Górnicze Zagrożenia Naturalne – ISAC-GIG: Cyberbezpieczeństwo i sztuczna inteligencja

Zapraszamy do wzięcia udziału w jubileuszowej XXX edycji Międzynarodowej Konferencji Naukowo-Technicznej z serii Górnicze Zagrożenia Naturalne, organizowanej przez Główny Instytut Górnictwa, wraz z Komisją Górniczą PAN Oddział w Katowicach przy współpracy Politechniki Warszawskiej.

Szczęśliwym zrządzeniem losu tego roku będziemy również wspólnie obchodzić jubileusz XXX-lecia Jastrzębskiej Spółki Węglowej, Partnera Tytularnego.

Podczas tegorocznej edycji będzie organizowana sesja ISAC-GIG: Cyberbezpieczeństwo
i sztuczna inteligencja.

Organizator i prowadząca sesję: prof. dr hab. inż. Ewa Niewiadomska-Szynkiewicz, Politechnika Warszawska, Główny Instytut Górnictwa – Państwowy Instytut Badawczy

Pierwsza część

Tytuł: Cyberbezpieczeństwo infrastruktury krytycznej

1. KSC nowe obowiązki – nowa odpowiedzialność
   Dr hab. Katarzyna Chałubińska-Jentkiewicz, Akademia Sztuki Wojennej

Pojęcie cyberprzestrzeni można bowiem sformułować jako syntezę wszystkich fizycznych i technicznych środków pozwalających na relację drogą elektroniczną, w tym relacji użytkowników posiadających dostęp do jej zasobów. Całość tych zjawisk dzieje się w równoległej przestrzeni, która stanowi nowe pole dla ludzkich działań, na którą są przenoszone zachowania i rozwiązania stosowane w świecie realnym. Prawodawcy z różnych szczebli – zarówno międzynarodowego jak i krajowego wprowadzają nowe regulacje. Doprowadziło to do dezaktualizacji zjawiska, jakim była bezkarność działania nielegalnego w sieci. Cyberprzestrzeń pod względem przyjmowania czy tworzenia wzorców jest bardziej plastyczna niż rzeczywistość. Jej podatność niesie ze sobą udogodnienia jak i zupełnie wyzwania dla regulatora. Udogodnieniem jest łatwość wprowadzania regulacji adekwatnie do tych obowiązujących w świecie rzeczywistym, jednak przepisy tak ustalone często spotykają się z blokowaniem lub zwyczajną ignorancją ze strony użytkowników sieci teleinformatycznej, w szczególności ze względu na brak instrumentów dochodzenia roszczeń czy ścigania przestępczości. Każde społeczeństwo jest świadome możliwych zagrożeń, co powiązane jest z szeregiem doświadczeń i obserwacji, podczas gdy, w przypadku cyberprzestrzeni, która jest obszarem stosunkowo nowym wciąż nie jest możliwe określenie zamkniętego katalogu zagrożeń ani skonkretyzowanie grupy osób zagrożonych.  Kwestia odpowiedzialności za działania  w sieci to temat obecnych i przyszłych rozważań i dyskursu na temat granic regulacji. Zmiany w ustawie o krajowym systemie cyberbezpieczeństwa stanowią przyczynek do debaty na temat tego czym jest cyberzagrożenie i kto za nie odpowiada. 

2. Metodyka oceny ryzyka oraz analizy usług i procesów realizowanych przez operatorów infrastruktury krytycznej
   Dr hab. inż. Andrzej Najgebauer, Wojskowa Akademia Techniczna

