Cyberuderzenie w przemysł – dlaczego warto zgłosić incydent?

600

Przedsiębiorcy słusznie słuchają rad dotyczących ochrony firmowych danych. Jednak mimo budowania wirtualnych fos, zasieków i fortyfikacji zdarza się, że przestępcom i tak udaje się sforsować zabezpieczenia – pisze Platforma Przemysłu Przyszłości. Wówczas kluczowe są procedury postępowania na wypadek sytuacji przełamania ochrony. Ważnym pytaniem jest, czy należy zgłaszać, że padło się ofiarą cyberprzestępców. Z pewnością kluczowe będą kwestie ekonomiczne, wizerunkowe i konieczność szybkiego przywrócenia do pracy firmowych systemów – to, w jakim stopniu dany przypadek może budować bezpieczne środowisko, schodzi na nieco dalszy plan. Podmioty zobowiązane do zgłaszania incydentów wylicza obowiązująca ustawa o krajowym systemie cyberbezpieczeństwa. Czy mimo braku prawnego obowiązku warto to zrobić? Aby odpowiedzieć na trudne pytania z zakresu cyberochrony, rozmawiałam z Sebastianem Kondraszukiem, kierownikiem Zespołu Analiz Bieżących Zagrożeń oraz zastępcą kierownika działu CERT Polska ds. operacyjnych.

Uważaj, co wrzucasz do sieci

W kontekście bezpieczeństwa przemysłu niezwykle ważne jest kontrolowanie tego, co sami wrzucamy lub podłączamy do sieci. Zasady cyberbezpieczeństwa w tej kwestii są jasne, mimo to zastępca szefa CERT Polska zaznacza, że specjaliści z jego zespołu co rusz odnajdują publicznie dostępne panele sterowania, czy zamieszczone w sieci dokumenty, np. schematy funkcjonowania różnych systemów w zakładach przemysłowych. Dlaczego na stronach, w mediach społecznościowych, udostępnianych prezentacjach czy prelekcjach pojawiają się tajemnice przedsiębiorstw? Wydaje się, że odpowiedź na to pytanie jest prosta – lekkomyślność.

Chwila nieuwagi przy wrzucaniu treści do sieci powoduje, że zarówno cyberprzestępcy, jak i różnego rodzaju osoby, którym zależało jedynie na wypróbowaniu swoich umiejętności, mogą uzyskać bardzo cenne informacje. Problem jest rzeczywisty – CERT Polska już w grudniu 2020 roku alarmował, że odnotowuje wzrost liczby przemysłowych systemów sterowania dostępnych bezpośrednio z sieci, często z możliwością zdalnej kontroli. Wcześniej amerykańska CISA (Cybersecurity and Infrastructure Security Agency) ostrzegała przed wykorzystaniem tego typu systemów jako wektora ataku na sieci zakładów produkcyjnych.

– Biznes obawia się ataków ransomware i zaszyfrowania danych służących do codziennej pracy przedsiębiorstwa – jednak należy pamiętać, że przy tego typu ataku zawsze możemy – o ile dysponujemy kopiami zapasowymi – dość szybko przywrócić nasze systemy do pracy. Inaczej rzecz ma się z atakującymi, którzy dostaną się do naszej sieci i pozostają w niej przez dłuższy okres, wybierając istotne z ich punktu widzenia dane – informacje kadrowe, newralgiczne dokumenty lub wewnętrzną korespondencję. W ten sposób mogą posiąść dane bardzo istotne z punktu widzenia możliwości popełniania kolejnych przestępstw – np. na podstawie sposobów komunikacji wewnątrzfirmowej czy zlecenia przelewów finansowych – wyjaśnia ekspert NASK.

Warto zwrócić uwagę również na aspekty czysto biznesowe – konsekwencją przejęcia istotnych informacji odnośnie funkcjonowania przedsiębiorstwa, jego wewnętrznej kondycji, problemów i planów może być sprzedaż danych konkurencji czy wykorzystanie do szantażu pod groźbą upublicznienia. Mogłoby to naruszyć pozycję firmy na rynku. Sytuacja staje się jeszcze bardziej skomplikowana w przypadku systemów przemysłowych. Tam przywrócenie działania nie zawsze jest tak proste, nawet gdy dysponujemy kopiami zapasowymi, a efektem ataku mogą być np. przerwy w dostawie prądu czy wody.

– Szczególnie niepokojące są dane odnośnie czasu, w jakim wykrywany jest taki nieproszony gość myszkujący po sieci. Chociaż okresowe badania pokazują, że średnie czasy wykrycia znacząco poprawiają się z każdym rokiem i można je już mierzyć w godzinach, to ciągle jeszcze znajdują się firmy, w których ten czas jest liczony w miesiącach. W skrajnych przypadkach czas od momentu włamania do jego identyfikacji wynosi nawet 6 miesięcy – wskazuje ekspert NASK.

Padliśmy ofiarą cyberprzestępstwa – co teraz?

Odpowiedź na pytanie o działania po cyberataku trzeba znać jeszcze zanim zostanie się ofiarą przestępstwa. Nie można polegać na wierze, że wypracowane zabezpieczenia są tak dobre, że już nie ma się czym martwić. Konieczne jest przygotowanie odpowiednich procedur postępowania na wypadek ataku – uwzględniających poinformowanie o incydencie odpowiednich instytucji. Przyznanie się do straty danych powoduje, że poza kwestiami finansowymi, w grę wchodzą sprawy wizerunkowe, renoma firmy oraz długoterminowe straty związane z utratą klientów czy zleceń. Należy jednak pamiętać, że w niektórych sytuacjach zgłoszenie tego typu zdarzeń jest obowiązkowe – np. wtedy, kiedy dojdzie do wycieku danych regulowanych poprzez przepisy RODO. Dlatego warto zawczasu przygotować procedurę czy sposób prowadzenia komunikacji firmy.

Incydenty można zgłaszać za pośrednictwem strony incydent.cert.pl. Formularz jest intuicyjny – wymaga uzupełnienia rodzaju reprezentowanego podmiotu, kategorii zdarzenia, adresu e-mail, numeru telefonu oraz opisu zdarzenia.

Organizacje zobowiązane są do zgłaszania incydentów, są wymienione w ustawie o krajowym systemie cyberbezpieczeństwa. Przepisy wskazują również podmioty odpowiedzialne za reakcje na zgłoszenia otrzymywane od poszczególnych grup poszkodowanych. Chodzi o trzy Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego (ang. Computer Security Incident Response Team, CSIRT) prowadzone przez: Ministra Obrony Narodowej, Szefa Agencji Bezpieczeństwa Wewnętrznego oraz NASK – Państwowy Instytut Badawczy.

CSIRT MON odpowiada za koordynacje obsługi incydentów, które wystąpiły w podmiotach podległych Ministrowi Obrony Narodowej lub przez niego nadzorowanych oraz przedsiębiorców o szczególnym znaczeniu gospodarczo-obronnym. Do zadań CSIRT NASK należy koordynacja incydentów zgłaszanych m.in. przez jednostki sektora finansów publicznych, podległych organom administracji rządowej (lub przez nie nadzorowanych), instytuty badawcze i osoby fizyczne. Natomiast CSIRT GOV koordynuję obsługę incydentów zgłaszanych przez jednostki sektora finansów publicznych czy podmioty podległe Prezesowi Rady Ministrów.

ZOSTAW ODPOWIEDŹ

Proszę wpisać swój komentarz!
Proszę podać swoje imię tutaj