Materiały konferencyjne SEP 2020

nów osób, atak na system przesyłu ropy naftowej w Turcji (rok 2008) [1], czy też atak ranson- ware na kopalnie OKD w Czechach w grudniu 2019r. [2]. Systemy SCADA różnią się od tra- dycyjnych rozwiązań IT, do których użytkownicy są od lat przyzwyczajeni i z którą nie ma większych problemów w zakresie jej zabezpieczenia przed cyberatakami. Współczesna infra- struktura IT projektowana jest z uwzględnieniem wymagań bezpieczeństwa teleinformatyczne- go, jakiemu musi sprostać użytkująca ją instytucja. Z kolei przy projektowaniu informatycz- nych systemów sterowania, nie zawsze uwzględniano aspekty cyberbezpieczeństwa. Zakłada- no, że systemy SCADA będą pracowały zawsze w wyizolowanym środowisku i tym samym nie będą nigdy narażone na ataki lub ingerencję osób postronnych. W ostatnich czasach mamy do czynienia z dynamicznym wzrostem liczby systemów automatyki przemysłowej, nowej jakości związanej z wejściem do powszechnego użytku systemów IoT (Internetu rzeczy), które w konsekwencji stymulują potrzebę zdalnego dostępu do danych przetwarzanych w tych sys- temach oraz umożliwienia zdalnego serwisu i konfiguracji, przy zachowaniu wysokiego po- ziomu bezpieczeństwa teleinformatycznego systemów OT (Operational Technology). 2. OTOCZENIE PRAWNE 2.1 Ustawa o krajowym systemie cyberpezpieczeństwa Ustawa z dnia 5 lipca 2018r, o krajowym systemie cyberbezpieczeństwa (Dz. U. 2018 poz. 1560) wprowadza pojęcie „usługi kluczowej” jako usługę, która ma kluczowe znaczenie dla utrzymania krytycznej działalności społecznej i gospodarczej, wymienioną w wykazie usług kluczowych [3]. Wśród wymienionych w Ustawie sektorów i podsektorów znajduje się między innymi pełny wachlarz działalności związanych z produkcją energii elektrycznej i ciepła oraz wydobyciem kopalni niezbędnych do ich produkcji. Spośród systemów informacyjnych w przedsiębiorstwach będących operatorami usługi kluczowej największe znaczenie mają syste- my SCADA eksploatowane w sieciach przemysłowych. Ustawa o krajowym systemie cyber- bezpieczeństwa nakłada na operatorów usługi kluczowej szereg obowiązków, wymienionych w art. 8, zarówno ze sfery organizacyjnej, jak i technicznej, jakie należy spełnić by zagwaranto- wać właściwe działanie systemów informacyjnych wykorzystywanych do świadczenia usługi kluczowej. Wśród obowiązków sfery technicznej bezpośrednio mających związek z tematem niniejszego opracowania należy wymienić następujące obowiązki: - utrzymanie i bezpieczną eksploatację systemu informacyjnego, - zapewnienie bezpieczeństwa fizycznego i środowiskowego, uwzględniające kontrolę dostępu, - zapewnienie bezpieczeństwa i ciągłości dostaw usług, od których zależy świadczenie usługi kluczowej, - objęcie systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej systemem monitorowania w trybie ciągłym, - stosowanie mechanizmów zapewniających poufność, integralność, dostępność i auten- tyczność danych przetwarzanych w systemie informacyjnym - dbałość o aktualizację oprogramowania, - ochronę przed nieuprawnioną modyfikacją w systemie informacyjnym. 2.2 Ustawa o zarządzaniu kryzysowym Ustawa z dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym (Dz. U. 2019 poz. 1398) wpro- wadza pojęcie infrastruktury krytycznej jako systemy oraz wchodzące w ich skład powiązane ze sobą funkcjonalnie obiekty, w tym obiekty budowlane, urządzenia, instalacje, usługi klu-