Przedstawiona metodyka zarządzania bezpieczeństwem procesów i ciągłością usług krytycznych przez zarządcę infrastruktury krytycznej opiera się na formalnym modelu infrastruktury krytycznej i realizuje zalecenia dyrektyw europejskich i państwowych, rozporządzenia w sprawie wykazu usług krytycznych, a także szeregu aktów prawnych, modelu bezpieczeństwa operatora krytycznego i jego infrastruktury krytycznej. Metodyka jest opisana proceduralnie. Model i metodyka są autorskie i przeznaczone do wykorzystania w ocenie ryzyka świadczenia usług kluczowych przez polskich operatorów krytycznych lub operatorów unijnych. Weryfikacja użyteczności metodyki zarządzania bezpieczeństwem infrastruktury krytycznej i modelowania ciągłości działania dla usług krytycznych została przeprowadzona na podstawie eksperymentów obliczeniowych opartych na danych zbliżonych do rzeczywistości. W eksperymentach wykorzystano technikę symulacji procesów eskalacji zagrożeń.  Weryfikacja użyteczności metodyki zarządzania bezpieczeństwem infrastruktury krytycznej i modelowania ciągłości działania dla usług krytycznych została przeprowadzona na podstawie eksperymentów obliczeniowych opartych na danych zbliżonych do rzeczywistości. W eksperymentach wykorzystano technikę symulacji procesów eskalacji zagrożeń. Procesy te zostały szczegółowo opisane przy użyciu notacji BPMN. Do analizy zaprojektowano i zaimplementowano specjalne środowisko symulacyjne. Autorzy przygotowali i zarządzali eksperymentem symulacyjnym, który obejmował okres 19 lat dla wybranego Operatora Krytycznego/Infrastruktury Krytycznej (CO/CI). Do analizy symulacyjnej wybrana została infrastruktura energetyczna Polski. Opracowano ponadto model dojrzałości operatora infrastruktury krytycznej oraz analizę powiązań między IK oraz między usługami kluczowymi RP. Metodyka odnosi się do wszystkich typów infrastruktur krytycznych, w tym również do infrastruktury informatycznej.

3. Wyzwania i szanse w zakresie cyberbezpieczeństwa infrastruktury krytycznej na przykładzie podsektora transportu kolejowego i działań ISAC-Kolej
   Dr hab. inż. Marek Pawlik, Instytut Kolejnictwa

Transport kolejowy w szerokim zakresie wykorzystuje techniki cyfrowe.  Równocześnie jest szeroko wykorzystywany do wsparcia działań politycznych i wojskowych za wschodnią granicą Polski – transport dyplomatów, uzbrojenia, amunicji. Pociąga to za sobą bardzo liczne próby ataków na systemy cyfrowe wykorzystywane w transporcie kolejowym i wymaga zarówno wdrażania i utrzymywania zabezpieczeń jak i wykrywania, analizowania i raportowania incydentów i cyberataków.  Od trzech lat budowaniem kompetencji kilkudziesięciu podmiotów kolejowych w tym zakresie zajmuje się ISAC-Kolej. Referat przedstawia zgromadzone doświadczenia i przyjęte dokumenty wskazując zarówno na wyzwania jak i szanse jakie stwarzają z jednej strony ciągłe cyberataki na systemy podsektora transportu kolejowego, a z drugiej działania Centrum Wymiany i Analizy Informacji podsektora transportu kolejowego ISAC-Kolej.   

4. Dezinformacja w cyberprzestrzeni, metody identyfikacji oraz przeciwdziałania
   Ppor. Piotr Dzikowski, płk Sławomir Starzyński, Centralna Grupa Działań Psychologicznych

Operacje psychologiczne, dezinformacja, misinformacja oraz propaganda stały się nie tylko nieodzownym elementem współczesnego pola walki, ale także podstawowym narzędziem rywalizacji politycznej, historycznej czy biznesowej. Niniejszy artykuł ma odpowiedzieć na pytanie w jaki sposób identyfikować oraz określać obserwowane przez nas zjawiska informacyjne i kategoryzować je zgodnie z ich definicją oraz rodzajem zagrożenia. Tekst będzie się skupiał na najczęściej realizowanych operacjach prowadzonych przez Chińską Republikę Ludową oraz Federację Rosyjską. Jednocześnie artykuł omówi w jaki sposób różnią się one od siebie w domenie cybernetycznej oraz jakie formy i poziomy zagrożenia mogą przybierać. Wskazane zostaną również rozwiązania i sposoby ich identyfikacji oraz przeciwdziałania na podstawie doświadczeń takich państw jak Finlandia, Ukraina oraz Tajwan. W końcowej części autorzy wydadzą swoje rekomendacje w oparciu o poprzednio przeprowadzoną analizę, wskazując jakie rozwiązania wydają się być najefektywniejsze oraz, które z nich mogłyby zostać za inkorporowane w systemie i rozwiązaniach prawnych Rzeczpospolitej Polskiej.

