W obliczu nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa branża wodociągowo-kanalizacyjna staje przed nowymi obowiązkami. O tym, jak mądrze skorzystać z grantów w ramach programu „Cyberbezpieczne Wodociągi”, wartego blisko 330 mln zł, mówi Marcin Mielziuk, inżynier projektu z ponad 20-letnim doświadczeniem, architekt zespołu SIGMA. Zespół ten z powodzeniem zrealizował projekty dla setek jednostek publicznych w programach „Cyfrowa Gmina”, „Cyfrowy Powiat”, „Cyberbezpieczny Rząd” i „Cyberbezpieczny Samorząd”.

 

Jakie pierwsze kroki poleca Pan spółkom wodociągowym, które myślą o starcie w programie?

Przede wszystkim, by z niego skorzystali, by nie błądzili i najeli specjalistów którzy mają udokumentowane doświadczenie w tego typu projektach grantowych. Z bieżących informacji wynika, iż w tym konkursie grantowym może decydować kolejność zgłoszeń.. Kluczowe jest jednak, by od samego początku angażować właściwych ludzi – nie wystarczy mieć jakiegokolwiek informatyka, potrzebni są specjaliści którzy mają już za sobą podobne wdrożenia w jednostkach publicznych.

Szczególnie ostrzegam przed sprzedawcami „cudownych rozwiązań pod NIS2″, którzy organizują masowe webinary i próbują przekonać, że mają gotowy pakiet na wszystko. To może brzmi atrakcyjnie, ale w praktyce prowadzi prosto w przepaść. Każda organizacja ma nieco inne potrzeby, inną infrastrukturę, choć zagrożenia są podobne. Nie ma uniwersalnego remedium, choć rzeczywiście istnieją typy rozwiązań, które powinny się w środowisku IT/OT pojawić po takim projekcie

Nie jest sztuką wydać milion złotych z dotacji, ale sztuką jest wydać je mądrze i efektywnie. Przez efektywność rozumiem nie tylko gospodarność w wydawaniu środków, ale też odpowiednią strategię związaną z późniejszymi kosztami rocznymi. Bo po zakończeniu projektu życie organizacji się nie kończy – systemy trzeba utrzymywać, aktualizować, modernizować. I tu właśnie czeka największa pułapka: jeśli źle zaplanujemy projekt, roczne koszty utrzymania mogą być zabójcze dla budżetu.

Jakie błędy najczęściej są popełniane przez podmioty realizujące tego typu projekty?

Największą pułapką jest sytuacja, gdy klient decyduje się na samodzielne kosztorysowanie projektu w oparciu o wiedzę jednego lub dwóch informatyków, którzy przeważnie nie są specjalistami w dziedzinie cyberbezpieczeństwa i bezpieczeństwa informacji. To tak jakby planować operację serca z chirurgiem, który specjalizuje się w ortopedii. Może dużo wie o medycynie, ale to nie to samo.

Zauważyliśmy, iż zwykle komponenty projektu dobierane są na podstawie ofert, które uda się zebrać z rynku, bez pewności, że będą ze sobą prawidłowo współpracować. Często jest tak, że różne systemy częściowo realizują te same zadania – mamy dublowanie funkcjonalności, ale każdy system wymaga osobnych licencji, osobnego wsparcia, osobnych szkoleń. To jak kupowanie trzech różnych samochodów do tej samej trasy.

Drugi błąd to wybór najtańszej firmy do przygotowania wniosku o dofinansowanie. Pozornie logiczne – wydaje się, że nie ma co przepłacać za „papierkową robotę”. Problem w tym, że taka firma zwykle nie posiada wysokich kompetencji technologicznych i oczekuje podanego kosztorysu „na tacy”. A gdy pojawią się problemy podczas realizacji, nie będzie posiadała właściwych kompetencji, by je rozwiązać. Wtedy najczęściej klient zostaje z takim wyzwaniem sam.

Dobry Inżynier Projektu powinien posiadać przede wszystkim wysokie kompetencje technologiczne, być bezstronny w doborze rozwiązań i dać poczucie gwarancji doprowadzenia projektu do końca. Jest to kompletne przeciwieństwo napisania wniosku i zapadnięcia się pod ziemię, czego doświadczają niektórzy klienci. Profesjonalny menedżer projektu powinien z pełną odpowiedzialnością pilnować całej realizacji, wliczając w to wytwarzanie każdej potrzebnej dokumentacji (w tym związanej z zamówieniami typu opisy przedmiotów zamówień), reprezentację w sądach i przed Grantodawcą (o ile zajdzie taka potrzeba), rozwiązując wszystkie problemy, aż do finalnego rozliczenia końcowego projektu.

