Wzrost zagrożenia dla infrastruktury przemysłowej
W ostatnich miesiącach w Polsce i na świecie obserwuje się gwałtowny wzrost liczby cyberataków na przemysłowe systemy sterowania. Wiele z nich ma charakter polityczny i aktywistyczny, a ich celem jest nie tylko demonstracja zdolności hakerskich, ale także realne zakłócenie działania kluczowych instalacji. Niektóre ataki miały bezpośredni wpływ na funkcjonowanie fizycznych systemów i dostarczanych przez nie usług, co skutkowało poważnymi konsekwencjami dla użytkowników końcowych.
Problem dotyczy przede wszystkim urządzeń sterujących dostępnych bezpośrednio z internetu. Atakujący wykorzystują niezabezpieczone połączenia, m.in. poprzez sieci komórkowe, gdzie identyfikacja właściciela systemu bywa niemożliwa – można jedynie monitorować ruch sieciowy i powiadamiać operatorów telekomunikacyjnych o wykrytych zagrożeniach. To poważne wyzwanie dla służb zajmujących się cyberbezpieczeństwem, ponieważ nie daje możliwości szybkiej i skutecznej reakcji na incydent.
W związku z rosnącą liczbą zagrożeń Pełnomocnik Rządu do Spraw Cyberbezpieczeństwa apeluje do jednostek samorządowych oraz podmiotów publicznych o natychmiastowe wzmocnienie zabezpieczeń i wdrożenie odpowiednich środków prewencyjnych. Kluczowym zaleceniem jest ograniczenie zdalnego dostępu do systemów sterowania, wyeliminowanie otwartych połączeń przez protokoły VNC czy RDP oraz stosowanie wieloskładnikowego uwierzytelniania w przypadku konieczności zdalnej obsługi urządzeń przemysłowych.
Konieczność pilnego działania i rekomendacje
Administracja państwowa wskazuje, że jedynym skutecznym sposobem ochrony przed atakami na systemy ICS/OT jest konsekwentna polityka bezpieczeństwa obejmująca zarówno ograniczenie dostępu, jak i segmentację sieci. Istnieje pilna potrzeba przeglądu procedur zdalnego dostępu, zwłaszcza w kontekście podwykonawców oraz firm serwisujących infrastrukturę krytyczną. Wiele ataków ma swoje źródło w zaniedbaniach na poziomie konfiguracji urządzeń, w tym stosowaniu domyślnych danych uwierzytelniających czy pozostawianiu otwartych portów komunikacyjnych.
Pełnomocnik Rządu do Spraw Cyberbezpieczeństwa podkreśla również konieczność systematycznego raportowania incydentów do odpowiednich zespołów CSIRT. Monitoring ruchu sieciowego, weryfikacja widoczności urządzeń oraz bieżące skanowanie potencjalnych podatności powinny stać się standardem w każdej organizacji zarządzającej infrastrukturą przemysłową.
Niezbędne jest także ograniczenie dostępu do VPN wyłącznie do określonych adresów IP, zwłaszcza w przypadkach, gdy instytucja nie posiada zagranicznych kontrahentów. Zaleca się korzystanie z prywatnych sieci APN dla transmisji danych telemetrycznych oraz regularne aktualizacje oprogramowania i konfiguracji urządzeń w celu eliminacji potencjalnych luk bezpieczeństwa.
Skuteczna obrona przed atakami wymaga również budowania świadomości zagrożeń wśród operatorów systemów przemysłowych. Każdy przypadek nieautoryzowanego dostępu czy niepokojących anomalii w ruchu sieciowym powinien być dokładnie analizowany i dokumentowany, aby na przyszłość unikać podobnych sytuacji. Przemysłowe systemy sterowania stanowią jeden z najważniejszych elementów infrastruktury krytycznej państwa – ich ochrona to nie tylko kwestia techniczna, ale także strategiczna.
Zagrożenia dla systemów sterowania przemysłowego są realne i narastające. Administracja rządowa alarmuje: czas na działanie jest teraz. Tylko szybkie wdrożenie środków prewencyjnych pozwoli uniknąć katastrofalnych skutków ataków cybernetycznych.
Komentarz ekspercki dot. zaleceń Pełnomocnika Rządu do spraw Cyberbezpieczeństwa dla Jednostek Samorządu Terytorialnego i podmiotów publicznych
Paweł Śmigielski, country manager Stormshield w Polsce, ekspert cyberbezpieczeństwa
Przedstawiona w komunikacie Pełnomocnika Rządu do Spraw Cyberbezpieczeństwa diagnoza sytuacji, odnosząca się do skali zagrożeń wynikających z połączenia systemów przemysłowych z Internetem, to klarowny sygnał, że sytuacja jeszcze nigdy nie była tak poważna. Niestety geopolityka przyspieszyła, co może za sobą pociągać wzmożenie wrogich działań wymierzonych w jednostki samorządowe i podmioty publiczne.
