Obecnie wiele mówi się o wojnie hybrydowej, której celem jest destabilizowanie systemów krytycznych wrogiego Państwa i wzniecanie chaosu. Bronią, z której korzysta się w tego typu konfliktach są cyberataki. Ta broń jest intensywnie wykorzystywana, ponieważ zapewnia względną anonimowość sprawców. Z uwagi na obserwowane ostatnio intensyfikacje zagrożeń systemy zabezpieczeń w systemach wodno-kanalizacyjnych powinny być starannie zabezpieczone i monitorowane przez wykwalifikowanych specjalistów – mówi Aleksander Kostuch, ekspert Stormshield.

Infrastruktura wodna sektorem krytycznym

Opublikowane niedawno dane Głównego Urzędu Statystycznego* wskazują, że wielkość odnawialnych zasobów wody słodkiej na 1 mieszkańca Polski, wynosi 1,6 tys. m3 (średnia z ostatnich 20 lat). To nie tylko jeden z najgorszych wyników w Europie, ale również wartość poniżej granicy uznawanej przez ONZ (1,7 tys. m3 na mieszkańca), wedle której kraj uznaje się za zagrożony niedoborem wody. Jednocześnie, jak pokazują dane hydrologiczne, miniony październik był miesiącem o rekordowo niskich opadach, miejscami tak niewielkich, jakich nie notowano w całej historii meteorologii. Dlatego zasoby wody pitnej wymagają szczególnej ochrony. Dodatkowo sektor infrastruktury krytycznej, a w szczególności jego elementy odpowiadające za produkcję, dystrybucję i oczyszczanie wody, w coraz większym są stopniu narażone na działania cyberprzestępców. Wszystkie te czynniki czynią wodę dobrem wymagającym wielopłaszczyznowej ochrony.

Infrastruktura wodna jest sektorem krytycznym. Przestępcy mają wiele powodów, by go atakować, a uszkodzenie systemów informatycznych tego wrażliwego obszaru funkcjonowania państwa może mieć dramatyczne i dalekosiężne konsekwencje, w tym dla zdrowia, a nawet życia mieszkańców. Stąd nieustanna potrzeba dbałości o jak najlepsze zabezpieczenie przed niepożądanym dostępem do sieci – mówi Piotr Zielaskiewicz, product manager Stormshield.

Postępująca cyfryzacja

Istotnym w tym kontekście zjawiskiem jest postępująca cyfryzacja branży. Przedsiębiorstwa wodociągowe coraz chętniej korzystają z rozwiązań cyfrowych, ale jednocześnie wciąż wiele z nich nie posiada w ogóle zabezpieczeń sieciowych. To powoduje, że stają się one łatwiejszym celem dla cyberprzestępców. Przyczyny takiej sytuacji są różne, między innymi warto wskazać na niewielką świadomość zagrożenia czy brak wiedzy o zabezpieczeniach takich jak UTM/Next Generation Firewall przeznaczonych do ochrony sieci przemysłowych. Dodatkowym problemem jest brak środków finansowych czy wykwalifikowanej załogi, które konieczne są do wdrożenia skutecznych rozwiązań uniemożliwiających ataki. Wciąż mało powszechna jest także praktyka segmentacji sieci, czyli oddzielenia infrastruktury OT (sterowanie przemysłowe) od IT.

Zagrożenia są bardzo realne. Z jednej strony część przedsiębiorstw zupełnie nie korzysta z zabezpieczeń, a z drugiej wiele z firm wodociągowych czy stacji uzdatniania wody polega na wsparciu firm outsourcingowych, nadając im pełny, ale nieautoryzowany dostęp do całej swojej infrastruktury. Należy mieć świadomość swoich słabych punktów i na tej podstawie wprowadzać stosowne zabezpieczenia i procedury – komentuje Piotr Zielaskiewicz.

Zagrożenia dla sektora wod-kan

Problem został dostrzeżony przez władze centralne. Wiosną br., Departament Cyberbezpieczeństwa Kancelarii Prezesa Rady Ministrów wydał rekomendacje dla sektora wodno-kanalizacyjnego, wskazujące zagrożenia związane z wykorzystaniem infrastruktury IT/OT do ataków na sieci wodociągów i kanalizacji, oczyszczalnie ścieków i stacje uzdatniania wody.