Innym często popełnianym błędem technologicznym jest nieuwzględnienie zasad wysokiej ciągłości działania systemów. Projektuje się rozwiązania, które działają – zarówno teoretycznie, jak i w praktyce. Jednakże gdy coś ulega awarii, przywrócenie do pracy wymaga interwencji człowieka, a awarie występują również w nocy. W branży wodociągowej, gdzie przestój może oznaczać brak wody dla mieszkańców, wydaje się to niedopuszczalne.

W mojej ocenie dużym błędem w strategii finansowej jest opieranie zbyt dużej części rozwiązań o subskrypcje, które później drenują budżet organizacji. Optymalna strategia dla tego typu projektów to hybryda licencji wieczystych z rozwiązaniami typu open source, z jak najmniejszą ilością kosztów stałych typu OPEX. Początkowy wydatek może być większy, ale w perspektywie lat oszczędności są znaczące.

Czym w praktyce jest środowisko Micro Enterprise?

W skrócie – zabezpieczenia klasy korporacyjnej w skali mikro. Tego typu środowisko ma być jak cyfrowy bunkier, zabezpieczone nie tylko przed atakami cyberprzestępców, ale również przed awariami i wynikającymi z nich przestojami. Do tego należy zorganizować monitorowanie infrastruktury w trybie 24/7, stworzyć logiczne i kompatybilne polityki bezpieczeństwa i przygotować organizację na pełną gotowość do obsługi incydentów.

Cała warstwa techniczna musi być spójna z warstwą organizacyjną, by zapewnić jak największe poka-yoke (z jap. odporność na błędy), by ograniczyć błędy ludzkie do minimum. To człowiek jest najsłabszym ogniwem każdego systemu bezpieczeństwa.

Dodatkowo powinniśmy zapewnić redundancję na każdym elemencie sieci – od punktów styku z siecią internet, do urządzeń końcowych. Jeśli jeden element infrastruktury ulegnie awarii, drugi powinien automatycznie przejmować jego pracę, informując administratorów o konieczności uruchomienia procedury przywrócenia środowiska do stanu wysokiej dostępności.

Monitoring infrastruktury w trybie ciągłym, o którym wspomniałem wcześniej, to wymóg ustawy o krajowym systemie cyberbezpieczeństwa. Służy nie tylko po to, by wykrywać incydenty, ale również do wykrywania nietypowego działania urządzeń i systemów. Do tego potrzebne są przygotowane i przetestowane scenariusze reagowania na różne sytuacje. Gdy dochodzi do incydentu, należy działać niezwłocznie.

A co z różnicami w zabezpieczaniu sieci IT i OT?

Generalnie podstawowe zasady są te same. Są to odrębne sieci, o różnych przeznaczeniach, ale ich charakter jest zbliżony. Oba rodzaje tych sieci mają okablowanie i urządzenia, które mogą bywać podatne i które wymagają okresowych aktualizacji. Oznacza to, że musimy nauczyć się wykrywać te podatności i łatać je lub odcinać od sieci niezwłocznie po ich wychwyceniu.

W dodatku zwykle te sieci są ze sobą połączone, dlatego nawet jeśli sieć OT jest odcięta od Internetu, ale sieć IT ma do niego dostęp, zasady zabezpieczania powinny być tożsame. Podczas ataku hakerskiego, gdy napastnik znajduje się już wewnątrz organizacji, istnieje takie zjawisko jak atak boczny (lateral movement), gdzie zwiększana jest płaszczyzna ataku do maksimum w celu przejęcia jak największej ilości systemów. Jeśli segmentacja sieci okaże się nieefektywna, skuteczny atak na sieć IT może doprowadzić do kompromitacji sieci OT.

Spotkałem się z przekonaniem, że jeśli sieć OT nie posiada połączenia z Internetem, to nie trzeba jej tak bardzo pilnować. Oczywiście to założenie jest błędne, gdyż jeśli atakujący dostanie się w sieci wewnętrznej It (nawet uzyskując dostęp fizyczny, czego nie można wykluczyć), podatności w sieci OT mogą stać się jego celem i miejscem, z którego przeprowadzona zostanie dalsza eskalacja ataku.