Przedstawione zalecenia są jak najbardziej słuszne, ponieważ pozwalają minimalizować ryzyko. Osoby odpowiedzialne za kwestie bezpieczeństwa IT i OT mogą potraktować je jako listę kontrolną by krok po kroku sprawdzić, jak dany aspekt wygląda w ich organizacji.
Do skutecznego skonfigurowania poszczególnych zaleceń można wykorzystać odpowiedni firewall. Jeśli dla serwisantów urządzeń funkcjonujących w naszej sieci mamy skonfigurowany dostęp zdalny przez VPN, to warto sprawdzić czy przy połączeniu wykorzystywane jest wieloskładnikowe uwierzytelnianie i dopytać dostawcę technologii bezpieczeństwa o możliwości techniczne w tym zakresie. Na przykład Stormshield pozwala skonfigurować dodatkowe uwierzytelnianie, poprzez bezpłatne narzędzia jak Google Authenticator.
W kolejnym kroku sprawdzamy, czy dostęp VPN jest ograniczony do konkretnych podsieci lub adresów IP, z których łączą się serwisanci. Korzystając z funkcji geolokalizacji na firewallu możemy ograniczyć ruch przychodzący tylko do Polski. Te dwa proste kroki wydatnie podniosą bezpieczeństwo.
Komunikat nie stoi przy tym w sprzeczności z założeniami niedawnej noweli projektu ustawy o Krajowym Systemie Cyberbezpieczeństwa, która obniżyła wymagania dla części podmiotów publicznych. Ustawa opisuje wymagania na bardziej ogólnym poziomie, a we wczorajszym komunikacie ujęto wytyczne stricte techniczne, oparte na dobrych praktykach, do natychmiastowego zastosowania w swojej sieci.
Aleksander Kostuch, inżynier Stormshield, ekspert cyberbezpieczeństwa
Realia są takie, że wiele istotnych urządzeń ICS/OT jest dostępnych bezpośrednio z poziomu Internetu. Skala wynikających z tego potencjalnych zagrożeń jest bardzo wysoka, ponieważ w tym przypadku ataki są stosunkowo łatwe do przeprowadzenia. Komunikat tym samym potwierdza to, co można zaobserwować w przestrzeni publicznej. W ostatnich miesiącach celem cyberprzestępców w naszym kraju były m.in. oczyszczalnie ścieków, instalacja spalania biomasy czy stacje uzdatniania wody i w każdym z tych przypadków były to ataki skuteczne.
Kluczowe rekomendacje obejmują przede wszystkim eliminację bezpośredniego dostępu z Internetu do systemów ICS/OT. Realizacja opisanych zaleceń jest możliwa dzięki dostępnym rozwiązaniom technologicznym. Podstawą jest właściwa architektura sieci, w której systemy OT są odseparowane od sieci biurowej i Internetu, nawet w formie mostu, przezroczystej dla działającej sieci. Pomóc w tym mogą firewalle przemysłowe oraz segmentacja sieci. Wydzielenie stref, np. sieci IT i sieci OT pozwala zminimalizować punkty styku z Internetem i ograniczyć komunikację tylko do niezbędnych połączeń.
Istotna jest również regularna aktualizacja oprogramowania zabezpieczeń, w tym właśnie firewalli, co pozwoli załatać ewentualne luki bezpieczeństwa zanim wykorzystają je agresorzy.
Zalecenia można rozpatrywać w kontekście nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa, wdrażającej dyrektywę NIS2. Wydają się one spójne z duchem ostatniej nowelizacji. Wskazują bowiem na konkretne, najistotniejsze zagrożenia i opisują praktyczne środki zaradcze, czyli to na czym powinny się koncentrować podmioty publiczne z kategorii ważne.
Jednocześnie komunikat jasno wskazuje, że fundamentalnych zasad cyberbezpieczeństwa nie można pomijać, nawet jeśli prawo łagodzi formalności. Ataki na ICS/OT pokazują, że zagrożenie jest realne a stawką jest nie tylko bezpieczeństwo danych, lecz ciągłość usług publicznych i fizyczne bezpieczeństwo mieszkańców.
Zdjęcie: Ministerstwo Cyfryzacji
