Będzie nowe prawo
Z punktu widzenia państwa celem jest bezproblemowe funkcjonowanie tzw. infrastruktury krytycznej. Czym dokładnie ona jest? – To definiuje unijna dyrektywa NIS, obowiązująca od 9 maja. W Polsce jej odpowiednikiem jest ustawa o krajowym systemie cyberbezpieczeństwa, która ma wejść w życie niedługo. Zdefiniowanych zostało w niej szereg obszarów. Na infrastrukturę krytyczną mogą składać się zarówno spółki energetyczne, przedsiębiorstwa telekomunikacyjne, instytucje finansowe, czyli większe banki, ale także np. szereg szpitali. Chroni się ją, aby w Polsce ludzie mogli normalnie funkcjonować – mówi Jakub Syta. Ustawa, o której wspomina, na początku czerwca trafić ma pod obrady Sejmu.
Pojęcie „infrastruktury krytycznej” funkcjonuje już w prawie. Co się zmieni? – Do tej pory funkcjonująca ustawa o ochronie infrastruktury krytycznej koncentrowała się na istotnych pomieszczeniach, budynkach, obszarach geograficznych. Wchodzące teraz w życie przepisy skupią się na procesach takich jak: zapewnienie dostaw wody, energii, transportu, funkcjonowania banków i rynków finansowych, ochrony zdrowia czy infrastruktury telekomunikacyjnej i cyfrowej, czyli np. funkcjonowania alarmowego numeru 112 – tłumaczy dyrektor.
Wróg jest jeden
Jakie są dziś największe zagrożenia dla infrastruktury krytycznej? – Zagrożenie jest jedno: internet. Wyzwanie, przed którym stoi świat, polega na tym, że historycznie rzecz biorąc, sieci automatyki przemysłowej były projektowane w izolacji. Z punktu widzenia bezpieczeństwa było to idealne. Ich ochrona koncentrowała się na zapewnieniu bezpieczeństwa fizycznego. Jednak świat się rozwinął, technologie i wymagania biznesowe także. Chcemy dużo szybciej sterować systemami i coraz częściej są one połączone z resztą świata, a izolacja – zdarza się – jest zrobiona w sposób niepoprawny. Widzieliśmy to niejednokrotnie na własne oczy, pomagając naszym klientom – diagnozuje Jakub Syta.
To wtedy hakerzy, przestępcy, osoby działające z własnych pobudek i na rzecz wrogich państw, mogą „wejść” do organizacji. Gdy taka grupa dostanie się do podmiotu będącego częścią infrastruktury krytycznej, może się okazać, że na dużym obszarze kraju przestanie świecić światło. Tego typu ataku, według agencji Reuters, doświadczyła dwa lata z rzędu, w 2015 i 2016, Ukraina. – Także firmy powinny zacząć autentycznie chronić informacje. To wymaga pieniędzy, ale nieporównywalnie mniejszych niż usuwanie skutków – przekonuje Jakub Syta.
– Technologie są, i to dobre. Dużo gorzej bywa z ich wdrożeniem. Sam zakup serwera, oprogramowania nie jest trudny. Ale już konfiguracja w taki sposób, by system był bezpieczny – dużo bardziej. Tu widzimy swoją rolę jako Exatel. Doświadczenie zdobywaliśmy, budując rozwiązania m.in. dla podmiotów tworzących infrastrukturę krytyczną kraju, w tym dużych obiektów przemysłowych i banków – mówi dyrektor z Exatelu. – W ramach EXATEL Security Days będziemy wraz z naszymi partnerami opowiadać o konkretnych zastosowaniach technologii i wnioskach z obsługi rozwiązań – dodaje.