Reasumując, zarówno dane z sieci IT, jak i OT, powinny lądować w jednym systemie typu SIEM, który pozwoli na korelację logów z całej infrastruktury i da nam pełen obraz występujących potencjalnych scenariuszy ataków. To jak różnica między oglądaniem filmu a oglądaniem pojedynczych klatek – bez pełnego kontekstu nie jesteśmy w stanie w pełni zrozumieć co się dzieje w sieci organizacji.

Czy warto korzystać z usług typu Security Operations Center (SOC)?

Na to pytanie prawidłowa odpowiedź brzmi: „to zależy”, ale ustawa o krajowym systemie cyberbezpieczeństwa w praktyce już nam tę decyzję podjęła, narzucając obowiązek monitorowania infrastruktury w trybie ciągłym. Nowa wersja ustawy, będąca polskim odpowiednikiem dyrektywy NIS2, może te obowiązki jeszcze bardziej rozszerzyć.

Jeśli już wiemy, że musimy obserwować nasze sieci w trybie 24/7, powstaje pytanie jak to zrobić efektywnie i ekonomicznie. Można próbować zbudować własny zespół, ale to ogromne wyzwanie. Żeby obstawić wszystkie zmiany, uwzględniając urlopy, zwolnienia chorobowe i normalne rotacje kadr, potrzeba minimum 5 pełnych etatów. W praktyce znacznie więcej, bo nikt nie jest ekspertem od wszystkiego jednocześnie.

Potrzebujemy specjalistów od sieci, od systemów, od analizy logów, od reagowania na incydenty. Każda z tych dziedzin wymaga innych umiejętności i ciągłego dokształcania, a tempo zmian technologicznych przyspiesza z roku na rok. Koszt utrzymania takiego zespołu może szybko przerosnąć budżet na cyberbezpieczeństwo spółki wodociągowej.

Profesjonalne usługi SOC zwykle składają się z trzech linii wsparcia o różnych rolach. Pierwsza linia to monitoring podstawowy, filtrowanie fałszywych alarmów, wychwytywanie anomalii. Druga linia to dalsza analiza, potwierdzanie incydentów i reakcja. Trzecia linia to eksperci od skomplikowanych incydentów i planowania strategicznego.

Standardowo SOC zajmuje się monitorowaniem infrastruktury, analizą potencjalnych incydentów, eliminowaniem fałszywych zgłoszeń oraz powiadamianiem o prawdziwych zagrożeniach. Ale dalsze działania nadal spadają na klienta – SOC wskaże problem, ale nie rozwiąże go za nas. W dalszej kolejności należy uruchomić wewnętrzne scenariusze obsługi incydentów.

Dlatego warto rozważyć usługę rozszerzoną typu MDR (Managed Detection and Response). W tym modelu zewnętrzny zespół nie tylko wykrywa zagrożenie, ale też aktywnie na nie reaguje – izoluje zainfekowane systemy, neutralizuje zagrożenie i pomaga przywrócić infrastrukturę do stanu sprzed ataku. Powiadamia też w imieniu klienta właściwe organy. To skraca czas reakcji z dni, a czasem miesięcy, do minut, co w branży wodociągowej jest bezcenne.

Coraz więcej mówi się o sztucznej inteligencji. Czy AI wpływa obecnie w jakiś sposób na cyberbezpieczeństwo?

Tak, i to w sposób rewolucyjny. AI to klasyczny miecz obosieczny – może służyć obronie, ale także atakowi. Niestety, cyberprzestępcy od lat wykorzystują sztuczną inteligencję w swoich działaniach i są w tym kilka kroków przed większością organizacji.

Dzięki AI atakujący z innych krajów mogą tworzyć perfekcyjne językowo wiadomości phishingowe w dowolnym języku. Już nie poznamy ataku po łamanej polszczyźnie. AI pozwala też na tworzenie deep fake’ów – klonowanie głosów i wizerunków pracowników organizacji. Znane są przypadki, gdy dyrektorzy finansowi byli skutecznie nakłaniani do realizacji wielomilionowych przelewów przez fałszywych przełożonych podczas rozmów wideo.

Jeszcze groźniejsze jest to, że AI potrafi pisać nowe typy złośliwego oprogramowania. Klasyczne systemy antywirusowe działają na bazie sygnatur – rozpoznają znane zagrożenia. Gdy AI tworzy unikatowy kod malware, taki system go nie wykryje. Oznacza to, że nie trzeba już być wybitnym programistą, żeby stworzyć skuteczne narzędzie ataku.

