Firma zawsze musi być przygotowana na wyczyszczenie wszystkich systemów i postawienie ich od nowa

Atak hakerski na systemy informatyczne spółki węglowej OKD mógł zagrozić życiu i zdrowiu górników zatrudnionych w kopalniach. Usuwanie jego skutków zajmie jeszcze trochę czasu, ale już nasuwa się pytanie o skutki podobnego cyberataku na polskie spółki węglowe.

Polska jest na 20. pozycji w rankingu krajów najbardziej narażonych na cyberataki – takiego zdania są eksperci od cyberprzestrzeni. Z kolei dziedzinami gospodarki będącymi w orbicie zainteresowań hakerów są niewątpliwie energetyka i, rzecz jasna, górnictwo zaopatrujące elektrownie w niezbędny im surowiec. Zagrożony jest ponadto sektor transportowy, finansowy oraz administracja państwowa. 

Zagrożenie dla załogi
Aż strach pomyśleć, jakie skutki mógł wywołać cyberatak na OKD. Wyłączenie zasilania i co za tym idzie wentylacji podziemnych wyrobisk, paraliż transportu pionowego – to w istocie sprowadzenie niebezpieczeństwa katastrofy dla załogi.

- Atak hakerski na systemy informatyczne OKD, który przerwał pracę wszystkich czterech kopalń, wywołał niepokój także w Polsce, gdzie prawie 80 proc. energii elektrycznej jest wytwarzane z węgla. Padają pytania, czy podobny atak może wydarzyć się także w Polsce. Zacznijmy jednak od tego, że nie ma systemów informatycznych odpornych w 100 proc. na tego typu ataki, szczególnie w przypadku tzw. ataków APT (Advanced Persistent Threat), polegających na powolnym i skrytym opanowywaniu kolejnych elementów atakowanej infrastruktury - wskazuje Marek Ujejski, ekspert ds. cyberbezpieczeństwa.

I taki właśnie atak przeprowadzono na OKD. Nasi południowi sąsiedzi nie od dziś zmagają się z podobnymi incydentami. W 2016 i 2017 r. zhakowanych zostało 150 ministerialnych kont mailowych. W sierpniu ub.r. Komisja spraw zagranicznych, obrony i bezpieczeństwa Senatu Czech poinformowała, że za cyberatakami na praskie MSZ stoi obce państwo. W październiku ub.r. podano, że służby specjalne rozbiły rosyjską grupę hakerską, ale niedługo potem przestępcy zdołali sparaliżować klinikę w Benešovie. Ze skutkami tego ataku kierownictwo placówki walczy do dziś. Jak przeciwdziałać atakom z cyberprzestrzeni? 

Wykryć i zablokować
- Oprócz konstruowania wielu linii wykrywania symptomów takiego ataku i obrony firma zawsze musi być przygotowana na wyczyszczenie wszystkich systemów i postawienie ich od nowa w jak najkrótszym czasie – uczula ekspert.

Jednak nim dojdzie do takiej sytuacji, istnieje szereg metod i narzędzi pozwalających wykryć symptomy takiego ataku i skutecznie go zablokować. Oprócz tych znanych od dawna, bazujących na wykorzystaniu tzw. firewalli, czyli urządzeń przepuszczających tylko ruch pochodzący z zaufanych źródeł i o cechach wskazujących na brak wrogich zamiarów, coraz większą popularność zyskują metody polegające na ciągłym monitoringu wszystkich komponentów krytycznych z punktu widzenia przedsiębiorstwa, zarówno serwerów, stacji roboczych, jak i urządzeń sieciowych.

- Systemami monitorującymi zarządzają zespoły specjalistów obserwujących w trybie 24 godzin na dobę generowane alerty i podejmujące odpowiednie działania w wypadku podejrzenia ataku. Idea takich centrów monitorowania przyszła, jak większość nowinek informatycznych, z USA, gdzie zostały stworzone odpowiednie dokumenty standaryzacyjne opisujące zadania i organizację takiej struktury zwanej tam Security Operation Center. Ze względu na to, że uruchomienie takiego centrum jest kosztowne i wymaga posiadania wysokiej klasy specjalistów, możliwe jest skorzystanie z usług tzw. dostawcy usług cyberbezpieczeństwa, przewidziane w ustawie o krajowym systemie cyberbezpieczeństwa – wyjaśnia dalej Ujejski i ponownie uczula, że nie ma gwarancji całkowitej odporności systemu informatycznego na cyberataki, nawet takiego, który nie został połączony z siecią Internet. 

Atak za atakiem
Oto bowiem w latach 2014-2015 hakerzy zdołali wykraść najpilniej strzeżone dane 4,2 mln obecnych i byłych pracowników federalnych w USA. Nastoletni haker z Wielkiej Brytanii włamał się na konta CIA i FBI, zyskując dostęp do najbardziej wrażliwych informacji. W Polsce, przed niespełna trzema laty, zaatakowana została Komisja Nadzoru Finansowego. Hakerzy próbowali już kilkakrotnie wedrzeć się do systemów firm energetycznych i transportowych. Trzeba zatem mieć się na baczności.

- Przede wszystkim niezbędne jest wykonanie audytu, wymaganego ustawowo co dwa lata w przypadku przedsiębiorstw objętych wymaganiami ustawy o krajowym systemie cyberbezpieczeństwa, a do nich należą właśnie przedsiębiorstwa wydobywające węgiel energetyczny – wyjaśnia Ujejski.

Audyty takie wykonywane są przez zespoły składające się z ekspertów posiadających międzynarodowe certyfikaty. Nie należy też zapominać o ciągłym szkoleniu własnych pracowników, bo jak niezmiennie wskazują od lat statystyki, to oni właśnie najczęściej wskutek nieostrożnych działań są źródłem propagującym zewnętrzne zagrożenia do systemów informatycznych. Ekspert akcentuje ponadto konieczność regularnego odbywania ćwiczeń odbudowy eksploatowanych systemów informatycznych. Alarm na cyberpoligonie zdaje się zatem nie mieć końca.