Scenariusz ataku<\/span><\/h5>\nJak wygl\u0105da typowy atak grupy hakerskiej? Zaczyna si\u0119 od wst\u0119pnej kompromitacji bazuj\u0105cej zwykle na phishingu. Jeden z pracownik\u00f3w otrzymuje e-mail np. z \u017c\u0105daniem zmiany has\u0142a do systemu; wiadomo\u015b\u0107 wygl\u0105da zwykle podobnie jak komunikat stworzony przez system. Nie\u015bwiadomy zagro\u017cenia u\u017cytkownik wprowadza swoje dane do logowania niekoniecznie do systemu przemys\u0142owego, mo\u017ce to by\u0107 mniej istotny system. Wprowadzone przez\u00a0 pracownika dane przez internet trafiaj\u0105 do grupy hakerskiej. Jest tak\u017ce mo\u017cliwo\u015b\u0107, \u017ce u\u017cytkownik bezrefleksyjnie zgodzi si\u0119 na instalacj\u0119 drobnego fragmentu oprogramowania instalowanego na jego sprz\u0119cie \u2013 np. dodatku do przegl\u0105darki czy aplikacji na telefon \u2013 kt\u00f3rego celem b\u0119dzie p\u00f3\u017aniejsze szpiegowanie. Dzi\u0119ki instalacji takiego programu mo\u017cliwe jest przechwytywanie login\u00f3w i hase\u0142 do system\u00f3w, kt\u00f3rymi pos\u0142uguje si\u0119 zhakowany u\u017cytkownik. Drugim etapem jest stabilizacja (Establish Foothold) i poszerzanie zakresu posiadanych informacji o atakowanym celu \u2013 sieci przedsi\u0119biorstwa i dzia\u0142aj\u0105cych w nim aplikacji. Nast\u0119pnie mamy do czynienia ze zdobywaniem nowych uprawnie\u0144 przez atakuj\u0105cego oraz wyszukiwaniem nowych cel\u00f3w ataku. W kolejnym etapie nast\u0119puj\u0105 ju\u017c w\u0142a\u015bciwe dzia\u0142ania ko\u0144cz\u0105ce si\u0119 destrukcyjnymi operacjami na sieci i infrastrukturze albo kradzie\u017c\u0105 danych.<\/span><\/p>\nDlaczego ataki si\u0119 udaj\u0105?<\/span><\/h5>\nO tym, jak skuteczni s\u0105 hakerzy, \u015bwiadcz\u0105 statystyki przedstawione przez Izabel\u0119 Lewandowsk\u0105-Wi\u015bniewsk\u0105, koordynatora, starszego in\u017cyniera ryzyka w PZU Lab. Wed\u0142ug danych PZU \u015brednio na ka\u017cd\u0105 firm\u0119 w Polsce przypada\u0142o a\u017c 126 cyberatak\u00f3w. W stosunku do zesz\u0142ego roku liczba atak\u00f3w na \u015bwiecie wzros\u0142a o 38%, a \u015bredni czas uzyskania nieautoryzowanego dost\u0119pu do system\u00f3w i danych wyni\u00f3s\u0142 4 godziny.<\/p>\n
Cz\u0119sto s\u0142abym ogniwem obrony przeciwko hakerom s\u0105 pracownicy. Zwykle przedsi\u0119biorstwa przemys\u0142owe koncentruj\u0105 sie na typowych aspektach obrony zapewniaj\u0105cej bezpiecze\u0144stwo sterownik\u00f3w PAC\/PLC\/RTU, urz\u0105dze\u0144 HMI, sieci sterowania i bezpiecze\u0144stwo stacji operatorskich.<\/p>\n
