W minionym roku brytyjskieNational Cyber Security Centre przekazało włodarzom miast zestaw rekomendacji dotyczących cyberbezpieczeństwa w miastach inteligentnych. Celem opracowania zatytułowanego „Connected Places: Cyber Security Principles” jest przede wszystkim budowanie świadomości wśród przedstawicieli administracji publicznej oraz ułatwienie zrozumienia najważniejszych aspektów bezpieczeństwa.

W dokumencie znajdziemy kilkanaście zasad bezpieczeństwa i ich charakterystyki podzielone na trzy sekcje:
1) Zrozumienie miasta inteligentnego (ang. Understanding your connected place)
2) Projektowanie miasta inteligentnego (ang. Designing your connected place)
3) Zarządzanie miastem inteligentnym (ang. Managing your connected place)

Autorzy dokumentu wierzą, że przygotowane rekomendacje pomogą w lepszym zarządzaniu infrastrukturą teletechniczną i teleinformatyczną i uczynią miasta bardziej odporne na cyberzagrożenia.

Zrozumienie miasta inteligentnego
W pierwszym etapie należy dokładnie poznać miasto i uwarunkowania, w których ono funkcjonuje.

Zasada #1
Znajomość miasta i współzależności
Jednym z pierwszych kroków powinno być zdefiniowanie własnych celów i ambicji dotyczących budowy miasta inteligentnego.Należy określić odpowiedzialności za funkcjonowanie miasta inteligentnego, zdefiniowaćwszelkie zależności z innymi systemami i dostawcami oraz ocenić oddziaływanie miasta na otoczenie oraz mieszkańców. Konieczne jest również zinwentaryzowanie danych, które są zbierane, przetwarzane, magazynowane i udostępniane oraz określenie zasobów potrzebnych bez których realizacja koncepcji miasta inteligentnego nie będzie możliwa.

Zasada #2
Ryzyka charakterystyczne dla miast inteligentnych
Bardzo dokładne zinwentaryzowanie posiadanej i planowanej infrastruktury jest niezbędne, by zidentyfikować, zrozumieć i oszacować występujące współzależności. Znajomość architektury musi obejmować znajomość użytkowników, urządzeń i usług. Należy określić te kategorie danych, które uznajemy za krytyczne. Znane muszą być również wszelkie połączenia oraz sposób identyfikacji i uwierzytelniania użytkowników i urządzeń. Należy również określić niezbędne protokoły komunikacyjne oraz rodzaje dostępów. W końcu potrzebne są także wymagania dotyczące odporności systemów i oszacowanie następstw w przypadku pogorszenia ich wydajności lub awarii. Należy jednocześnie jasno określić jakie skutki nie będą akceptowane i tym samym strategię postępowania z ryzykiem.

Zasada #3
Zarządzanie oraz zdolności do zapewnienia cyberbezpieczeństwa
Zapewnienie cyberbezpieczeństwa powinno być umiejscowione, zarządzane i promowane na najwyższym poziomie struktury organizacyjnej. Nie jest możliwe transferowanie tej odpowiedzialności na dostawców. Usługi i funkcje miasta inteligentnego staną się z czasem codziennym elementem życia mieszkańców. Jest zatem konieczne dysponowanie zasobami, w tym zasobami finansowymi, by zapewnić stabilne funkcjonowanie systemów i możliwość ciągłego ulepszania technologii, co pozwoli sprostać wciąż zmieniającym się zagrożeniom.

Zarządzanie cyberbezpieczeństwem musi obejmować ustalenie celów i priorytetów, identyfikację zasobów niezbędnych do ich osiągnięcia, identyfikację jednostek i osób odpowiedzialnych za utrzymanie systemów oraz ich bezpieczeństwo, zrozumienie ryzyk jakie nieodłącznie wiążą się ze świadczeniem usług inteligentnego miasta. W końcu potrzebne jest zapewnienie decydentom oraz personelowi niezbędnej wiedzy i umiejętności, by odpowiednio zarządzać ryzykiem i stosować odpowiednie środki bezpieczeństwa.

