Ćwiczenia Cyber-EXE™ Polska 2017 – Energy Black Shield (CEP17-EBS) są kontynuacją inicjatywy organizacji polskich ćwiczeń z ochrony w cyberprzestrzeni, których pierwsza edycja miała miejsce w 2012 r. CEP17-EBS, poprzedzone kilkumiesięcznymi przygotowaniami, miały swą kulminację na początku stycznia 2018 roku. Organizatorem CEP17-EBS była Fundacja Bezpieczna Cyberprzestrzeń. Współorganizatorem i jednocześnie uczestnikiem ćwiczeń były Polskie Sieci Elektroenergetyczne S.A. Łącznie wzięło w nich udział 6 dużych polskich firm energetycznych:
– Polskie Sieci Elektroenergetyczne S.A.,
– Grupa Energa,
– Grupa Kapitałowa Polska Grupa Energetyczna S.A.,
– Grupa Kapitałowa TAURON,
– PERN S.A.,
– PGNiG TERMIKA S.A.
Patronami przedsięwzięcia byli:
– Ministerstwo Cyfryzacji
– Rządowe Centrum Bezpieczeństwa.
Wyniki ćwiczeń wskazują na duży postęp w obronie przed cyberatakami i w ogólnym postrzeganiu zagrożeń atakami z cyberprzestrzeni przez spółki energetyczne. Przede wszystkim widać rosnącą świadomość i dojrzałość w podejściu do tematu. „Z prawdziwą przyjemnością przeprowadziliśmy ponownie, po kilku latach, ćwiczenia w sektorze energetycznym. Wyniki ćwiczenia pokazują jak wiele dobrej pracy wykonały spółki energetyczne w obszarze cyberbezpieczeństwa. Były też szansą na wskazania obszarów do dalszej pracy. Jednym z nich jest zrozumienie znaczenia operacji informacyjnych, które mogą towarzyszyć cyberatakom. Praktyka pokazuje, że takie operacje mogą być bardzo efektywne z punktu widzenia atakujących, dlatego koniecznie trzeba przygotować prawidłowy system reagowania na nie” – wyjaśnia Mirosław Maj, prezes Fundacji Bezpieczna Cyberprzestrzeń.
Znaczenie ćwiczeń w zakresie reagowania na incydenty komentują również sami uczestnicy. „Ćwiczenia o takim charakterze, jak Cyber-EXE™ Polska 2017 – Energy Black Shield, są na stałe wpisane w harmonogram pracy CERT PSE. Dobre przygotowanie jest bowiem kluczowe dla skuteczności w odpieraniu cyberataków, a ćwiczenia są nieodłącznym elementem utrzymania efektywnego funkcjonowania zespołu cyberbezpieczeństwa i jego reakcji na incydenty. Podczas CEP17-EBS mieliśmy zarówno okazję do doskonalenia naszych umiejętności reagowania na potencjalne zdarzenia, jak również mogliśmy zweryfikować skuteczność współpracy z innymi CERT’ami przy tego typu sytuacjach” – informuje Jarosław Sordyl, wicedyrektor Departamentu Polskich Sieci Elektroenergetycznych SA, szef CERT PSE.
Raport opisuje w jaki sposób przygotowano i przeprowadzono ćwiczenia, jak one przebiegały, oraz przedstawia wnioski i rekomendacje sformułowane na podstawie zaobserwowanych reakcji ćwiczących na zdarzenia zaplanowane w scenariuszu.
Przebieg ćwiczeń
Scenariusz ćwiczeń został oparty na aktualnych i przewidywanych trendach dotyczących wielowymiarowych cyberataków. W ramach pracy nad scenariuszem, uczestnicy wspólnie ustalili najważniejsze elementy wymagające sprawdzenia. Założono, że charakter zdarzeń powinien dotyczyć całego sektora oraz doprowadzić do poważnej sytuacji kryzysowej w organizacjach, na którą nie ma gotowych szczegółowych planów postępowania. Ćwiczenia rozgrywane były w warstwach: technicznej, organizacyjnej oraz medialnej.
