Cyberatak i usuwanie jego skutków, a w konsekwencji – blokada systemu zarządzania infrastrukturą dostarczającą wodę może trwać tygodniami. To uświadamia presję, pod jaką na co dzień działają przedsiębiorstwa wodno-kanalizacyjne. Co równie istotne – zwiększenie poziomu cyberbezpieczeństwa nakładają przepisy krajowe oraz dyrektywy europejskie. Eksperci Stormshield i Anzena Bezpieczeństwo IT/OT zalecają wdrażanie rozwiązań podnoszących odporność na zagrożenia.

Minione lato było kolejnym, które przyniosło susze, a stan wód w polskich rzekach był bardzo niski. Dodatkowo katastrofa ekologiczna na Odrze zwróciła uwagę opinii publicznej na zagrożenie, jakim jest zanieczyszczenie wody. Ograniczenie śladu środowiskowego i zapewnienie dostaw wysokiej jakości wody przy jednoczesnym minimalizowaniu wycieków – to wyzwania, przed którymi staje sektor wodno-kanalizacyjny w Polsce. Wraz z postępującą cyfryzacją, krajowe przedsiębiorstwa mierzą się z nimi coraz skuteczniej, lecz jednocześnie większa otwartość cyfrowa powoduje, że ten jeden z kluczowych obszarów infrastruktury narażony jest na nieznane wcześniej zagrożenia.

– ​​Kwestie cyberbezpieczeństwa w sektorze wodnym są szczególnie istotne. Atak na infrastrukturę wodno-kanalizacyjną jest potężnym narzędziem w rękach przestępców. Gdy jest skuteczny, może doprowadzić do destabilizacji, którą można wykorzystać do celów politycznych. Kryzys, z jakim mieliśmy do czynienia w przypadku Odry pokazuje, jaką siłę rażenia mogą mieć kwestie związane z poczuciem fundamentalnego bezpieczeństwa – wyjaśnia Aleksander Kostuch, ekspert Stormshield, europejskiego producenta rozwiązań z obszaru bezpieczeństwa IT.

– Wzmocnienie cyberbezpieczeństwa to dziś konieczność podyktowana realiami gospodarczymi i politycznymi, także w skali globalnej – potwierdza Wojciech Kroma, dyrektor Anzena Bezpieczeństwo IT/OT. –  To również wymóg prawny, co ważne, powiązany z sankcjami. Pierwszą kwestią jest znajomość norm, drugą – umiejętność sprawnego poruszania się między nimi – dodaje.

W ostatnich latach głośne ataki na sektor wodny miały miejsce m.in. w Stanach Zjednoczonych i w Europie. Jednym z przykładów jest sytuacja, w której jedna z brytyjskich firm działających w branży wodnej potwierdziła, że stała się ofiarą cyberataku. Incydent ten szczęśliwie nie zakłócił procesu dostaw. Podobne przypadki sprawiają, że przedsiębiorstwa i instytucje publiczne związane z sektorem wodnym uświadamiają sobie potrzebę zapewnienia bezpieczeństwa cyfrowego własnej infrastruktury, danych wrażliwych i środowisk operacyjnych.

– Zwiększone ryzyko podkreśla również niedostatki sektora, który cierpi z powodu niedoinwestowania. Infrastruktura wodna generuje niskie marże. Taka sytuacja nie ułatwia podejmowania działań na rzecz zapewnienia większego bezpieczeństwa, które wiążą się z dodatkowymi wydatkami – komentuje Aleksander Kostuch.

Ekosystem przemysłowy, w skład którego wchodzą zakłady produkujące wodę pitną i oczyszczalnie ścieków (część klasyfikowana jako „operatorzy usług kluczowych” oraz w NIS2 – „podmioty ważne”), opiera się na klasycznej infrastrukturze i nowoczesnych technologiach. Powszechność cyfrowych narzędzi wykorzystywanych do jego obsługi przekłada się na wzrost cyberryzyk. Wraz z postępującą cyfryzacją sektora granice między IT i OT stopniowo się zacierają, zwiększając zagrożenie. Systemy operacyjne są narażone także z uwagi na fakt, że coraz częściej są podłączane do sieci komputerowych.

Eksperci zwracają uwagę, że pomimo wielości zagrożeń, branża wodna wciąż ma trudności z nabyciem niezbędnych cyfrowych nawyków. Tymczasem jest to niezbędne. Zainteresowanie tymi zagadnieniami wzrosło za sprawą rekomendacji Departamentu Cyberbezpieczeństwa KPRM, wydanych w lutym 2021 roku oraz ogłoszonym trzecim stopniem alarmowym CHARLIE–CRP (luty, 2022).

– Przede wszystkim jednak, konieczność właściwego zabezpieczenia infrastruktury przedsiębiorstw wodno-kanalizacyjnych wymuszają regulacje prawne, tj. dyrektywa NIS zaimplementowana w polskie realia w postaci Ustawy o KSC oraz Dyrektywa NIS2, która zacznie obowiązywać od października 2024 roku – wskazuje Wojciech Kroma. – NIS2 zakłada podobne obowiązki dla podmiotów kluczowych i ważnych, uwzględniające prawdopodobieństwo wystąpienia incydentu i jego dotkliwość, a także stopień narażenia podmiotu na ryzyko.