Zasada #4
Rola dostawców rozwiązań dla miasta inteligentnego
Włodarze miast muszą pamiętać, że to na nich spoczywa odpowiedzialności za bezpieczeństwo miasta inteligentnego. Jakkolwiek należy włączyć dostawców w proces zarządzania ryzykiem,to nie jest możliwe przerzucenie tego w całości na nich. O wyborze i zasadach współpracy z dostawcami decydują wszak włodarze miasta. Należy zatem jasno określić co musi być chronione i na jakim poziomie, jakie działania zostaną podjęte w przypadku naruszenia wymagań bezpieczeństwa oraz jakie zobowiązania w zakresie bezpieczeństwa mają dostawcy i jaka jest ich odpowiedzialność. Bardzo ważne jest także określenie w jaki sposób będzie doskonalone bezpieczeństwo całego łańcucha dostaw, w jaki sposób dostawcy będą raportować podejrzane i niebezpieczne zdarzenia oraz w jakim zakresie i w jaki sposób będą udzielać miastu wsparcia. Zarządzający miastem muszą być również przygotowani na zmianę dostawcy czy zmianę poziomu produktów i usług oferowanych przez dostawców.

Zasada #5
Wymagania prawne i regulacyjne
Wszystkie systemy muszą być zbudowane i skonfigurowane zgodnie z obowiązującymi wymaganiami przepisów prawa oraz wymaganiami regulatorów. Należy zatem zidentyfikować wszystkie wymagania wynikające z przepisów o ochronie danych osobowych, dotyczących sieci i systemów informatycznych, czy też dotyczących bezpieczeństwa i higieny pracy. Wymagania prawne i regulacyjne muszą być stale monitorowane jako, że podlegają ciągłym modyfikacjom. Miasto musi mieć świadomość konsekwencji, w tym konsekwencji finansowych, w przypadku niespełnienia tychże wymagań.

Projektowanie miasta inteligentnego
Odpowiednie zaprojektowanie infrastruktury miasta inteligentnego utrudni działanie atakującym.

Zasada #6
Zaprojektowanie architektury miasta inteligentnego
Architektura miasta inteligentnego musi zostać zaprojektowana zgodnie z zasadami sztuki i zasadami bezpieczeństwa. Jako najważniejsze należy traktować logiczne odseparowanie systemów od sieci oraz zidentyfikowanie punktów krytycznych.

Co warte podkreślenia rekomendacje te nie dotyczą wyłącznie cyberprzestrzeni, lecz również przestrzeni fizycznej.Nie można bowiem zaniedbać zabezpieczenia przed fizycznym dostępem do siłowników, czujników czy tras kablowych.

W dokumencie podkreśla się znaczenie identyfikacji posiadanych zasobów oraz modelowania zagrożeń i szacowania ryzyka jako elementów składowych projektowania architektury miasta inteligentnego. Zawarto w nim również wiele odwołań do licznych standardów i metodyk zalecanych do zastosowania na etapie planistycznym i projektowym.

Zasada #7
Zmniejszenie ekspozycji na zagrożenia
Zasadą powinno być również zmniejszanie ekspozycji systemów, co ogranicza możliwość działania atakujących. Jako niezbędne działania wymienia się m.in.: zastosowanie odpowiednich zapór sieciowych, zmianę konfiguracji domyślnych, wyłączenie niepotrzebnych funkcjonalności i zamknięcie nieużywanych portów, integrowanie tylko tych produktów, które spełniają niezbędne wymagania bezpieczeństwa,testowanie poprawności napisanych kodów, używanie oprogramowania, które cechuje się wysokim poziomem bezpieczeństwa i jest stale wspierane, sprawdzenie jak oprogramowanie zapewnia bezpieczeństwo przesyłanych danych i jak chroni konta użytkowników, upewnienie się, że żadne oprogramowanie nie działa z włączonymi uprawnieniami administratora, jak również nadawanie uprawnień i dostępów do danych zgodnie z zasadami „minimalnego dostępu” i „wiedzy koniecznej”.