Filip Kupi\u0144ski i Artur J\u00f3zefiak z Accenture stwierdzaj\u0105, \u017ce klasyczne mechanizmy wyszukiwania informacji o atakach przestaj\u0105 dzia\u0142a\u0107 i aby skutecznie wykrywa\u0107 naruszenia bezpiecze\u0144stwa we wczesnych fazach, konieczne jest wdro\u017cenie narz\u0119dzi pracuj\u0105cych na du\u017cych wolumenach danych \u2013 Big Data. Problemem jest to, \u017ce coraz bardziej brakuje na rynku specjalist\u00f3w, kt\u00f3rzy mogliby takie narz\u0119dzia przygotowywa\u0107 i na bie\u017c\u0105co dostosowywa\u0107 do potrzeb. Szacuje si\u0119, \u017ce ju\u017c wkr\u00f3tce na rynku b\u0119dzie brakowa\u0142o tysi\u0119cy ekspert\u00f3w, bo potrzeby gwa\u0142townie rosn\u0105. Zagraniczne firmy widz\u0105, \u017ce polsk\u0105 specjalno\u015bci\u0105 jest cyberbezpiecze\u0144stwo i skutecznie drenuj\u0105 nasz rynek pracy z ekspert\u00f3w. Rozwi\u0105zaniem mo\u017ce by\u0107 tworzenie wsp\u00f3\u0142dzielonych Security Operations Center, kt\u00f3re b\u0119d\u0105 zapleczem kompetencyjnym dla wi\u0119kszej grupy sp\u00f3\u0142ek, np. posiadaj\u0105cych tego samego w\u0142a\u015bciciela. Wprawdzie stworzenie takiego centrum wymaga du\u017cego wysi\u0142ku organizacyjnego, jednak ju\u017c w kr\u00f3tkim czasie wida\u0107 wymierne korzy\u015bci.<\/p>\n
Jak si\u0119 broni\u0107?<\/span><\/h5>\n\u201eCzym innym jest intencja wsp\u00f3\u0142pracy, a czym innym operacyjna wsp\u00f3\u0142praca SOC-\u00f3w. Ma to szczeg\u00f3lne znaczenie przy wyborze dostawcy technologii, kt\u00f3rego obdarzymy zaufaniem. Wej\u015bcie w us\u0142ugi cyfrowe jest dla konsumenta \u015bci\u015ble zwi\u0105zane z ufno\u015bci\u0105 w kompetencje dostawcy\u201d \u2013 m\u00f3wi Artur J\u00f3zefiak, dyrektor Zespo\u0142u Bezpiecze\u0144stwa, Accenture.<\/p>\n
Przyk\u0142adem dzia\u0142aj\u0105cego centrum kompetencyjnego jest CERT stworzony przez Energa. W ramach kompetencji CERT \u015bwiadczonych jest 12 podstawowych us\u0142ug zar\u00f3wno prewencyjnych, tak\u017ce reakcyjnych na wypadek ataku, jak i us\u0142ug zarz\u0105dzania jako\u015bci\u0105 i bezpiecze\u0144stwem danych. \u201eBezpiecze\u0144stwo musi by\u0107 zapewnione na trzech p\u0142aszczyznach: strategicznej dotycz\u0105cej regulacji wewn\u0119trznych i zewn\u0119trznych, operacyjnej s\u0142u\u017c\u0105cej do koordynacji dzia\u0142a\u0144 oraz technicznej na poziomie Security Operation Center. Jednym z najwa\u017cniejszych element\u00f3w sp\u00f3jno\u015bci proces\u00f3w jest zaufanie wsp\u00f3\u0142pracuj\u0105cych ze sob\u0105 ludzi\u201d \u2013 m\u00f3wi Bogus\u0142aw Kowalski, Head of CERT ENERGA.<\/p>\n
Inny przyk\u0142ad udanego wdro\u017cenia procedur i system\u00f3w bezpiecze\u0144stwa zaprezentowa\u0142 ekspert IT Security firmy Bosch podczas sesji \u201eOrganizacja\u201d konferencji InfraSEC Heinz-Uwe GernhardIT Manufacturing Coordination. Bosch stawia na \u015bcis\u0142e przestrzeganie regu\u0142, norm i standard\u00f3w bezpiecze\u0144stwa w organizacji. W\u0142a\u015bciwa ich implementacja na poziomie organizacyjnym i technicznym sprawia, \u017ce minimalizowane s\u0105 ryzyka wyst\u0105pienia incydent\u00f3w bezpiecze\u0144stwa. Wiadomo tak\u017ce, jak rozwi\u0105za\u0107 ju\u017c zaistnia\u0142e problemy.<\/p>\n
