W bran?y ciep?owniczej i energetyce, podobnie jak w innych sektorach us?ug strategicznych, tradycyjne systemy ust?puj? nowym rozwi?zaniom technologicznym opartym o rozwi?zania Przemys?u 4.0. Niestety za dynamicznie post?puj?c? cyfryzacj? nie zawsze pod??a w parze odpowiednia strategia bezpiecze?stwa. Jak wskazuje ekspert Stormshield wydajniejsza praca, lepsze zarz?dzanie oraz optymalizacja procesów to pozytywny efekt cyfryzacji, jednak nie mo?na zapomina? o szeregu cyberzagro?e? z ni? zwi?zanych. Ofiar? ataku by?o ju? jedno z polskich przedsi?biorstw ciep?owniczych.
Chmura, analiza danych i rozwi?zania oparte na sztucznej inteligencji s? w coraz wi?kszym stopniu wykorzystywane w sektorach o strategicznym znaczeniu, takich jak energetyka, ciep?ownictwo, transport czy ochrona zdrowia. Wi?ksza otwarto?? infrastruktury krytycznej na nowoczesne technologie, cho? w znaczny sposób u?atwia funkcjonowanie przedsi?biorstwa, to równocze?nie mo?e stanowi? furtk? dla grup cyberprzest?pczych.
– Otwarto?? na komunikacj? ze ?wiatem zewn?trznym zwi?ksza podatno?? na cyberataki. Aspekt ten dotyczy tak?e infrastruktury przemys?owej. Przy tym wiele przedsi?biorstw wci?? nie jest ?wiadomych konieczno?ci ochrony w?asnych systemów. Pami?tajmy, ?e cyberprzest?pczo?? to zjawisko b?d?ce „efektem ubocznym” cyfrowego rozwoju. Staje si? ona coraz bardziej op?acalna. Zw?aszcza w przypadku du?ych ataków wykorzystuj?cych oprogramowanie ransomware, a takie prowadzone s? wobec operatorów us?ug strategicznych, do których zaliczaj? si? energetyka i ciep?ownictwo – mówi Aleksander Kostuch, in?ynier Stormshield, wytwórcy rozwi?za? z obszaru cyberbezpiecze?stwa.
Cyberataki na ciep?ownictwo w Finlandii i w Polsce
Grupy cyberprzest?pcze to dobrze zorganizowane quasi przedsi?biorstwa, cz?sto dysponuj?ce bud?etem przeznaczonym na badania i rozwój, co ma skutkowa? zwi?kszeniem skuteczno?ci potencjalnych ataków. Równie? w ich dzia?alno?ci coraz wi?ksz? rol? odgrywaj? profesjonalizacja i wykorzystanie zaawansowanych narz?dzi – sztucznej inteligencji (AI) i automatyzacji. Stosowane formy ataków, takie jak np. ransomware czy phishing staj? si? bardziej wyrafinowane. Dotykaj? one równie? przedsi?biorstw z sektora ciep?ownictwa.
Takim przypadkiem by? atak DDoS z 2016 roku, który odci?? ogrzewanie mieszka?com Lappeenranta we wschodniej Finlandii. Chocia? efekty dzia?a? cyberprzest?pców nie by?y rozleg?e – odczuli je mieszka?cy jedynie dwóch budynków, to usuni?cie awarii nie nale?a?o do najprostszych. Podobna sytuacja wydarzy?a si? tak?e w Polsce. W 2022 roku ofiar? cyberataku pad?o Przedsi?biorstwo Energetyki Cieplnej w Elbl?gu, którego sie? informatyczn? zainfekowano z?o?liwym oprogramowaniem. W tym przypadku celem nie by?o uniemo?liwienie dostarczania energii cieplnej, a przej?cie danych niektórych klientów.
Firmy dystrybuuj?ce energi? ciepln? wychodz? naprzeciw klientom tworz?c dla nich platformy i aplikacje u?atwiaj?ce podgl?d rachunków i aktualnego zu?ycia mediów. Nie inaczej jest w przypadku dystrybutorów energii elektrycznej. Tauron rozpocz?? operacj? monta?u inteligentnych liczników u odbiorców na ?l?sku. Te urz?dzenia maj? podobn? funkcjonalno??. W rzeczywisto?ci generuj? pot??ne zasoby danych klientów, a ch?? ich przej?cia jest jednym z czynników motywuj?cych cyberprzest?pców do ataków.
Wrogie dzia?ania wymierzone w energetyk? cz?sto inspirowane s? tak?e czynnikami geopolitycznymi. System dostaw energii elektrycznej stanowi strategiczny cel, poniewa? wp?ywa na dzia?alno?? gospodarcz? i funkcjonowanie pa?stwa, które w wyniku skutecznego cyberataku mo?na szybko sparali?owa?. Dobitnym przyk?adem s? powtarzaj?ce si? od lat ataki na ukrai?sk? sie? energetyczna. Atak na elektrowni? w Zaporo?u (2015), spowodowa? sze?ciogodzinn? przerw? w dostawie elektryczno?ci dla oko?o 700 tys. gospodarstw domowych.
