Cyberbezpieczeństwo w straży pożarnej
16 Listopada 2022Atrybutami przetwarzania informacji są poufność, integralność, dostępność i autentyczność. Cyberatak ma na celu ich naruszenie. Według raportu Agencji UE ds. Cyberbezpieczeństwa (ENISA) do najważniejszych cyberzagrożeń należą obecnie: złośliwe oprogramowanie, ataki hakerskie i wyłudzanie informacji.
Proces likwidacji zagrożenia w straży pożarnej obejmuje: zaalarmowanie przez zgłoszenie telefoniczne lub alarm II stopnia z systemu sygnalizacji pożarowej, zadysponowanie jednostek z MSK/PSK (system SWD PSP), wysłanie ich do akcji i dojazd na miejsce (używanie nawigacji), działania prowadzone na miejscu (wykorzystanie bazy danych) oraz powrót do koszar. Jak widać, czynności te mogą odbywać się z mniejszym lub większym udziałem systemów teleinformatycznych - tak niezawodnych, jak skuteczne są ich zabezpieczenia przed cyberatakami.
Zrozumieć definicję
Cyberbezpieczeństwo to ogół technik, procesów i praktyk stosowanych w celu ochrony sieci teleinformatycznych, urządzeń, programów i danych przed atakami, uszkodzeniami lub nieautoryzowanym dostępem. Cyberbezpieczeństwo bywa także określane jako bezpieczeństwo technologii teleinformatycznych - główne takie systemy wykorzystywane w działaniach operacyjnych straży to: SWD-ST, SIPR (System Informatyczny Powiadamiania Ratunkowego, zintegrowany z wcześniej wymienionym), PLI CBD (Platforma Lokalizacyjno-Informacyjna z Centralną Bazą Danych), UMM (Uniwersalny Moduł Mapowy) czy CPSCPR (Centralny Punkt Systemu Centrów Powiadamiania Ratunkowego). Integracja systemu PLI CBD z CPSCPR była ostatnim etapem zapewniającym docelową funkcjonalność systemu powiadamiania ratunkowego (System Zintegrowanej Komunikacji Ogólnopolskiej Sieci Teleinformatycznej, SZK OST 112).
Idzie nowe - czyli SWD PSP
Umowa na budowę Systemu Wspomagania Decyzji Państwowej Straży Pożarnej została już dawno podpisana, ale pandemia COVID-19 opóźniła jego odbiory. Prace dotyczące nowego SWD rozpoczęły się w 2016 r., od powołania zespołu do opracowania dokumentacji przetargowej. Następnie przeprowadzono dialog techniczny z zainteresowanymi podmiotami. Efektem wszystkich prac było ogłoszenie rok później postępowania przetargowego. Najkorzystniejsza oferta została złożona przez konsorcjum S&T Services Polska Sp. z o.o. i ABAKUS Systemy Teleinformatyczne.
W ramach realizowanego przedsięwzięcia zmieniona zostanie architektura SWD PSP z rozproszonej na scentralizowaną, co usprawni procesy obsługi zdarzeń oraz umożliwi łatwiejszą integrację z zewnętrznymi systemami teleinformatycznymi, w szczególności z systemem powiadamiania ratunkowego. Nowe SWD PSP to także platforma współpracy z jednostkami ochotniczych straży pożarnych, które otrzymają nieodpłatny dostęp do modułu systemu.
Rozporządzenie o SWD dla PSP
Obligatoryjny obowiązek stosowania systemu SWD PSP w strukturze krajowego systemu ratowniczo-gaśniczego wprowadzono rozporządzeniem ministra spraw wewnętrznych i administracji z dnia 30 kwietnia 2021 r. w sprawie Systemu Wspomagania Decyzji Państwowej Straży Pożarnej (DzU poz. 829).
