– Transport morski wciąż tak naprawdę nie został sparaliżowany poważnym atakiem hakerskim. To dobrze, bo mamy czas, aby się na niego przygotować – podkreślał Marcin Marciniak z EY Polska podczas konferencji o cyberbezpieczeństwie w gospodarce morskiej, zorganizowanej przez „Namiary na Morze i Handel” 14 marca br. w Gdyni. Wydarzenie odbyło się w ramach Transport Week.
W części wspólnej tego wydarzenia, Andrzej Gab, dyrektor cybersecurity implementation w EY Polska, skupił się na cyberbezpieczeństwie portów morskich i żeglugi. W jego opinii zarządy portów powinny mieć wiodącą rolę w wyznaczaniu standardów bezpieczeństwa, jak i monitorowania systemów własnych, infrastruktury, statków oraz wszelkich innych systemów, które mogą potencjalnie mieć wpływ na ich działanie, jak i łańcuchów logistycznych przebiegających przez ich porty. Powinny też prowadzić ciągłą wymianę informacji o zagrożeniach z innymi portami oraz kluczowymi podmiotami w tym zakresie (np. kolejami, instytucjami państwowymi, kluczowymi firmami logistycznymi).
– Nawet jeśli nie powstrzymamy wszystkich ataków, to powinniśmy ograniczyć wpływ i konsekwencje większości z nich. Najlepszym miejscem do wprowadzenia i monitoringu bezpieczeństwa są właśnie porty, ich bezpieczeństwo powinno być najwyższym priorytetem – podkreślał A. Gab.
Natomiast pierwszy panel konferencji poświęconej cyberbezpieczeństwu dotyczył unijnej dyrektywy NIS2 (Network and Information Systems Directive), której założenia omówiła Joanna Gałajda z EY Polska. Dyrektywa znacznie rozszerza sektory, które zostaną nią objęte (w porównaniu do NIS) i tworzy 2 grupy podmiotów, podmioty kluczowe (należy do nich m.in. transport) i podmioty ważne, w konsekwencji obejmie wiele dużych i średnich firm. Nowe rozwiązania dyrektywy to m.in. odpowiedzialność zarządów firm, ochrona łańcucha dostaw, ochrona wymiany danych w czasie rzeczywistym i wysokie kary (co najmniej 10 mln euro). Co ważne – dyrektywa weszła w życie 16 stycznia br., a czas na wdrożenie jej w naszym kraju to tylko 565 dni. I właśnie o rozwiązaniach wprowadzonych przez NIS2 i innych regulacjach dyskutowali paneliści z sektora morskiego i logistycznego.
– NIS2 jest ważną i wprowadzoną trochę zbyt późno regulacją. Z naszej perspektywy rozwiązania zawarte w dyrektywie potwierdzają, że inwestując w cyberbezpieczeństwo, poszliśmy w dobrym kierunku – zaznaczył Piotr Tretyn, kierownik działu informatyki i telekomunikacji w Zarządzie Portu Morskiego Gdynia.
Karolina Krużewska-Ossowska, inspektor ochrony danych i pełnomocnik zarządu ds. cyberbezpieczeństwa w Polskiej Żegludze Bałtyckiej, podkreśliła, że jej firma, mimo że zgodnie z wytycznymi ustawy o Krajowym Systemie Cyberbezpieczeństwa nie została zakwalifikowana do operatorów usług kluczowych, to i tak wprowadziła wiele rozwiązań, które mają jej zapewnić możliwe jak największe bezpieczeństwo cybernetyczne. Kolejne będą niezbędne w związku z nową dyrektywą.
– Jednym z ważniejszych wyzwań związanych z NIS2 jest upewnienie się, czy wprowadzone procedury nie zostają tylko na papierze, ale są faktycznie realizowane. Tutaj niezbędne będą audyty wewnętrzne, które zweryfikują, czy zgodność z procedurami cyberbezpieczeństwa jest zachowana – podpowiadała K. Krużewska-Ossowska.
Natomiast Dariusz Cernowski, kierownik działu IT w Terramarze, ocenił, że jeżeli chodzi o cyberbezpieczeństwo duże znaczenie dla małych i średnich firm, miała wprowadzona w 2013 r. ustawa o ochronie danych osobowych.
– Wprowadziła ona wiele istotnych zmian w zakresie bezpieczeństwa danych i systemów informatycznych. Tutaj impulsem do działania były znaczne kary związane z RODO, które działały na wyobraźnię. I dzięki temu zupełnie nieświadomie zrobiliśmy ważny krok w stronę cyberbezpieczeństwa. Żałuję natomiast, że ustawa o krajowym systemie cyberbezpieczeństwa z 2018 r. nie objęła wszystkich firm, niezależnie od ich wielkości, bo tak naprawdę zagrożenie może wyjść z małej firmy i przejść do dużej – tłumaczył D. Cernowski.
Jako inne wyzwania paneliści wskazywali konieczność pojawienia się spójnego raportowania i wymiany informacji oraz jednoznacznego wskazania, które podmioty faktycznie będą podlegały regulacjom NIS2. Jednogłośnie zaznaczono, że niezbędne będą szkolenia i pomoc merytoryczna ze strony administracji państwowej.