Założono, że każda z organizacji stanie się obiektem kilku ataków. Pierwszym ze zdarzeń był atak DDoS na strony WWW firm energetycznych. W późniejszym etapie ćwiczeń atak ten został również przeprowadzony na serwery pocztowe. Drugą grupą zdarzeń była kampania phishingowa skierowana w pierwszej kolejności do działów finansowych, a następnie do działów IT wszystkich firm ćwiczących. Kolejny etap stanowiły problemy związane z automatyką przemysłową i wynikające z tego zagrożenia, które mogą pojawić się w organizacjach zarówno bezpośrednio, jak i za pośrednictwem dostawców zewnętrznych.
Równolegle do części technicznej i organizacyjnej ćwiczeń, rozgrywana była również warstwa medialna mająca sprawdzić zrozumienie komunikatów ukazujących się w warstwie medialnej przez działy PR, jak również ich współpracę i komunikację z działami odpowiadającymi w organizacjach za bezpieczeństwo.
Nowością w ćwiczeniach z cyklu CYBER-EXE™ Polska był przeprowadzenie w warstwie komunikacji medialnej w mediach społecznościowych ćwiczenia z obszaru INFOOPS (tj. operacji informacyjnych). Podstawowym założeniem było prowadzenie działań dezawuujących wizerunek podmiotów biorących udział w ćwiczeniu, wprowadzenie w błąd „odbiorców” wpisów, w tym posługiwanie się wykorzystaniu komunikatów publikowanych w związku z obsługiwanym incydentem komputerowym oraz odseparowaniem użytkowników medium społecznościowego od kanałów komunikacji spółek.
Wykreowane w scenariuszu sytuacje na każdym poziomie i w każdej ćwiczonej warstwie wymagały od uczestników podejmowania szybkich decyzji oraz umiejętności trafnej diagnozy – tak, by zażegnały problem, a nie doprowadziły swym działaniem do jego eskalacji.
Czy sektor energii gotowy jest na cyberatak?
Ataki hakerskie na systemy zasilania i infrastrukturę krytyczną nie są nowością. Przykładem mogą być Korea Południowa (Kimsuky z 2014 r.), Ukraina (Black Energy z 2015 r.) czy Stany Zjednoczone (DragonFly 2017 r., który zresztą miał swoje ofiary również w Polsce), a także przede wszystkim najsłynniejszy atak – Stuxnet – skierowany na ośrodek wzbogacania uranu w Iranie. Do tej pory w Polsce nie odnotowano przypadków zmasowanych, równolegle przeprowadzanych w tym samym czasie ataków na wielu operatorów infrastruktury krytycznej, jednak same zagrożenia z cyberprzestrzeni nie są dla sektora energetycznego nowością. Jak mówi Mirosław Maj – „Od wielu lat w sektorze energii można zaobserwować ataki na poszczególne podmioty, które w przypadku zmasowanego charakteru mogłyby zagrozić bezpieczeństwu nie tylko klientów korzystających z usług operatorów, ale również bezpieczeństwu Państwa. Ćwiczenia Cyber-EXE™ Polska 2017 – Energy Black Shield pokazały, że mają tego świadomość także firmy energetyczne w Polsce, które rozumieją potrzebę koordynacji niezbędnych działań podejmowanych w chwili wystąpienia cyberataku. Ustalenie zakresu współpracy sektorowej wśród firm energetycznych oraz jej sposobu realizacj jest pilnym zadaniem, które stoi przed sektorem.”
Organizacje zgodnie uznały, że istnieje potrzeba cyklicznego przeprowadzania ćwiczeń sektorowych, a udział w ćwiczeniach CEP17-EBS wpływa na poprawę procesów cyberbezpieczeństwa w poszczególnych firmach, a także powinien doprowadzić do usprawnienia współpracy pomiędzy podmiotami w całym sektorze.
Szczególnie istotne będzie wypracowanie zasad komunikacji dotyczącej incydentów, standardów tej komunikacji, systemu powiadamiania oraz sposobów dzielenia się wiedzą nt. zagrożeń cyberbezpieczeństwa. Korzyścią może okazać się reprezentowanie interesów sektora w kluczowych zagadnieniach dotyczących cyberbezpieczeństwa. Doświadczenie z ćwiczeń Cyber-EXE™ Polska – Energy Black Shield pozwoli na udoskonalenie szeregu procedur oraz technicznych systemów zabezpieczeń.
Raport można pobrać:
Więcej informacji dot. ćwiczeń z serii Cyber-EXE Polska na stronie ćwiczeń: https://www.cyberexepolska.pl