Infrastruktura wodna na celowniku cyberprzestępców

Infrastruktura wodna na celowniku cyberprzestępców

Niewielkie zasoby wodne w Polsce wymagają szczególnej ochrony, także z uwagi na zainteresowanie cyberprzestępców

Zatrucie morskiej fauny i flory w efekcie przejęcia kontroli nad systemami oczyszczalni ścieków w Australii – tak przebiegał pierwszy cyberatak na instalacje wodne, od którego minęło 20 lat. Od tego momentu odnotowano liczne inne próby ataków na instalacje tego typu, a potencjalne konsekwencje wielu z nich, w tym skażenie wody pitnej, mogły dotknąć dziesiątki tysięcy ludzi.

– Sektor wodno-kanalizacyjny pozostaje jednym z najbardziej krytycznych w strukturze państwa, przyciągając uwagę cyberprzestępców – wskazują eksperci Stormshield, wytwórcy rozwiązań w zakresie bezpieczeństwa sieci teleinformatycznych.

Test Teufel Radio One – wielozadaniowe radio FM i DAB+

Opublikowane niedawno dane Głównego Urzędu Statystycznego* wskazują, że wielkość odnawialnych zasobów wody słodkiej na 1 mieszkańca Polski, wynosi 1,6 tys. m3 (średnia z ostatnich 20 lat). To nie tylko jeden z najgorszych wyników w Europie, ale również wartość poniżej granicy uznawanej przez ONZ (1,7 tys. m3 na mieszkańca), wedle której kraj uznaje się za zagrożony niedoborem wody. Jednocześnie, jak pokazują dane hydrologiczne, miniony październik był miesiącem o rekordowo niskich opadach, miejscami tak niewielkich, jakich nie notowano w całej historii meteorologii. Dlatego zasoby wody pitnej wymagają szczególnej ochrony.

Dodatkowo, jak wskazują eksperci Stormshield, sektor infrastruktury krytycznej, a w szczególności jego elementy odpowiadające za produkcję, dystrybucję i oczyszczanie wody, w coraz większym są stopniu narażone na działania cyberprzestępców. Wszystkie te czynniki czynią wodę dobrem wymagającym wielopłaszczyznowej ochrony.

Infrastruktura wodna jest sektorem krytycznym. Przestępcy mają wiele powodów, by go atakować, a uszkodzenie systemów informatycznych tego wrażliwego obszaru funkcjonowania państwa może mieć dramatyczne i dalekosiężne konsekwencje, w tym dla zdrowia, a nawet życia mieszkańców. Stąd nieustanna potrzeba dbałości o jak najlepsze zabezpieczenie przed niepożądanym dostępem do sieci – mówi Piotr Zielaskiewicz, product manager Stormshield.

Istotnym w tym kontekście zjawiskiem jest postępująca cyfryzacja branży. Przedsiębiorstwa wodociągowe coraz chętniej korzystają z rozwiązań cyfrowych, ale jednocześnie wciąż wiele z nich nie posiada w ogóle zabezpieczeń sieciowych. To powoduje, że stają się one łatwiejszym celem dla cyberprzestępców. Przyczyny takiej sytuacji są różne, między innymi warto wskazać na niewielką świadomość zagrożenia czy brak wiedzy o zabezpieczeniach takich jak UTM/Next Generation Firewall przeznaczonych do ochrony sieci przemysłowych. Dodatkowym problemem jest brak środków finansowych czy wykwalifikowanej załogi, które konieczne są do wdrożenia skutecznych rozwiązań uniemożliwiających ataki. Wciąż mało powszechna jest także praktyka segmentacji sieci, czyli oddzielenia infrastruktury OT (sterowanie przemysłowe) od IT.

Zagrożenia są bardzo realne. Z jednej strony część przedsiębiorstw zupełnie nie korzysta z zabezpieczeń, a z drugiej wiele z firm wodociągowych czy stacji uzdatniania wody polega na wsparciu firm outsourcingowych, nadając im pełny, ale nieautoryzowany dostęp do całej swojej infrastruktury. Należy mieć świadomość swoich słabych punktów i na tej podstawie wprowadzać stosowne zabezpieczenia i procedury – komentuje Piotr Zielaskiewicz.

 Problem został dostrzeżony przez władze centralne. Wiosną br., Departament Cyberbezpieczeństwa Kancelarii Prezesa Rady Ministrów wydał rekomendacje dla sektora wodno-kanalizacyjnego, wskazujące zagrożenia związane z wykorzystaniem infrastruktury IT/OT do ataków na sieci wodociągów i kanalizacji, oczyszczalnie ścieków i stacje uzdatniania wody.

W większości ataków, które były podstawą do wydania rekomendacji zawiodło kilka elementów. Częstokroć wszystkie komputery bądź elementy produkcyjne systemu posiadały to samo hasło, a większość komputerów służących do zarządzania infrastrukturą była podłączona do Internetu, choć nie posiadały firewalla. Z takich błędów mogą wyniknąć przykre konsekwencje – komentuje Aleksander Kostuch, inżynier firmy Stormshield.

Test OPPO Enco Free2 – redukcja szumów dostosowana do potrzeb

Kluczowe dla zwiększenia odporności infrastruktury jest zmniejszenie do minimum ekspozycji sieci przemysłowych do sieci publicznych, jak np. Internet, czyli zastosowanie segmentacji. Obok wdrożenia rozwiązań typu UTM/Next Generation Firewall, przeznaczonych do ochrony sieci przemysłowych, należy dbać o dane uwierzytelniające, zmieniając je na trudne do złamania, a także ograniczać połączenia z siecią zewnętrzną jedynie do koniecznych z punktu widzenia monitorowania i zarządzania infrastrukturą – dodaje.