Drugi panel konferencji skupiał się natomiast m.in. na stanie świadomości cyberbezpieczeństwa w firmach gospodarki morskiej oraz stanie zabezpieczeń przed incydentami. Mówił o tym właśnie M. Marciniak, który mógł pokusić się o spojrzenie na sektor z zewnątrz.
– Firmy z branży mają już świadomość ryzyka, zaczynają dostrzegać jak szerokie mogą to być zagrożenia i uruchamiają programy, które mają je przeprowadzić przez wymogi cyberbezpieczeństwa. Potrzebna będzie jednak ścisła współpraca między firmami z sektora, choćby po to, żeby wymieniać się informacjami o zagrożeniach.– prognozował M. Marciniak.
Paneliści wspominali także o masowym fałszowaniu transponderów statków (systemy AIS), których technologia powstała w latach 70. i była całkowicie pozbawiona zabezpieczeń. Wskazywano również, że systemy OT, na coraz większa skalę funkcjonujące w portach i w całym sektorze przemysłowym, są najbardziej narażone na ataki z racji wieloletnich zaniedbań aktualizacji zarówno oprogramowania, jak i systemów zabezpieczeń. Jako wyzwanie określono natomiast ścisły nadzór na bezpieczeństwem sieci w taki sposób, żeby nie zrazić do siebie klientów lub nie pojawiły się obawy o naruszenie danych osobowych.
– Nagrywamy każdą sesję zdalną firmy zewnętrznej – zaznaczył Michał Laskowski, dyrektor logistyki magazynowej i e-commerce w Morskiej Agencji Gdynia. – Jeden z naszych podwykonawców się o tym dowiedział i był mocno oburzony, dzwonił do prezesa i podkreślał, że takie działania mogą być naruszeniem własności intelektualnej. Nasze stanowisko było jednak jasne, że taka jest polityka firmy i trzeba się do niej dostosować. Pojawiła się też sytuacja, gdy takie nagranie ogromnie się przydało i pozwoliło nam wyjątkowo szybko wyjaśnić niebezpieczną sytuację.
Piotr Chmielewski, specjalista ds. cyberbezpieczeństwa w Zarządzie Morskiego Portu Gdańsk, dodał również, że jego dział na bieżąco śledzi ruch w portowej sieci, zwracając szczególna uwagę np. na nietypowe logowania.
– Sprawdzamy wtedy, dzwoniąc lub esemesując, konkretnych pracowników, u których wykryto podejrzaną aktywność w środku nocy albo zagraniczne połączenia, aby potwierdzić, że jest to efekt delegacji zagranicznej, a nie próby włamania. Dlatego pracownicy działu handlowego często sami informują nas wcześniej o wyjazdach – podkreślił P. Chmielewski.
Natomiast Krzysztof Serwatka ze spółki Polski PCS, zaznaczył, że tygodniowo odnotowywanych jest ok. 80 incydentów, ale na szczęście nie są poważne. Jednak zaraz po powstaniu spółki sformułowane zostały procedury bezpieczeństwa, które wprowadzono w życie oraz wdrożono certyfikat zarządzania bezpieczeństwem informacji ISO 27001.
Zresztą, jak podkreślili niemal wszyscy uczestnicy dyskusji, ze względu na aktualną sytuację geopolityczną za ok. 80% ataków stoją grupy z Rosji i z Chin, ale także z Korei Północnej.
– Podejrzewam, że podobne obserwacje dotyczą firm z całego sektora, proponuję te monitorować i mierzyć – dodał Mateusz Turek, menedżer IT w Hutchison Ports Gdynia.
Ostatnim punktem konferencji były warsztaty, które odbyły się w formie gier strategicznych, prowadzonych przez przedstawicieli firmy EY. Jedna grupa rywalizowała w rozgrywce, której celem było zapoznanie się z regulacjami prawnymi z zakresu dyrektywy NIS2 oraz nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa. Grę opracowano w nawiązaniu do kultowej gry planszowej Monopoly. Gracze wcieli się w rolę przedstawicieli operatorów usług kluczowych i budowali dojrzałość swojej organizacji w obszarze cyberbezpieczeństwa.
– Jedna z sytuacji losowych polega na decyzji zarządu firmy. Jeśli pieniądze na cyberbezpieczeństwo zostaną zabrane, to będziecie musieli użyć swoich własnych środków, zdarzenie losowe może być też pozytywne dla graczy – tłumaczyła uczestnikom Magdalena Wrzosek z EY Polska.
Natomiast druga grupa wcieliła się w rolę przedstawicieli SOC i budowała bezpieczeństwo organizacji w obszarze cyberbezpieczeństwa, broniąc również firmy przed incydentami. Nie zabrakło „zdarzeń losowych”, jak pożar serwerowni. Generalnie celem rozgrywki było ćwiczenie umiejętność prawidłowego planowania strategicznego, a także odpowiedniej dystrybucji rocznego budżetu. Po zakończeniu rozgrywek gracze chwalili wierne oddanie rzeczywistych wyzwań związanych z cyberbezpieczeństwem organizacji.
Partnerem strategicznym wydarzenia był EY, partnerami głównymi Zarząd Morskiego Portu Gdańsk i Zarząd Morskiego Portu Gdynia, partnerem srebrnym Terramar, a partnerami: Polski PCS, Hutchison Ports Gdynia i Polferries. Konferencja odbyła się ramach XII Transport Week, którego organizatorem tradycyjnie była Actia Forum.