To już nie są ćwiczenia – przygotuj swoją firmę na wojnę hybrydową

Tylko w ciągu jednego tygodnia usłyszeliśmy o kilkunastu pożarach, w miejscach ze sobą niepowiązanych, a premier, który zazwyczaj powinien studzić obawy, ujawnił, że służby zapobiegły kilkunastu innym. Jako przyczynę pożaru wielkiego centrum handlowego na Marywilskiej w Warszawie, początkowo sam premier wykluczał podpalenie, by po kilku dniach publicznie uznać, że „jest dość prawdopodobne, że służby rosyjskie miały coś wspólnego z głośnym pożarem”.

Od tego momentu w przestrzeni publicznej odmieniane jest przez wszystkie przypadki określenie wydawałoby się zapomniane: sabotaż. I niestety wcześniej wymienione środki ochrony, mogące nas ochronić przed drobnymi kradzieżami czy wandalizmem okażą się niewystarczające w przypadku sabotażu. Dlaczego? Ponieważ występowanie sabotaży oznacza początek tzw. wojny hybrydowej, czyli działań obcego państwa, podejmującego niestandardowe metody walki, aby osiągnąć cele polityczne, militarne lub strategiczne, by osłabienia przeciwnika. Jest wiec to zupełnie nowa sytuacja, z którą nie mierzyliśmy się nigdy jak dotąd, a która może wpłynąć na działanie Twojej firmy.

Sabotaże w postaci prób wzniecenia pożaru, to zatem początek, możemy spodziewać się, też innych zagrożeń. Zanim je omówimy, warto zastanowić się dlaczego to właśnie ogień stał się pierwszym narzędziem wpływania na stabilizację w kraju?

Mówiąc szczerze, gdybym miał wybrać formę szkodzenia przedsiębiorstwu, która nie wymagałaby dużych nakładów i przygotowań, to również zacząłbym od podłożenia ognia. Dlaczego? No właśnie, bo to najprostsze i najtańsze. Niestety większość polskich przedsiębiorstw nie jest dobrze przygotowana na zagrożenie pożarowe. Mimo tego, że przepisy prawa wymagają np. sporządzenia Instrukcji Bezpieczeństwa Pożarowego, to często jest to dokument kopiowany z wcześniejszych, metodą kopiuj/wklej, zawierający informacje niedostosowane do charakteru przedsiębiorstwa do rzeczywistych zagrożeń. A i tak nie występuje wszędzie… Jednak nawet jeśli założylibyśmy, że Państwa firma posiada dostosowaną instrukcję, to kiedy była ona testowana? I znowu – mimo bezpośrednich wymogów przepisów prawa, nawet duże firmy produkcyjne, gdzie występuje wysokie ryzyko pożaru, nie wykonują regularnie próbnych ewakuacji. A w tych, w których ewakuacja jest testowana, ze względu na koszty, nie przerywa się niektórych procesów produkcyjnych, nie ocenia jej przebiegu, nie wyciąga wniosków.

Zatem samo posiadanie zabezpieczeń nie gwarantuje ich skuteczności. Nie testowana odporność przedsiębiorstwa, to tylko odsunięcie problemu w przyszłość. Obecne zagrożenia sabotażowe wynikają przecież z tzw. wojny hybrydowej, w której nasz kraj już uczestniczy. Odsuwanie wynikających z tego zagrożeń nie zmieni faktów, a może tylko zwiększyć konsekwencje.

Wojna hybrydowa to pojęcie oznaczające m.in. nieregularne, asymetryczne, a zatem nieoczywiste działania konwencjonalne, np. właśnie wzniecanie pożarów, jednak głównym celem jest po prostu szkodzenie odporności przeciwnika, wywoływanie paniki, problemów z zaopatrzeniem, niepewności, a jednocześnie uniknięcie odpowiedzialności przez stronę atakującą. Pamiętacie słynne „zielone ludziki” na Krymie, które mundury kupiły rzekomo w sklepach z militariami? To najbardziej ordynarny, ale i oczywisty przykład. Zatem sytuacja, w której premier rządu potwierdza zagrożenie sabotażami, jest okolicznością niecodzienną, wskazującą że powinniśmy przestać podchodzić do tego, jak do problemu wydumanego. A przecież na razie omawiamy zagrożenia dla przedsiębiorstwa, wynikające tylko z jednego, bardzo prawdopodobnego zagrożenia. A będą następne – pisząc ten artykuł mogłem wciąż dodawać nowe doniesienia prasowe.

Według ministra cyfryzacji, Rosja planuje największy od wielu lat atak hakerski na kraje Unii Europejskiej. To musi budzić pytanie o odporność systemów IT w polskich firmach, bo testowanie odporności rządowych systemów, np. ePUAP, PAP czy przedsiębiorstw strategicznych Rosjanie przeprowadzają nam regularnie.

A gdyby jednak taki atak dotyczył Państwa przedsiębiorstwa? Czy w przeciągu ostatniego roku testowali Państwo odporności systemów bezpieczeństwa cybernetycznego Państwa firmy? Nie? To skąd pewność, że są odporne? W sumie jest to nawet wymaganie wynikające z przepisów RODO, które nota bene w bardzo wielu przedsiębiorstwach przyjęły się wyłącznie w formie martwych i często błędnych klauzul – jeśli w ogóle. I chociaż wymagania tych przepisów nie są szczególnie skomplikowane pod względem cyberbezpieczeństwa, pozostawiając bardzo dużą swobodę w kwestiach oceny ryzyka i wdrożenia odpowiednich zabezpieczeń, to jednak właśnie kwestia wykazania przez przedsiębiorcę, że ocenił prawdopodobieństwo zagrożenia, np. ataku hakerskiego i zastosował odpowiednie do poziomu tego ryzyka zabezpieczenia, jest piętą achillesową przedsiębiorców. A to przecież tylko papier i deklaracje. Tak naprawdę realną wartość dla oceny bezpieczeństwa biznesu mają testy środowiska IT, obiektywne (czytaj najlepiej zewnętrzne), które rzadko kto przeprowadza, a sami informatycy bardzo nie lubią. Zatem znowu mamy dobre samopoczucie, właściwie „samobezpieczeństwo”, którego weryfikacja nastąpi niebawem, bo właśnie informacja, dziś gromadzona już elektronicznie jest dla firmy aktywem, którego pozbawienie lub wykradzenie świetnie realizuje cele prowadzenia wojny hybrydowej.

Słuchając opisu zdarzeń z pożaru na Marywilskiej moją uwagę zwróciła informacja, że pracownicy ochrony pojawili się dopiero po przybyciu straży pożarnej. Czyli strażacy zdążyli się ubrać, dojechać i rozwinąć sprzęt, a w tym czasie z płonącego budynku wyszli pracownicy ochrony. A teraz rozwiążę zagadkę, dlaczego zajęło im to tak dużo czasu: bo spali. I w tym miejscu dochodzimy do realnej wartości naszych systemów bezpieczeństwa – ktoś je na końcu obsługuje. Zakładamy, że ktoś przeszkolony, kompetentny i czujny. Jak widać nie… Często jest to ktoś bez szkoleń, zdemotywowany i wyczerpany długą, 24-godzinną służbą. I osoba ta ma o trzeciej w nocy (prawdopodobna godzina wybuchu pożaru na Marywilskiej) z przytomnością umysłu, pod presją czasu i stresu, podjąć się działań ochronnych i zapobiegawczych… no, przepis na klęskę – nieprawdaż?

Z tych względów nie możemy zakładać, że wszystkie elementy bezpieczeństwa zadziałają w sposób dla nas pozytywny, jeśli wcześniej tego nie zaplanujemy i nie sprawdzimy. Na całym świecie istnieją sprawdzone standardy minimalnego poziomu bezpieczeństwa np. TAPA TSR dla transportu, czy TAPA FSR dla obiektów przemysłowych i magazynowych. Niestety w Polsce wciąż o ocenie bezpieczeństwa decyduje subiektywne odczucie, a nie realistyczna ocena.

Bezpieczeństwo i ciągłość działania firm będzie testowana – co do tego nie miejmy już wątpliwości. Do tej pory testowali je przestępcy, złodzieje i … zbieg okoliczności. Dziś bezpieczeństwo testują też sabotażyści, a wachlarz prawdopodobnych zagrożeń i ich konsekwencji znaczenie rozszerzył się. Podobno tyle wiemy o sobie ile nas sprawdzono – również bezpieczeństwo firmy, produktu i marki, bez obiektywnej weryfikacji i oceny odporności przedsiębiorstwa choćby w kwestiach bezpieczeństwa fizycznego, pożarowego, IT może się okazać pozorne.

 

Autor

Norbert Bogucki

Jest prezesem spółki Bestway, audytorem i doradcą w zakresie bezpieczeństwa łańcuchów dostaw. Specjalizuje się we wdrożeniach i certyfikacjach międzynarodowych standardów bezpieczeństwa TAPA i ISO.