzących w skład tego systemu, sposób sprawowania nadzoru i kontroli w zakresie jej stosowania oraz zakres Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej.
W skład owego systemu wchodzi dwadzieścia podmiotów lub grup podmiotów m.in.: operatorów usług kluczowych, dostawców usług cyfrowych, trzy CSIRT-y (MON, NASK i GOV) oraz sektorowe zespoły cyberbezpieczństwa.
Operatorem usługi kluczowej, czyli usługi mającej podstawowe znaczenie dla utrzymania krytycznej działalności społecznej lub gospodarczej są podmioty wymienione w załączniku do ustawy (przykładowo, w odniesieniu do rynku energetycznego są to m.in. przedsiębiorstwa z sektora energii, ciepła, ropy naftowej i gazu, posiadające koncesję na wykonywania działalności gospodarczej w zakresie wytwarzania, wydobywania, przesyłania, dystrybucji, obrotu lub magazynowania odpowiednio kopalin, energii elektrycznej, ciepła, ropy naftowej lub gazu). Ponadto ustawa wymienia też inne grupy przedsiębiorstw z sektora transportu, bankowości i infrastruktury rynków finansowych, ochrony zdrowia, zaopatrzenia w wodę pitną i jej dystrybucji oraz sektora infrastruktury cyfrowej. Do dnia 9 listopada 2018 roku, organy właściwe do spraw cyberbezpieczeństwa muszą, zgodnie z treścią ustawy, wydać stosowne decyzje o uznaniu danego przedsiębiorstwa za operatora usługi kluczowej, a następnie powiadomić o tym Ministra Cyfryzacji, który prowadzi wykaz takich podmiotów.
Głównym obowiązkiem każdego operatora usługi kluczowej jest wdrożenie systemu zarządzania bezpieczeństwem w systemie informacyjnym wykorzystywanym do świadczenia usługi kluczowej. W ramach takiego systemu, operatorzy zobowiązani będą między innymi do prowadzenia systematycznego szacowania ryzyka wystąpienia incydentu oraz zarządzania tym ryzykiem. System taki winien zostać wdrożony w terminie trzech miesięcy od dnia doręczenia decyzji o uznaniu za operatora usługi kluczowej, a ustawa przewiduje możliwość nałożenia kary w wysokości 150 tysięcy złotych na podmioty, które takiemu obowiązkowi uchybią. Jeśli uchybianie takie miałoby cechy uporczywości i spełnione zostałyby jeszcze dodatkowe warunki, kara mogłaby wynieść nawet 1 milion złotych.
Kolejnym obowiązkiem operatora usługi kluczowej (tym razem z terminem realizacji 6 miesięcy), również zagrożonym karą (w wysokości 100 tysięcy złotych), jest obowiązek polegający na wdrożeniu odpowiednich i proporcjonalnych do oszacowanego ryzyka środków technicznych i organizacyjnych, uwzględniających najnowszy stan wiedzy. Adekwatność i proporcjonalność to zasady określone w dyrektywie NIS, dość dobrze oddające relacje pomiędzy zagrożeniem, a koniecznymi inwestycjami. Polska ustawa idzie jednak dalej wymieniając szereg cech, którymi system zarządzania bezpieczeństwem musi się charakteryzować. Otóż wdrożone środki techniczne i organizacyjne muszą zapewniać utrzymanie i bezpieczną eksploatację systemu, bezpieczeństwo fizyczne i środowiskowe, bezpieczeństwo i ciągłość dostaw usług, od których zależy świadczenie usługi kluczowej, a także wdrażanie, dokumentowanie i utrzymywanie planów działania umożliwiających ciągłe i niezakłócone świadczenie usługi kluczowej, poufność, integralność, dostępność i autentyczność informacji oraz monitorowanie systemu w trybie ciągłym.
Ponadto system zarządzania bezpieczeństwem winien zapewniać zbieranie informacji o zagrożeniach cyberbezpieczeństwa i podatnościach na incydenty, możliwość zarządzania tymi incydentami (m.in. możliwość usuwania przyczyn wystąpienia takich incydentów) oraz stosowanie środków zapobiegających i ograniczających wpływ incydentów na bezpieczeństwo systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej.
