Opracowanie wyników ćwiczeń ochrony infrastruktury krytycznej przed atakiem cybernetycznym potrwa przynajmniej kilka tygodni. Zebrano sporo pouczających materiałów. Teraz trzeba będzie je poddać szczegółowej analizie. Skutki ataku cybernetycznego na przedsiębiorstwa eksploatujące systemy dające się kwalifikować jako infrastruktura krytyczna są znacznie głębsze niż zakłócenie jej działania. Przekazywane podczas ćwiczeń efektowne komunikaty specjalnego programu telewizyjnego mówiły o powszechnym zagrożeniu i kłopotach, które ogarnęły wszystkich odczuwających dotkliwości przerw w dostawie prądu lub gazu. Krytyczne znaczenie systemów przejawia się kryzysem, który może wywołać przerwanie ciągłości ich działania i wynikającą z tego eskalacją zagrożeń.

Kryzys totalny

Nawet najbardziej wymyślne penetracyjne testy bezpieczeństwa, które organizuje się w firmach lub instytucjach publicznych, aby sprawdzić podatności systemów informatycznych, przeważnie angażują głębszą uwagę tylko specjalistów odpowiedzialnych za bezpieczeństwo teleinformatyczne. Trudno się dziwić. Nie każdy jest w stanie zgłębić techniczny mechanizm działania szkodliwego oprogramowania, nie mówiąc o przeciwdziałaniu i naprawianiu szkód. Ćwiczenia takie jak te przeprowadzone we Wrocławiu podczas tegorocznej konferencji Computerworld "Wolność i Bezpieczeństwo" też zaangażowały głównie uczestników z działów bezpieczeństwa.

Nasze ćwiczenia stały się wyjątkową - bo w polskich warunkach całkowicie precedensową - okazją do stworzenia nowych lub sprawdzenia zarysowanych wcześniej procedur komunikowania i współpracy wielu różnych podmiotów i służb, które mogłyby zostać włączone w działania związane z likwidacją skutków poważniejszego kryzysu wywołanego atakiem cyberterrorystycznym. Odbyło się to w warunkach zbliżonych do rzeczywistych. Dopiero przy okazji tego rodzaju ćwiczeń można sprawdzić organizacyjne i komunikacyjne luki w systemach bezpieczeństwa, a przede wszystkim, czy da się zorganizować współpracę podmiotów, organizacji i instytucji, które na co dzień nie miały potrzeby utrzymywania stałej, operacyjnej komunikacji. Często łączy je dopiero nietypowy charakter wydarzeń. W efekcie próbuje się skrócić czas reagowania i zastosowania środków zaradczych.

Podatność sprawdzić w praktyce

Zwykle nie wiedzielibyśmy nawet, gdzie zadzwonić lub wysłać e-mail, kiedy zdamy sobie sprawę z dotkliwej eskalacji kryzysu wywołanego przez wroga atakującego w zorganizowany sposób systemy teleinformatyczne. Niektóre podmioty bywają wprawdzie przedmiotem uwagi służb przygotowujących plany zarządzania kryzysowego, ale dane kontaktowe, procedury czy standardy reagowania weryfikowane są dopiero w praktyce. Sama techniczna natura cyberataku zaskakuje, jako że istotą takiego udanego ataku jest wykorzystanie podatności, z których sobie nie zdawaliśmy sprawy.

Zmobilizowanie ekspertów od usuwania technicznych luk w zabezpieczeniach infrastruktury teleinformatycznej, oprogramowania lub aplikacji, zatrudnionych dla obsługi codziennych potrzeb wewnętrznych, może niewiele załatwiać. Należy wdrożyć, najlepiej przećwiczone zawczasu procedury współpracy z podmiotami obsługującymi inne, istotne, zagrożone systemy, będące poza naszą lokalną kontrolą. Dopiero takie podejście pozwala myśleć o łagodzeniu zasięgu, zakresu i skutków poważniejszego kryzysu. Potrzeba testów, ćwiczeń i znajomości awaryjnych kanałów komunikacyjnych, które zadziałają na przekór sytuacji kryzysowej.

Mobilizacja obronna

Gry wojenne znane od lat wśród dowódców wojskowych zaczęły się ostatnio sprawdzać również w przygotowaniu do kryzysów o charakterze pozamilitarnym. To konieczność, ponieważ ryzyko poważnych w skutkach cyberataków wzrasta wraz z rozwojem zastosowań technologii informacyjnych. Ataki przestały być domeną anarchizujących hakerów, którym wystarczy satysfakcja skompromitowania zabezpieczeń nielubianej instytucji lub korporacji. W atakach coraz częściej chodzi o osiągnięcie celów ekonomicznych lub politycznych. Możemy mieć też do czynienia ze strategiami, których cele wcale nie muszą być dla nas oczywiste. Zasięg bywa szerszy i bardziej złożony niż to, co się zakłada w ramach standardowych rozważań o czynnikach ryzyka planowanej działalności.

Cyberprzestrzeń to nowe obszary aktywności przestępczości zorganizowanej, pokusa dla nowoczesnych ugrupowań terrorystycznych, szpiegostwa przemysłowego i wreszcie pole prowadzenia nowoczesnej wojny, również skrytej, wyprzedzającej użycie konwencjonalnych środków militarnych. Repertuar ataków na systemy informacyjne może być bardziej złożony niż standardowa ochrona, nakierowana na przeciwdziałanie przełamaniu zabezpieczeń, kradzieży danych, uszkodzeniom, blokowaniu ruchu, przejmowaniu kontroli nas systemami SCADA. Czasem trzeba spróbować odkryć powód i strategię ataku, aby odbudować ochronę i wdrożyć właściwe działania naprawcze. Może chodzić np. o dezinformację, również z użyciem mediów tradycyjnych, internetu, serwisów społecznościowych.

Cele atakującego nie zawsze łatwo odczytać. Szczególnie jeżeli chodzi o działania rozłożone w czasie, ataki pośrednie, wspomagające, "rykoszetowe". Biorąc pod uwagę repertuar, skutki i motywacje ataków, w planowaniu zastosowania środków zaradczych i procedur odtworzeniowych trzeba czasem wyjść poza techniczne leczenie objawowe systemów informacyjnych. Temu właśnie może służyć gra, w której wezmą udział osoby z wszelkich działów, które mogą mieć wpływ na decyzje o wyłączeniu lub kontynuowaniu produkcji, o określeniu mechanizmu bezpiecznego skomunikowania się z klientami, o tym, co zrobić, kiedy konkurencja uzyska dostęp do wrażliwych danych lub okazję do przejęcia inicjatywy, o zabezpieczeniu działań od strony prawnej, kontaktach z prasą itp. Standardowa taktyka speców od bezpieczeństwa - na wszelki wypadek wszystko odłączyć i zablokować - nie zawsze się sprawdza, a może pogłębić kryzys.

Gra cyberwojenna wymaga jeszcze więcej przygotowań niż przeprowadzone przez nas ćwiczenia ochrony infrastruktury krytycznej. Ale to najlepszy sposób, aby sprawdzić skuteczność strategii ochrony, komunikowania się, dopasowania uregulowań, wybierania tego, co okazuje się krytyczne.