Pracownicy Polskich Sieci Elektroenergetycznych i innych spółek z branży energetycznej jako pierwsi w Europie wzięli udział w szkoleniu PolEx, bazującym na amerykańskim pierwowzorze – warsztatach GridEx. Dzięki temu zdobyli unikalne umiejętności, które mogli od razu przetestować w czasie symulowanych ataków. Szkolenie odbyło się w listopadzie 2018 roku, a CERT PSE już planuje kolejną edycję w 2020 roku. Z kolei jeszcze w tym roku odbędzie się konferencja dla ekspertów od cyberbezpieczeństwa w energetyce – pisze Jarosław Sordyl, zastępca dyrektora departamentu teleinformatyki ds. cyberbezpieczeństwa, szef CERT PSE.
GridEx to odbywające się co dwa lata w Stanach Zjednoczonych kompleksowe szkolenie z obszaru cyberbezpieczeństwa oraz bezpieczeństwa fizycznego, obejmujące m.in. testy procedur oraz sposobów reagowania na sytuacje, z którymi można się zetknąć na co dzień realizując zadania w takim komórkach organizacyjnych jak Computer Emergency Response Team lub Security Operation Center. To najbardziej zaawansowane tego typu szkolenie na świecie, a do tej pory nigdy nie odbyło się poza granicami Stanów Zjednoczonych. GridEx powstał w 2011 roku jako koncepcja szkoleniowa dla przemysłu Stanów Zjednoczonych. Jej podstawowym założeniem jest możliwość zweryfikowania planów reagowania na incydenty, współpracę miedzy organizacjami prywatnymi i publicznymi, a także zaangażowania menadżerów, którzy w warunkach symulacji mogą sprawdzić sposób zarządzania w sytuacjach szczególnych. W ostatniej edycji GridEx w 2019 roku wzięło udział 6500 osób z 450 organizacji.
Teoria i praktyka
To właśnie doświadczenia z treningów GridEx były podstawą do stworzenia programu PolExu. Sztab osób przygotowujących poszczególne symulacje dla uczestników szkolenia zadbał o aktualne przykłady, na bazie których można doskonalić swoje umiejętności. PSE nawiązały współpracę z organizatorami szkolenia GridEx, którzy zgodzili się na przeprowadzenie treningu dla polskich specjalistów. Przygotowania, w ramach których m.in. opracowany został program trzydniowego szkolenia, trwały rok. Oprócz ćwiczeń bazujących na GridEx wprowadzono do niego także szkolenie z cyberbezpieczeństwa infrastruktury przemysłowej CyberStrike, organizowane przez Idaho National Laboratory, oraz „wojny sieciowe” NetWars, organizowane przez SANS Institute.
W szkoleniach wzięło łączenie udział ponad 400 osób z sektora elektroenergetycznego, a także z organizacji, z którymi CERT PSE współpracuje na co dzień, m.in. CERT-ów oraz organizacji międzynarodowych, np. European Energy Information Sharing&Analysis Centre. Większość uczestników na co dzień zajmuje się teleinformatyką i cyberbezpieczeństwem IT. Niewielka część osób biorących udział w szkoleniu ma do czynienia z cyberbezpieczeństwem przemysłowym, czyli tzw. operational technology (OT) lub industrial control systems (ICS). W trakcie trzech dni ponad 180 osób przez brało udział w ćwiczeniach i symulacjach, a także zajęciach laboratoryjnych. Uczestnicy mieli okazję do poznania zagadnień cyberbezpieczeństwa środowisk IT oraz OT nie tylko w teorii, lecz także zapoznać się z praktyką wykrywania ataków na infrastrukturę ICS i reagowania na nie.
Drugim elementem szkolenia był trening NetWars, podczas którego uczestnicy mieli okazję do wykorzystania pozyskanej wiedzy. Mogli wcielić się w atakujących, co pozwalało na lepsze zrozumienie metod i taktyk jakimi najczęściej kierują się hakerzy.