Pozostałe obowiązki operatora usługi kluczowej sprowadzają się do wyznaczenia osoby odpowiedzialnej za utrzymywanie kontaktów z innymi podmiotami krajowego systemu cyberbezpieczeństwa, utrzymywania stosownej dokumentacji oraz powołanie wewnętrznej struktury organizacyjnej odpowiedzialnej za cyberbezpieczeństwo lub zawarcie umowy z podmiotem świadczącym usługi z tego zakresu (podmioty takie także wchodzą w skład KSC). Operator usługi kluczowej ma także obowiązek (przynajmniej raz na dwa lata), przeprowadzenia audytu bezpieczeństwa przez podmiot lub audytorów do tego upoważnionych. Pierwszy taki audyt powinien się odbyć w terminie roku od dnia doręczenia decyzji o uznaniu za operatora usługi kluczowej. Wyjątek od tej zasady stanowią operatorzy, u których osoby spełniające warunki zdefiniowane w ustawie dla audytorów, przeprowadziły w danym roku audyt wewnętrzny w zakresie bezpieczeństwa informacji na podstawie ustawy z 17 lutego 2015 roku o informatyzacji podmiotów realizujących zadania publiczne.
Dostawcy usług kluczowych zobowiązani są do obsługi incydentów poważnych (tj. takich, które powodują lub mogą powodować poważne obniżenie jakości lub przerwanie ciągłości świadczenia usługi kluczowej), ich klasyfikacji oraz zgłaszania ich do właściwego CSIRT-u. Każdy taki incydent winien być zgłoszony niezwłocznie, nie później jednak niż w ciągu 24 godzin od jego wykrycia, pod rygorem kary w wysokości 20 tysięcy złotych za każdy przypadek braku zgłoszenia.
Kolejną po dostawcach usług kluczowych grupą podmiotów wchodzących w skład KSC są, zgodnie z wymogami dyrektywy NIS, organy krajowe do spraw bezpieczeństwa sieci i systemów informatycznych. Polska ustawa wdrażająca dyrektywę przewiduje dość rozbudowaną i skomplikowaną strukturę składającą się z trzech zdefiniowanych w ustawie CSIRT-ów (CSIRT GOV – prowadzony przez Szefa ABW, CSIRT MON – prowadzony przez Ministra Obrony Narodowej oraz CISRT NASK – prowadzony przez Naukową i Akademicką Sieć Komputerową – Państwowy Instytut Badawczy), sektorowych zespołów cyberbezpieczeństwa, organów właściwych do spraw cyberbezpieczeństwa (przykładowo Minister Energetyki w odniesieniu do sektora energii), Pojedynczego Punktu Kontaktowego, Pełnomocnika Rządu do Spraw Cyberbezpieczeństwa oraz Kolegium do Spraw Cyberbezpieczeństwa.
CSIRT-y współpracując na gruncie krajowym z pozostałymi wymienionymi tu podmiotami (a na gruncie europejskim współpracując w ramach tzw. sieci krajowych CSIRT), mają zapewnić spójny i kompletny system zarządzania ryzykiem na poziomie krajowym, realizując zadania na rzecz przeciwdziałania zagrożeniom cyberbezpieczeństwa o charakterze ponadsektorowym i transgranicznym, a także zapewniając koordynację obsługi zgłoszonych incydentów. Mogą też w niektórych przypadkach udzielać wsparcia w obsłudze incydentów. Najbardziej widocznym, zewnętrznym objawem działalności CSIRT-ów będą zapewne komunikaty o zidentyfikowanych zagrożeniach cyberbezpieczeństwa, ale uprawnienia tych podmiotów sięgają dużo dalej, łącznie z prowadzeniem badań urządzeń informatycznych i oprogramowania w celu identyfikacji podatności, której wykorzystanie może zagrozić w szczególności integralności, poufności, rozliczalności, autentyczności lub dostępności przetwarzania danych mogących mieć wpływ na bezpieczeństwo publiczne lub istotny interes bezpieczeństwa państwa. Badania takie mogą stanowić podstawę do wystąpienia do Pełnomocnika Rządu o wydanie rekomendacji dotyczących stosowania takich urządzeń lub oprogramowania. CSIRT-y mają także uprawnienia do wystąpienia do organu właściwego do spraw cyberbezpieczeństwa z wnioskiem o wezwanie operatora usługi kluczowej, aby w wyznaczonym terminie usunął podatności, które doprowadziły lub mogłyby doprowadzić do incydentu (nieusunięcie takiej podatności zagrożone jest sankcją w wysokości 20 tysięcy złotych).
Koordynację działań i realizowanie polityki rządu w zakresie cyberbezpieczeństwa ustawa pozostawia w rękach Pełnomocnika (w randze sekretarza lub podsekretarza stanu), podlegającego Radzie Ministrów i powoływanego i odwoływanego przez Prezesa Rady Ministrów. Pełnomocnik taki dokonywać ma między innymi analiz oceny funkcjonowania KSC, sprawować nadzór nad procesem zarządzania ryzykiem KSC, opiniować dokumenty rządowe mające wpływ na realizację zadań z zakresu cyberbezpieczeństwa oraz wydawać rekomendacje dotyczące stosowania urządzeń informatycznych lub oprogramowania na wniosek CSIRT. W jego gestii pozostawać będzie także współpraca w zakresie cyberbezpieczeństwa z innymi państwami, wspieranie badań naukowych i rozwój technologii z zakresu cyberbezpieczeństwa oraz podejmowanie inicjatyw edukacyjnych w tym zakresie. Przy Radzie Ministrów powstanie także Kolegium, jako ciało opiniodawczo-doradcze a niezależnie od Pełnomocnika i Kolegium, Prezes Rady Ministrów, w celu koordynacji działań administracji rządowej w zakresie cyberbezpieczeństwa otrzymał uprawnienie wydawania wiążących wytycznych dotyczących zapewnienia cyberbezpieczeństwa na poziomie krajowym. Głównym narzędziem kształtowania polityki rządu będzie jednak Strategia przyjmowana przez Radę Ministrów w drodze uchwały. Strategia taka zostanie przyjęta do dnia 31 października 2019 roku.
Brak wyznaczenia danego przedsiębiorstwa jako dostawcy usługi kluczowej, jak to zostało już wspomniane, nie oznacza, że ustawa o KSC nie ma dla takiego podmiotu znaczenia. W świetle dzisiejszych wyzwań, uprawnionym jest stwierdzenie, że ocena ryzyk wynikających z zagrożeń teleinformatycznych, w szczególności ryzyk mogących wpłynąć na majątek przedsiębiorstwa lub jego zdolność do utrzymywania przedsiębiorstwa w ruch, należy do obowiązków osób zarządzających takich przedsiębiorstwem. W tym aspekcie ustawa o KSC zawiera istotne wskazówki, jakie elementy należałoby wziąć pod uwagę, zarówno przy ocenie tych ryzyk jak i przy podjęciu konkretnych kroków mających je adresować. Wprowadzenie w przedsiębiorstwie standardów w zakresie oceny i zarządzania ryzykiem związanym z cyberzagrożeniami czy też wprowadzenie rozwiązań zabezpieczających ciągłość działania przedsiębiorstwa, wydaje się być zaleceniem uniwersalnym. Podobnie obowiązek powołania stosownej struktury, której zadaniem byłoby zapewnienie odpowiedniej odporności systemów teleinformatycznych przed cyberzagrożeniami oraz obsługa incydentów w przypadku ich zaistnienia. Przeprowadzanie okresowych audytów w zakresie cyberbezpieczeństwa należałoby także zaliczyć do dobrych praktyk przedsiębiorstw narażonych na takie ataki. Niezależnie od tego, czy dane przedsiębiorstwo wchodzi w skład KSC, artykuł 30 ustawy daje mu też prawo zgłoszenia incydentu do CSIRT NASK.
Warto zatem, zapoznać się bliżej zarówno z treścią samej ustawy, z treścią przygotowywanych w chwili obecnej przez Ministerstwo Cyfryzacji rozporządzeń wykonawczych jak też z treścią rekomendacji tzw. grupy wsparcia. Upowszechnienie dobrych praktyk czy też wzrost świadomości dotyczącej istoty ryzyk wynikających z podatności systemów teleinformatycznych na ataki z zewnątrz (miast traktowanie tego jako „problemu IT”), jest bowiem niezbędne dla skutecznej ochrony bezpieczeństwa każdego przedsiębiorstwa wykorzystującego te systemy do wsparcia swoich krytycznych procesów.