– Te przyk?ady dobitnie wskazuj?, ?e podobnie jak w innych sektorach infrastruktury krytycznej, równie? bran?e ciep?ownicza i energetyczna s? przez grupy cyberprzest?pcze traktowane jako cel. Dzia?ania te mog? mie? powa?ne konsekwencje, co sprawia, ?e przedsi?biorcy powinni si? mie? na baczno?ci. Impulsem, aby obszar IT traktowa? jeszcze bardziej powa?nie jest przyj?cie Dyrektywy NIS2. Narzuca ona podmiotom z sektorów krytycznych szereg obowi?zków – komentuje Aleksander Kostuch.
Za?o?enia dyrektywy NIS2 obejmuj? obowi?zki takie jak zg?aszanie incydentów i zagro?e?, zarz?dzania kryzysowego, opracowania odpowiednich polityk oraz procedur testowania i audytów, a tak?e stosowanie rozwi?za? technologicznych adekwatnych do ryzyka. Ekspert wskazuje, ?e wobec skali wyzwania warto my?le? o wprowadzaniu odpowiednich mechanizmów ju? teraz.
– Ca?y proces b?dzie czasoch?onny i nawet uwzgl?dnienie vacatio legis mo?e nie gwarantowa?, ?e czas jaki b?dzie do dyspozycji oka?e si? wystarczaj?cy. Oczywi?cie wi??e si? to z inwestycjami, jednak zawsze lepiej przeciwdzia?a? zagro?eniom ni? odczuwa? skutki udanego ataku. Mo?na przy tym my?le? o cz??ciowej automatyzacji bezpiecze?stwa IT – ocenia Aleksander Kostuch.
Automatyzacja dzia?a? w bran?y bezpiecze?stwa IT i wdra?anie rozwi?za? zapobiegaj?cych atakom, nawet takim które jeszcze si? nie wydarzy?y, jest mo?liwe.
– Wprowadzania systemów automatycznego czuwania i monitorowania, które b?d? analizowa? informacje o ka?dym potencjalnie niebezpiecznym i niestandardowym zdarzeniu w sieci, mo?na si? spodziewa? w wi?kszych przedsi?biorstwach. A do takich nale?? w wi?kszo?ci podmioty dzia?aj?ce w energetyce i ciep?ownictwie. Ten trend b?dzie zwi?zany w?a?nie ze stopniowym wprowadzaniem rozwi?za? narzucanych w dyrektywie NIS2 – dodaje ekspert Stormshield.
Nowe technologie w s?u?bie klientów… i cyberprzest?pców
Funkcjonowanie rozwi?za? Internetu Rzeczy (IoT), b?d?cych w sta?ej ??czno?ci on-line oznacza, ?e tworzy si? nowa przestrze? ataku. W tym kontek?cie szczególnego znaczenia nabiera segmentacja systemów IT i OT. Niezabezpieczony element systemu IT, dzia?aj?cy w niesegmentowanej sieci, mo?e sta? si? bram? umo?liwiaj?c? wnikni?cie przez przest?pców do zasobów firmy. Segmentacja zapewnia mo?liwo?? zablokowania rozprzestrzeniania ataku, czyni?c bardziej z?o?onym wykrywanie sieci operacyjnej.
– Sieci IT nale?y separowa? od elementów infrastruktury przemys?owej. W skutecznym oddzieleniu wszystkich obiektów operacyjnych i kontroli przep?ywu mi?dzy nimi komunikacji i danych pomo?e na przyk?ad instalacja niedrogich firewalli, na przyk?ad urz?dzenia SNi20 – dodaje Aleksander Kostuch.
Cz??? infrastruktury energetycznej zosta?a zaprojektowana z my?l? o d?ugim, ponad 50-letnim okresie u?ytkowania. Dlatego energetyka wci?? korzysta z przestarza?ych systemów operacyjnych, a przez to wra?liwych pod wzgl?dem bezpiecze?stwa technologiach. Takich, które cyberprzest?pcom ?atwiej zaatakowa?.
Kolejn? kwesti? wymagaj?c? uwagi s? komunikaty operacyjne wymieniane mi?dzy urz?dzeniami elektrycznymi, urz?dzeniami IED i stacjami monitoruj?cymi. Je?li napastnikowi uda si? nawi?za? zdalne po??czenie z fizycznym urz?dzeniem lub stacj? obs?ugi zdalnej, to b?dzie móg? analizowa? sie?, rozumie? jej struktur? i wysy?a? z?o?liwe wiadomo?ci. Najlepszym sposobem radzenia sobie z tym rodzajem ryzyka jest wdro?enie sond przemys?owych, zabezpieczenia z wyspecjalizowanym rozwi?zaniem inline z IPS i g??bok? analiz? protoko?ów przemys?owych w celu kontrolowania wiadomo?ci wymienianych z najbardziej wra?liwym sprz?tem.
Z perspektywy bezpiecze?stwa znaczenie ma kwestia po??cze? na potrzeby zdalnej konserwacji, szczególnie na poziomie podstacji. Wymagaj? one wdro?enia tuneli typu VPN lub bezpiecznych i monitorowanych oraz rejestrowanych po??cze? w celu zapewnienia poufno?ci danych.
– Zintegrowane podej?cie, które uwzgl?dnia wszystkie wymagane podstawy i opiera si? na kilku poziomach ochrony, jest niezb?dne do skutecznego zabezpieczenia korporacyjnych systemów produkcyjnych w sektorze energetycznym i ciep?ownictwie – podsumowuje ekspert Stormshield.