Lepsza ochrona w cyberprzestrzeni
W trakcie każdego elementu szkolenia uczestnicy aktywnie realizowali poszczególne zadania, a poprzez zadawanie pytań pogłębiali tematykę poruszaną w poszczególnych wykładach. Amerykańscy wykładowcy zwrócili uwagę, że praktycznie każdy uczestnik chciał lepiej poznać zaawansowane urządzenia i oprogramowanie, by zaznajomić się z dodatkowymi elementami i funkcjonalnościami zabezpieczeń, jak również narzędzi stosowanych do prowadzenia cyberataków.
Po zakończeniu warsztatów amerykańscy eksperci przygotowali podsumowanie dla kadry zarządzającej, w tym ministrów i prezesów spółek. Wziął w nim udział m.in. Rick Perry, szef amerykańskiego Departamentu Energii oraz minister energii Krzysztof Tchórzewski, minister przedsiębiorczości i technologii Jadwiga Emilewicz i pełnomocnik rządu ds. strategicznej infrastruktury energetycznej Piotr Naimski. Celem spotkania było pokazanie mocnych i słabych stron systemu współpracy między organizacjami oraz podejścia do rozwiązywania problemów w przypadku cyberataku. Eksperci przygotowali także rekomendacje na najbliższe lata, które stanowią integralną część szkolenia i są wynikiem analizy możliwości zaobserwowanych podczas warsztatów. Bazują na praktyce stosowanej przez kraje najbardziej zaawansowane w zakresie tworzenia i utrzymywania systemów cyberbezpieczeństwa, przede wszystkim Stany Zjednoczone. Wśród rekomendacji znalazły się między innymi:
- utworzenie centrum analityczno-operacyjnego dla sektora elektroenergetycznego (ISAC);
- stworzenie koncepcji oraz realizacja corocznej konferencji dla sektora elektroenergetycznego, której głównym celem będzie integracja środowiska oraz wymiana informacji i dobrych praktyk;
- organizowanie co dwa lata szkolenia PolEx przy założeniu zmieniających się scenariuszy, które powinny odpowiadać realnym potrzebom w danym momencie.
Amerykańscy eksperci zadeklarowali swoją pomoc dla CERT PSE przy organizacji kolejnych edycji PolEx. To istotna wartość, gdyż będzie można wykorzystać ich dużą wiedzę i umiejętności.
Co dalej?
Po szkoleniu, CERT PSE zorganizował także wewnętrzne podsumowanie. Najważniejszą, pozyskaną korzyścią jest unikalna wiedza oraz praktyczna możliwość wykorzystania jej w czasie symulacji NetWars. To najbardziej miarodajny sposób weryfikacji własnych możliwości, współpracy zespołu i potwierdzenie gotowości do odparcia potencjalnego cyberataku. Znaczną wartością dla zespołu CERT PSE była także możliwość spotkania się z ekspertami ze światowej czołówki oraz nawiązania stałych kontaktów, które w branży cyberbezpieczeństwa są szczególnie istotne. Szkolenie PolEx było także możliwością spotkania przedstawicieli środowiska osób odpowiedzialnych za cyberbezpieczeństwo w polskim sektorze energetycznym, przedyskutowania sposobów jak najlepszej współpracy i planów na przyszłość.
Zgodnie z rekomendacjami, kolejna edycja PolEx odbędzie się w 2020 roku. Z kolei jeszcze tym roku CERT PSE zorganizuje specjalistyczną konferencję o cyberbezpieczeństwie w sektorze energetycznym. Wezmą w niej m.in. eksperci ze Stanów Zjednoczonych. Oba wydarzenia będą się odbywały cyklicznie i są stałym elementem strategii CERT PSE. Służą m.in. ciągłemu doskonaleniu zespołu tworzącego CERT PSE jako jednostki akredytowanej w międzynarodowej organizacji Trusted Introducer.