20 lat ataków na sektor wodny – przykłady

Test Xiaomi Mi Smart Air Fryer 3.5L – styl życia zaczyna się w kuchni

Oczyszczalnia ścieków w Shire of Maroochy w Australii w 2000 roku

W marcu i kwietniu 2000 r. były wykonawca techniczny oczyszczalni ścieków Maroochy w Australii przejął kontrolę nad jej systemami. Niedoszły pracownik, odrzucony w procesie rekrutacji, w ramach zemsty wysyłał fałszywe polecenia do systemów sterowania kilku pomp. W efekcie jego działań nastąpił wyciek ścieków do morza, co spowodowało zatrucie flory i fauny, a także pojawienie się nieprzyjemnego zapachu w okolicy.

Zakład wody pitnej w Georgii (USA) w 2013 r.

W kwietniu 2013 r. doszło do fizycznego ataku na obiekt dostarczający wodę pitną w małym miasteczku w jednym z amerykańskich stanów. Napastnicy po wejściu na teren instalacji uzyskali dostęp do systemu monitoringu, a następnie zmienili ustawienia fluoru i chloru, Doprowadzili do zmiany składu chemicznego wody, z której korzystali mieszkańcy, co sprawiło, że przez kilka dni nie była ona zdatna do użytku.

Miasto Baltimore w USA w 20219 r.

Ataku typu ransomware w mieście Baltimore spowodował trzymiesięczne opóźnienia w wystawianiu rachunków za wodę.

Przepompownie i oczyszczalnie w Izraelu w 2020 roku

W kwietniu 2020 r. cyberprzestępcy, podejrzani o powiązania z irańskim reżimem, zaatakowali kilka przepompowni i oczyszczalnie ścieków oraz próbowali zwiększyć poziom chloru w systemach zaopatrzenia w wodę obsługujących część mieszkańców Izraela. Reakcją rządu na to zdarzenie było skłonienie pracowników całej infrastruktury wodnej i energetycznej do zmiany haseł do wszystkich swoich systemów SCADA, co miało chronić systemy przed dalszymi włamaniami.

Niemieckie firmy z sektora wodnego i przedsiębiorstwa energetyczne w 2020 roku.

W 2020 roku podejrzana rosyjska grupa Berserk Bear APT dokonała cyberataków na niemieckie firmy z przemysłową infrastrukturą krytyczną. Zakłada się, że była też wmieszana we wcześniejsze ataki cybernetyczne na niemieckie instalacje publiczne w 2018 roku.

Oczyszczalnie ścieków w San Francisco i na Florydzie (USA) w 2021 r.

W styczniu 2021 r. przejęto kontrolę nad zakładem uzdatniania wody w rejonie San Francisco, usuwając programy komputerowe związane z procesem uzdatnianiem wody pitnej. Wstępne wyniki śledztwa pokazują, że cyberprzestępca włamał się do systemów przy użyciu danych uwierzytelniających byłych pracowników, które zostały użyte do połączenia się z oprogramowaniem do zdalnego sterowania – TeamViewer.

W lutym 2021 r., miasto Oldsmar na Florydzie uniknęło katastrofy zdrowotnej, po tym jak cyberprzestępcy przejęli kontrolę nad miejską oczyszczalnią ścieków, której systemy komputerowe były niewystarczająco chronione. Również w tym przypadku kluczem dla cyberprzestępców były dane logowania do TeamViewera udostępnione przez kilku pracowników. Następnie próbowali wykorzystać oni do osiągnięcia celu luki w systemie operacyjnym Windows 7. Wtargnięcie pozwoliłoby znacznie zwiększyć poziom wodorotlenku sodu, czyniąc wodę pitną wyjątkowo toksyczną. Personelowi placówki udało się opanować sytuację i uratować około 15 tys. mieszkańców przed otruciem.

Infrastruktura uzdatniania wody w Norwegii w 2021 r.

Norweska firma Volue, która wyposaża zakłady uzdatniania wody w aplikacje i oprogramowanie, padła ofiarą ransomware’a Ryuk. Złośliwe oprogramowanie rozprzestrzeniło się w systemach informatycznych dwustu publicznych dostawców wody w kraju, będących klientami firmy. Wedle niepotwierdzonych informacji szkodami zostało dotkniętych kilka platform klienckich. Volue szybko przedsięwzięła środki pozwalające na ograniczenie wpływu ataków, a następnie rozpoczęła przywracania zainfekowanych systemów. Śledztwo dotyczące tego cyberataku jest w toku.

– Obecnie wiele mówi się o wojnie hybrydowej, której celem jest destabilizowanie systemów krytycznych wrogiego Państwa i wzniecanie chaosu. Bronią, z której korzysta się w tego typu konfliktach są cyberataki. Jak wykazuje analiza powyższych przykładów metody ich prowadzenia są stale rozwijane. Ta broń jest intensywnie wykorzystywana, ponieważ zapewnia względną anonimowość sprawców. Z uwagi na obserwowane ostatnio intensyfikacje zagrożeń systemy zabezpieczeń w systemach wodno-kanalizacyjnych powinny być starannie zabezpieczone i monitorowane przez wykwalifikowanych specjalistów – podsumowuje Aleksander Kostuch, ekspert Stormshield.

* https://www.gov.pl/web/susza/najnowszy-raport-gus–polska-na-24-miejscu-w-unii-europejskiej-pod-wzgledem-odnawialnych-zasobow-wody-slodkiej

Dodaj komentarz

%d bloggers like this: