Sektor wodno-kanalizacyjny przyciąga uwagę cyberprzestępców. Jak wyglądają cyberataki na branżę?

Opublikowane niedawno dane Głównego Urzędu Statystycznego* wskazują, że wielkość odnawialnych zasobów wody słodkiej na 1 mieszkańca Polski, wynosi 1,6 tys. m3 (średnia z ostatnich 20 lat). To nie tylko jeden z najgorszych wyników w Europie, ale również wartość poniżej granicy uznawanej przez ONZ (1,7 tys. m3 na mieszkańca), wedle której kraj uznaje się za zagrożony niedoborem wody.

Woda po specjalnym nadzorem

Jak pokazują dane hydrologiczne, miniony październik był miesiącem o rekordowo niskich opadach, miejscami tak niewielkich, jakich nie notowano w całej historii meteorologii. Dlatego zasoby wody pitnej wymagają szczególnej ochrony. Dodatkowo, jak wskazują eksperci Stormshield, sektor infrastruktury krytycznej, a w szczególności jego elementy odpowiadające za produkcję, dystrybucję i oczyszczanie wody, w coraz większym są stopniu narażone na działania cyberprzestępców. Wszystkie te czynniki czynią wodę dobrem wymagającym wielopłaszczyznowej ochrony.

Infrastruktura wodna to sektor krytyczny

– Infrastruktura wodna jest sektorem krytycznym. Przestępcy mają wiele powodów, by go atakować, a uszkodzenie systemów informatycznych tego wrażliwego obszaru funkcjonowania państwa może mieć dramatyczne i dalekosiężne konsekwencje, w tym dla zdrowia, a nawet życia mieszkańców. Stąd nieustanna potrzeba dbałości o jak najlepsze zabezpieczenie przed niepożądanym dostępem do sieci – mówi Piotr Zielaskiewicz, product manager Stormshield.

20 lat ataków na sektor wodny – przykłady

Za pierwszy cyberatak na przedsiębiorstwo z branży wodno – kanalizacyjnej uznaje się przejęcie kontroli nad systemami oczyszczalni ścieków w Australii. Ataków tego rodzaju jest jednak coraz więcej. Oto przykłady:

• Oczyszczalnia ścieków w Shire of Maroochy w Australii w 2000 r.

W marcu i kwietniu 2000 r. były wykonawca techniczny oczyszczalni ścieków Maroochy w Australii przejął kontrolę nad jej systemami. Niedoszły pracownik, odrzucony w procesie rekrutacji, w ramach zemsty wysyłał fałszywe polecenia do systemów sterowania kilku pomp. W efekcie jego działań nastąpił wyciek ścieków do morza, co spowodowało zatrucie flory i fauny, a także pojawienie się nieprzyjemnego zapachu w okolicy.

• Zakład wody pitnej w Georgii (USA) w 2013 r.

W kwietniu 2013 r. doszło do fizycznego ataku na obiekt dostarczający wodę pitną w małym miasteczku w jednym z amerykańskich stanów. Napastnicy po wejściu na teren instalacji uzyskali dostęp do systemu monitoringu, a następnie zmienili ustawienia fluoru i chloru, Doprowadzili do zmiany składu chemicznego wody, z której korzystali mieszkańcy, co sprawiło, że przez kilka dni nie była ona zdatna do użytku.

• Miasto Baltimore w USA w 2019 r.

Atak typu ransomware w mieście Baltimore spowodował trzymiesięczne opóźnienia w wystawianiu rachunków za wodę.

• Przepompownie i oczyszczalnie w Izraelu w 2020 r.

W kwietniu 2020 r. cyberprzestępcy, podejrzani o powiązania z irańskim reżimem, zaatakowali kilka przepompowni i oczyszczalnie ścieków oraz próbowali zwiększyć poziom chloru w systemach zaopatrzenia w wodę obsługujących część mieszkańców Izraela. Reakcją rządu na to zdarzenie było skłonienie pracowników całej infrastruktury wodnej i energetycznej do zmiany haseł do wszystkich swoich systemów SCADA, co miało chronić systemy przed dalszymi włamaniami.

• Niemieckie firmy z sektora wodnego i przedsiębiorstwa energetyczne w 2020 r.

W 2020 roku podejrzana rosyjska grupa Berserk Bear APT dokonała cyberataków na niemieckie firmy z przemysłową infrastrukturą krytyczną. Zakłada się, że była też wmieszana we wcześniejsze ataki cybernetyczne na niemieckie instalacje publiczne w 2018 roku.

• Oczyszczalnie ścieków w San Francisco i na Florydzie (USA) w 2021 r.

W styczniu 2021 r. przejęto kontrolę nad zakładem uzdatniania wody w rejonie San Francisco, usuwając programy komputerowe związane z procesem uzdatnianiem wody pitnej. Wstępne wyniki śledztwa pokazują, że cyberprzestępca włamał się do systemów przy użyciu danych uwierzytelniających byłych pracowników, które zostały użyte do połączenia się z oprogramowaniem do zdalnego sterowania – TeamViewer.

