Deloitte: Cyberbezpieczeństwo wymaga daleko idącej współpracy

Potrzeba zaufania i lepszej wymiany informacji pomiędzy sektorem prywatnym i publicznym w reagowaniu na ataki cybernetyczne - wynika z ćwiczeń Cyber-Exe Polska 2014 przeprowadzonych przez Deloitte. Wzięły w nich udział firmy telekomunikacyjne i instytucje państwowe.

Zdaniem eksperta Deloitte ds. zarządzania ryzykiem Cezarego Piekarskiego polskie firmy telekomunikacyjne są dobrze przygotowane na wypadek wystąpienia zorganizowanego ataku cybernetycznego. "Sześciu na siedmiu operatorów niezwłocznie powołało sztaby kryzysowe dla zbadania i rozwiązanie symulowanego problemu" - powiedział. Jego zdaniem najlepiej poradziło sobie Orange, który jako jedyny operator posiadał dedykowany zespół szybkiego reagowania (CERT). Raport z ćwiczenia, który został przedstawiony dzisiaj, wskazuje, że wszystkim operatorom poprawne zdiagnozowanie problemu i przejście do jego rozwiązywania zajęło poniżej trzech godzin.

Ćwiczenia organizowane przez Deloitte wskazały jednak na szereg spraw, które wymagają poprawy. U kilku operatorów szwankowała przede wszystkim współpraca z dostawcami sprzętu dla klientów (modemów, routerów, telefonów itd.) w celu ustalenia luk w ich zabezpieczeniach i poszukania przynajmniej doraźnego rozwiązania. Sprawą wymagającą poprawy jest też kwestia współpracy zespołów prasowych z działami technicznymi i zespołami kryzysowymi, w celu sprawniejszego przekazywania informacji klientom.

Ekspert Rządowego Centrum Bezpieczeństwa Michał Grzybowski zwrócił uwagę, że istnieje potrzeba budowania zaufania między sektorem prywatnym i państwowym. Jego zdaniem dobrym rozwiązaniem byłoby stworzenie kanałów przepływu informacji i raportowania problemu do instytucji państwowych, ponieważ informacje, których wymagają od telekomów różne podmioty państwowe w wielu miejscach się pokrywają. Jego zdaniem, gdyby taki kanał informacyjny istniał, telekomy mogłyby za jego pomocą udostępniać państwu zestandaryzowany zestaw informacji, z których każda instytucja mogłaby pobierać te, których potrzebuje.

Grzybowski dodał, że dużą trudnością dla samych operatorów był obowiązek jednoczesnego raportowania o zagrożeniu aż do pięciu różnych instytucji państwowych i dużym ułatwieniem byłoby określenie jednego ośrodka zbierającego takie dane. "Ten obowiązek informacyjny stanowi dodatkowe obciążenie dla firm, które muszą angażować ludzi do szczegółowego informowania instytucji, zamiast gasić kryzys w swojej firmie. Każda instytucja ma inne wymagania informacyjne wobec telekomów, a część z nich się pokrywa" - powiedział.

Dodał jednak, że z jednej strony operatorzy oczekują koordynacji wsparcia ze strony państwa, z drugiej nie zawsze są skorzy do dzielenia się informacjami których te instytucje potrzebują. "Urząd Komunikacji Elektronicznej, który w czasie ćwiczenia mógł wydać komunikat, że coś dzieje się w sektorze komunikacyjnym wskazywał, że przesłane dane nie dają możliwości stworzenia pełnego obrazu sytuacji" - powiedział. Prezes Fundacji Bezpieczna Cyberprzestrzeń Mirosław Maj dodał, że szwankowała również współpraca pomiędzy samymi operatorami, którzy nie potrafili wydać żadnego wspólnego komunikatu, pomimo że problem który symulowaliśmy dotyczył całego sektora. Jego zdaniem wyrażali oni obawę, że przekazywanie takich danych może sprowokować konkurencję do nieuczciwego ich wykorzystania i w efekcie utraty przewagi konkurencyjnej.

Ćwiczenia Cyber-Exe Polska 2014 organizowane przez Deloitte przy wsparciu Fundacji Bezpieczna Cyberprzestrzeń i Rządowego Centrum Bezpieczeństwa, odbyły się na przełomie października i listopada 2014 r. Wzięło w nich udział siedem firm z sektora telekomunikacyjnego: Cyfrowy Polsat SA, Exatel SA, Multimedia Polska SA, Orange Polska SA, Polkomtel Sp. z o.o., TK Telekom Sp. z o.o. i T-Mobile Polska SA, oraz pięć podmiotów administracji państwowej: biuro Głównego Inspektora Ochrony Danych Osobowych, Komenda Główna Policji, Ministerstwo Administracji i Cyfryzacji, Urząd Komunikacji Elektronicznej i Rządowe Centrum Bezpieczeństwa. Celem ćwiczeń, było sprawdzenie sprawności procedur kryzysowych i koordynacji działań operatorów oraz państwa, na wypadek dużego, zorganizowanego ataku hakerów na sektor telekomunikacyjny. Była to już trzecia edycja ćwiczeń dla firm działających w kluczowych branżach infrastruktury krytycznej państwa. W poprzednich edycjach z Deloitte ćwiczyły firmy sektora energetycznego (2012 r.) oraz banki (2013 r.).

PAP/ as/