Jakie jest podej\u015bcie pa\u0144stwa do problemu?<\/span><\/h5>\nW Rz\u0105dowym Centrum Bezpiecze\u0144stwa tworzone s\u0105 standardy dotycz\u0105ce ochrony przed atakami. Dotychczas Centrum wyda\u0142o cztery poradniki na ten temat. Praca nad standardami trwa i nie ogranicza si\u0119 do przet\u0142umaczenia pozycji zagranicznych. Standardy te musz\u0105 by\u0107 skorelowane z innymi narz\u0119dziami, takimi jak audyty czy kontrole.<\/p>\n
\u201eStandard przeznaczony jest przede wszystkim dla kadry zarz\u0105dzaj\u0105cej przedsi\u0119biorstw z sektora,\u00a0 os\u00f3b odpowiedzialnych za prawid\u0142owe funkcjonowanie automatyki przemys\u0142owej\u00a0 oraz pracownik\u00f3w odpowiedzialnych za bezpiecze\u0144stwo w obiektach infrastruktury krytycznej. Aby zapewni\u0107 zrozumienie i przychylno\u015b\u0107 tych os\u00f3b, nie mo\u017cemy po prostu przet\u0142umaczy\u0107 norm obowi\u0105zuj\u0105cych w innych krajach, bo tworzone one by\u0142y w innych warunkach prawnych i organizacyjnych\u201d \u2013 t\u0142umaczy Maciej Pyznar, szef wydzia\u0142u w Rz\u0105dowym Centrum Bezpiecze\u0144stwa.<\/p>\n
Warto wspomnie\u0107 o konsekwencjach zaniedba\u0144 w obszarze ochrony przedsi\u0119biorstw przed atakami z zewn\u0105trz. M\u00f3wi\u0142 o tym mec. Maciej Gawro\u0144ski, partner w Kancelarii Prawnej Maruta Wachta. Mecenas zwr\u00f3ci\u0142 uwag\u0119 na g\u0105szcz norm opisuj\u0105cych zjawisko cyberprzest\u0119pczo\u015bci i brak jednolitego podej\u015bcia prawnego do tego zagadnienia. \u201eW sprawie naszej w\u0142a\u015bciwej reakcji na zagro\u017cenie cyberatakiem g\u0142os ostateczny b\u0119dzie mia\u0142 prokurator, kt\u00f3ry oceni, czy post\u0119powanie to cechowa\u0142o si\u0119 wystarczaj\u0105c\u0105 staranno\u015bci\u0105\u201d \u2013 zauwa\u017cy\u0142 mec. Maciej Gawro\u0144ski.<\/p>\n
Automatyka pod specjalnym nadzorem<\/strong><\/span><\/h5>\nWed\u0142ug ICS-CERT USA w 2009 roku zanotowano dziewi\u0119\u0107 incydent\u00f3w zwi\u0105zanych z bezpiecze\u0144stwem system\u00f3w automatyki przemys\u0142owej. Jednak ju\u017c w 2015 roku by\u0142o ich a\u017c 295. Nie ma jeszcze danych za rok ubieg\u0142y, ale wyra\u017anie wida\u0107 niepokoj\u0105c\u0105 tendencj\u0119. Systemy ICS (Industrial Control System), do kt\u00f3rych zaliczane s\u0105 systemy SCADA (Supervisory Control and Data Acquisition), DCS (Distributed Control Systems) czy BPCS (Basic Process Control Systems) s\u0105 atakowane praktycznie ka\u017cdego dnia. Ich szczeg\u00f3lnie wra\u017cliwe cz\u0119\u015bci sk\u0142adowe \u2013 elementy PLC i RTU, czujniki i transmitery, elementy wykonawcze \u2013 znajduj\u0105 si\u0119 na celowniku nastawionych na zyski przest\u0119pc\u00f3w, sfrustrowanych pracownik\u00f3w albo wrogich pa\u0144stw, po\u015br\u00f3d kt\u00f3rych wymienia si\u0119 g\u0142\u00f3wnie Rosj\u0119, Chiny i Kore\u0119 P\u00f3\u0142nocn\u0105. Konsekwencje udanego ataku mog\u0105 polega\u0107 nie tylko na stratach finansowych, ale tak\u017ce stanowi\u0107 zagro\u017cenie dla ludzkiego \u017cycia.<\/p>\n