W lutym 2021 r., miasto Oldsmar na Florydzie uniknęło katastrofy zdrowotnej, po tym jak cyberprzestępcy przejęli kontrolę nad miejską oczyszczalnią ścieków, której systemy komputerowe były niewystarczająco chronione. Również w tym przypadku kluczem dla cyberprzestępców były dane logowania do TeamViewera udostępnione przez kilku pracowników. Następnie próbowali wykorzystać oni do osiągnięcia celu luki w systemie operacyjnym Windows 7. Wtargnięcie pozwoliłoby znacznie zwiększyć poziom wodorotlenku sodu, czyniąc wodę pitną wyjątkowo toksyczną. Personelowi placówki udało się opanować sytuację i uratować około 15 tys. mieszkańców przed otruciem.

• Infrastruktura uzdatniania wody w Norwegii w 2021 r.

Norweska firma Volue, która wyposaża zakłady uzdatniania wody w aplikacje i oprogramowanie, padła ofiarą ransomware’a Ryuk. Złośliwe oprogramowanie rozprzestrzeniło się w systemach informatycznych dwustu publicznych dostawców wody w kraju, będących klientami firmy. Wedle niepotwierdzonych informacji szkodami zostało dotkniętych kilka platform klienckich. Volue szybko przedsięwzięła środki pozwalające na ograniczenie wpływu ataków, a następnie rozpoczęła przywracania zainfekowanych systemów. Śledztwo dotyczące tego cyberataku jest w toku.

– Obecnie wiele mówi się o wojnie hybrydowej, której celem jest destabilizowanie systemów krytycznych wrogiego Państwa i wzniecanie chaosu. Bronią, z której korzysta się w tego typu konfliktach są cyberataki. Jak wykazuje analiza powyższych przykładów metody ich prowadzenia są stale rozwijane. Ta broń jest intensywnie wykorzystywana, ponieważ zapewnia względną anonimowość sprawców. Z uwagi na obserwowane ostatnio intensyfikacje zagrożeń systemy zabezpieczeń w systemach wodno-kanalizacyjnych powinny być starannie zabezpieczone i monitorowane przez wykwalifikowanych specjalistów – mówi Aleksander Kostuch, ekspert Stormshield.

Bezpieczna cyfryzacja branży remedium na potencjalne zagrożenia

Istotnym zjawiskiem jest postępująca cyfryzacja branży. Przedsiębiorstwa wodociągowe coraz chętniej korzystają z rozwiązań cyfrowych, ale jednocześnie wciąż wiele z nich nie posiada w ogóle zabezpieczeń sieciowych. To powoduje, że stają się one łatwiejszym celem dla cyberprzestępców. Przyczyny takiej sytuacji są różne, między innymi warto wskazać na niewielką świadomość zagrożenia czy brak wiedzy o zabezpieczeniach takich jak UTM/Next Generation Firewall przeznaczonych do ochrony sieci przemysłowych. Dodatkowym problemem jest brak środków finansowych czy wykwalifikowanej załogi, które konieczne są do wdrożenia skutecznych rozwiązań uniemożliwiających ataki. Wciąż mało powszechna jest także praktyka segmentacji sieci, czyli oddzielenia infrastruktury OT (sterowanie przemysłowe) od IT.

– Zagrożenia są bardzo realne. Z jednej strony część przedsiębiorstw zupełnie nie korzysta z zabezpieczeń, a z drugiej wiele z firm wodociągowych czy stacji uzdatniania wody polega na wsparciu firm outsourcingowych, nadając im pełny, ale nieautoryzowany dostęp do całej swojej infrastruktury. Należy mieć świadomość swoich słabych punktów i na tej podstawie wprowadzać stosowne zabezpieczenia i procedury – komentuje Piotr Zielaskiewicz.

Rekomendacje Departamentu Cyberbezpieczeństwa dla sektora wodno-kanalizacyjnego

Problem został dostrzeżony przez władze centralne. Wiosną br., Departament Cyberbezpieczeństwa Kancelarii Prezesa Rady Ministrów wydał rekomendacje dla sektora wodno-kanalizacyjnego, wskazujące zagrożenia związane z wykorzystaniem infrastruktury IT/OT do ataków na sieci wodociągów i kanalizacji, oczyszczalnie ścieków i stacje uzdatniania wody.

– W większości ataków, które były podstawą do wydania rekomendacji zawiodło kilka elementów. Częstokroć wszystkie komputery bądź elementy produkcyjne systemu posiadały to samo hasło, a większość komputerów służących do zarządzania infrastrukturą była podłączona do Internetu, choć nie posiadały firewalla. Z takich błędów mogą wyniknąć przykre konsekwencje – komentuje Aleksander Kostuch, inżynier firmy Stormshield.

– Kluczowe dla zwiększenia odporności infrastruktury jest zmniejszenie do minimum ekspozycji sieci przemysłowych do sieci publicznych, jak np. Internet, czyli zastosowanie segmentacji. Obok wdrożenia rozwiązań typu UTM/Next Generation Firewall, przeznaczonych do ochrony sieci przemysłowych, należy dbać o dane uwierzytelniające, zmieniając je na trudne do złamania, a także ograniczać połączenia z siecią zewnętrzną jedynie do koniecznych z punktu widzenia monitorowania i zarządzania infrastrukturą – podsumowuje Aleksander Kostuch.

* Najnowszy raport GUS – Polska na 24 miejscu w Unii Europejskiej pod względem odnawialnych zasobów wody słodkiej