ISAC GIG - w imię cyberbezpieczeństwa branży wydobywczo-energetycznej

ISAC GIG - w imię cyberbezpieczeństwa branży wydobywczo-energetycznej

Historyczną rolę w krajowym systemie cyberbezpieczeństwa odgrywa niewątpliwie zespół CERT Polska (ang. Computer Emergency Response Team), powołany w roku 1996 do reagowania na zdarzenia naruszające bezpieczeństwo w sieci Internet. CERT Polska działa w strukturach Naukowej i Akademickiej Sieci Komputerowej (NASK) i jest członkiem organizacji FIRST (ang. Forum of Incidents Response and Security Teams), w ramach której współpracuje z podobnymi zespołami na świecie. Ustawa z dn. 5 lipca 2018 roku o krajowym systemie cyberbezpieczeństwa ustanowiła trzy Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego (CSIRT) na poziomie krajowym: CSIRT NASK, CSIRT GOV oraz CSIRT MON. Są one odpowiedzialne za koordynację obsługi incydentów zgłaszanych przez przyporządkowane zgodnie z ustawą podmioty. Zespół CERT Polska realizuje w tej strukturze część zadań CSIRT NASK, a do głównych jego działań należy rejestrowanie i obsługa zdarzeń naruszających bezpieczeństwo sieci oraz alarmowanie użytkowników o wystąpieniu dotykających ich bezpośrednio zagrożeń. Warto zwrócić uwagę na fakt, że przepisy ustawy umożliwiają także powoływanie sektorowych zespołów cyberbezpieczeństwa.

W krajowym systemie cyberbezpieczeństwa, dopuszczono również możliwość tworzenia innych struktur w zakresie ochrony cyberprzestrzeni. Istnieje rozległa sfera działań, których realizacją mogą zajmować się zarówno zespoły CSIRT, jak i inne organizacje powołane przez organ właściwy do spraw cyberbezpieczeństwa dla danego sektora lub podsektora gospodarki wymienionego w załączniku do ustawy. Do działań takich należą chociażby: zwiększanie świadomości zagrożeń w sieciach teleinformatycznych, prowadzenie badań i przygotowanie raportów dotyczących bezpieczeństwa polskich zasobów Internetu, niezależne testowanie produktów i rozwiązań z zakresu cyberbezpieczeństwa, rozwijanie narzędzi do monitorowania, analizy i korelacji zbieranych danych z sieci i wykrywania oraz klasyfikacji zagrożeń, czy też dzielenia się wiedzą i kompetencjami w zakresie obsługi i rejestracji incydentów.


Godną szczególnej uwagi jest formuła sektorowych Centrów Wymiany i Analizy Informacji, czyli ISAC (ang. Information Sharing and Analysis Center), których funkcją jest wymiana wiedzy i doświadczeń dotyczących incydentów cyberbezpieczeństwa w określonych sektorach gospodarki. Centra ISAC stanowią – co szczególnie istotne – formę partnerstwa publiczno-prywatnego (PPP), rozumianego jako długookresowe porozumienie co najmniej dwóch przedstawicieli sektora prywatnego i publicznego. Dane Europejskiej Agencji Bezpieczeństwa Sieci i Informacji (ENISA) pokazują wyraźnie, że rozwinięcie systemu PPP w obszarze cyberbezpieczeństwa (w szczególności powstanie centrów ISAC), wyraźnie przyczyniło się do zwiększenia ogólnego poziomu wiedzy na temat zagrożeń w cyberprzestrzeni, a także do wzrostu kompetencji firm i instytucji, co wyraźnie wpłynęło na skuteczność w przeciwdziałaniu zagrożeniom.

Historia ISAC sięga lat 90., kiedy to, po atakach terrorystycznych w Nowym Jorku i Oklahoma City, w raporcie Prezydenckiej Komisji do spraw Zabezpieczania Infrastruktury Krytycznej, jako jedno z największych zagrożeń wskazano Internet i systemy teleinformatyczne. Eksperci zalecali aby priorytetowo potraktować współpracę i wymianę informacji pomiędzy agencjami rządowymi i operatorami infrastruktury krytycznej oraz inwestycje w badania i rozwój nowoczesnych technologii.