O konsekwencjach atak\u00f3w na ukrai\u0144skie sieci energetyczne w 2015 i 2016 roku oraz dzia\u0142aniach zapobiegawczych podejmowanych przez Ukrain\u0119 opowiada\u0142 Oleksandr Sukhodolia, jeden z go\u015bci specjalnych InfraSEC 2017, szef departamentu odpowiedzialnego za bezpiecze\u0144stwo energetyczne w ukrai\u0144skim Narodowym Instytucie Studi\u00f3w Strategicznych. \u201eAtaki na infrastruktur\u0119 krytyczn\u0105 stanowi\u0105 pot\u0119\u017cny instrument nacisku politycznego. Cho\u0107 spowodowane straty nie by\u0142y du\u017ce, to jednak stanowi\u0142y one powa\u017cny problem. Przywracanie dzia\u0142ania systemu w niekt\u00f3rych regionach by\u0142o d\u0142ugotrwa\u0142e\u201d \u2013 m\u00f3wi\u0142 Oleksandr Sukhodolia.<\/p>\n
\u201eUkrai\u0144ska lekcja\u201d pokazuje, \u017ce incydenty tego typu nie stanowi\u0105 jedynie potencjalnego zagro\u017cenia. S\u0105 realne i trzeba si\u0119 na nie przygotowywa\u0107. Oleksandr Sukhodolia podkre\u015bla\u0142 znaczenie ci\u0105g\u0142ego szkolenia personelu w tym zakresie. Zwraca\u0142 przy tym uwag\u0119, \u017ce mo\u017cna na te ataki spojrze\u0107 jako na zbieranie do\u015bwiadcze\u0144 potrzebnych do przygotowania wi\u0119kszego, bardziej gro\u017anego w skutkach ataku w przysz\u0142o\u015bci.<\/p>\n
Twarda strefa<\/strong><\/span><\/h5>\nJednym z g\u0142\u00f3wnych \u017ar\u00f3de\u0142 problem\u00f3w jest konwergencja sieci automatyki przemys\u0142owej i sieci teleinformatycznych. Obecnie s\u0105 one ze sob\u0105 po\u0142\u0105czone, wykorzystuj\u0105 te same protoko\u0142y komunikacyjne, te same systemy operacyjne, taki sam sprz\u0119t. \u201eDlatego do atak\u00f3w dochodzi w klasyczny spos\u00f3b \u2013 zwykle \u017ar\u00f3d\u0142em jest phishing lub niezadowolony u\u017cytkownik. Polegaj\u0105 one najcz\u0119\u015bciej nie na wykorzystaniu podatno\u015bci, ale na przejmowaniu uprawnie\u0144. Przez to, \u017ce wi\u0119kszo\u015b\u0107 atak\u00f3w wykorzystuje czynnik ludzki, celowane jest miejsce, w kt\u00f3rym cz\u0142owiek styka si\u0119 z komputerem, sprawne systemy bezpiecze\u0144stwa czy 2-stopniowe uwierzytelnianie na niewiele mog\u0105 si\u0119 przyda\u0107\u201d \u2013 opowiadali Grzegorz Bojar, dyrektor Departamentu Teleinformatyki oraz Jeremi Gryka, zast\u0119pca dyrektora Departamentu Teleinformatyki w firmie Polskie Sieci Elektroenergetyczne SA.<\/p>\n
Przedstawiciele PSE przedstawili przy tym histori\u0119 udanych atak\u00f3w cyfrowych na systemy technologiczne: pierwszy z nich, eksplozja ruroci\u0105gu gazowego na Syberii, nast\u0105pi\u0142 w 1992 roku; w ci\u0105gu ostatnich miesi\u0119cy uwag\u0119 najbardziej zwraca\u0142y ataki na Ukrainie. \u201eSektor energetyczny jest bardzo atrakcyjny dla przest\u0119pc\u00f3w. Dlatego atak\u00f3w w tym obszarze b\u0119dzie coraz wi\u0119cej. Jak zatem si\u0119 broni\u0107?