SWD PSP w ramach minimalnych funkcjonalności umożliwia:
- obsługę przyjęcia zgłoszeń i rejestracji zdarzeń,
- alarmowanie i powiadamianie SiS KSRG,
- dysponowanie SiS KSRG do działań ratowniczych,
- nadzorowanie i koordynowanie działań ratowniczych,
- wspomaganie procesu dysponowania poprzez wizualizację propozycji zestawu SiS właściwych ze względu na lokalizację i rodzaj zdarzenia,
- wspomaganie procesu organizowania lub prowadzenia działań ratowniczych poprzez wizualizację obszarów, obiektów lub infrastruktury właściwej dla lokalizacji miejsca zdarzenia,
- sporządzanie dokumentacji z prowadzonych działań,
- wymianę informacji i danych między wszystkimi jednostkami organizacyjnymi PSP,
- prowadzenie ewidencji SiS PSP,
- prowadzenie ewidencji SiS zgłoszonych do SWD PSP przez jednostki ochrony przeciwpożarowej,
- prowadzenie ewidencji dostępnych SiS pochodzących z instytucji i organizacji wspierających PSP,
- współpracę z urządzeniami łączności oraz z urządzeniami umożliwiającymi śledzenie pojazdów, nadzór, alarmowanie i powiadamianie SiS KSRG, a także sterowanie automatyką przemysłową wykorzystywaną w jednostkach organizacyjnych PSP,
- generowanie analiz, raportów, zestawień i statystyk,
- korzystanie z danych przestrzennych i związanych z nimi usług, udostępnionych za pośrednictwem państwowego zasobu geodezyjnego i kartograficznego,
- wymianę informacji z CPR za pośrednictwem interfejsu komunikacyjnego,
- pozyskiwanie i prezentację danych dotyczących lokalizacji zakończenia sieci, z którego zostało wykonane połączenie do numeru alarmowego, oraz danych dotyczących abonenta, który wykonał połączenie,
- współpracę z innymi systemami teleinformatycznymi.
- W przypadku awarii SWD PSP w rozporządzeniu przewidziano możliwość przyjmowania zgłoszeń alarmowych z CPR w drodze połączeń telefonicznych, a także obsługę zgłoszeń alarmowych na stanowiskach kierowania PSP z wykorzystaniem połączeń telefonicznych lub urządzeń radiowych.
Oprogramowanie SWD-ST
SWD-ST powstał w 2001 r. i jako system obejmujący zakresem informacyjnym główne wydziały PSP jest użytkowany nieustannie od ponad 20 lat, na bieżąco poddawany aktualizacjom i dostosowywany do zmian organizacyjnych i technologicznych.
Jedną z ostatnich nowości w systemie stanowi funkcjonalność informowania SK PSP o nałożonej kwarantannie lub izolacji pod danym adresem. Dzięki integracji z bazami danych Sanepid możliwe jest bieżące informowanie dyżurnych o konieczności zachowania szczególnej ostrożności w trakcie prowadzonych działań ratowniczych.
Aktualnie system obsługuje dodatkowe moduły:
- Terminal-ST - terminal statusów dla nowoczesnego strażaka,
- Mapa-ST3 - rozszerzenie o możliwości, które daje technologia GIS,
- AbakusNAVI - system lokalizacji pojazdów i komunikacji statusowej,
- AbakusSMS - pozwala bezpośrednio wysyłać i odbierać krótkie wiadomości SMS,
- SWD-ST-DWA - obsługa wyświetlaczy alarmowych,
- SWD-ST-AbakusTAPI - umożliwia integrację z centralami telefonicznymi,
- SWD-ST-PLI-CBD - Platforma Lokalizacyjno-Informacyjna z Centralną Bazą Danych,
- SWD-ST-SPA - Serwer Punktów Adresowych.
Nowoczesne technologie dla OSP
W ofercie firmy Abakus znalazło się innowacyjne narzędzie również dla ochotniczych straży pożarnych. Jest to system e-Remiza, wspomagający działania ratownicze, który zawiera kilka współdziałających ze sobą rozwiązań:
- stacjonarna wersja systemu e-Remiza - dla prezesów, naczelników i osób zarządzających danymi OSP w jednostkach, gminach itp.,
- mobilna e-Remiza - dla druhów posiadających smartfon lub tablet z systemem Android,
- e-Remiza na TV - natychmiastowa i pełna informacja o alarmie w garażu (do działania wystarczy telewizor i Android TV box),
- Tablica Gotowości Bojowej - dla osób nadzorujących działania OSP w gminach, powiatach, CZK, SK PSP,
- Komendant Gminny - dla osób pełniących rolę komendantów gminnych lub mających w zarządzaniu więcej niż jedną okoliczną jednostkę OSP.