5. Metody ukrywania informacji w sieciach i nie tylko, czyli dwie natury technik oszukiwania zmysłów w cyberprzestrzeni
   Dr inż. Jędrzej Bieniasz, Politechnika Warszawska

Praca prezentuje rezultaty badań teoretycznych i praktycznych dotyczących różnych aspektów rozproszonych metod ukrywania informacji w sieciach. Badania koncentrowały się na czterech zagadnieniach. Były to: ocena możliwości stosowania metod rozproszonej steganografii w ofensywnych operacjach w cyberprzestrzeni, rozszerzenie metodyk modelowania cyberzagrożeń uwzględniając techniki ukrywania informacji w sieciach, wykrywanie metod steganografii rozproszonej oraz zastosowanie technik ukrywania informacji jako mechanizmu bezpieczeństwa sieci.

Druga część

Tytuł: Metody sztucznej inteligencji w cyberbezpieczeństwie

1. Metody sztucznej inteligencji do generowania syntetycznych ataków na systemy cyberfizyczne
   Dr hab. inż. Wojciech Szynkiewicz, Daniel Giełdowski, dr inż. Adam Kozakiewicz, dr inż. Konrad Ciecierski, Politechnika Warszawska

W pracy omówiono zastosowanie wybranych technik sztucznej inteligencji do generacji cyberataków na systemy cyberfizyczne, w szczególności na instalacje automatyki przemysłowej oraz systemy robotyczne. Złożoność systemów cyberfizycznych oraz heterogeniczność ich komponentów sprawia istotne problemy w zakresie cyberbezpieczeństwa i ochrony ich prywatności. Określono rodzaje ataków możliwych do wykonania na tego typu systemy. Przedstawiono zastosowanie głębokich sieci neuronowych, w tym generatywnych sieci antagonistycznych do generacji ataków mających na celu zbadanie podatności występujących w oprogramowaniu wybranych systemów cyberfizycznych.

2. Metody sztucznej inteligencji do detekcji ataków na sieci OT
   Dr inż. Patryk Chaber, prof. dr hab. inż. Maciej Ławryńczuk, Robert Nebeluk, dr inż. Sebastian Plamowski, Jakub Suchorab, Krzysztof Zarzycki, Politechnika Warszawska

W pracy zaprezentowano sposoby detekcji anomalii w systemach automatyki przemysłowej (ang. Operational Technology, OT). Do detekcji wykorzystano algorytmy uczenia maszynowego. Przedstawiono dwa różne podejścia. Pierwsze podejście skoncentrowane jest na badaniu cech transferu danych. W ramach tego podejścia pokazano możliwości wykorzystania grafów oraz klastrów w celu detekcji cyberataków. W drugim podejściu oparto się na analizie danych głębokich osadzonych w ramkach protokołów komunikacyjnych. W podejściu wykorzystano algorytmy: SVM oraz klasteryzacji w ujęciu analizy skupisk oraz analizy szeregów czasowych. W pracy skupiono się na protokole komunikacyjnym Modbus i ADS. 

3. Metody sztucznej inteligencji do detekcji ataków na sieci IT i IoT
   Dr inż. Jędrzej Bieniasz, Politechnika Warszawska

W pracy przedstawiono podejście do systemowego rozwiązywania problemu wykrywania cyberataków w sieciach IT i IoT. Punktem wyjścia do rozważań było klasyczne ujęcie systemów monitorowania i wykrywania cyberataków. Prezentowane są rozwiązania scentralizowane i zdecentralizowane w wykrywaniu cyberzagrożeń. Istotnym założeniem projektowym było wykorzystanie metod sztucznej inteligencji. W pracy omawiane są różne podejścia do budowania platform oraz centrów wykrywania cyberzagrożeń zakładające wykorzystanie uczenia maszynowego i metod sztucznej inteligencji. Szczególna uwaga jest zwrócona na zagadnienia jak architektura systemowa może wspierać różne zadania zlecane algorytmom sztucznej inteligencji oraz na ograniczenia tych technologii.

