Liczba ataków hakerskich na świecie rośnie, ale rośnie także świadomość zagrożenia nimi oraz konieczności zabezpieczenia się. Jednym z narzędzi, jakie mają w tym pomóc jest zaproponowana przez Komisję Europejską Dyrektywa NIS2 nowelizująca już obowiązujące w UE prawo o bezpieczeństwie cyfrowym. O tych rozwiązaniach dyskutowano podczas tegorocznej edycji międzynarodowej konferencji CYBERSEC GLOBAL.
Oba te zjawiska postępują, bo oba są ze sobą bardzo blisko powiązane. Wraz z rozwojem usług cyfrowych, e-administracji czy telekomunikacji rośnie także liczba zagrożeń w cyberprzestrzeni.
Ostatnie miesiące boleśnie przypomniały, że nie jest to tylko kwestia pojedynczych ataków hakerskich wymierzonych w poszczególne osoby, czy to prywatne, czy publiczne czy też zagrożeń takich jak phishing albo kradzież danych osobowych.
Coraz częściej bowiem dochodzi do przeprowadzanych przez profesjonalne grupy cybeprzestępców – czy to działające na własny rachunek, czy też z polecenia jakichś państw – ataków na całe cyfrowe usługi czy krytyczną infrastrukturę.
Głośne ataki hakerskie
W maju 2021 r. za pomocą oprogramowania służącego do szyfrowania komputerów i wymuszania okupu za ich odblokowanie (tzw. ransomware) doszło do ataku hakerskiego na amerykański rurociąg Colonial Pipeline, którym tłoczone jest paliwo do odbiorców na Wschodnim Wybrzeżu USA. Doprowadziło to do sytuacji, w której na niektórych amerykańskich stacjach zaczęło paliw brakować, a ceny terminowych kontraktów na ich dostawy wzrosły.
Zaledwie kilka dni później atak typu ransomware sparaliżował na kilka dni działanie irlandzkiej publicznej służby zdrowia (HSE), a potem cyberprzestępcy uderzyli w systemy największego na świecie przetwórcy mięsa, czyli brazylijskiego koncernu JBS.
Doprowadziło to do zakłócenia pracy lub nawet czasowego zamknięcia dziesiątek przetwórni mięsa w USA, Kanadzie i Australii. I oczywiście do zakłócenia łańcuchów dostaw w branży spożywczej.
W czerwcu ubiegłego roku wyszło natomiast na jaw, że dwa miesiące wcześniej hakerzy włamali się do systemu informatycznego metra w Nowym Jorku. Tym razem jednak nie chodziło o zablokowanie komputerów i wyłudzenie okupu, ale o kradzież danych osobowych pasażerów. Atak jednak nie do końca się powiódł, bo choć sprawcy włamania dokonali, to odpowiednio zabezpieczonych danych nie zdołali pozyskać.
Ataki hakerskie dotyczą dziś zresztą różnych firm i instytucji – na przestrzeni ostatnich dwóch lat ich ofiarą padały m.in. usługa pocztowa Microsoft Exchange, oferująca lokalne serwery VSA amerykańska firma Kaseya, biznesowy serwis społecznościowy LinkedIn czy oprogramowanie firmy SolarWinds. Włamywano się także na serwery firm farmaceutycznych pracujących nad szczepionkami na koronawirusa.
W połowie stycznia natomiast doszło do ataku na ukraińską administrację publiczną, i to zarówno tę państwową, jak i samorządową. Hakerzy nie tylko sparaliżowali serwisy ponad 70 różnych instytucji oferujących usługi e-administracji, ale nawet rządową aplikację „Dija” służącą jako e-dowód osobisty.
A ponieważ umieścili na zaatakowanych stronach planszę z groźbami pod adresem mieszkańców Ukrainy, władze w Kijowie uznały to zdarzenie za element rosyjskich agresywnych działań hybrydowych.
Nowelizacja Dyrektywy NIS
Ataki hakerskie potrafią więc nas dotknąć nawet wtedy, gdy nie mamy pozornie nic wspólnego z zaatakowaną firmą czy instytucją, bo prowadzą do szerszego paraliżu instytucji publicznych, transportu, łańcuchów dostaw, e-administracji czy infrastruktury krytycznej i różnych usług.
Aby przeciwdziałać temu zagrożeniu nie tylko wprowadza się nowe rozwiązania techniczne czy zwiększa świadomość społeczną i szkoli personel, ale także unowocześnia i dostosowuje do nowych wyzwań prawo. Często jednak trzeba je po prostu na nowo przemyśleć, a także stale rewidować.
Dlatego Komisja Europejska już w grudniu 2020 r. zaproponowała nowelizację przyjętej w 2016 r. „Dyrektywy w sprawie środków na rzecz wysokiego wspólnego cyberbezpieczeństwa w całej Unii” zwanej też Dyrektywą NIS.
Dyrektywa NIS2 jest częścią szerszego pakietu cyberbezpieczeństwa, w którego skład wchodzą także Strategia Cyberbezpieczeństwa oraz Dyrektywa o odporności krytycznych podmiotów.
W ramach nowelizacji Dyrektywy NIS, poszerzono m.in. jej zakres podmiotowy podporządkowując jej także m.in. administrację publiczną, przemysł, branżę kosmiczną, zarządzanie odpadami i ściekami, przemysł czy branżę spożywczą.
Poszerzono także wymagania nałożone na wszystkie objęte dyrektywą obszary. Dotyczą one zarówno kwestii testowania poziomu cyberbezpieczeństwa, ujawniania luk w zabezpieczeniach, zarządzania i obsługi czy efektywniejszego wykorzystywania szyfrowania.
W projekcie doprecyzowano także kwestie raportowania incydentów czy wprowadzono odpowiedzialność kierownictwa firm za sprawy związane za zarządzanie cyberbezpieczeństwem. Wzmocniono także współpracę i koordynację działań na poziomie wspólnotowym.
Liczba ataków hakerskich wzrosła w 2021 r. cztery razy
Podczas międzynarodowej konferencji CYBERSEC GLOBAL Lorena Boix Alonso z Dyrekcji Generalnej ds. Sieci Komunikacyjnych, Treści i Technologii (DG CONNECT) w Komisji Europejskiej zwracała uwagę, że dziś problem cyberbezpieczeństwa dotyczy już praktycznie każdego sektora.
„Nie tylko bowiem wzrosła liczba ataków hakerskich czy liczba branż, w jakie uderzono, ale zmieniła się także sama natura tych ataków. To są ataki wykorzystujące wszystkie możliwe luki i które potrafią zakłócić całe łańcuchy” – powiedziała Boix Alonso.
Jak poinformowała przedstawicielka KE, według Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) w 2021 r. liczba ataków hakerskich w Europie wzrosła aż czterokrotnie. „Dlatego w Dyrektywie NIS2 chcemy zwiększyć liczbę sektorów, w jakich jej zapisy będą obowiązywać. Chodzi o to, aby działające w nich podmioty wiedziały, że dyrektywa je obejmuje, a nie czekały tu na decyzje państw członkowskich” – dodała.
Podkreśliła też, że większą odpowiedzialność ciążyć będzie teraz nie tylko na kierownictwie firm, ale także na samych spółkach, które – w myśl proponowanej dyrektywy – mogłyby zostać obłożone wysokimi karami w razie zaniechania działań w kwestii cyberbezpieczeństwa.
Odpowiedzialność na całym łańcuchu dostaw
Komentując propozycje KE, dyrektor generalna Stowarzyszenia Europejskich Operatorów Sieci Telekomunikacyjnych (ETNO) Lise Fuhr, która swoją branżę nazwała „kręgosłupem naszego społeczeństwa”, wskazała na rosnącą za sprawą pandemii COVID-19 zależność od technologii cyfrowych. „Dlatego nasze sieci były atakowane bardzo często, bo są już one częścią infrastruktury krytycznej” – powiedziała Fuhr.
„To jest więc część nasze misji, aby zarówno nasze sieci, jak i nasze zasoby, były odporne, a konsumenci, społeczeństwa i rządy mogły mieć do nas pełne zaufanie. Wraz z rozwojem sieci 5G będziemy jednak musieli być jeszcze bardziej czujni, ponieważ nasze sieci staną się jeszcze większą podporą całego cyfrowego ekosystemu” – dodała i przypomniała, że telekomunikacyjna rewolucja sprawi, że jeszcze więcej cyfrowych usług będzie blisko użytkowników, a jednocześnie wzrośnie ryzyko ataków.
Fuhr pochwaliła jednocześnie to, że Dyrektywa NIS2 kładzie większy nacisk na kwestie szacowania ryzyka i odpowiedzialności po stronie firm i ich kierownictwa. Zwróciła jednak uwagę, że ETNO postuluje, aby „ci, którzy są najbliżej ewentualnych problemów, byli także najbliżej ich rozwiązań”.
„Rola dostawców usług cyfrowych jako jednocześnie podmiotów budujących odporność na cyberataki stała się jeszcze ważniejsza. Naszym zdaniem to oni są w najlepszej pozycji, aby rozwiązywać potencjalne problemy w kwestii cyberbezpieczeństwa. Łańcuchy dostaw stają się coraz szersze, dlatego postulujemy, aby lepiej rozłożyć odpowiedzialnośc za cyberbezpieczeństwo na całej długości owych łańcuchów” – powiedziała przedstawiciela ETNO.
Cyberbezpieczeństwo to ciągły proces
Manager ds. polityk europejskich i bezpieczeństwa w Google dr Ludmila Georgieva określiła z kolei Dyrektywę NIS jako „kamień milowy architektury prawa w dziedzinie europejskiego cyberbezpieczeństwa”, zaś samo cyberbezpieczeństwo „kamieniem węgielnym i warunkiem wstępnym cyfryzacji”.
