Wywiad z Aleksandrem Kostuchem – certyfikowanym ekspertem w dziedzinie zabezpieczeń systemów i sieci it
Aktualności Bezpieczeństwo Gorące tematy Rozwiązania IT Wywiady

Wywiad z Aleksandrem Kostuchem – certyfikowanym ekspertem w dziedzinie zabezpieczeń systemów i sieci it

// Aleksander Kostuch ma ponad 20 letnie doświadczenie w branży teleinformatycznej. Jest inżynierem/managerem wsparcia sprzedaży w Stormshield Polska, producenta zabezpieczeń IT, w szczególności rozwiązań firewall NGFW i UTM oraz Endpoint Security. Realizował i bierze aktywny udział w złożonych projektach sieciowych, gdzie zabezpieczenie systemów i danych mają kluczowe znaczenie w różnych dziedzinowo infrastrukturach administracji publicznej oraz sieci przemysłowych. Konsultuje, a także doradza w zakresie najlepszego wykorzystania technologii sieciowych oraz bezpieczeństwa.

Rozmawia: Rafał Wasilewski, redaktor naczelny „Nowoczesnego Przemysłu”.

Rafał Wasilewski: Dlaczego cyberzabezpieczanie sieci OT jest ważne?

Aleksander Kostuch: Przemysł 4.0 opiera się na interoperacyjności systemów, które za pomocą sieci współpracują ze sobą. Przesyłanie informacji między systemami wspomaga produkcję. Nadzorowanie procesu technologicznego lub produkcyjnego musi przebiegać niezakłócenie w czasie rzeczywistym. Sieci automatyki przemysłowej OT (ang. Operational Technology) są dostosowane do monitorowania, sterowania i kontroli procesów fizycznych przez zastosowanie komputerów/serwerów/drukarek/urządzeń sieciowych będących elementami infrastruktury IT.

Pandemia koronawirusa spowodowała jeszcze większe uzależnienie od połączeń sieci przemysłowych z możliwością zdalnego dostępu przez wsparcie techniczne czy nadzór. Najczęstszym źródłem ataku są ludzie pracujący na sprzęcie IT wewnątrz firmy czy organizacji. Ataki to nie tylko celowe działanie zmierzające do kompromitacji systemu. Bardzo często zaczyna się od niewinnie z pozoru wyglądającego błędu nieumyślnie popełnionego przez operatora czy osobę pracującą w biurze. W zasadzie nieświadoma zagrożeń osoba może nawet nie zdawać sobie sprawy, z tego, że jest narzędziem do przeprowadzenia ataku. Później okazuje się, że była ona elementem akcji socjotechnicznej, w wyniku której agresor dostał się do sieci. Przestępca zaczyna penetrować sieć w celu rozpoznania możliwości i uzyskania określonych celów.

Intencją grupy przestępczej mogą być próby szantażu mającego wyprowadzić konkretne pieniądze za odzyskanie plików w przypadku zaszyfrowania danych lub za zaniechanie upublicznienia pozyskanych danych osobowych z baz danych. Jednak ostatnio w wyniku militarnych działań geopolitycznych na wschodzie dochodzi do działań destrukcyjnych mających destabilizować funkcjonowanie państwa poprzez eliminację działania przedsiębiorstw o znaczeniu krytycznym.

Rafał Wasilewski: Czy cyberedukacja pracowników jest skuteczną ochroną sieci OT?

Aleksander Kostuch: Zagrożenia pochodzą nie tylko z internetu, ale przede wszystkim od nieświadomych socjotechnicznych zagrożeń, szeregowych pracowników. Zdecydowanie, poza wprowadzaniem kolejnych rozwiązań technicznych, niezmiennie istotne jest podnoszenie świadomości i kompetencji pracowników w zakresie cyberbezpieczeństwa. Warto nieustannie podnosić świadomość pracowników w zakresie zagrożeń. Ważne jest kształcenie zarówno osób technicznych, jak i pracowników nieposiadających specjalistycznej wiedzy. Niemniej, w momencie, gdy zawiedzie człowiek, warto mieć odpowiednie zabezpieczenie, które zapobiegnie katastrofie.

Rafał Wasilewski: Jakie sektory rynku przemysłowego mogą się najbardziej obawiać zagrożeń cybernetycznych?

Aleksander Kostuch: Cyberprzestępczość wraz z rozwojem cyfrowym jest w miarę łatwa, opłacalna, anonimowa i nieuchwytna. Zagrożony jest nie tylko konwencjonalny biznes. Zagrożeniem jest cały łańcuch dostaw. Zauważyła to Komisja Europejska, która zaproponowała nowelizację „Dyrektywy w sprawie środków na rzecz wysokiego wspólnego cyberbezpieczeństwa w całej Unii” pod nazwą NIS2 (skrótowiec od Network and Information Systems). Parlament Europejski w lipcu 2016 r. uchwalił prawo dotyczące cyberbezpieczeństwa.