Istnieją również inne systemy powiadamiania, np. cyfrowy system selektywnego alarmowania OSP DSP-60 firmy Digitex lub Platforma Alarmowania Strażaków OSP.
Naruszenia bezpieczeństwa danych straży pożarnej w USA
W raporcie organizacji Fire Protection Research Foundation z 2021 r. pt. „Cyberbezpieczeństwo systemów przeciwpożarowych” (Cybersecurity for Fire Protection Systems) przedstawiono dwa przypadki zmaterializowanego ryzyka związanego z ujawnionym zagrożeniem cyberbezpieczeństwa, czyli incydenty zaistniałe w jednostkach organizacyjnych straży pożarnej w Stanach Zjednoczonych.
PRZYPADEK 1. Serwery zablokowane przez hakerów
Organizacja: Okręg straży pożarnej w mieście Bluffton, Karolina Południowa.
Scenariusz: 15 marca 2020 r. na serwerach straży pożarnej odkryto notatkę zostawioną przez hakera, który zablokował komputery. Wszystkie dokumenty, pliki i wiadomości e-mail zostały zaszyfrowane. Notatka z żądaniem okupu zawierała adres e-mail do kontaktu. Po napisaniu wiadomości haker miał podać koszt odszyfrowania plików. Zapewniał, że pliki zostaną odzyskane po dokonaniu płatności. Straż pożarna, zgodnie z zaleceniami FBI, zgłosiła sprawę do organów ścigania. W wyniku ich interwencji dane z okresu 7 miesięcy zostały odzyskane.
Motywacja sprawcy: Uzyskanie okupu od straży pożarnej.
Zastosowane techniki: Chociaż metody hakera nie zostały zidentyfikowane w prowadzonym śledztwie, mógł on zastosować typowe techniki. Jedną z najczęstszych technik jest phishing. Phishing ma miejsce wtedy, gdy osoba atakująca wysyła do potencjalnej ofiary wiadomość e-mail z linkiem do sfałszowanej strony internetowej, za pomocą której osoby atakujące mogą uzyskać ważne dane uwierzytelniające.
Zapobieganie: Phishingowi można zapobiec, nie otwierając podejrzanych wiadomości e-mail i nie klikając w podejrzane linki. Należy skonfigurować protokoły na wypadek, gdyby pracownik otrzymał podejrzaną wiadomość e-mail. Dodatkowo wiadomościom phishingowym można zapobiegać przez umieszczenie domen e-mail na białej liście.
Wpływ na organizację: Dowódca okręgu straży pożarnej stwierdził, że nie utracono żadnych danych osobowych ani poufnych, a największą uciążliwość stanowiło przejście na manualną pracę dokumentacyjną. Dane udało się jednak szczęśliwie odzyskać.
PRZYPADEK 2. Utrata danych przez atak ransomware
Organizacja: Policja i straż pożarna w Riverside, Kalifornia.
Scenariusz: 3 maja 2018 r. policja i straż pożarna w Riverside po raz drugi w ciągu trzech tygodni zostały zaatakowane przez oprogramowanie ransomware. Atakujący zablokował poufne dane, w tym zapisy zawierające informacje o trwających dochodzeniach. Drugi atak był mniej szkodliwy niż pierwszy, jednak utracono zarejestrowane dane z ostatnich 8 godz. Pierwszy atak spowodował utratę rocznych zasobów plików. Władze zarządzające miastem stwierdziły, że nie jest jasne, w jaki sposób doszło do obu ataków, ale potwierdziły, że był to atak złośliwego oprogramowania ransomware prowadzący do zainfekowania systemów. Utracone dane stanowiły akta policyjne i raporty straży pożarnej.
Motywacja sprawcy: Zysk finansowy. Atakujący zażądali zapłaty w bitcoinach ze względu na ich niewykrywalny system transakcyjny.
Zastosowane techniki: Amerykańskie tajne służby badały oba ataki, ale nie ujawniono, w jaki sposób zostały zainicjowane. Typowe techniki to phishing, nośniki wymienne i zdalne zarządzanie pulpitem. Atakujący mogą umieszczać pendrive’y na parkingach lub na zewnątrz budynków. Oczekują, że zostaną one wsunięte do portu komputera, aby zidentyfikować właściciela lub przejąć zawartość dysku.
Zapobieganie: Zaczyna się od przeszkolenia pracowników w zakresie identyfikowania podejrzanych działań. Należy uczyć pracowników, aby nie otwierali żadnych podejrzanych e-maili, nie klikali w podejrzane linki, nie podłączali dysków zewnętrznych ani żadnych podejrzanych nośników wymiennych do swoich komputerów. Protokoły konfiguracyjne mają zastosowanie, gdy pracownik otrzyma podejrzaną wiadomość e-mail. Innym rozwiązaniem zapobiegawczym jest umieszczanie adresów e-mail na białej liście.
Wpływ na organizację: Pierwszy atak na policję i straż pożarną w Riverside spowodował utratę danych z jednego roku, drugi utratę „tylko” 8 godz. Od czasu pierwszego ataku są tworzone kopie zapasowe, aby zapobiec masowej utracie danych. Stracone dane zostały rozliczone i wprowadzone ponownie ręcznie.
Inne możliwe przypadki
W tym miejscu autor postara się uruchomić wyobraźnię i wymyślić inne scenariusze ataków na systemy informatyczne straży pożarnej możliwe w polskich realiach, aby podać, jakie byłyby ich potencjalne konsekwencje. Zatem:
- nieuprawnione zadysponowanie samochodów ratowniczo-gaśniczych (pojazdy oddalają się od swojego rejonu operacyjnego, który jest słabiej chroniony),
- kierujący działaniem ratowniczym korzysta ze złej bazy danych o substancjach niebezpiecznych (pobiera nieprawdziwe parametry, podejmuje złe decyzje i zamiary taktyczne, np. dotyczące wyznaczenia strefy zagrożenia),
- budynkowe systemy sygnalizacji pożarowej wysyłają fałszywe alarmy, powodując niepotrzebne i częste wyjazdy jednostki ratowniczo-gaśniczej.
Oczywiście kombinacje takich scenariuszy są nieograniczone, ponieważ straż pożarna wykorzystuje nie tylko różne rodzaje łączności (przewodowej, radiowej, sygnalizacyjnej i za pomocą środków ruchomych), lecz także bazuje na łączach internetowych.
Na co zwracać uwagę?
Podstawowym zadaniem każdego funkcjonariusza oraz pracowników cywilnych straży pożarnej jest nie tylko rozsądne korzystanie z poczty elektronicznej i zwrócenie uwagi na załączone pliki, które mogą być zainfekowane. Należy również utworzyć wystarczająco silne hasła do poczty i systemów informatycznych oraz chronić je przed przejęciem przez nieuprawnione osoby. Logowanie do integralnych systemów straży pożarnej powinno się odbywać ze służbowych komputerów z zainstalowanym oprogramowaniem antywirusowym (preferowane jest użycie VPN), a unikać należy (czasem jest to zabronione i pozbawione sensu) logowania z użyciem smartfonów.
Jednostki organizacyjne ochrony przeciwpożarowej w związku z prowadzonymi działaniami ratowniczymi przetwarzają dane osobowe, w tym dane, które będą trafiały do systemu teleinformatycznego SWD PSP. Znajdują się w nim zarówno dane osobowe zwykłe, jak i dane osobowe wrażliwe (np. stan zdrowia poszkodowanego), dlatego należy chronić je z należytą starannością.
Zasady tzw. cyberhigieny i przykładowe wytyczne
Higiena cyberbezpieczeństwa w straży pożarnej stanowi wspólną odpowiedzialność zarówno strażaków, jak i kadry dowódczej. Jest ona kluczowym elementem każdego programu zabezpieczenia teleinformatycznego. Podobnie jak higiena osobista dla człowieka, aktualizacje haseł i poprawki oprogramowania są ważne dla higieny cyberbezpieczeństwa i mają one kluczowe znaczenie dla zapobiegania utracie danych, naruszeniom lub kradzieży tożsamości.