AI jeszcze bardziej pogłębiło dystans między atakującymi a obrońcami. Większość firm wodociągowych nie osiągnęła jeszcze podstawowego poziomu zabezpieczeń, a już musi się mierzyć z potęgą sztucznej inteligencji w służbie cyberprzestępców.

Taka sytuacja to też szansa. Podmioty, które modernizowały swoje zabezpieczenia jeszcze 2-3 lata temu, nie miały dostępu do rozwiązań obronnych opartych na AI. Teraz takich narzędzi jest coraz więcej i warto z nich skorzystać już na etapie planowania projektu.

Systemy ochrony poczty elektronicznej wyposażone w AI osiągają znacząco lepsze wyniki od klasycznych rozwiązań behawioralnych typu sandbox. Mniejsza liczba fałszywych alarmów oznacza, że zespół IT nie jest zalewany bezużytecznymi powiadomieniami i może skupić się na rzeczywistych zagrożeniach.

Podobnie systemy SIEM/SOAR nowej generacji, wyposażone w mechanizmy uczenia maszynowego, potrafią wykrywać anomalie, które umknęłyby tradycyjnym regułom. Osobiście nie wyobrażam sobie dziś wdrażania zaawansowanych systemów obronnych bez silnego komponentu AI. To technologia, po którą musimy sięgnąć natychmiast, jeśli chcemy mieć jakiekolwiek szanse w tym wyścigu zbrojeń.

Co powiesz na temat wymogu wdrożenia SZBI w ramach tego projektu?

Uważam to zarówno za szansę na pozyskanie kapitału na ten cel, jak i możliwość spełnienia obowiązku prawnego, który ciąży na podmiotach realizujących zadania publiczne już od 2012 roku. Rozporządzenie o krajowych ramach interoperacyjności istnieje z nami już 13 lat, a większość podmiotów objętych jego zakresem nadal tego obowiązku nie spełniło.

To pokazuje skalę zaniedbań w polskiej administracji publicznej i spółkach komunalnych. Przez lata ten wymóg był traktowany jak papierowa formalność, którą można zignorować. Teraz, gdy cyberzagrożenia stały się realnym problemem, okazuje się że nie mamy podstawowych systemów zarządzania bezpieczeństwem.

Warto podkreślić, że ani rozporządzenie, ani konkurs grantowy nie nakazują certyfikowania systemu zarządzania bezpieczeństwem informacji. To znacząca różnica kosztowa i organizacyjna. Certyfikacja ISO/IEC 27001 to proces droższy oraz bardziej wymagający aniżeli samo wdrożenie polityk i procedur bezpieczeństwa.

Rozporządzenie nakazuje budowę systemu zarządzania bezpieczeństwem informacji w oparciu o normy ISO/IEC 27001 (ogólne zasady bezpieczeństwa informacji), 27002 (konkretne mechanizmy techniczne) oraz 27005 (metody zarządzania ryzykiem). Wcześniejsze wersje rozporządzenia wskazywały również normę 24762 dotyczącą odzyskiwania danych po awarii.

Ta ostatnia norma, mimo że ma niemal 20 lat, zawiera bardzo istotne punkty dotyczące logiki umiejscawiania kopii zapasowych. Muszą być przechowywane w odległości wystarczająco dużej od głównej siedziby, żeby przetrwały nie tylko cyberataki, ale też kataklizmy naturalne czy działania wojenne. W obecnych czasach to nie jest przesadna ostrożność.

Fundament dobrego SZBI to rzetelne zarządzanie ryzykiem. Niestety, analizy ryzyka często są traktowane po macoszemu – papierowa formalność „do odhaczenia”. A to właśnie ze słabych analiz ryzyka wynikają później nieadekwatne zabezpieczenia, które prowadzą do skutecznych ataków i wycieków danych. Warto tu dodać, że prawidłowe decyzje o wdrażaniu zabezpieczeń powinny właśnie wynikać z analiz ryzyka i to w tym miejscu zwykle kontrolerzy dopatrują się nieprawidłowości we wdrożonych systemach po wyciekach danych.

Czy po wdrożeniu całego projektu, wyższe kierownictwo przedsiębiorstwa wodociągowego może już spać spokojnie?

Bezpieczeństwo to proces, a nie jednorazowy projekt. W zdecydowanej większości przypadków menedżer zarządzający organizacją nie jest specjalistą w zakresie cyberbezpieczeństwa. Taka osoba, żeby mogła uznać, że zarządzana przez nią firma jest bezpieczna, musi opierać się na zewnętrznych, obiektywnych analizach.