\u201d \u2013 pyta\u0142 Grzegorz Bojar. I od razu odpowiada\u0142: \u201eIstotn\u0105 rol\u0119 odgrywaj\u0105 standardy i dobre praktyki oraz segmentacja sieci, zw\u0142aszcza rozdzielenie IT od OT. Wa\u017cna jest r\u00f3wnie\u017c ochrona stacji roboczych i styku z internetem. Ochrona perymetryczna nadal si\u0119 sprawdza, pod warunkiem \u017ce jest dostatecznie twardo stosowana\u201d.<\/em><\/p>\nBezpieczne komponenty, bezpieczne systemy<\/strong><\/span><\/h5>\nDr. Joern Eichler, szef departamentu Secure Software Engineering we Fraunhofer Institute AISEC (Applied and Integrated Security), zwraca\u0142 uwag\u0119 na konieczno\u015b\u0107 wsp\u00f3\u0142dzia\u0142ania dostawc\u00f3w i operator\u00f3w system\u00f3w na rzecz cyberbezpiecze\u0144stwa system\u00f3w ICS. Podkre\u015bla\u0142 przy tym, \u017ce informacje zwrotne od u\u017cytkownik\u00f3w s\u0105 niezwykle istotne dla dostawc\u00f3w ju\u017c na wczesnych etapach projektowania bezpiecznych komponent\u00f3w. Fraunhofer Institute to najwi\u0119ksza organizacja w Europie koncentruj\u0105ca si\u0119 na praktycznych zastosowaniach bada\u0144 naukowych. Dzia\u0142aj\u0105cy w jej ramach AISEC koncentruje si\u0119 na wypracowywaniu technologii bezpiecze\u0144stwa, a tak\u017ce powi\u0105zanych metod i narz\u0119dzi.<\/p>\n
Fraunhofer AISEC promuje koncepcj\u0119 wbudowanego, domy\u015blnego bezpiecze\u0144stwa system\u00f3w. Opiera si\u0119 ona na bezpiecznych komponentach. Jak je tworzy\u0107? Kluczowe znaczenie maj\u0105 model procesu (kt\u00f3ry opisuje, co, kto, kiedy i po co oraz z jakim rezultatem robi\u0142), metoda i narz\u0119dzia (opisuj\u0105 kolejne kroki gwarantuj\u0105ce powtarzalne rezultaty i odnosz\u0105 si\u0119 do tego, jak i gdzie robi\u0107) oraz miary (pozwalaj\u0105 oceni\u0107, jak dobre jest to, co zrobili\u015bmy).<\/p>\n
\u201eJako\u015b\u0107 produkt\u00f3w zale\u017cy od dojrza\u0142o\u015bci, jako\u015bci procesu, na kt\u00f3re sk\u0142ada si\u0119 zestaw cel\u00f3w, aktywno\u015bci do wykonania i kryteri\u00f3w. Mierzenie jako\u015bci proces\u00f3w pozwala dowiedzie\u0107 si\u0119, jak dobry, bezpieczny b\u0119dzie produkt. To istotne, poniewa\u017c certyfikaty potwierdzaj\u0105 zwykle bezpiecze\u0144stwo starszych wersji produkt\u00f3w, kt\u00f3rych raczej nie u\u017cywaj\u0105 operatorzy\u201d \u2013 m\u00f3wi\u0142 dr. Joern Eichler. Wynika to z czasu potrzebnego do uzyskania certyfikatu. Oznacza to, \u017ce przej\u015bcie procesu certyfikacji potwierdza raczej dostawca, kt\u00f3ry powa\u017cnie traktuje kwestie bezpiecze\u0144stwa, ale nie oznacza, \u017ce u\u017cywany produkt jest w pe\u0142ni bezpieczny.<\/p>\n
Si\u0142a wsp\u00f3\u0142pracy
\n<\/strong><\/span><\/h5>\nO znaczeniu wsp\u00f3\u0142pracy i dost\u0119pnych mo\u017cliwo\u015bciach opowiada\u0142 tak\u017ce Johan Rambi pe\u0142ni\u0105cy funkcj\u0119 Privacy & Security advisora GRC w Alliander, holenderskiej firmie b\u0119d\u0105cej operatorem sieci przesy\u0142owych gazu i energii elektrycznej. Organizacja jest jednym ze wsp\u00f3\u0142tw\u00f3rc\u00f3w EE-ISAC, europejskiego forum wymiany informacji dotycz\u0105cych bezpiecze\u0144stwa w sektorze utilities. Powo\u0142uj\u0105c si\u0119 s\u0142owa Petera Molengraafa, CEO Alliander, Johan Rambi przekonywa\u0142, \u017ce mi\u0119dzynarodowa wsp\u00f3\u0142praca w gronie zaufanych partner\u00f3w to warunek przeciwdzia\u0142ania atakom.<\/p>\n
Zagadnienie wsp\u00f3\u0142pracy w skali krajowej w obszarze cyberbezpiecze\u0144stwa oraz organizacji systemu informacji by\u0142o r\u00f3wnie\u017c jednym z g\u0142\u00f3wnych temat\u00f3w debaty, w kt\u00f3rej uczestniczyli przedstawiciele firm z sektora utilities: PGE Systemy, Grupy PGNiG, PSE, a tak\u017ce Ministerstwa Cyfryzacji oraz NASK. Uczestnicy byli zgodni co do konieczno\u015bci tworzenia formalnych platform wsp\u00f3\u0142pracy i wymiany informacji obejmuj\u0105cych przedstawicieli poszczeg\u00f3lnych sektor\u00f3w, ale tak\u017ce szerszych, obejmuj\u0105cych r\u00f3\u017cne sektory. Dzia\u0142ania zmierzaj\u0105ce w tym kierunku prowadzi Ministerstwo Cyfryzacji m.in. przy okazji budowy krajowego systemu cyberbezpiecze\u0144stwa, a tak\u017ce PSE w ramach PTPiREE. Na efekty trzeba jeszcze b\u0119dzie poczeka\u0107 i do tego czasu wykorzystywa\u0107 nieformalne fora i osobiste relacje pomi\u0119dzy osobami odpowiedzialnymi za obszar cyberbezpiecze\u0144stwa w poszczeg\u00f3lnych firmach.<\/p>\n
\nPERN stawia na Blockchain<\/strong><\/span><\/h4>\nPERN to kluczowy element rynku paliwowego w Polsce. Firma z siedzib\u0105 w P\u0142ocku jest operatorem ruroci\u0105g\u00f3w przemys\u0142owych odpowiadaj\u0105cych w praktyce za 100% dostaw ropy naftowej do Polski, a jej sp\u00f3\u0142ka zale\u017cna OLPP posiada 19 baz magazynowych paliw rozlokowanych na terenie ca\u0142ego kraju. Ze wzgl\u0119du na rozbudowan\u0105 infrastruktur\u0119, du\u017c\u0105 ilo\u015b\u0107 system\u00f3w automatyki przemys\u0142owej oraz urz\u0105dze\u0144, zagro\u017cenia i wyzwania zwi\u0105zane z bezpiecze\u0144stwem stanowi\u0105 dla firmy biznesowy priorytet.<\/p>\n
We wsp\u00f3\u0142pracy z konsultantami EY, PERN poszukuje innowacyjnych rozwi\u0105za\u0144 technicznych dla tych problem\u00f3w. W centrum zainteresowania znajduje si\u0119 technologia blockchain znana przede wszystkim jako fundament technologiczny dla kryptowaluty bitcoin. Mechanizmy konsensusu oraz niezaprzeczalnej rejestracji w formie \u0142a\u0144cucha blok\u00f3w stwarzaj\u0105 mo\u017cliwo\u015bci podniesienia poziomu bezpiecze\u0144stwa m.in. w dw\u00f3ch kluczowych dla PERN obszarach: ochrony urz\u0105dze\u0144 automatyki przemys\u0142owej za po\u015brednictwem systemu zdalnego sterowania infrastruktur\u0105 IIoT (industrial Internet of Things) oraz rejestracji wszystkich operacji paliwowych na potrzeby akcyzy przy wykorzystaniu rejestr\u00f3w powi\u0105zanych zdarze\u0144 izalgorytmizowanych kontrakt\u00f3w blockchain.<\/p>\n