Standardowa lista kontrolna higieny cyberbezpieczeństwa powinna obejmować następujące zagadnienia:
- Rób aktualizacje!
- Jeżeli pojawia się oficjalna informacja o wykrytych „nieszczelnościach” programów, to niezainstalowanie „łatki” jest wręcz zaproszeniem dla hakera amatora. Komunikat dostawcy oprogramowania stanowi wprost instrukcję obsługi do wykorzystania błędu istniejącego w starszej wersji software’u, którą łatwo można wyeliminować, instalując nowszą jego wersję.
- Zainstaluj skuteczny program do zarządzania tożsamością i dostępem, który wymaga silnych haseł i uwierzytelniania wieloskładnikowego. Rozważ użycie danych biometrycznych w przypadku dostępu do danych wrażliwych.
- Zastosuj zasadę najmniejszego przywileju - każdy ma dostęp tylko tam, gdzie musi, a nie tam, gdzie chce. Nie udostępniaj swoich loginów i haseł.
- Zainstaluj ochronę przed złośliwym oprogramowaniem i zapory typu firewall.
- Domyślnie szyfruj dyski i urządzenia zewnętrzne.
- Wykonuj regularnie kopie zapasowe.
Stwórz system szkoleń w zakresie świadomości bezpieczeństwa oraz wymagaj w nich uczestnictwa.
Uwaga dodatkowa: przenieś zasady higieny cyberbezpieczeństwa do własnego domu.
Pandemia COVID-19 spowodowała drastyczny wzrost liczby pracowników pracujących zdalnie i przesądziła o konieczności podniesienia higieny cyberbezpieczeństwa na wyższy poziom. Zapewnienie bezpieczeństwa danych wrażliwych w bardzo rozszerzonych granicach organizacji - w domu każdego funkcjonariusza wyższego szczebla - okazało się dla zespołów IT ds. cyberbezpieczeństwa co najmniej trudne.
Niektóre najważniejsze zalecenia dotyczące zabezpieczeń pracownika zdalnego są następujące:
- Odseparuj sieć domową. Zespoły IT ds. cyberbezpieczeństwa muszą uczyć użytkowników - w prosty i zrozumiały sposób - jak tworzyć podsieci z użyciem reguł bezpieczeństwa. Jest to przedsięwzięcie dla administratorów bezpieczeństwa, ponieważ w domach pracowników istnieje wiele różnych routerów i zapór typu firewall, które należy wziąć pod uwagę.
- Stosuj VPN. Większość organizacji ma domyślnie włączoną sieć VPN umożliwiającą dostęp do sieci firmowej. Ale nawet w przypadku jej braku pracownicy zrobiliby dobrze, gdyby zainstalowali klienta VPN, który umożliwia szyfrowane połączenia w celu wzmocnienia publicznej sieci wi-fi lub słabo zabezpieczonych połączeń domowych.
- Instaluj aktualizacje, łatki, poprawki... Ważne jest również, aby użytkownicy końcowi rozumieli znaczenie „łatania” własnych urządzeń - zwłaszcza, że coraz więcej pracowników używa ich do celów służbowych.
Uwaga dodatkowa: Zastosuj higienę cyberbezpieczeństwa również w chmurze.
Korzystaj z praw do prywatności i poufności. Chociaż nie są najważniejsze dla większości osób, stanowią priorytety dla organizacji. Nowsze przepisy, takie jak RODO, wymagają zapewnienia konkretnych praw do prywatności. Dotyczy to także oprogramowania SaaS, które umożliwia użytkownikom łączenie się z aplikacjami opartymi na chmurze za pośrednictwem Internetu i korzystanie z nich. Na przykład kluczowe jest zapewnienie, że cyfrowe ślady zostają usunięte, gdy aplikacje SaaS nie będą już używane lub przeprowadzanie okresowych przeglądów danych przez nie gromadzonych. Zadania te wymagają szkoleń i innowacyjnych zachęt, takich jak np. grywalizacja, by zwiększyć świadomość pracowników.