W większości ataków, które były podstawą do wydania rekomendacji zawiodło kilka elementów. Częstokroć wszystkie komputery bądź elementy produkcyjne systemu posiadały to samo hasło, a większość komputerów służących do zarządzania infrastrukturą była podłączona do Internetu, choć nie posiadały firewalla. Z takich błędów mogą wyniknąć przykre konsekwencje - komentuje Aleksander Kostuch, inżynier firmy Stormshield. - Kluczowe dla zwiększenia odporności infrastruktury jest zmniejszenie do minimum ekspozycji sieci przemysłowych do sieci publicznych, jak np. Internet, czyli zastosowanie segmentacji. Obok wdrożenia rozwiązań typu UTM/Next Generation Firewall, przeznaczonych do ochrony sieci przemysłowych, należy dbać o dane uwierzytelniające, zmieniając je na trudne do złamania, a także ograniczać połączenia z siecią zewnętrzną jedynie do koniecznych z punktu widzenia monitorowania i zarządzania infrastrukturą – dodaje.

 

Przykłady ataków na sektor wodny z ostatnich 20 lat:

Oczyszczalnia ścieków w Shire of Maroochy w Australii w 2000 roku

W marcu i kwietniu 2000 r. były wykonawca techniczny oczyszczalni ścieków Maroochy w Australii przejął kontrolę nad jej systemami. Niedoszły pracownik, odrzucony w procesie rekrutacji, w ramach zemsty wysyłał fałszywe polecenia do systemów sterowania kilku pomp. W efekcie jego działań nastąpił wyciek ścieków do morza, co spowodowało zatrucie flory i fauny, a także pojawienie się nieprzyjemnego zapachu w okolicy.

Zakład wody pitnej w Georgii (USA) w 2013 r.

W kwietniu 2013 r. doszło do fizycznego ataku na obiekt dostarczający wodę pitną w małym miasteczku w jednym z amerykańskich stanów. Napastnicy po wejściu na teren instalacji uzyskali dostęp do systemu monitoringu, a następnie zmienili ustawienia fluoru i chloru, Doprowadzili do zmiany składu chemicznego wody, z której korzystali mieszkańcy, co sprawiło, że przez kilka dni nie była ona zdatna do użytku.

Przepompownie i oczyszczalnie w Izraelu w 2020 roku

W kwietniu 2020 r. cyberprzestępcy, podejrzani o powiązania z irańskim reżimem, zaatakowali kilka przepompowni i oczyszczalnie ścieków oraz próbowali zwiększyć poziom chloru w systemach zaopatrzenia w wodę obsługujących część mieszkańców Izraela. Reakcją rządu na to zdarzenie było skłonienie pracowników całej infrastruktury wodnej i energetycznej do zmiany haseł do wszystkich swoich systemów SCADA, co miało chronić systemy przed dalszymi włamaniami.

Niemieckie firmy z sektora wodnego i przedsiębiorstwa energetyczne w 2020 roku.

W 2020 roku podejrzana rosyjska grupa Berserk Bear APT dokonała cyberataków na niemieckie firmy z przemysłową infrastrukturą krytyczną. Zakłada się, że była też wmieszana we wcześniejsze ataki cybernetyczne na niemieckie instalacje publiczne w 2018 roku.

Infrastruktura uzdatniania wody w Norwegii w 2021 r.

Norweska firma Volue, która wyposaża zakłady uzdatniania wody w aplikacje i oprogramowanie, padła ofiarą ransomware'a Ryuk. Złośliwe oprogramowanie rozprzestrzeniło się w systemach informatycznych dwustu publicznych dostawców wody w kraju, będących klientami firmy. Wedle niepotwierdzonych informacji szkodami zostało dotkniętych kilka platform klienckich. Volue szybko przedsięwzięła środki pozwalające na ograniczenie wpływu ataków, a następnie rozpoczęła przywracania zainfekowanych systemów. Śledztwo dotyczące tego cyberataku jest w toku.