4. Trudne zadanie, mało danych? Wzmocnij się uczeniem ze wzmocnieniem.
   Dr hab. inż. Mariusz Kamola, dr inż. Piotr Arabas, Politechnika Warszawska

Technika uczenia się ze wzmocnieniem zadomowiła się w automatyce, umożliwiając rozwiązywanie skomplikowanych, wieloetapowych problemów sterowania. Współczesny sterownik, albo ogólniej, model decyzyjny, uczony jest optymalnej strategii na wielu przykładach treningowych. Odpowiednio dobierając klasę i strukturę modelu oraz schemat trenowania, możemy otrzymać strategię stanowiącą dobre uogólnienie scenariuszy treningowych. Niemniej jednak, liczba próbek uczących, tj. interakcji sterownika z obiektem, zawsze jest znaczna. Dlatego w praktyce w uczeniu ze wzmocnieniem stosuje się symulatory obiektów rzeczywistych. Technika uczenia się ze wzmocnieniem rozprzestrzenia się z automatyki przemysłowej na inne, często zaskakujące i nieoczywiste zastosowania. Jednym z nich jest ostateczne przysposabianie dużych modeli generatywnych ogólnego przeznaczenia do specyficznych zadań – np. automatycznej obsługi klientów albo tworzenia kodu źródłowego oprogramowania. Wówczas rolą człowieka w uczeniu modelu jest dostarczenie przykładów, z których budowany jest model pomocniczy oceniający działanie modelu zasadniczego. Dopiero będąc w posiadaniu takiego „automatycznego arbitra” można przystąpić do ostatecznego ukształtowania działania modelu zasadniczego. Uczenie ze wzmocnieniem może być też – niestety – wykorzystywane przez hakerów w celu uzyskania dostępu do komputerów biurowych i przemysłowych. W prezentacji/rozdziale przedstawimy/przedstawiono wyniki własnych badań w tym zakresie i ich praktyczne konsekwencje dla cyberbezpieczeństwa sieci przemysłowych.

Trzecia część

Tytuł: Cyberbezpieczeństwo podziemnych zakładów górniczych

1. System monitorowania i detekcji cyberataków na instalacje podziemnego zakładu górniczego
   Rafał Wowra, JSW IT Systems

Agencje monitorujące przestrzeń cyfrową zgłaszają wiele incydentów związanych z bezpieczeństwem sieci przemysłowym. Kluczowe dla funkcjonowania państwa, jednostki sektora wydobywczego są szczególnie narażone na ataki. Skutki ataków na podziemne zakłady górnicze mogą być katastrofalne. Jednostki sektora wydobywczego w szybkim tempie cyfryzują swoje systemy kontrolno-sterujące, często nie poświęcając wystarczającej uwagi aspektom bezpieczeństwa.  Poziom zabezpieczeń przed cyberzagrożeniami w kopalniach jest niewystarczający. Praca prezentuje opracowany i wykonany przez konsorcjum naukowo-przemysłowe centrum monitorowania instalacji przemysłowych i wykrywania anomalii dedykowane podziemnym zakładom górniczym. Przedstawiona jest architektura rozwiązania, omówione główne komponenty, w tym sonda IDS zintegrowana z systemem SCADA oraz koncentrator danych telemechaniki obiektowej. Działanie systemu zostało zweryfikowane przez eksperymenty badawcze przeprowadzone w laboratorium JSW oraz kopalni doświadczalnej Barbara.

2. Kategoryzacja systemów zasilania, monitorowania i sterowania stosowanych w polskich podziemnych zakładach górniczych w aspekcie skutków potencjalnych cyberataków
   Dr hab. inż. Stanisław Trenczek, Tomasz Goliwąs, Marcin Smołka, Główny Instytut Górnictwa – Państwowy Instytut Badawczy

Na wstępie scharakteryzowano cyberbezpieczeństwo w kontekście infrastruktury funkcjonującej
w ruchu zakładu górniczego oraz przykładowe, stosowane w kopalniach systemy zasilania, monitorowania i sterowania oraz bezpieczeństwa. Następnie podano metodykę zastosowaną w celu kategoryzacji tych systemów w aspekcie skutków potencjalnych cyberataków na systemy nadzoru. Opisano scenariusze potencjalnych cyberataków oraz określono istotność skutków ekonomicznych oraz istotność niebezpieczeństwa dla ruchu zakładu górniczego i dla załogi w wyrobiskach górniczych w odniesieniu do kategorii skutków.

