Październikowy Klub Informatyka (4.X.) poświęcony cyberbezpieczeństwu infrastruktury krytycznej kraju, organizowany przez Oddział Mazowiecki PTI wraz Centrum Informatyzacji Politechniki Warszawskiej oraz Wydziałem Zarządzania PW, odwiedziła rekordowa liczba ok 90 uczestników.
Z panelistami polemizuje Wacław Iszkowski. Fot. aa.
Jako paneliści wystąpili (na zdjęciu siedzą w kolejności od lewej): Tomasz Kibil, Dyrektor w Dziale Doradztwa Informatycznego, Ernst & Young; dr hab. inż. Krzysztof Szczypiorski, prof. nzw., Zakład Cyberbezpieczeństwa, Instytut Telekomunikacji Politechniki Warszawskiej; Michał Grzybowski, Dyrektor Wykonawczy, Fundacja Bezpieczna Cyberprzestrzeń; dr inż. Kamil Sitarski, Wydział Zarządzania, Politechnika Warszawska.
Dyskusję prowadził dr hab. n. ekon. inż. Janusz Zawiła-Niedźwiecki, prof. nadzw. PW – Dziekan Wydziału Zarządzania Politechniki Warszawskiej (na zdjęciu przy stole po prawej).
* * *
Z niebezpieczeństwami spotykamy się na codzień coraz częściej: szybko jeżdżące samochody, spadające cegły, drony czy meteoryty, nieizolowane gniazdka elektryczne, nieogrodzone zbiorniki wodne, chybotliwe balustrady mostów. Zagrożenia cyfrowe (cyberzagrożenia) pojawiły się w momencie umasowienia urządzeń teleinformatycznych, a lawinowo teraz narastają dzięki naszej niefrasobliwości oraz oczywiście prawu wielkich liczb.
Padają kolejne mity związane z cyberzagrożeniami. Kiedyś uznawano że systemy klasy mainframe są wolne od zagrożeń. W dobie interoperacyjności, gdy wszystko połączone jest niemal ze wszystkim, zagrożenia również w tym obszarze stają się coraz bardziej powszechne. Jak powiedział jeden z dyskutantów „krzywy Linux w tanim urządzeniu staje się normą„, a drugi dodał, że musimy przewidywać kiedy „zbuntowana lodówka może zaatakować system bankowy„.
Spotykamy się z banalnością zagrożeń (pijany ochroniarz, który nie dopilnował drewnianych rusztowań pod mostem, przez co most spłonał; kabel który został przecięty przez koparkę na budowie kilka ulic od tajnego, ściśle strzeżonego centrum IT; szczury które przegryzły światłowód bo był dla nich za smaczny; śnieżyca; awaria ogrzewania pomieszczeń przy ostrej zimie). Z drugiej strony pojawiają się też bardzo wyrafinowane zagrożenia, jak trudne do wykrycia wirusy zagnieżdżające się w pamięci wirtualnej urządzeń wbudowanych, czy wspomniany już przedsmak koncepcji IoT.
Co na to wszystko wyobraźnia inżynierów od ICT? Od roku 2005 rozpowszechniane są normy bezpieczeństwa rodziny ISO/IEC 27000, które wprowadzają elementarne zasady opanowywania problematyki cyberbezpieczeństwa. Współcześnie wykorzystanie informatyki ogarnia coraz bardziej wrażliwe obszary aktywności człowieka. W szczególności dotyka infrastruktury krytycznej usług publicznych (essential services). Zauważając to zjawisko Parlament Europejski 6 lipca 2016 oficjalnie przyjął dyrektywę 2016/1148 bezpieczeństwa sieci i informacji NIS (Network and Information Security Directive). Objęto ją klauzulą implementacji w ciągu 21 miesięcy we wszystkich krajach członkowskich. Nowa dyrektywa wprowadza zasadę informowania o zaistniałych zagrożeniach. Dyrektywa NIS dotyczy instytucji państwowych, lecz także sektorów nieco bardziej komercyjnych, jak bankowość, finanse, energetyka, opieka zdrowotna, transport, usługi internetowe. Na pewno NIS to krok we właściwym kierunku, chociaż warto też pamiętać dwie definicje podane przez jednego z dyskutantów: Ryzyko jest to zagrożenie którego prawdopodobieństwo umiemy oszacować. Niepewność – zagrożenie którego prawdopodobieństwa nie znamy.
Identyfikacja zagrożeń ma swoją cenę, ale zbudowanie infrastruktury zapobiegania zagrożeniom to zwykle koszty dwa rzędy wielkości wyższe. Modele aktuarialne dla cyberzagrożeń są na razie bardzo zgrubne i niesamowicie wysoko szacują potencjalne szkody. Jak widać do kwestyj cyberbezpieczeństwa musimy podchodzić metodami kolejnych przybliżeń. (ad)
_______
Klub był nagrywany — nagranie można znaleźć w kanale PTI w YouTube.
Tutaj cała dyskusja
| Mówią eksperci | Mówi publiczność |