W cyklu "Ludzie PSE" pracownicy spółki opowiadają o swojej pracy i jej znaczeniu. W ten sposób pokazujemy różne obszary działalności Operatora Systemu Przesyłowego z perspektywy osób, które za nie odpowiadają.
W drugiej części Piotr Gołębiewski, kierownik CERT PSE, jednostki odpowiedzialnej za zapewnienie cyberbezpieczeństwa w spółce.
Czym zajmuje się CERT?
Wydział CERT, czyli Computer Emergency Response Team (Zespół Reagowania na Incydenty Komputerowe), został powołany do życia przez zarząd 20 grudnia 2016 roku. Celem było zwiększenie bezpieczeństwa Polskich Sieci Elektroenergetycznych wobec rosnącego ryzyka dla systemów IT/OT.
Taka jednostka stała się niezbędna – lawinowo zwiększa się ilość ataków na systemy informatyczne, telekomunikacyjne i produkcyjne. Jest to szczególnie niebezpieczne dla podmiotów infrastruktury krytycznej, ponieważ grozi nie tylko utartą środków finansowych czy reputacji, ale także narażeniem zdrowia i życia ludzi oraz zachwianiem bezpieczeństwa naszego kraju.
Zespół CERT PSE zajmuje się przede wszystkim reagowaniem na incydenty bezpieczeństwa teleinformatycznego i przeciwdziałaniu im. Odpowiadamy także za edukację pracowników w zakresie bezpieczeństwa teleinformatycznego, współpracujemy również z krajowymi i zagranicznymi instytucjami przy wymianie doświadczeń, najlepszych praktyk i informacji o incydentach.
Obecnie nasz zespół liczy siedem osób. Każdy ma przydzielone podstawowe zadania, ale wspieramy się w codziennej pracy i nieraz zajmujemy się działaniami z kilku obszarów.
Mamy specjalistów w zakresie informatyki śledczej, analizy malware, Cyber Threat Inteligence (zbierania informacji o potencjalnych zagrożeniach), obsługi incydentów czy prowadzenia szkoleń. Członkowie mojego zespołu mają także doświadczenie w tworzeniu i aktualizacji polityk i procedur bezpieczeństwa, co bardzo przydaje się w opracowywaniu dokumentacji.
Dlaczego Twoja praca jest potrzebna?
Jednostki takie jak nasz CERT w chwili obecnej są potrzebne niemal w każdej trochę większej firmie. Dla spółek będących operatorami usług kluczowych, jak również dla podmiotów, które wchodzą w skład infrastruktury krytycznej to jest bezsprzecznie niezbędne, aby we właściwy sposób minimalizować ryzyko skutecznego ataku na firmę.
Jedną z największych korzyści, które wnosi CERT, jest praca nad ciągłym podnoszeniem świadomości pracowników nt. cyberzagrożeń. Przestępcy codziennie wymyślają nowe sposoby, jak zwieść naszą czujność. Systemy detekcji i prewencji w firmach są coraz bardziej zaawansowane i przestępcy, żeby uzyskać dostęp do zasobów spółki, wybierają najczęściej metodę tzw. phishingu, czyli wysyłki maili ze specjalnie spreparowanym załącznikiem lub linkiem i treścią tak dobraną, aby zmylić pracownika i nakłonić go do otwarcia wiadomości. Nie każdy zdaje sobie sprawę, że takie otwarcie maila i załącznika lub linku może nieść za sobą porażające konsekwencje. Plik może w przeciągu kilkunastu sekund zainfekować i np. zaszyfrować dane nie tylko na naszym dysku, ale i na dyskach podłączonych do tej samej sieci. Połączenie z wewnątrz firmy z wybranym hiperłączem w pewien sposób „legitymizuje” (systemy detekcji w nieco inny sposób traktują połączenia sieciowe zainicjowane z wewnątrz firmy) wymianę informacji ze stroną, która może przesyłać i odbierać później informacje w niekontrolowany i niepożądany sposób.
Na czym polega Twoja praca? Jak wygląda Twój przeciętny dzień?