W ten sposób powstały pierwsze centra ISAC. Wkrótce potem, na podstawie prezydenckiej Dyrektywy 63, do ich utworzenia zobowiązano wszystkie sektory infrastruktury krytycznej. Instytucją zrzeszającą centra ISAC stała się w USA Narodowa Rada ISAC (ang. National Council of ISACs). Europejska struktura centrów ISAC jest nieco inna i zakłada większe wsparcie rządów, jest bardziej sformalizowana. Wyróżnia się tu trzy modele ISAC: międzynarodowe, krajowe i sektorowe. Pierwsze centra ISAC powstały w sektorach energetycznym i finansowym, a działa ich obecnie w Europie łącznie ponad 20.

Wprowadzenie pojęcia sektorowego zespołu cyberbezpieczeństwa, jest jednoznaczne z określeniem jego podstawowych zadań, do których zaliczono: wspieranie operatorów usług kluczowych w wykonywaniu obowiązków ustawowych, analizę incydentów poważnych, wyszukiwanie powiązań pomiędzy incydentami i opracowanie wniosków z obsługi incydentu oraz współpracę z właściwym zespołem CSIRT poziomu krajowego w zakresie koordynowania obsługi incydentów poważnych. Zespół może także prowadzić audyt operatorów usług kluczowych, wymieniać informacje o incydentach poważnych z innymi krajami UE oraz pomagać w ich obsłudze.

Incydenty związane z cyberbezpieczeństwem klasyfikowane są na trzech poziomach. Drobne zdarzenia o niekorzystnym wpływie na bezpieczeństwo teleinformatyczne klasyfikowane są jako incydenty poziomu pierwszego. Do poziomu drugiego zaliczane są incydenty poważne, występujące u operatorów usług kluczowych, incydenty istotne występujące u dostawców usług cyfrowych oraz incydenty występujące w podmiotach publicznych. Trzeci poziom incydentów to incydenty krytyczne, które ustawa definiuje jako mogące skutkować znaczną szkodą dla bezpieczeństwa lub porządku publicznego, interesów międzynarodowych, interesów gospodarczych, działania praw i wolności obywatelskich lub życia i zdrowia ludzi. Klasyfikacji incydentu jako krytycznego dokonuje właściwy CSIRT poziomu krajowego, a więc CSIRT NASK, CSIRT GOV lub CSIRT MON.

Incydenty naruszające bezpieczeństwo mogą dotknąć każdy sektor gospodarki. Z punktu widzenia bezpieczeństwa Polski branża wydobywczo-energetyczna jest szczególnie ważna, a zarazem niezwykle wrażliwa. Jest zatem niezwykle istotne aby w skład sektorowego centrum ISAC wchodzili specjaliści najlepiej znający specyfikę branży, mający dostęp do aktualnej wiedzy dotyczącej potencjalnych zagrożeń a także wszelkich istniejących w niej współzależności. Funkcję koordynacyjną w takim systemie powinna pełnić instytucja stanowiąca najwygodniejszą platformę komunikacji dla podmiotów w nim zrzeszonych. Dla polskiego sektora górniczo-energetycznego naturalnym tego typu miejscem jest Instytut Badawczy GIG. To tutaj bowiem kompleksowo gromadzone są od wielu lat wszelkie informacje na temat branży, jej specyfiki i wpływu na środowisko, co zapewnia stan wiedzy trudny do osiągnięcia dla pojedynczych instytucji z sektora. Równie cenna jest w tym kontekście wieloletnia współpraca Instytutu z jednostkami samorządu terytorialnego.

3 czerwca 2022r. w Ministerstwie Aktywów Państwowych miało miejsce uroczyste podpisanie deklaracji uruchomienia ISAC-GIG. Jest to Centrum Wymiany i Analizy Informacji ISAC dla sektora wydobywczo-energetycznego, które utworzono w styczniu 2022 roku w Głównym Instytucie Górnictwa (GIG), na mocy podpisanych wcześniej porozumień. Sygnatariuszami porozumienia w sprawie współdziałania w ramach ISAC-GIG są: GIG, Jastrzębska Spółka Węglowa SA, KGHM Polska Miedź SA, Tauron Polska Energia SA, Polska Grupa Górnicza SA, Lubelski Węgiel „Bogdanka” SA oraz Węglokoks Kraj SA. 26 sierpnia 2022 roku do porozumienia dołączyły: Wydział Górnictwa, Inżynierii Bezpieczeństwa i Automatyki Przemysłowej Politechniki Śląskiej oraz Instytut Techniki Górniczej KOMAG.

BJ

Opublikowano w PGG Magazyn, grudzień 2022

+ 48-32-259-2000