3. Model architektury referencyjnej w zakresie cyberbezpieczeństwa podziemnego zakładu górniczego
   Dr Radosław Marlęga, Marek Stefański, Główny Instytut Górnictwa – Państwowy Instytut Badawczy

W pracy prezentowany jest model referencyjnej architektury monitorowania cyberbezpieczeństwa w podziemnych zakładach górniczych. Proponowane rozwiązanie uwzględnia wytyczne dokumentów międzynarodowych oraz krajowych dotyczące cyberbezpieczeństwa infrastruktury krytycznej. Rozważane dokumenty to m.in.  NIST Cybersecurity Framework, CIS Critical Security Controls, FIRST best practice documents, unijna dyrektywa NIS, dokumenty European Union Agency for Cybersecurity (ENISA), ustawa o Krajowym Systemie Cyberbezpieczeństwa, Krajowe Ramy Interoperacyjności, ISO/EIC 27001. Opracowany model uwzględnia specyfikę chronionych zakładów, a więc uwarunkowania, organizację zakładów górniczych, obowiązujące normy i standardy oraz katalog potencjalnych ataków na systemy zasilania, monitorowania i sterowania. Przedstawiona jest również lista rekomendacji, które muszą być uwzględnione podczas projektowania systemów ochrony przed cyberzagrożeniami, obejmująca te, zawarte we wspomnianych dokumentach oraz zalecenia sformułowane przez autorów pracy. Lista rekomendacji obejmuje opis zakresu zadań, rozwiązywane problemy, przykładowe, możliwe do zastosowania i sprawdzone, technologie i proponowane działania prowadzące do rozwiązania problemów.

4. Adaptacja podziemnych wyrobisk kopalń węgla kamiennego w krytyczne obiekty cyberbezpieczeństwa na przykładzie Kopalni Doświadczalnej Barbara GIG-PIB
   Robert Hildebrandt, Ryszard Marszowski, Główny Instytut Górnictwa – Państwowy Instytut Badawczy

W referacie przedstawiono koncepcję wykorzystania podziemnych wyrobisk górniczych Kopalni Doświadczalnej Barbara do utworzenia centrum cyberbezpieczeństwa. Propozycja adaptacji wyrobisk górniczych dla podobnych celów z powodzeniem realizowana jest na świecie, w szczególności w krajach „górniczych” wysokorozwiniętych jak np. USA, czy kraje europejskiej Skandynawii. Obiekty te wykorzystywane są przede wszystkim jako serwerownie i centra przetwarzania danych, a niewątpliwą ich zaletą jest utrudniony dostęp, czy też brak możliwość ich zniszczenia bronią konwencjonalną. W Polsce nie podejmowano dotychczas prób podjęcia takich przedsięwzięć. Idea podziemnej lokalizacji centrum w Kopalni Doświadczalnej Barbara, w skład którego wchodziłyby m. in. systemy bazodanowe i superkomputer, wymaga analizy i oceny istniejącej infrastruktury kopalni pod kątem możliwości jej adaptacji dla realizacji zamierzonego celu. Jednym z kryteriów tej oceny są warunki techniczne i środowiskowe zarówno części dołowej, jak i powierzchni zakładu. W pracy skupiono uwagę na aspektach dotyczących wyboru rejonu kopalni do utworzenia centrum, jak również na kwestiach wentylacji i klimatyzacji wytypowanych wyrobisk górniczych. Poruszono też zagadnienia bezpieczeństwa zasilania i zagrożeń dla funkcjonowania takiego ośrodka. Podjęta w referacie tematyka wpisuje się w najważniejsze kierunki działania Komisji Europejskiej – zarówno cyfrowej, jak i zielonej transformacji poprzez nadanie infrastrukturze pogórniczej nowych funkcji.

Wszystkie szczegóły dostępne są na stronie dedykowanej GZN – https://gzn.gig.eu/

Serdecznie zapraszamy!