Straty finansowe i wizerunkowe, cho? mog? by? ogromne, to nale?? do najmniej dotkliwych z mo?liwych skutków ataku na przedsi?biorstwo z sektora energetycznego. Efekty dzia?ania cyberprzest?pców mog? by? du?o bardziej rozleg?e i w skrajnych przypadkach oddzia?ywa? na ludzkie zdrowie oraz ?ycie.

W Polsce szczególnie nara?onym na cyberatak jest sektor naftowo-gazowy. To w?a?nie operatorzy tego segmentu rynku, ?wiadcz?cy kluczowe us?ugi, stanowi? strategiczny punkt na mapie nie tylko bezpiecze?stwa gospodarczego czy obywateli, ale tak?e ca?ego kraju. To wynik aktualnej sytuacji geopolitycznej, w tym rywalizacji wielu grup wp?ywów. Operatorzy, z uwagi na to, ?e posiadaj? systemy automatyki przemys?owej i systemy IT s? grup? podwy?szonego ryzyka – mówi Piotr Borkowski, Ekspert w obszarze cyberbezpiecze?stwa w Zespole ds. Energii i Zasobów Naturalnych Deloitte. 

Systemy (nie)bezpiecze?stwa

W obliczu mo?liwych, niekiedy skrajnych, skutków cyberataków zupe?ny brak lub niedostateczna dba?o?? o zabezpieczenie przed nimi mo?e dziwi?. W wielu przypadkach twórcy systemów automatyki przemys?owej skupili si? przede wszystkim na ich niezawodno?ci, zamiast na potencjalnym zagro?eniu, jakie ich przej?cie przez np. terrorystów mo?e oznacza?.

Systemy IT oraz OT, administrowane przez operatorów us?ug kluczowych, mog? zosta? zaatakowane zarówno przez grupy wynaj?te przez firmy konkurencyjne, grupy dzia?aj?ce na rzecz obcych pa?stw, jak równie? „zwyk?ych” przest?pców, którzy w takiej formie swojej aktywno?ci mog? upatrywa? potencjalnie dobrego zysku. Wskazane systemy musz? by? równie? jak najlepiej przygotowane na kampanie globalne, które cz?sto cho? s? nieukierunkowane to rykoszetem potrafi? spustoszy? systemy niejednej du?ej firmy. Tak wiele czynników ryzyka dla systemów IT oraz OT powinno by? motywatorem do podj?cia wszelkich dost?pnych ?rodków, aby maksymalnie ograniczy? ryzyko ich wyst?pienia – zaznacza Piotr Borkowski.

Eksperci Deloitte zwracaj? uwag?, ?e skuteczno?? tych dzia?a? zale?y od po??czenia wiedzy o IT i in?ynierii oraz pogodzenia ich niekiedy rozbie?nych punktów widzenia. Specjali?ci przemys?owych systemów sterowania nie zawsze bowiem w pe?ni rozumiej? wspó?czesne zagro?enia bezpiecze?stwa informatycznego, podobnie jak specjali?ci od bezpiecze?stwa IT cz?sto nie rozumiej? procesów przemys?owych. Bez wsparcia IT systemy sterowania produkcj? niezwykle trudno jest zabezpieczy?. Wynika to mi?dzy innymi z tego, ?e cho? nie zosta?y zaprojektowane do po??czenia, dzi? funkcjonuj? jako cz??? sieci. Rozwój technologiczny sprzyja wydajno?ci i obni?eniu kosztów, ale tak?e otwiera przedsi?biorstwa na ca?? gam? cybernetycznych zagro?e?.

Ostrze?enie z USA

O skali zagro?enia najlepiej ?wiadcz? próby ataków, które obserwujemy od lat. Ju? w 2003 r. jedna z ameryka?skich elektrowni j?drowych w stanie Ohio zosta?a zainfekowana wirusem Slammer. Terrory?ci najpierw zaatakowali system firmy wspó?pracuj?cej z przedsi?biorstwem zarz?dzaj?cym elektrowni?. Potem ?atwiej ju? by?o uderzy? w sam? elektrowni?, a wirus b?yskawicznie atakowa? kolejne komputery. Slammer zablokowa? system odpowiedzialny za ch?odzenie reaktora. Z kolei w 2014 r. zhakowane zosta?y systemy komputerowe operatora elektrowni j?drowej w Korei Po?udniowej. Informacje i technologie zachodnich firm energetycznych nieustannie próbuj? wykra?? hakerzy z konkurencyjnych krajów. Rozsy?aj? maile z zainfekowan? tre?ci?, instaluj? szkodliwe oprogramowanie czy zmieniaj? tre?ci na stronie internetowej atakowanej firmy. To ataki nieudane, gdzie straty s? znikome lub nie by?o ich wcale. Ale w 2016 r. atak na ukrai?sk? energetyk? pozbawi? pr?du cz??? Kijowa na dwa dni. Rok wcze?niej podobny atak pozbawi? pr?du 225 tys. mieszka?ców zachodniej Ukrainy. Przed cyberprzest?pcami z Rosji na pocz?tku roku ostrzega? Departament Bezpiecze?stwa Wewn?trznego (DHS) Stanów Zjednoczonych. Z jego analiz wynika, ?e scenariusz jest zazwyczaj podobny do tego w Ohio. Hakerzy atakuj? najpierw organizacje zewn?trzne, wspó?pracuj?ce z faktycznym celem ich ataku. Wirus rozprzestrzenia si? poprzez zainfekowane konta pocztowe czy strony internetowe odwiedzane przez pracowników.

Ró?ne motywy, jeden cel

Nieznajomo?? wroga powinna by? du?? zach?t? do jak najlepszego zabezpieczenia systemów IT i OT. Dodatkowy akcelerator dzia?a? to wej?cie w ?ycie w sierpniu tego roku ustawy o Krajowym Systemie Cyberbezpiecze?stwa, która w odniesieniu do systemów IT i ich bezpiecze?stwa narzuca na operatorów us?ug kluczowych dodatkowe wymagania – mówi Piotr Borkowski.

Brak zabezpiecze?, nieprawid?owe testowanie systemów IT czy wdra?anie technologii bez wcze?niejszych testów – to wszystko zostawia luki, z których mog? skorzysta? cyberprzest?pcy. Cz?sto pomijanym elementem w systemach bezpiecze?stwa s? tak?e ludzie. Przez brak przeszkolenia w tym zakresie i wiedzy o ryzyku pracownicy przenosz? do systemu przedsi?biorstwa media zainfekowane z?o?liwym oprogramowaniem. Wiele osób wci?? jest przekonanych, ?e niepowodzenia czy awarie najcz??ciej s? spowodowane warunkami pogodowymi, b??dami ludzkimi i zm?czeniem sprz?tu, a nie manipulacj? cyberprzest?pców.

Znalezienie podatno?ci i ewentualnych b??dów konfiguracyjnych w posiadanych systemach to priorytet dla firm naftowo-gazowych. Eksperci Deloitte zaznaczaj?, ?e prac? nad nimi powinien na bie??co wykona? zespó? specjalistów ds. biznesu, in?ynierii i bezpiecze?stwa IT. Niemo?liwe jest zabezpieczenie wszystkiego w równym stopniu. Na szczycie listy powinny by? wi?c krytyczne zasoby i infrastruktura. Aby przedsi?biorstwo by?o bezpieczne konieczne jest jego ci?g?e i automatyczne monitorowanie oraz opracowanie mechanizmów wychwytuj?cych potencjalny atak lub minimalizowanie jego skutków.