„Ale naszym zdaniem cyberbezpieczeństwo jest procesem. To nie statyczną sytuacją. Potrzeba więc stałego ulepszania, unowocześniania i poprawiania zarządzania nim. Cyberbezpieczeństwo musi być cały czas wzmacniane” – powiedziała. I dodała, że legislacja musi jednocześnie wyważać między minimalnymi wymaganiami, zarządzaniem opartym o ocenę ryzyka, a różnego rodzaju zachętami do wdrażania innowacji w kwestii cyberbezpieczeństwa.
„Dlatego często mówimy o cyberbezpieczeństwie jako o współdzielonej odpowiedzialności. To jest gra zespołowa, bo wszyscy musimy się przyłożyć do zabezpieczenia naszego wspólnego ekosystemu” – podkreśliła Georgieva i zapewniła, że Google stara się zapewnić bezpieczeństwo nie tylko swoim użytkownikom, ale całej sieci internetowej.
Harmonizacja przepisów służy transgranicznemu biznesowi
Z kolei dyrektor przedstawicielstwa PKN Orlen w Brukseli Dawid Bastiat-Jarosz zwracał uwagę na to, że choć krajowe regulacje w wielu obszarach są oparte na regulacjach unijnych, to wiele praktycznych aspektów implementacji owych przepisów różni się w poszczególnych krajach. Powoływał się przy tym na doświadczeniach Orlenu, który działa na rynkach w Polsce, Czechach oraz na Litwie, a niebawem zacznie też swoje działania na Węgrzech.
„Istnieją na przykład na tych rynkach odmienne podejścia do definiowania tego czym są usługi kluczowe. W naszej grupie Orlenu mamy jednak scentralizowane podejście do kwestii zarządzania cyberbezpieczeństwem. Wdrażamy więc jednolite standardy i staramy się budować międzynarodowy zespół, który zajmowałby się tym wyzwaniem. Zatem spójne podejście regulacyjne bardzo ułatwiłoby nam zadanie” – powiedział.
Podkreślił też, że w kontekście regionalnym PKN Orlen bardzo dobrze przyjmuje harmonizację przepisów oraz ich wspólną interpretację w poszczególnych systemach prawnych.
„Dlatego pokładamy duże nadzieje w Dyrektywie NIS2. Postrzegamy ją też bardziej jako ewolucję przepisów niż rewolucję w nich” – zapewnił.
Użytkownik wciąż najsłabszym ogniwem
Ataki hakerskie na rurociąg Colonial Pipeline czy na irlandzką publiczna służbę zdrowia pokazały jak istotnie jest zabezpieczenie tzw. infrastruktury krytycznej, a więc zapewniającej podstawowe funkcjonowanie państwa, społeczeństwa czy gospodarki.
Kierownik Działu Bezpieczeństwa Teleinformatycznego w Departamencie Bezpieczeństwa Grupy Kapitałowej PGNiG Sebastian Pelowski podkreślił jednak, że ważne jest nie tylko inwestowanie w samą infrastrukturę, ale także w ludzi.
„Ataki na Colonial Pipeline czy na ukraińską administrację publiczną pokazują, że kreatywność cyberprzestępców jest duża. Cyberataki stają się ponadto rodzajem usługi, którą można sobie zamówić. Dlatego ważne jest dla nas, aby nasi pracownicy też byli w swojej czujności w stanie myśleć poza schematem. A takiej zalety nie daje nam na razie żadna technologia” – zaznaczył.
Przypomniał też stare prawidło cyberbezpieczeństwa, mówiące o tym, że najsłabszym ogniwem każdego systemu bezpieczeństwa jest człowiek. „Dlatego szkolimy ciągle nasz personel, poczynając od pracowników IT przez pracowników biurowych po kierownictwo najwyższego szczebla. Uczymy ich tzw. cyfrowej higieny. Staramy się też budować nasze zdolności i wiedzę zarówno co do technik cyfrowego ataku, jak i technik obronnych” – wyjaśnił Pelowski. Dodał też, że jednocześnie rozbudowywany jest OSINT, a zespół ekspertów stale pozyskuje informacje o wszystkich nowych zjawiskach w cyberbezpieczeństwie.
„Mamy pełną świadomość, że nasz system jest tak silny, jak silne jest jego najsłabsze ogniwo” – podkreślił Pelowski. Zastrzegł jednak, że z jego punktu widzenia nie ma obecnie potrzebny tworzenia nowych rozwiązań, a pełne wdrożenie norm ISO czy rekomendacji pierwszej dyrektywy NIS wystarcza do zachowania cyberbezpieczeństwa.
„Istotniejsze od tworzenia nowych rozwiązań jest moim zdaniem dobre wdrożenie tych już istniejących rekomendacji. Wiele włamań czy cyberataków to raczej skutek złego wdrożenia zasad bezpieczeństwa, jak choćby uwierzytelnianie wieloskładnikowe” – stwierdził przedstawiciel PGNiG.
Dyrektywa NIS 2 jest obecnie jeszcze na etapie pracy legislacyjnych. W grudniu ubiegłego roku Rada UE zatwierdziła swoje ogólne podejście do projektu przedstawionego przez KE. To pozwala otworzyć negocjacje z Parlamentem Europejskim na temat ostatecznego kształtu proponowanej nowelizacji dyrektywy o cyberbezpieczeństwie.