Zwykle mój dzień zaczyna się od zapoznania się z tzw. rejestrem incydentów, czyli sprawdzeniem, czy w nocy nie wydarzyło się coś niepokojącego (ale oczywiście nie na tyle, że nie byliśmy zaalarmowani w nocy). Kolejną czynnością jest dla mnie zapoznanie się z najważniejszymi informacjami z kraju i świata z obszaru cyberbezpieczeństwa. To informacje dotyczące nowych podatności, związanych z nimi aktualizacji (albo – co gorsza – ich braku), nowych zidentyfikowanych grup cyberprzestępców, ataków na przedsiębiorstwa czy na „zwykłych” ludzi. Czasem takie doniesienia zmuszają nas do podjęcia pilnych działań.
Po prasówce przychodzi czas na przegląd postępu bieżących zadań naszego zespołu, rozmowa z osobami odpowiedzialnymi za poszczególne obszary, udzielenie wskazówek albo ocena i pokierowanie ich dalszą pracą.
Jednym z takich kluczowych zadań jest budowa tzw. laboratorium. Ma ono służyć przede wszystkim analizie potencjalnie niebezpiecznego oprogramowania w wyizolowanym środowisku (co działa lepiej niż tzw. środowisko wirtualne na lokalnym komputerze). Chodzi o to, aby móc sprawdzić działanie takich programów, aby poznać w jakim celu zostały napisane i wyciągnąć z nich tzw. IoC (Indicators of Compromise, „wskaźniki kompromitacji”, czyli sygnatury, na podstawie których można działać prewencyjnie i np. blokować maile, które zawierają taki niebezpieczny plik).
Obecnie, w dobie pandemii, sporą część naszych zadań stanowi współpraca z Ministerstwem Klimatu i Środowiska oraz operatorami usług kluczowych z sektora energii w ramach Zespołu Cyberbezpieczeństwa.
Jakie umiejętności przydają się na co dzień?
Umiejętności techniczne to podstawa, ale to nie wystarczy. Czasami pracownik, któremu jeszcze brakuje wiedzy, ale lubi tę pracę i widać, że chce się uczyć i ma cechy ułatwiające mu działanie w zespole, okazuje się lepszy niż „książkowy” ekspert w danej dziedzinie. Umiejętności miękkie, które ułatwiają np. prowadzenie szkoleń dla pracowników, zdolność przełożenia technicznych pojęć na prostszy język, bardzo się przydają. Oprócz tego w CERT na pewno liczą się zdolności analityczne, szybkie kojarzenie faktów, umiejętność działania pod presją (nie tylko czasu). Te cechy pomagają przy obsłudze incydentów albo podejmowaniu decyzji, czy należy bardzo szybko wysłać ostrzeżenie w obrębie naszej spółki albo do naszych partnerów.
Jak zmieniały się Twoje obowiązki na przestrzeni lat?
Na początku najważniejsze było, aby zebrać mocny zespół, zdolnych i lubiących tę pracę ludzi, stworzyć wszystkie niezbędne procedury niemal od zera, przyzwyczaić pracowników do naszej obecności i tego, że naprawdę jesteśmy przydatni, a nie działamy, aby wytykać ludziom błędy czy ich strofować. Później był rozwój, nawiązywanie sieci współpracy w kraju i za granicą, budowanie zaufania. Obecnie staramy się to wszystko jeszcze ulepszać, tak aby nasze kompetencje były na jak najwyższym poziomie.
Jakie będzie znaczenie jednostek takich jak CERT w energetyce w perspektywie najbliższej dekady? Czym Twoja praca będzie się wówczas różnić od tego, jak wygląda obecnie?
Obecnie coraz częściej myśli się o cyberbezpieczeństwie już na etapie tworzenia pomysłów na nowe systemy czy aplikacje i to jest bardzo dobry kierunek. Będzie to na pewno też z czasem obejmować energetykę. Problem będzie natomiast ze starszymi urządzeniami, których wymiana bywa utrudniona, a nie da się już aktualizować oprogramowania, które na nich funkcjonuje. Urządzenie spełnia swoją funkcję w systemie, ale jest narażone na ataki, bo występują w nim luki. To częsty dylemat. Kolejnym wyzwaniem jest rewolucja przemysłowa 4.0 i włączanie do sieci przemysłowych coraz większej liczby urządzeń IoT (internet rzeczy), które są często źle zabezpieczone, bo producenci oszczędzają właśnie na tym aspekcie.
Moja praca w przyszłości będzie wymagała przede wszystkim pełnej znajomości tych zagadnień, abyśmy mogli zawsze rekomendować najlepsze rozwiązania, które będą przyczyniać się do minimalizacji ryzyka, przy zachowaniu użyteczności systemów.