Zgodnie ze strategią cyberbezpieczeństwa RP, najskuteczniejszą formą oceny bezpieczeństwa systemów jest test penetracyjny wykonywany przez zespół certyfikowanych etycznych hakerów. To ludzie z certyfikatami typu OSCE, którzy profesjonalnie próbują włamać się do naszych systemów, żeby sprawdzić czy jest to możliwe.

Taki raport po przeprowadzonych wdrożeniach to klucz do spokojnej głowy zarządu. Oczywiście, jeśli test wykaże nieprawidłowości lub podatności, należy niezwłocznie wdrożyć wskazane zalecenia i najlepiej powtórzyć test w problematycznych obszarach. Dopiero czysty raport daje podstawy do optymizmu.

Jeżeli mimo wszystko dojdzie do wycieku danych po takim teście, odpowiedzialność kierownictwa powinna być minimalna. Kontrola powinna wykazać, iż dopełniono wszelkich możliwych starań, żeby atakowi zapobiec. To ważne z punktu widzenia odpowiedzialności wyższego kierownictwa.

Testy penetracyjne powinny odbywać się nie rzadziej niż raz na dwa lata, choć osobiście uważam, że rok to górna granica. Cyberprzestępcy nie śpią, stale rozwijają nowe metody ataku, więc nasze zabezpieczenia też muszą być regularnie weryfikowane.

Warto też wdrożyć wewnętrzny skaner podatności, który codziennie przeszukuje systemy w poszukiwaniu nowych luk bezpieczeństwa. To jak regularne badania lekarskie – lepiej wykryć problem wcześnie niż czekać aż się rozwinie.

Kolejny element spokojnego snu to realny budżet na cyberbezpieczeństwo, zwiększany o minimum 15-20% rocznie. Takie jest mniej więcej tempo wzrostu wartości szkód powodowanych przez cyberprzestępców. Jeśli nasze inwestycje w obronę rosną wolniej niż zagrożenia, z czasem może nas czekać porażka.

Czy praca zespołu SIGMA jest kosztem kwalifikowanym?

Tak, jest to koszt w pełni kwalifikowany w ramach programu. W dodatku nasze doświadczenie zebrane podczas realizacji kilkuset podobnych projektów pozwala uzyskiwać znacznie efektywniejsze parametry finansowe przy zakupie różnych rozwiązań technologicznych.

Dzięki skali działania jesteśmy w stanie negocjować u producentów i dostawców warunki, których nie uzyska pojedynczy podmiot. To generuje realne oszczędności dla naszych klientów – często nasz koszt zwraca się już na etapie zakupów sprzętu i oprogramowania.

Dodatkowo, nasze wieloletnie doświadczenie oznacza, że wiemy gdzie czyhają pułapki i jak ich unikać. Nie będziemy eksperymentować na koszcie klienta, bo już przeszliśmy przez wszystkie możliwe problemy w poprzednich projektach. To przekłada się na krótszy czas realizacji i mniejsze ryzyko opóźnień. Warto w tym miejscu dodać jeszcze jedną ważną informację. Aktualnie trwają nadal bardzo podobne projekty grantowe w samorządach, a od września zakupy rozpoczną również szpitale. Oznacza to, że możemy spodziewać się tysięcy przetargów w ciągu najbliższych 9 miesięcy. Tak nagły wzrost popytu zapewne wpłynie na ceny i dostępności sprzętu. Trzeba o tym pamiętać układając strategię zakupową.

Pragnę zaprosić do współpracy wszystkie firmy wodociągowe zainteresowane programem. Na dzień dzisiejszy dowieźliśmy w terminie 100% realizowanych projektów. Jesteśmy pewni, iż ten wskaźnik pozostanie z nami na stałe, gdyż mamy sprawdzone procesy i świetny, doświadczony zespół. W branży wodociągowej, gdzie ciągłość dostaw to kwestia bezpieczeństwa publicznego, taka gwarancja z pewnością ma szczególne znaczenie.

Rozmawiała Joanna Sobocińska-Korczak.

 

 

#CyberbezpieczneWodociągi

#NIS2

#KrajowySytemCyberbezpieczeństwa

#CyfryzacjaWodociągów

#SieciOT

#SIGMA

#MicroEnterprise

#SOC

#MDR

#SZBI

#TestyPenetracyjne

#CyberbezpieczeństwoAI

#GrantyIT

#WodociągiIT

#CyberobronaPolska

Tagi: