„Rosjanie zaatakowali polską elektrownię i wodociąg”. Zabezpieczenie środowisk krytycznych - studium przypadku

W ostatnich dniach dużym echem odbił się incydent naruszenia systemów polskich przedsiębiorstw. W Internecie pojawił się film prezentujący manipulowanie ustawieniami elementów infrastruktury krytycznej, które prowadzili prorosyjscy hakerzy, po uzyskaniu do niej nieuprawnionego dostępu.

Separacja systemów IT i OT, segmentacja sieci, dwuskładnikowe uwierzytelnianie, monitoring ruchu sieciowego połączony z głęboką analizą protokołów przemysłowych to zestaw środków, zalecany również w rekomendacjach rządowych, pozwalający minimalizować ryzyko podobnych zdarzeń.

Wdrożenie tych rozwiązań jest możliwe przy zastosowaniu nowoczesnych urządzeń typu UTM, tworzonych z myślą o zabezpieczeniu sieci przemysłowych, wskazują eksperci ze Stormshield i Dagma Bezpieczeństwo IT.

Specyfiką działalności przedsiębiorstw wodociągowych i energetycznych jest rozproszenie - obsługują zlokalizowane w różnych miejscach punkty ujęcia i uzdatniania wody, przepompownie ścieków czy podstacje elektroenergetyczne. Efektywne zarządzanie nimi odbywa się w coraz większym stopniu online, a odseparowanie elementów systemu zwiększa ryzyko ataku. Te kwestie nie uchodzą uwadze przestępców.

Na etapie implementacji rozwiązań zabezpieczających wyzwaniem, wynikającym ze specyfiki działalności przedsiębiorstw wodociągowych, jest konieczność utrzymania ciągłości procesów produkcyjnych, przy jednoczesnym zapewnieniu bezpieczeństwa i zgodności sieci.

Aleksander Kostuch,

ekspert cyberbezpieczeństwa i inżynier Stormshield

Separacja sieci fundamentem bezpieczeństwa – pomoże firewall

Specjaliści Stormshield, w ramach wdrożonego w jednym z funkcjonujących w Polsce przedsiębiorstw wodociągowych systemu zabezpieczeń, ustanowili bezpieczne, monitorowane i oddzielne środowisko sieciowe IT oraz rozwiązania mające na celu ochronę operacji prowadzonych w sieciach OT, działających m.in. w oparciu o sterowniki logiczne (PLC) do zarządzania krytycznymi procesami. Elementem systemu były urządzenia firewall SNi20, umieszczone jak najbliżej urządzeń automatyki przemysłowej, często montowane na tej samej szynie DIN co sterowniki PLC. Zastosowany sprzęt uwzględnia szereg specyficznych wymogów branży wod-kan (wysoka wilgotność, szeroki zakres temperatur itp.) oraz oferuje funkcję bypass, co oznacza, że nawet w przypadku restartu urządzenia, na przykład podczas załadowywania nowego oprogramowania układowego, transmisja działa bez przerwy.

Konwergencja sieci IT i OT naraża organizację na ryzyko. Strategia obejmowała wdrożenie firewalli na obrzeżach każdej z sieci OT. Zastosowane rozwiązanie ułatwia szybkie wykrywanie zagrożeń i reagowanie na nie, minimalizując powierzchnię ataku i maksymalizując ochronę infrastruktury przemysłowej

Aleksander Kostuch,

ekspert cyberbezpieczeństwa i inżynier Stormshield

Dokonana separacja minimalizuje ryzyko zagrożeń z wewnętrznej sieci IT. Zastosowane rozwiązanie wykorzystuje interfejsy w konfiguracji bridge, co pozwala na izolację różnych segmentów przy jednoczesnym zachowaniu ogólnej struktury sieci. Ogranicza to zakres wymaganych modyfikacji i zmniejsza ryzyko zakłóceń operacyjnych z uwagi na możliwość bezprzerwowego wdrożenia w istniejącej sieci.

Duże znaczenie w opracowanym systemie bezpieczeństwa ma autoryzacja pracowników z użyciem istniejących mechanizmów Active Directory i integracji poprzez mechanizm SSO. Monitorowane i zapisywane są wszystkie działania systemów i użytkowników w ramach protokołów przemysłowych, które przepuszczone są na urządzeniach. Zdarzenia te są rejestrowane w centralnym systemie SIEM.

Infrastruktura rozproszonych firewalli, umieszczonych w przepompowniach i ujęciach wody, jest zarządzana z centralnego systemu Stormshield Management Center.

W ramach wdrożenia zdecydowano także o zwiększonej ochronie systemów SCADA. Oprócz fizycznych firewalli, wdrożono zwirtualizowaną zaporę firewall, który działa w prywatnej chmurze wykorzystującej farmę serwerów. Zapewnia to dodatkową warstwę ochrony dla systemów kontroli nadzorczej i akwizycji danych.

Implementując system uwzględniono aspekt zgodności wdrażanych rozwiązań z przepisami w zakresie przetwarzania danych. Nazwy użytkowników, źródłowe adresy IP, adresy MAC i nazwy hostów, nie są jawnie prezentowane w dziennikach i raportach, a zostały zanonimizowane, co pozwoliło spełnić wytyczne RODO.

W efekcie podjętych działań infrastruktura jest chroniona przed potencjalnymi zagrożeniami cybernetycznymi, również z sieci wewnętrznej, zapewniając nieprzerwane działanie gospodarki wodnej i procesów oczyszczania ścieków.

Kompleksowe podejście do bezpieczeństwa, od fizycznych zapór sieciowych po zwirtualizowaną ochronę systemów SCADA, zapewnia solidny mechanizm obrony przed ewoluującymi zagrożeniami cybernetycznymi w środowisku przemysłowym. Czas realizacji opisanych działań wyniósł około miesiąca

Aleksander Kostuch,

ekspert cyberbezpieczeństwa i inżynier Stormshield

Lokalny wodociąg największym zagrożeniem

Infrastruktura zapewniająca sprawne funkcjonowanie podstawowych usług pozostaje w obszarze dużego zainteresowania ze strony cyberprzestępców motywowanych politycznie. W kwietniu, minister cyfryzacji Krzysztof Gawkowski przekazał, że udało się odeprzeć 17 z 18 prób ataków grupy cyberprzestępczej blisko związanej z Federacją Rosyjską przeprowadzonych m.in. na stacje uzdatniania wody. Jak niedawno komentował wicepremier Gawkowski „największym zagrożeniem są ataki na niewielkie ośrodki – lokalny wodociąg, szpital – tam relatywnie łatwiej się dostać i wywołać wielkie szkody.”

Mam nadzieję na szybkie zakończenie prac nad nowelizacją ustawy KSC, bo przyjęcie tego aktu będzie mocnym impulsem do działania również dla branż wodociągowej i energetycznej. Choć wiele podmiotów ma wdrożone odpowiednie zabezpieczenia, to jednocześnie w wielu przypadkach wciąż jest dużo do zrobienia w zakresie odpowiedniego ochrony systemów OT. Paradoksalnie, niedawny incydent może przyczynić się do wzrostu zainteresowania programem Cyberbezpieczny Wodociąg, który zapewnia możliwości finansowe by wdrażać niezbędne środki ochrony przed tego typu zagrożeniami

Piotr Zielaskiewicz,

menadżer ds. rozwiązań Stormshield w DAGMA Bezpieczeństwo IT