Na razie powsta\u0142a og\u00f3lna mapa drogowa wykorzystania technologii \u0142a\u0144cucha blok\u00f3w w PERN. Przedstawiciele firmy maj\u0105 \u015bwiadomo\u015b\u0107 istniej\u0105cych wyzwa\u0144 zwi\u0105zanych z brakiem standard\u00f3w czy faktu, \u017ce znaczna cz\u0119\u015b\u0107 wykorzystywanej automatyki przemys\u0142owej nie b\u0119dzie wsp\u00f3\u0142pracowa\u0107 z nowoczesnymi systemami, niemniej potencjalne korzy\u015bci s\u0105 warte wysi\u0142ku koniecznego do ich przezwyci\u0119\u017cenia. Przedstawiciele PERN i EY zapowiedzieli, \u017ce za rok, podczas kolejnej edycji InfraSEC Forum, opowiedz\u0105 o post\u0119pie prac i podziel\u0105 si\u0119 wnioskami z dotychczasowych dzia\u0142a\u0144.<\/p>\n[\/vc_column_text][\/vc_tta_section][vc_tta_section title=”Wypowiedzi prelegent\u00f3w” tab_id=”1487666655485-1a6dfeac-c78f”][vc_column_text]\n
Dr. Joern Eichler,
\n<\/strong>Head of Department for Secure Software Engineering, Fraunhofer Institute for Applied and Integrated Security (AISEC)<\/strong><\/p>\nMniej ni\u017c po\u0142owa firm kontroluje bezpiecze\u0144stwo komponent\u00f3w zewn\u0119trznych wykorzystywanych do budowy system\u00f3w. Mniej ni\u017c 20 procent sprawdza pod tym k\u0105tem w\u0142asny proces; jeszcze mniej spe\u0142nia wszystkie wymagania w zakresie bezpiecze\u0144stwa. S\u0105 trzy przyczyny takiej sytuacji: pierwsza to presja dotycz\u0105ca szybkiego wprowadzania produktu na rynek. Druga to brak wiedzy, a trzecia \u2013 brak odpowiednich metod i narz\u0119dzi. Cho\u0107 nie mo\u017cemy nic poradzi\u0107 na pierwszy z tych czynnik\u00f3w, to mamy wp\u0142yw na drugi i trzeci.<\/p>\n[\/vc_column_text][vc_separator color=”orange”][vc_column_text]\n
Grzegorz Bojar,\u00a0<\/strong>dyrektor Departamentu Teleinformatyki, Polskie Sieci Elektroenergetyczne SA<\/strong><\/p>\nJeremi Gryka,\u00a0<\/strong>zast\u0119pca dyrektora Departamentu Teleinformatyki, Polskie Sieci Elektroenergetyczne SA<\/strong><\/p>\nUdany atak na systemy sterowania wymaga prze\u0142amania ochrony fizycznej lub sieciowej. Czy ochrona perymetryczna nadal si\u0119 sprawdza? Cho\u0107 nie istnieje co\u015b takiego jak separacja galwaniczna, to paradygmat ochrony strefowej si\u0119 nie sko\u0144czy\u0142. Ochrona tego typu nadal si\u0119 sprawdza, ale pod warunkiem, \u017ce jest dostatecznie twardo stosowana. Konieczne jest tak\u017ce ograniczenie liczby system\u00f3w najbardziej chronionych. W samym centrum systemu ochrony musz\u0105 znale\u017a\u0107 si\u0119 czujniki i PLC, a kolejna warstwa to SCADA.<\/p>\n[\/vc_column_text][vc_separator color=”orange”][vc_column_text]\n
<\/strong><\/p>\n
\nOleksandr Sukhodolia,
\n<\/strong>Head of Energy Security and Technogenic Safety Department, National Institute for Strategic Studies<\/strong><\/p>\n