Zasada #8
Ochrona danych
Należy zadbać o ochronę danych w czasie przechowywania i podczas przesyłania, gdyż ma to ogromny wpływ na ciągłość działania oraz prywatność mieszkańców. Autorzy dokumentu ponownie podkreślają znaczenie świadomości tego, jakie dane posiadamy, w jaki sposób są zabezpieczone oraz jakie potencjalne zyski i ryzyka są z tym związane. Jednak to nie wszystko. Powinniśmy wiedzieć, gdzie dokładnie dane są przechowywane i w jaki sposób może być uzyskany do nich dostęp, które dane są przechowywane i przetwarzane w naszych zasobach, a które przy wykorzystaniu infrastruktury dostawców lub stron trzecich. Jeżeli dane są udostępnianie za pośrednictwem protokołów API należy sprawować nad tym ścisłą kontrolę. W końcu należy być świadomym swoich obowiązków w przypadku wystąpienia naruszenia bezpieczeństwa danych i mieć przygotowane na takie sytuacje stosowne procedury kryzysowe.

Zasada #9
Odporność i skalowalność
Już na etapie projektowania miasta inteligentnego należy pomyśleć o przyszłości. Wykorzystywane systemy powinny mieć możliwości skalowania gdy zajdzie potrzeba przetwarzania większej ilości danych lub korzystania z nich przez większą liczbę użytkowników. Zapewniona powinna być również możliwość dodawania nowych funkcjonalności. Oczekiwana jest zatem odporność systemów na chwilowo zwiększone zapotrzebowanie, ataki typu „denial of service”, awarię poszczególnych komponentów lub błędy administracyjne. W przypadku, gdy obciążenie przekroczy możliwości systemów, nie powinny one przestawać działać, a jedynie ograniczyć swoje działanie.

Zasada #10
System monitoringu
Kolejna ważna zasada mówi o odseparowaniu systemu monitoringu infrastruktury od systemów operacyjnych. Chodzi o to, by możliwe było wykrycie naruszenia i by utrudnić atakującym możliwości usunięcia swoich śladów z dzienników. System powinien wykrywać wszystkie nieprawidłowości i pomóc w rozróżnianiu prawdziwych i fałszywych alarmów. W systemie powinny być widoczne zachodzące operacje, stan punktów końcowych i urządzeń brzegowych, połączenie między systemami czy zdalne dostępy. W zależności od zbudowanego środowiska miasta inteligentnego dane mogą pochodzić również z systemów oświetlenia ulicznego i sygnalizacji świetlnej, systemów dozoru wizyjnego, czujników parkingowych, czujników zanieczyszczeń powietrza, detektorów hałasu oraz wszelkich funkcjonujących dzisiaj i w przyszłości urządzeń „Internetu Rzeczy”.

Zarządzanie miastem inteligentnym
W zakresie zarządzania środowiskiem miasta inteligentnego priorytetem powinno być zarządzanie uprzywilejowanymi dostępami, łańcuchem dostaw, cyklem życia produktów, incydentami oraz planowanie reagowania i odbudowy.

Zasada #11
Zarządzanie uprawnieniami
Zazwyczaj w systemach występują obszary i połączenia, które do prawidłowego działania potrzebują uprzywilejowanych dostępów. Należy przemyśleć w jaki sposób będzie się zarządzać tymi przywilejami, by generowały one jak najmniejsze ryzyko. Jest to element krytyczny, jako, że uzyskanie nieograniczonego dostępu do systemu przez atakującego może doprowadzić do naruszenia poufności, modyfikacji lub usunięcia danych mieszkańców, jak również doprowadzić do przerwania działania lub zniszczenia systemów. W tym kontekście największą uwagę należy poświęcić urządzeniom zarządzającym, interfejsom zarządzającym oraz uprzywilejowanym kontom. Jeżeli atakujący uzyska dostęp do jednego z urządzeń lub interfejsów zarządzających może w ten sposób uzyskać bardzo szerokie uprawnienia w systemie. Wszelkie funkcje zarządzania powinny być zatem wykonywane wyłącznie na urządzeniach o wysokim poziomie zaufania. Podobnie szczególną ochroną należy objąć konta uprzywilejowane. Wszędzie, gdzie to tylko możliwe należy włączyć uwierzytelnianie wieloskładnikowe (MFA).

Zasada #12
Zarządzanie łańcuchem dostaw
Dostawcy muszą zapewniać odpowiedni poziom ochrony systemów i danych przez nich zarządzanych. Jednocześnie stosowane środki bezpieczeństwa powinny być stale udoskonalane i dostosowywane do zmieniających się zagrożeń. W relacjach z dostawcami należy zatem określić oczekiwany poziom bezpieczeństwa, ustanawiający minimalny zestaw zabezpieczeń i funkcjonalności oraz mechanizmy pozwalające zweryfikować czy wymagania te zostały spełnione. Dostawcy muszą być zobowiązani do stałego monitorowania zagrożeń występującychw cyberprzestrzeni i niezwłocznego dostosowywania zabezpieczeń. Ponadto powinni być oni aktywnymi uczestnikami procesu zarządzania ryzykiem. W końcu należy opracować plan zarządzania incydentami, który pomoże skutecznie i szybko reagowaćw przypadkuwystąpienia niepożądanych zdarzeń.

Zasada #13
Zarządzanie cyklem życia
Jako, że wymagania technologiczne i bezpieczeństwa ciągle się zmieniają konieczne jest zarządzanie systemami przez cały cykl ich życia. By tak się stało konieczne jest ustalenie:

• w jaki sposób poszczególne komponenty będą wycofane z eksploatacji i zastąpione nowymi, by nie powodować możliwości naruszenia poufności, integralności, dostępności danych, jak również nie wpływać negatywnie na jakość świadczonych usług;
• w jaki sposób będą utylizowane komponenty, by nie powodować możliwości naruszenia poufności danych zapisanych na wycofywanym sprzęcie;
• jaki będzie podział obowiązków i jakie będą obowiązywać procesy i procedury, by pomóc interesariuszom, dostawcom i integratorom w spełnianiu tych zmieniających się wymagań.

Jest niezwykle ważne, by przez cały cykl życia systemów mieć pewność, że spełniają one wymagania bezpieczeństwa. W tym celu należy zapewnić systematyczny przegląd systemu, testy penetracyjne, cykliczną analizę ryzyka oraz okresowe przeglądy aktualności procedur. Jeżeli osiągany poziom bezpieczeństwa będzie poniżej wymagań, należy wprowadzić odpowiednie środki zaradcze.

Zasada #14
Zarządzanie incydentami, planowanie reagowania i odbudowy
Wystąpienie incydentów jest pewne, niepewne są jedynie ich konsekwencje. W najgorszych scenariuszach mogą one doprowadzić do utraty kluczowych usług publicznych. Dlatego też tak ważne jest posiadanie zasad i procedur zarządzania incydentami.

Zanim jednak zadbamy o te aspekty konieczne jest zapewnienie systemu monitoringu wykorzystującego różne metody wykrywania zdarzeń, np. techniczne systemy wykrywające nieprawidłowości lub podejrzane zdarzenia, użytkownicy zgłaszający nietypowe i podejrzane zdarzenia, strony trzecie, takie jak partnerzy, dostawcy, firmy prywatne prowadzące własne postępowania i badające środowisko bezpieczeństwa.

Opracowanie planu zarządzania incydentami pomoże w nadzorowaniu przebiegu incydentu, komunikowaniu się z niezbędnymi osobami i instytucjami, raportowaniu wystąpienia incydentu czy też w przyjmowaniu pomocy od podmiotów trzecich. Jednym z najważniejszych aspektów zarządzania incydentami jest zapewnienie obiegu informacji pomiędzy wszystkimi interesariuszami oraz prowadzenie odpowiedzialnej komunikacji kryzysowej.

Zakończenie
W niniejszym artykule zdołałem jedynie streścić rekomendacje w zakresie cyberbezpieczeństwa opracowane dla miast przez National Cyber Security Centre. Wszystkich zainteresowanych zachęcam zatem do zapoznania się z pełną treścią dokumentu „Connected Places: Cyber Security Principles” dostępnym na stronie https://www.ncsc.gov.uk/.

Sergiusz Parszowski
Lider zespołu eksperckiego Instin.pl. Konsultant w sprawach bezpieczeństwa i porządku publicznego, zarządzania kryzysowego oraz bezpieczeństwa osób i obiektów. Audytor i szkoleniowiec.