Wyzwania NIS2 i ochrona w praktyce

Ustawa o KSC oraz Dyrektywa NIS2 wymuszają podjęcie działań zwiększających cyberbezpieczeństwo.  – Są to analiza ryzyka, opracowanie polityki bezpieczeństwa systemów informatycznych, zarządzanie ciągłością działania, zapewnienie bezpieczeństwa łańcucha dostaw, obsługa podatności, regularne audyty i wiele innych – wymienia Wojciech Kroma. – To także obsługa incydentów i współpraca w tym zakresie z właściwym CSIRT oraz wykaz podstawowych elementów bezpieczeństwa, które muszą być zastosowane. By jednak spełnienie tych wymagań było możliwe, konieczne jest dobre przygotowanie przedsiębiorstwa i zaplanowanie kluczowych kroków. Niezbędna jest inwentaryzacja i identyfikacja zasobów w sieci oraz dobre zaplanowanie modernizacji architektury sieciowej. Dzięki temu uzyskamy świadomość topologii sieci i będziemy mogli dokonać właściwej oceny ryzyka, a co za tym idzie, zdobędziemy wiedzę na temat krytyczności poszczególnych zasobów.

Charakterystyczne dla branży jest rozproszenie instalacji – przepompownie ścieków, ujęcia wody, urządzenia do ochrony znajdują się w różnych, odległych od siebie miejscach. W tym kontekście znaczenia nabiera ich centralne zarządzanie i monitorowanie, wykonywane ze specjalnego Centra Operacji Bezpieczeństwa (z ang. Security Operation Center – SOC). Centra zbierają informacje z zablokowanych zdarzeń, które mogły mieć miejsce w danej lokalizacji oraz monitorują poprawność pracy całego systemu.

– Analiza ruchu sieciowego tworzy wiedzę dotyczącą działania sieci przemysłowej, co pozwala w zautomatyzowany sposób korelować informacje, tworzyć raporty i reagować na incydenty. W celu zapewnienia zgodności z rozporządzeniem GDPR (RODO) dane osobowe takie jak nazwa użytkownika, źródłowy adres IP, źródłowy adres MAC, nazwa hosta źródłowego, domyślnie nie są prezentowane w logach i raportach i są zastąpione słowem Anonymized. W celu uzyskania dostępu do tych danych operator musi zostać do tego upoważniony – komentuje Aleksander Kostuch, inżynier Stormshield.

Kluczowe jest również instalowanie firewalli, prowadzone z uwzględnieniem potencjalnego ryzyka możliwie najbliżej urządzeń automatyki przemysłowej, które podlegają ochronie. Często są one montowane na tej samej szynie DIN co same urządzenia do sterowania PLC (z ang. Programmable Logic Controller oznacza Programowalny sterownik logiczny).

Skuteczne rozwiązania technologiczne

Ochrona sieci poprzez segmentację

Segmentacja sieci jest niezbędna, ponieważ pomaga zapobiegać rozprzestrzenianiu się cyberataku poprzez izolację podsystemów. W tym celu można wykorzystać zapory sieciowe.

Zatwierdzanie ruchu

Istotne jest posiadanie w organizacji rozwiązań umożliwiających weryfikację zasadności poleceń wydawanych przez sterowniki PLC. „Nie tylko po to, by wystrzegać się człowieka, ale także w celu weryfikacji integralności danych poprzez inspekcję”.

Zarządzanie dostępem zdalnym

Konieczne jest skonfigurowanie systemów zarządzania i zabezpieczenie zdalnego dostępu (konserwacja zdalna, zarządzanie alarmami itp.) elementów infrastruktury, które mogą znajdować się w dużej odległości od siebie. Aby zapewnić bezpieczną komunikację należy stosować rozwiązania obsługujące szyfrowanie danych, poprzez tworzenie tuneli VPN i uwierzytelnianie (optymalnie dwuskładnikowe) użytkowników.

Dopasowanie sprzętu do ograniczeń przemysłu wodnego

Branża wodna ma szereg specyficznych ograniczeń fizycznych (wysoka wilgotność, szeroki zakres temperatur itp.). Sektor wymaga zastosowania sprzętu zdolnego do spełnienia wielu ograniczeń środowiskowych. Funkcjonalność firewalli SNS i ich funkcja obejścia (tryb bezpieczeństwa) są również potężnymi atutami dla branży wodociągowej, ponieważ zapewniają dostępność procesu operacyjnego.

Niezawodność

Praca w trybie ciągłym powoduje, że jednym z wyzwań jest zapewnienie zasilania z różnych źródeł, a także możliwość transmisji danych, nawet przy braku zasilania czy w sytuacji ponownego uruchomienia urządzenia po aktualizacji jego oprogramowania układowego. Rozwiązaniem, zamiast instalacji dwóch powiązanych ze sobą urządzeń, jest możliwość pasywnego przesyłania danych. Urządzenie będzie przekazywać wówczas transmisję bez analizy i ochrony, jednak z zapewnieniem ciągłości działania.

Ochrona punktów końcowych

Ochrona punktów końcowych jest niezbędna ze względu na ich kluczową rolę w obsłudze parametrów procesu operacyjnego i zapewnianiu podglądu stanu systemów w czasie rzeczywistym. Na przykład cyberatak na stacje monitorujące może spowodować całkowity brak dostępu do sieci przez zespoły operacyjne i uniemożliwi prawidłowe działanie procesów przemysłowych.

– Branża wodna ma szereg specyficznych ograniczeń, a instalowany sprzęt musi być dostosowany do trudnego środowiska. Urządzenia muszą umożliwiać integrację z obecnymi, działającymi przełącznikami dla sieci OT/IT. Głównym celem projektów wdrożeniowych jest oddzielenie sieci OT od sieci IT, a także jej zabezpieczenie i monitorowanych – podsumowuje Aleksander Kostuch.

Więcej informacji na temat rozwiązań ochronnych zapewnianych przez Stormshield znajdziesz na  https://stormshield.pl/