Wodociągi muszą być gotowe na ataki. Hakerzy nie dają za wygraną

Wodociągi muszą być gotowe na ataki. Hakerzy nie dają za wygraną
MŁ/szp
25.03.2021, o godz. 13:12
czas czytania: około 4 minut
0

Pytania o ataki hakerów na wodociągi nie powinno brzmieć czy taki atak się wydarzy, tylko kiedy on nastąpi? Jak chronić przedsiębiorstwo wod-kan i dane jego klientów? Odpowiedzi starali się udzielić prelegenci webinarium „Cyberbezpieczeństwo w branży wod-kan”, zorganizowanego przez redakcję miesięcznika „Wodociągi-Kanalizacja”.

Dalsza część tekstu znajduje się pod reklamą

Punktem wyjścia do omówienia tych zagadnień były wymagania i regulacje unijnej dyrektywy NIS. 16 grudnia 2020 r. Komisja Europejska zaprezentowała nowy pakiet cyberbezpieczeństwa, którego częścią jest Dyrektywa w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w całej Unii, tzw. Dyrektywa NIS 2.

Unijne wymogi i polskie rekomendacje dla wodociągów

Cyprian Gutkowski z Fundacji Bezpieczna Cyberprzestrzeń szczególną uwagę zwrócił na różnie między dyrektywą NIS i NIS2. Mówił także o przewidywanych karach finansowych dla podmiotów nie realizujących jej zapisów we właściwy sposób.  Jak mówił, w sektorze wod-kan widać zainteresowanie tą tematyką.

– Pozostaje kwestia przygotowania dokumentacji i wdrożenia jej w życie a także powołanie odpowiedniego zespołu ds. cyberbezpieczeńtwa lub skorzystanie z usług organizacji oferujących tego rodzaju usługi – podsumował swoje wystąpienie Cyprian Gutkowski.

Jak sprawnie i skutecznie spełnić rekomendacje cyberbezpieczeństwa KPRM (Kancelarii Prezesa Rady Ministrów) dla sektora wod-kan? Na to pytanie podczas webinarium odpowiedzi udzielili Aleksander Kostuch oraz Paweł Śmigielski z firmy Stormshield, która była partnerem głównym wydarzenia.

– Sugerujemy, aby traktować ten poradnik jako pewnego rodzaju drogowskaz. Pozwalający na weryfikację co w danej organizacji zostało już wdrożone a co jeszcze powinno zostać wykonane – powiedział Paweł Śmigielski.

Cyberbezpieczeństwo. Piramida i strategia

O strategii bezpieczeństwa cybernetycznego w sektorze wodociągowym mówili przedstawiciele Net Complex, dostawcy rozwiązań zapewniających wielopoziomowe bezpieczeństwo przed zagrożeniami cyberataków. – Kluczowy dla zapewnienia bezpieczeństwa jest audyt – mówił Łukasz Kałuziński z Net Complex, mecenasa wydarzenie. który dodawał, że jednym z najważniejszych obszarów jest edukacja.

O piramidzie bezpieczeństwa mówił Wojciech Gębski z Unisoft. Jej pierwszy poziom to infrastruktura sieciowa, poziom drugi – baza danych Oracle, a trzeci – procedury przedsiębiorstwa wykorzystywane w przy nadawaniu uprawnień, dostępu do danych, zmianach haseł, tworzeniu kopii zapasowych, udostępnianiu danych, zdalnego dostępu do sieci, a także procedury serwisowe. Czwarty poziom piramidy stanowi Zintegrowany System Informatyczny. Piątym elementem piramidy jest człowiek – pracownik, z którego zachowaniami wiąże się szereg zagrożeń.

Na podobną tematykę zwracał uwagę również Michał Ślósarz menedżer Działu IT i Automatyki Miejskiego Przedsiębiorstwa Wodociągów i Kanalizacji we Wrocławiu. Mówił on o trzech filarach cyberbezpieczeństwa, przez które rozumiane są: ludzie, procesy, organizacja. Jak stwierdził, zapewnienie bezpieczeństwa w sieci możliwe jest w sytuacji zapewnienia balansu między trzema filarami.

