Wodociągi muszą być gotowe na ataki. Hakerzy nie dają za wygraną

Punktem wyjścia do omówienia tych zagadnień były wymagania i regulacje unijnej dyrektywy NIS. 16 grudnia 2020 r. Komisja Europejska zaprezentowała nowy pakiet cyberbezpieczeństwa, którego częścią jest Dyrektywa w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w całej Unii, tzw. Dyrektywa NIS 2.

Unijne wymogi i polskie rekomendacje dla wodociągów

Cyprian Gutkowski z Fundacji Bezpieczna Cyberprzestrzeń szczególną uwagę zwrócił na różnie między dyrektywą NIS i NIS2. Mówił także o przewidywanych karach finansowych dla podmiotów nie realizujących jej zapisów we właściwy sposób.  Jak mówił, w sektorze wod-kan widać zainteresowanie tą tematyką.

– Pozostaje kwestia przygotowania dokumentacji i wdrożenia jej w życie a także powołanie odpowiedniego zespołu ds. cyberbezpieczeńtwa lub skorzystanie z usług organizacji oferujących tego rodzaju usługi – podsumował swoje wystąpienie Cyprian Gutkowski.

Jak sprawnie i skutecznie spełnić rekomendacje cyberbezpieczeństwa KPRM (Kancelarii Prezesa Rady Ministrów) dla sektora wod-kan? Na to pytanie podczas webinarium odpowiedzi udzielili Aleksander Kostuch oraz Paweł Śmigielski z firmy Stormshield, która była partnerem głównym wydarzenia.

– Sugerujemy, aby traktować ten poradnik jako pewnego rodzaju drogowskaz. Pozwalający na weryfikację co w danej organizacji zostało już wdrożone a co jeszcze powinno zostać wykonane – powiedział Paweł Śmigielski.

Cyberbezpieczeństwo. Piramida i strategia

O strategii bezpieczeństwa cybernetycznego w sektorze wodociągowym mówili przedstawiciele Net Complex, dostawcy rozwiązań zapewniających wielopoziomowe bezpieczeństwo przed zagrożeniami cyberataków. – Kluczowy dla zapewnienia bezpieczeństwa jest audyt – mówił Łukasz Kałuziński z Net Complex, mecenasa wydarzenie. który dodawał, że jednym z najważniejszych obszarów jest edukacja.

O piramidzie bezpieczeństwa mówił Wojciech Gębski z Unisoft. Jej pierwszy poziom to infrastruktura sieciowa, poziom drugi – baza danych Oracle, a trzeci – procedury przedsiębiorstwa wykorzystywane w przy nadawaniu uprawnień, dostępu do danych, zmianach haseł, tworzeniu kopii zapasowych, udostępnianiu danych, zdalnego dostępu do sieci, a także procedury serwisowe. Czwarty poziom piramidy stanowi Zintegrowany System Informatyczny. Piątym elementem piramidy jest człowiek – pracownik, z którego zachowaniami wiąże się szereg zagrożeń.

Na podobną tematykę zwracał uwagę również Michał Ślósarz menedżer Działu IT i Automatyki Miejskiego Przedsiębiorstwa Wodociągów i Kanalizacji we Wrocławiu. Mówił on o trzech filarach cyberbezpieczeństwa, przez które rozumiane są: ludzie, procesy, organizacja. Jak stwierdził, zapewnienie bezpieczeństwa w sieci możliwe jest w sytuacji zapewnienia balansu między trzema filarami.

Podczas webinarium przedstawiona została również kwestia bezpieczeństwa sieci w obliczu pracy zdalnej w wodociągach. Zagadnienie to omówił Grzegorz Górka, kierownik działu sprzedaży Sądeckich Wodociągów. W celu zapewnienia bezpieczeństwa sieci wprowadzono między innymi: regulaminu zasad korzystania z oprogramowania i ze sprzętu do pracy zdalnej. Pracownicy maja też ograniczony dostęp w ramach swoich uprawnień. Zadbano tez o procedury obchodzenia się z danymi. Wszystkie firmowe komputery maja dostęp do internetu z aktualnym antywirusem, a połączenie z systemem informatycznym następuje tylko za pośrednictwem szyfrowanego kanału VPN możliwego tylko dla stałych adresów IP.

Czy mamy się czego bać?

Jeden z najbardziej spektakularnych ataków na infrastrukturą wodociągową miał miejsce w Izraelu. Jak przekonywała mecenas Monika Bogdał z Kancelarii Pisz i Wspólnicy, tak naprawdę mógł wydarzyć się w każdym przedsiębiorstwie wodociągowym, bez względu na jego rozmiar. Każde przedsiębiorstwo wykorzystuje automatykę monitorującą choćby proces uzdatniania wody.

Ustawienie sterowników można jednak zmienić, pokonując wcześniej barierę tzw. urządzenia brzegowego. W przypadku ataku na wodociągi w Izraelu, najprawdopodobniej był nim router, w którym nie zmieniono hasła wygenerowanego jeszcze u producenta.

Czy cyberataków można uniknąć? – Nie do końca. Dlatego każde przedsiębiorstwo wodociągowo-kanalizacyjne powinno uwzględnić ataki jako stałą i nie pytać, czy taki atak się wydarzy, ale kiedy się wydarzy – stwierdziła Monika Bogdał.

– Proszę się nie bać cyberbezpieczeństwa. Można je zrobić w sensowny sposób, ze zrozumieniem budżetu, który jest na to potrzebny i jest do dyspozycji, ze zrozumieniem sytuacji i rozwoju sytuacji w danej organizacji, w jakiej dana organizacja funkcjonuje – przekonywał Wojciech Wrzesień z NASK SA, partnera wydarzenia. – Im wcześniej zaczniemy o nim myśleć, im wcześniej planować, tym łatwiej dojdziemy do sytuacji, w której możemy w miarę spokojnie spać, a ilość ataków i zagrożeń rośnie geometrycznie – dodawał.

Hakerzy działają szybko. Tzw. rozpoznanie (identyfikacja i dobór celów, badania OSINT) może zająć im raptem 40-45 minut. Tyle czasu potrzebują, by zidentyfikować słabe punkty infrastruktury, zwłaszcza w dobie coraz bardziej powszechnej pracy zdalnej.

Najczęściej wykorzystują przy tym niewiedzę i łatwowierność użytkowników systemów informatycznych. A tym najczęściej jest człowiek, zwłaszcza w dobie pracy zdalnej. Z danych opublikowanych w serwisie  purplesec.us wynika, że z powodu pandemii Covid-19 cyberprzestępczość wzrosła o 600 proc.