Zalecenia w zakresie cyberbezpieczeństwa w systemach ochrony przeciwpożarowej
Podobne zagrożenia cyberbezpieczeństwa mogą wystąpić w szeroko pojętych systemach ochrony przeciwpożarowej, których zadaniem jest zminimalizowanie skutków pożarów przez wczesne wykrywanie dymu i ognia, automatyczne gaszenie i ogłaszanie ewakuacji oraz przekazywanie alarmu do służb ratowniczych. Bezpieczeństwo takich systemów musi być związane z identyfikacją kierunków potencjalnych cyberataków oraz opracowaniem strategii łagodzenia ich następstw.
Chcąc zwiększać świadomość w zakresie cyberbezpieczeństwa, można zorganizować dodatkowe warsztaty, aby określić bardziej szczegółowe wytyczne, narzędzia, normy i standardy oraz szkolenia dotyczące oceny ryzyka i zintegrowanego podejścia z wytycznymi dotyczącymi tej problematyki, ze współpracą i zaangażowaniem interesariuszy. Podczas takich warsztatów można również omówić, w jaki sposób zapewnić pracownikom szkolenie z podstaw cyberbezpieczeństwa i zachęcić interesariuszy do stworzenia znormalizowanej inwentaryzacji ich komponentów systemowych. Pomoże to zidentyfikować i zmniejszyć ryzyko, a także ułatwi opracowanie odpowiednich zasad i procedur do wdrożenia w ramach naszych najlepszych praktyk.
Można zacząć od zidentyfikowania najłatwiejszych sposobów zwiększenia bezpieczeństwa technologii informatycznych i wprowadzenia zmian w celu skorygowania braków. Jeśli budynkowy system sygnalizacji pożaru jest połączony z sieciami firmowymi, należy dążyć do oddzielenia tych sieci. Jeśli system ma połączenie internetowe, ale go nie potrzebuje, należy je odłączyć. Alternatywnie, jeśli system wymaga połączenia z Internetem, należy użyć zasady najmniejszej funkcjonalności, aby wyłączyć wszystkie funkcje komunikacyjne (porty, protokoły czy usługi), które nie są wymagane do działania systemu, lub użyć reguł zapory, aby ograniczyć łączność do określonych bloków czasowych.
Organizacje mogą czerpać korzyści z analiz ryzyka podatności na zagrożenia. Raporty te są dostarczane przez firmy zajmujące się cyberbezpieczeństwem, które oceniają stan bezpieczeństwa sieci.
Studia podyplomowe w SGSP
Mając świadomość powagi i aktualności problematyki poruszanej w artykule, władze Szkoły Głównej Służby Pożarniczej podjęły decyzję o utworzeniu na Wydziale Inżynierii Bezpieczeństwa i Ochrony Ludności nowych studiów podyplomowych „Zarządzanie cyberbezpieczeństwem w sektorze publicznym”. Studia zostały skierowane do osób odpowiedzialnych za zarządzanie organizacjami sektora publicznego.
Warto wspomnieć, że za bezpieczeństwo w cyberprzestrzeni nie jest odpowiedzialny jedynie dział kompetencyjny, lecz zarówno kadra zarządzająca, jak i każdy użytkownik. Studia zostały zorganizowane przy współpracy partnerów takich jak: departamenty odpowiedzialne za cyberbezpieczeństwo RP w Kancelarii Prezesa Rady Ministrów, Naukowa i Akademicka Sieć Komputerowa (NASK) oraz Centralne Biuro Zwalczania Cyberprzestępczości. Partnerem technologicznym jest Microsoft. Wykładowcy to specjaliści praktycy najwyższej klasy.
bryg. dr inż. Norbert Tuśnio jest adiunktem w Katedrze Działań Ratowniczych na Wydziale Inżynierii Bezpieczeństwa i Ochrony Ludności SGSP
dr Wojciech Wróblewski jest adiunktem w Instytucie Bezpieczeństwa Wewnętrznego Szkoły Głównej Służby Pożarniczej