Podczas webinarium przedstawiona została również kwestia bezpieczeństwa sieci w obliczu pracy zdalnej w wodociągach. Zagadnienie to omówił Grzegorz Górka, kierownik działu sprzedaży Sądeckich Wodociągów. W celu zapewnienia bezpieczeństwa sieci wprowadzono między innymi: regulaminu zasad korzystania z oprogramowania i ze sprzętu do pracy zdalnej. Pracownicy maja też ograniczony dostęp w ramach swoich uprawnień. Zadbano tez o procedury obchodzenia się z danymi. Wszystkie firmowe komputery maja dostęp do internetu z aktualnym antywirusem, a połączenie z systemem informatycznym następuje tylko za pośrednictwem szyfrowanego kanału VPN możliwego tylko dla stałych adresów IP.

Czy mamy się czego bać?

Jeden z najbardziej spektakularnych ataków na infrastrukturą wodociągową miał miejsce w Izraelu. Jak przekonywała mecenas Monika Bogdał z Kancelarii Pisz i Wspólnicy, tak naprawdę mógł wydarzyć się w każdym przedsiębiorstwie wodociągowym, bez względu na jego rozmiar. Każde przedsiębiorstwo wykorzystuje automatykę monitorującą choćby proces uzdatniania wody.

Ustawienie sterowników można jednak zmienić, pokonując wcześniej barierę tzw. urządzenia brzegowego. W przypadku ataku na wodociągi w Izraelu, najprawdopodobniej był nim router, w którym nie zmieniono hasła wygenerowanego jeszcze u producenta.

Czy cyberataków można uniknąć? – Nie do końca. Dlatego każde przedsiębiorstwo wodociągowo-kanalizacyjne powinno uwzględnić ataki jako stałą i nie pytać, czy taki atak się wydarzy, ale kiedy się wydarzy – stwierdziła Monika Bogdał.

– Proszę się nie bać cyberbezpieczeństwa. Można je zrobić w sensowny sposób, ze zrozumieniem budżetu, który jest na to potrzebny i jest do dyspozycji, ze zrozumieniem sytuacji i rozwoju sytuacji w danej organizacji, w jakiej dana organizacja funkcjonuje – przekonywał Wojciech Wrzesień z NASK SA, partnera wydarzenia. – Im wcześniej zaczniemy o nim myśleć, im wcześniej planować, tym łatwiej dojdziemy do sytuacji, w której możemy w miarę spokojnie spać, a ilość ataków i zagrożeń rośnie geometrycznie – dodawał.

Hakerzy działają szybko. Tzw. rozpoznanie (identyfikacja i dobór celów, badania OSINT) może zająć im raptem 40-45 minut. Tyle czasu potrzebują, by zidentyfikować słabe punkty infrastruktury, zwłaszcza w dobie coraz bardziej powszechnej pracy zdalnej.

Najczęściej wykorzystują przy tym niewiedzę i łatwowierność użytkowników systemów informatycznych. A tym najczęściej jest człowiek, zwłaszcza w dobie pracy zdalnej. Z danych opublikowanych w serwisie  purplesec.us wynika, że z powodu pandemii Covid-19 cyberprzestępczość wzrosła o 600 proc.

Kategorie:

Udostępnij ten artykuł:

Komentarze (0)

Nikt jeszcze nie skomentował tego artykułu. Bądź pierwszą osobą, która to zrobi.

Dodaj komentarz

Możliwość komentowania dostępna jest tylko po zalogowaniu. Załóż konto lub zaloguj się aby móc pisać komentarze lub oceniać komentarze innych.

Te artykuły mogą Cię zainteresować

Przejdź do Woda i ścieki
css.php
Copyright © 2024