W Polsce dyrektywa NIS została implementowana Ustawą z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa. NIS był skierowany do podmiotów kluczowych, w tym sektora energetycznego, transportowego, bankowości i rynków finansowych, służby zdrowia oraz wodociągów. Obecnie NIS2 rozszerza listę podmiotów kluczowych o jednostki centralnej administracji rządowej, dostawców publicznych sieci lub usług łączności elektronicznej, przestrzeni kosmicznej oraz dostawców usług cyfrowych i telekomunikacyjnych, np. operatorów chmurowych, centra danych, dostawców usług CDN (z ang. Content Delivery Network), platformy sieci społecznościowych.

Jednocześnie NIS2 zobowiązuje również tzw. podmioty istotne, takie jak: dostawcy wyszukiwarek internetowych i internetowe platformy handlowe, usługi pocztowe i kurierskie, logistyka i transport, usługi zaufania czy usługi łączności elektronicznej, produkcja i dystrybucja żywności, producenci maszyn, producenci urządzeń i pojazdów, chemikaliów, farmaceutyków, urządzeń medycznych, przedsiębiorstwa gospodarujące odpadami, podmioty publiczne lub jedynych dostawców usług określonego rodzaju w danym państwie członkowskim, oraz podmioty, których zakłócenie w działaniu usług świadczonych przez te podmioty mogłyby mieć istotny skutek np. dla bezpieczeństwa publicznego czy zdrowia publicznego.

Rafał Wasilewski: W związku z wprowadzeniem NIS2 jakie będa teraz obowiązywać normy w cyberbezpieczeństwie w Polsce?

Aleksander Kostuch: Obowiązki konkretnych przedsiębiorstw uchwali dopiero nowelizacja Krajowego Systemu Cyberbezpieczeństwa. Należy jednak zakładać, że nowa wersja przepisów krajowych będzie wymagać założeń zdefiniowanych w dyrektywie NIS2. Będzie obowiązek zgłaszania incydentów i zagrożeń. W związku z obowiązkiem zarządzania kryzysowego należy spodziewać się budowania i doposażania dedykowanych jednostek typu SOC (z ang. Security Operations Center). SOC będzie mógł być w formie wewnętrznej komórki przedsiębiorstwa lub będzie można skorzystać z usług zewnętrznych.

Kolejne zmiany dotyczą obszaru organizacyjno-procesowego, tzn. opracowania odpowiednich polityk i procedur w zakresie testowania i przeprowadzania audytów zabezpieczeń oraz planu ciągłości działania. NIS2 wprowadza ideę, aby systemy zabezpieczeń były najnowsze ze względu na aktualny stan wiedzy i były proporcjonalne do ryzyka związanego z konkretną działalnością. To oznacza implementacje rozwiązań technologicznych adekwatnych do ryzyka. Należy spodziewać się przede wszystkim koncentracji na obszarze OT.

W szczególności należy wziąć pod uwagę dwa aspekty: możliwości detekcji wystąpienia incydentów teleinformatycznych oraz zapewnienia skutecznego reagowania na nie. To znaczy, że z jednej strony nacisk położony jest na zredukowanie negatywnych skutków wystąpienia incydentu lub zagrożenia bezpieczeństwa. Z drugiej strony należy podejmować działania prewencyjne zapobiegające jego wystąpieniu. NIS2 kładzie również nacisk na uwzględnienie kryptografii i korzystanie z szyfrowania.

Rafał Wasilewski: W jaki sposób możemy chronić sieci przemysłowe przed cyberzagrożeniami, biorąc pod uwagę dyrektywę NIS2?

Aleksander Kostuch: NIS2 skłania do inwestycji w zakresie technologii cyberbezpieczeństwa. Biorąc pod uwagę ciasny plan budżetu warto zacząć od uzupełnienia dokumentacji tworzonej wokół ryzyk ze sfery cyfrowego obszaru funkcjonowania przedsiębiorstwa, inwentaryzacji urządzeń, wdrożenia zautomatyzowanych raportów dotyczących incydentów. Prowadzenia szkoleń personelu. Rozszerzania możliwości operacyjnych jednostek SOC tak, aby zakresem monitorowania obejmowały środowiska IT i OT.

Ze względu na potencjał ataków cybernetycznych wymagane jest stosowanie technicznych rozwiązań zabezpieczeń. Niezabezpieczony element systemu IT, działający w sieci, która nie poddana została segmentacji, może stać się bramą umożliwiającą wejście przez przestępców w posiadanie wrażliwych danych będących w dyspozycji firmy.

Patrząc na strukturę sieci i wspomniane ryzyko pochodzące z sieci IT, należy odseparować ją od elementów OT, nawet gdy jest to środowisko mocno rozproszone, a styków jest wiele. Można zainstalować niedrogie firewalle, które potrafią rozpoznawać transmisję z protokołami OT. Firewalle stosowane wewnątrz sieci wprowadzą mikrosegmentację dla urządzeń przemysłowych. Firewalle mogą pracować w sposób przezroczysty, ale z aktywnym blokowaniem niechcianego i niepożądanego ruchu sieciowego. Tym samym nie będzie potrzeby wprowadzania zmian w istniejącej instalacji przemysłowej. Każdy pojedynczy komponent sieci można podłączyć do innego portu zapory ogniowej w całkowicie przezroczysty sposób, tym samym zgodność całej komunikacji jest sprawdzana i analizowana.

Ta mikrosegmentacja oddziela sieci, zaś kontrola ruchu sieciowego na poziomie głębokiej analizy protokołu przemysłowego niemal całkowicie eliminuje ryzyko. Firewalle można zainstalować możliwie najbliżej urządzeń automatyki przemysłowej, nawet na tej samej szynie DIN co same urządzenia do sterowania PLC.

Ataki to nie tylko celowe działanie zmierzające do kompromitacji systemu. Bardzo często zaczyna się od niewinnie z pozoru wyglądającego błędu nieumyślnie popełnionego przez operatora czy osobę pracującą w biurze. W zasadzie nieświadoma zagrożeń osoba może nawet nie zdawać sobie sprawy, z tego, że jest narzędziem do przeprowadzenia ataku.

Rafał Wasilewski: Dlaczego firewalle nazywa się fundamentem cyberbezpieczeństwa?

Aleksander Kostuch: Ich rola jest nieoceniona z wielu względów. Nie tylko izolują podsystemy, ale wprowadzają automatyczną inwentaryzację, a nawet możliwość badania i raportowania podatności poszczególnych elementów systemu. Firewalle umożliwiają szyfrowanie poprzez implementację skomplikowanych algorytmów kryptograficznych dla ruchu, który normalnie nie jest lub nie może być szyfrowany. Dają możliwość zabezpieczenia i podwójnej autoryzacji zdalnego dostępu. Specjalny firewall może zapewniać niezawodność. Na przykład ma możliwość transmisji danych, nawet wtedy, gdy totalnie zasilanie zostanie odłączone lub urządzenie uruchamia się ponownie wskutek aktualizacji jego oprogramowania układowego. Ta funkcja nosi nazwę bypass.

Rafał Wasilewski: A co w sytuacji, gdy urządzeń firewall będzie więcej?

Aleksander Kostuch: Istnieje możliwość centralnego zarządzania tymi urządzeniami. Ich obsługa może być prowadzona z SOC, czyli wcześniej wspomnianego Centrum Operacji Bezpieczeństwa, które bazuje na nowoczesnych technologiach i procedurach bezpieczeństwa. W tym miejscu mogą być zbierane informacje. Dzięki składowaniu i analizie informacji z zebranego ruchu sieciowego buduje się wiedzę dotyczą działania sieci przemysłowej. Specjalne systemy SIEM (skrótowiec od ang. Security Information and Event Management) mają możliwość nie tylko raportowania lub analizy ryzyka, ale poprzez korelację informacji automatycznie generują informacje z incydentów bezpieczeństwa.

Rafał Wasilewski: Jakie trendy będą dominować w najbliższych kwartałach na rynku IT?

Aleksander Kostuch: Niewątpliwie możemy spodziewać się rosnącej popularności rozwiązań opartych na najnowocześniejszych technologiach. Sektory o znaczeniu krytycznym, takie jak transport, energetyka, ochrona zdrowia czy finanse, stają się coraz bardziej zależne od technologii cyfrowych.

Rafał Wasilewski: Co z zabezpieczaniem zasobów w coraz popularniejszych chmurach?

Aleksander Kostuch: Chmura, ze względu na zmniejszenie kosztów bezpośredniej obsługi, jest coraz częściej wykorzystywana. Wiąże się z tym również potrzeba zabezpieczenia. W ramach ochrony stosuje się firewalle w formie zwirtualizowanej. Można zainstalować je bezpośrednio przed systemami SCADA (systemy informatyczne nadzorujące przebieg procesu technologicznego lub produkcyjnego) lub innymi wrażliwymi systemami na prywatnych lub publicznych platformach serwerowych. Oferowane są rozwiązania niezależne od zastosowanej formy wirtualizacji.

Rafał Wasilewski: Bardzo dziękuję za rozmowę. //

Wywiadu udzielił:

Aleksander Kostuch, ekspert Stormshield, europejskiego lidera branży bezpieczeństwa IT.

Stormshield Polska

Ta strona korzysta z ciasteczek aby świadczyć usługi na najwyższym poziomie. Dalsze korzystanie ze strony oznacza, że zgadzasz się na ich użycie. View more
Cookies settings
Akceptuję
Polityka prywatności
Privacy & Cookies policy
Cookie name Active
Save settings